ISO 31000 stimuleert integraal risicomanagement

Integraal risicomanagement is ver te zoeken in organisaties. De bancaire sector heeft dit voor het bedrijfsleven de laatste tijd duidelijk laten zien. Cees Maas, voormalig CFO van ING, schetste deze situatie onlangs in Elsevier: ‘Gedreven door winstbejag hebben de banken jarenlang het risicomanagement ter zijde geschoven.’ In onze ogen bedoelt Maas dat integraal risicomanagement aan de kant is geschoven. Want vanuit de vele specialismen, de vele processen en operationele controls, wordt er op deelgebieden wel degelijk aan risicomanagement gedaan. Overigens is ook in de publieke sector integraal risicomanagement ver te zoeken. Dat blijkt onder andere uit de vele projecten die hun budget overschrijden. Van belang bij goed risicomanagement in het bedrijfsleven is het vergroten van de interne transparantie. Een complicerende factor hierbij vormt de individuele manager, die liever succes deelt dan eventuele fouten maakt. Om de gewenste transparantie mogelijk te maken, is de juiste cultuur, een goed geborgd raamwerk en een gestandaardiseerd proces nodig: integraal risicomanagement dus. De nieuwe ISO 31000-norm lijkt hier in haar opzet rekening mee te hebben gehouden.

Kernmerkend aan de ISO 31000-norm is dat zij:

• op een stimulerende, niet voorschrijvende manier, een impuls geeft aan het denken vanuit integraal risicomanagement;
• een helder onderscheid biedt tussen de principes voor risicomanagement, het raamwerk voor risicomanagement en het risicomanagementproces;
• een zeer positieve risicodefinitie – ‘effect of uncertainty on objectives’ – gebruikt;
• geen verplichte norm is, aangezien het voldoen aