ISO 31000: Oude wijn in nieuwe zakken

Sinds jaar en dag vormen de ISO-standaarden een internationaal keurmerk voor kwaliteit.
Deze standaarden, opgesteld door de International Organization for Standardization (ISO), bieden een uitgebreide reeks van normen voor de inrichting en uitvoering van processen.
In totaal zijn er momenteel ruim tachtig ISO-standaarden voorhanden. De centrale gedachten achter de ISO-standaarden is dat het totstandkomingsproces de kwaliteit van het eindproduct bepaald. Door normen te hanteren voor het totstandkomingsproces wordt de kwaliteit van het eindproduct gegarandeerd. Veel inkooporganisaties verlangen daarom een ISO-certificering van toeleveranciers. Helaas wijst de praktijk uit dat een dergelijke ISO-certificering niet zaligmakend is.
Ondanks deze certificering komen wanprestaties van gecertificeerde leveranciers nog steeds met enige regelmaat voor.
Ik spreek hierbij uit persoonlijke ervaring ten aanzien van het (ver)bouwen van een woning. Een belangrijke oorzaak hiervoor ligt, mijns inziens, in de aard en reikwijdte van de periodieke ISO-audits. ISO-audits blijven in de praktijk vaak beperkt tot interviews.
Een deugdelijke beoordeling van ingerichte beheersingsmaatregelen en harde fact finding rondom de werking hiervan blijft vaak uit.

ISO 31000
De ISO 31000 standaard bestaat uit drie samenhangende onderdelen, te weten:
a. de principes van risicomanagement;
b. een raamwerk voor risicomanagement;
c. het risicomanagementproces.

Ad a) Principes van risicomanagement
De principes van risicomanagement vormen het fundament voor het kunnen functioneren van risicomanagement. Enerzijds hebben principes betrekking op het risicobewustzijn en de overtuiging van de toegevoegde waarde van risicomanagement door betrokkenen. Anderzijds hebben de principes betrekking op de ‘zachte kant’ van interne beheersing, zoals cultuur en menselijk gedrag. Deze ‘zachte kant’ wordt ook wel ‘soft control’ genoemd.

Ad b) Raamwerk voor risicomanagement
Het raamwerk voor risicomanagement een gemeenschappelijke taal, de risicomanagement-organisatie en metaprocedures voor het aansturen van risicomanagementprocessen binnen de organisatie.

Ad c) het risicomanagementproces
Het derde onderdeel van de ISO 31000-standaard betreft het inhoudelijke risicomanagementproces. Dit proces omvat ondermeer het bepalen van de risicocontext, het identificeren, analyseren, evalueren en communiceren van risico’s als het beoordelen (van de beheersing) van het risico.

ISO 31000 en het ‘In Control’ zijn
Zoals eerder reeds beschreven genieten ISOstandaarden bekendheid als normen gericht op het waarborgen van de kwaliteit van eindproducten. Als we dit projecteren op risicomanagement komen we op een gevaarlijk en ongewenst terrein. De associatie die een (on)verstandige leek mogelijk heeft met een ‘In Control Statement’ komt hierdoor wel erg dicht bij, en omdat dit tot ernstige misverstanden kan leiden, moeten we dit mijns inziens voorkomen. Stelt u toch eens voor dat organisaties zoals Palm Invest1 of Easy Life een ISO-standaard gaan gebruiken om investeerders te misleiden?

Daarnaast zie ik, in het verlengde van mogelijke misverstanden rondom het ‘in control zijn’, nog een tweede bezwaar. De standaard biedt geen inhoudelijke criteria of richtlijnen voor het testen van beheersingsmaatregelen en het evalueren van tekortkomingen. Van elementair belang voor evalueren van het ‘In control’ zijn. Ook indien slechts de schijn opgeroepen wordt door middel van een dergelijke standaard. Op inhoudelijke gronden kan de ISO 31000- standaard deze associatie dan ook niet waarmaken.

Gezien de komst van het ‘In Control Statement’ binnen de lokale overheid wil ik u graag een korte indruk geven wat het evalueren van tekortkomingen in interne beheersing zoal behelst. Ik neem u daarom mee naar audit standaard 5, uitgevaardigd door de PCAOB in navolging van de Sarbanes Oxley Wet.2

In Audit Standard 5 worden nadere voorschriften gegeven rondom het evalueren van (geconstateerde tekortkomingen in) de interne beheersing en wordt het begrip wel of niet ‘in control’ nader verfijnd. In artikel 62 van deze standaard wordt gesteld dat de auditor dient te evalueren of individuele of gecombineerde tekortkomingen in de interne beheersing tot materiële fouten in de jaarrekening kunnen leiden. Tekortkoming worden hierbij langs twee wegen geëvalueerd. Deze zijn:

1. Is er een redelijke mate van zekerheid dat de beheersingsmaatregel niet zal functioneren waardoor fouten niet worden voorkomen of worden gedetecteerd?
2. Leidt de tekortkoming tot een materiële of wezenlijke financiële fout in de jaarrekening?

Factoren die een invloed hebben op de kans dat een interne beheersingsmaatregel niet functioneert (ad 1) zijn:

• de aard van de financiële post, toelichting of betrokken getrouwheidsaspect;
• de mate van subjectiviteit en complexiteit om financiële stromen en standen te bepalen;
• relaties en interacties van de beheersingsmaatregel met andere beheersingsmaatregelen;
• de interacties tussen geconstateerde tekortkomingen;
• mogelijke toekomstige gevolgen van tekortkomingen.

Factoren die van invloed zijn op de impact van de tekortkoming (ad 2) zijn:

• de posten in de jaarrekening op het totaal van transactie die geraakt worden door de geconstateerde tekortkomingen in interne beheersing;
• de hoeveelheid transacties die plaatsvinden in relatie tot de betrokken financiële posten nu of in de toekomst.

Nu is een belangrijke randvoorwaarden van de ISO 31000 dat de standaard geen eisenstellende (certificeerbare) norm voor een risicomanagementsysteem kent. Daarvoor bestaat onvoldoende draagvlak onder de leden van ISO. Ook binnen het Nederlands Normalisatieinstituut (NEN), het nationale orgaan dat de ISO-standaarden en Nederlandse uitgaven daarvan in beheer heeft, bestond hiervoor onvoldoende draagvlak. Dat is jammer. Ik vind dit dan ook geen sterk argument, mede kijkend naar de ‘core business’ van ISO: het opstellen van normen. Met name gezien het belang van het onderwerp.

Zitten we erop te wachten?
Als we kijken naar het gebruik van modellen voor risicomanagement kunnen we zonder enige twijfel concluderen het COSO ERM-model wereldwijd verreweg het meest gebruikte en door toezichthouders geaccepteerde raamwerk is voor integraal risicomanagement. De afkorting COSO staat voor ‘Committee of Sponsoring Organizations of the Treadway Commission’. ERM is een afkorting voor ‘Enterprise Risk Management’. Het COSO ERM-model is een raamwerk waarmee organisaties hun eigen interne beheersingssysteem kunnen inrichten en beoordelen. In de Sarbanes-Oxley Act en ook in de Nederlandse Code voor Corporate Governance, ofwel de code Tabaksblat, wordt COSO als enige genoemd als mogelijk te hanteren raamwerk voor het inrichten van interne beheersing en risicomanagement. Mede hierdoor is het COSO ERM uitgegroeid tot het wereldwijde standaardwerk op het gebied van interne beheersing.

Wellicht zult u denken: ‘Waarom hebben we het hier over Sarbanes Oxley en Tabaksblat? Dit tijdschrift heet toch ‘Tijdschrift voor Public Governance, Audit & Control?’. Op zich een goede vraag. Toch heb ik hier een reden voor. Binnen het publieke domein zijn diverse eigen varianten van Corporate Governance Codes opgesteld. Om u een idee te geven noem ik als voorbeelden:

• Governancecode Woningcorporaties Aedes/ VTW;
• Gedragscode toezichthouder – raad van toezicht NVTZ;
• Brancheorganisaties in de Zorg – Zorgbrede Governancecode;
• Code Goed Bestuur voor Goede Doelen;
• Commissie Governance Beroepsonderwijs – Educational Governance bij bve-instellingen;
• Handvestgroep Publiek Verantwoorden – Code goed bestuur uitvoeringsorganisaties;
• NVZ Vereniging van ziekenhuizen – NVZ-Governancecode;

Veel van deze Corporate Governance Codes zijn in meer of mindere mate gebaseerd op de basisprincipes uit de eerder genoemde Nederlandse Code voor Corporate Governance. Hiermee rekeninghoudend zou het dan ook niet voor de hand liggen om een nieuwe standaard voor risicomanagement, zoals ISO 31000 te introduceren. Het gebruik van het COSO ERM-raamwerk, zoals voorgeschreven vanuit de code Tabaksblat, is wijd en zijd bekend en daarmee veel praktischer.

Denkt u maar eens aan bijvoorbeeld publieke private samenwerkingsverbanden in gebiedsontwikkelingsprojecten. In dergelijke samenwerkingsverbanden werkt de publieke sector en de private sector gezamenlijk aan de realisatie van risicovolle projecten, waarover tussentijds en achteraf verantwoording over dient te worden afgelegd. Indien de private partij een beursgenoteerde onderneming is, zoals bijvoorbeeld Heijmans of Ballast Nedam, zijn deze ondernemingen vanuit de Nederlandse Code voor Corporate Governance reeds gehouden aan COSO ERM . Het door de publieke partij hanteren van een eigen, ISO-risicomanagementstandaard zou om die reden niet praktisch zijn.

Het risicomanagementproces

Figuur 1. Het COSO Enterprise Risk Management model (COSO ERM)

Het voorvlak van de COSO ERM-kubus onderkent de acht componenten van het risicomanagement proces. De benaming van deze componenten is weliswaar net iets anders dan het risicomanagementproces volgens ISO 31000, maar de essentie komt op het zelfde neer. In beide modellen wordt ingegaan op het identificeren van risico’s, het bepalen van een passende risicoreactie en het kiezen van een passende wijze van beheersing. Eveneens wordt in beide modellen ingegaan op het belang van communicatie en het monitoren van de bevindingen uit het stelsel van interne beheersing. Ik merk hierbij op dat het COSO ERM recentelijk verder is aangevuld met nadere handreikingen voor de monitorfunctie. Ik verwijs hierbij naar de publicatie ‘Guidance on Monitoring Internal Control Systems’ uit september 2007. Op basis van deze korte vergelijking kom ik dan ook tot de conclusie dat het ISO 31000-model in dit opzicht niets nieuws onder de zon is; de essentie van ISO komt overeen met COSO ERM. In figuur 2 wordt de vergelijking tussen het risicomanagementproces volgens COSO ERM-model en ISO 31000 nader toegelicht.

Figuur 2. Vergelijking van het risicomanagementproces volgens ISO 31000 en COSO ERM

Principes van risicomanagement
Een belangrijk onderdeel van de ISO 31000 standaard is het gebruik van elf risicomanagementprincipes. Deze principes omvatten algehele uitgangspunten of waarden ten aanzien van het nut, organisatie en beleving van risicomanagement. Binnen ISO 31000 vormen deze principes het vertrekpunt van de standaard. Volledig terecht denk ik. Zonder een duidelijke overtuiging en draagvlak binnen de organisatie is risicomanagement gedoemd te mislukken. Maar zijn principes van risicomanagement nieuw?

Als we kijken naar het risicomanagementproces volgens COSO ERM is ‘Internal Environment’ de eerste component. ‘Internal Environment’, ofwel interne omgeving vormt hierbij het fundament van het risicomanagementproces. De interne omgeving heeft betrekking op de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en geadresseerd door de mensen van een onderneming, inclusief risicomanagementbeleid en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren. De interne omgeving heeft hiermee grote gelijkenis met de principes uit de ISO 31000-standaard. Gezien COSO ERM is afgeleid van COSO IC en dit model dateert uit 1992 moeten we helaas concluderen dat de principes niet geheel nieuw zijn.

Een belangrijke lacune ten aanzien van de ‘Internal Environment’ van COSO ERM is de wijze waarop concrete handreikingen worden geboden voor het ontwerpen of beoordelen van deze interne omgeving. In de praktijk krijgt dit met name vorm door het gebruik van checklisten en werkprogramma’s. Dergelijke handreikingen worden in vakjargon ook wel ‘procedurele normering’ genoemd. Een belangrijk nadeel hiervan is dat de principes van risicomanagement hiermee niet ‘tussen de oren’ komen te zitten. Hiervoor is een meer ‘inhoudelijke normering’ nodig. Hierin voorziet COSO ERM niet. Helaas komt ISO 31000 hieraan ook niet tegemoet. Bovendien draagt het ‘droog’ vermelden van elf principes in ISO 31000 niet bij aan het daadwerkelijk enthousiasmeren en het creëren van draagvlak. Kortom: op basis van COSO ERM en ISO 31000 is er nog geen echte oplossing voor het creëren van draagvlak. Om het daadwerkelijk tussen de oren te krijgen zijn we dan toch genoodzaakt naar andere, niet risicomanagementmodellen, uit te wijken. Ik verwijs bijvoorbeeld naar het ‘concurrerende waarde’-model van Quin. Dit model is ontstaan uit het beoordelen van de effectiviteit van organisaties. In de afgelopen jaren heeft dit model haar toepassingsgebied verbreed naar ondermeer organisatiekunde en psychologie. Uit eigen praktijkervaring kan ik u dit model van harte aanbevelen. Het biedt uitstekende aanknopingspunten om de bewustwording en draagvlak rondom risicomanagement daadwerkelijk ‘te laten leven’.

Het raamwerk voor risicomanagement
Het derde onderdeel van de ISO 31000-standaard gaat in op een generiek raamwerk voor het inrichten en onderhouden van een gemeenschappelijke taal, risicobeleid en -organisatie en het implementeren, onderhouden en verbeteren van het raamwerk. Dit raamwerk biedt feitelijk een metaprocedure voor risicomanagement. Inhoudelijk prima. Echter, wederom niets nieuws.
In diverse publicaties over risicomanagement worden dergelijke ‘plan do check act’-cycli uitgewerkt.

Implementatie risicomanagement
In de literatuur over COSO ERM wordt vaak als punt van kritiek aangevoerd dat niet is voorzien in een duidelijk stappenplan voor het implementeren van dit raamwerk. Daardoor zou COSO ERM slechts een conceptueel aantrekkelijk model zijn waarvan niet duidelijk is op welke wijze dit in de praktijk concreet het best ‘handen en voeten’ kan krijgen. Gelukkig komt het ISO 31000 aan dit tekort tegemoet. Prima! Zowel voor de implementatie van het risicomanagementproces als het bijbehorende raamwerk biedt de standaard richtlijnen. In dat opzicht kent ISO 31000 een voorsprong. Een mogelijke suggestie voor de verdere optimalisatie van de ISO-standaard zou wat mij betreft liggen in het betrekken van de verschillende verdedigingslinies van risicomanagement. Verdedigingslinies hebben betrekking op de verschillende rollen die afdelingen of functionarissen innemen ten aanzien van het uitvoeren van het risicomanagementproces. In de literatuur en praktijk worden hiertoe veelal drie niveaus onderkent. De eerste verdedigingslinie heeft betrekking op de uitvoering van interne beheersing binnen de operationele bedrijfsvoering. De tweede verdedigingslinie heeft betrekking op de verantwoordelijkheid van tactisch en strategisch management op toezicht te houden op de effectiviteit van het stelsel van interne beheersing. De derde verdedigingslinie gaat in op de rol van de auditfunctie. De auditfunctie kan het tactisch en strategisch management ondersteunen in het uitvoeren van toezicht door het uitvoeren van audits. Afhankelijk van het specifieke vertrekpunt en de relevante verdedigingslinies kan het implementatieplan verder worden verfijnd.

In control: waar het echt om gaat
In dit artikel ben ik uitgebreid ingegaan op de modellen ISO 31000 en COSO ERM. Los van het feit of u voorstander bent van ISO 31000, COSO ERM, INK of andere modellen wil ik erop wijze dat het model sec van ondergeschikt belang is. Het is slechts een hulpmiddel om een gemeenschappelijke taal te realiseren. De essentie van risicomanagement is voor mij gelegen in twee zaken. Op de eerste plaats is het proces wat betrokkenen met elkaar doormaken van wezenlijke betekenis. Door met betrokken medewerkers gestructureerd over risicomanagement na te denken ontstaat betrokkenheid, bewustwording en de juiste toewijding. Dankzij deze bewustwording komen risico’s ‘tussen de oren’ en wordt er iets mee gedaan. Op de tweede plaats vormt de kwaliteit van strategie en beleid een elementaire randvoorwaarde. Een perfecte risicobeheersing gericht op de verkeerde doelstellingen is funest voor uw organisatie. Een goed doordacht beleid in combinatie met een toereikend risicomanagementsysteem leidt tot succes.

Conclusie
Het zal u waarschijnlijk niet verbazen dat de ISO 31000 niet direct mijn hart gestolen heeft. In alle eerlijkheid biedt het ISO 31000 te weinig nieuwe inzichten voor het daadwerkelijk verbeteren van risicomanagement en het ‘in control’-vraagstuk in het algemeen. Bovendien kent het gebruik van de ISO 31000-standaard ook enkele wezenlijk praktijk bezwaren. Zo roept de associatie ‘ISO’ en ‘risicomanagement’ te veel het beeld op dat een organisatie ‘in control’ is. Dit is gevaarlijk en niet wenselijk. Zeker niet in deze tijd. Daarnaast is reeds een in de hele wereld gebruikt en geaccepteerd risicomanagementmodel voor handen voor integraal risicomanagement: COSO ERM. Het ISO 31000 biedt in vergelijking tot dit model weinig nieuws.

Drs. Urjan Claassen RA RE CIA is verbonden als partner aan Clascon Audit & Consulting, adviesbureau voor risicomanagement in de publieke sector (www.clascon.nl). Aanvullend is Urjan universitair docent Auditing en Management Control aan de Nyenrode Business Universiteit en de Universiteit van Maastricht.

Noten
1 Palm Invest en Easy Life zijn omstreden beleggingsfondsen. De directies van beide ondermeningen zijn in 2008 zijn gearresteerd wegens fraude. Uit onderzoek van het FIOD is gebleken dat een grootdeel van de geïnvesteerde gelden door de directie voor privédoeleinden zijn gebruikt.
2 De Sarbanes-Oxley wet is een wet voor beursgenoteerde bedrijven in Amerika. Middels deze wet dienen bestuurders jaarlijks een In Control Statement aan de beurstoezichthouder te verstrekken. In deze In Control Statement dient het bestuur een mededeling te doen rondom de effectiviteit van de interne beheersing ten aanzien van het financiële verslaggevingproces.

Literatuur

• [ISO07] ISO 31000, Risk management – guidelines on principles and implementation of risk management, International Standard Organisation, Juni 2007.
• [HOR07] Hortensius, D., Mallens, E., ‘Wordt ISO 31000 het referentiekader voor risicomanagement?’, In: KAM nieuwsbrief 2/2007.
• [PCO07] Audit Standard No 5 – An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements, Public Company Accounting Oversight Board, November 2007.
• [KCP04] Kenniscentrum voor PPS, Handleiding risicomanagement bij ppsgebiedsontwikkelingsprojecten, januari 2004.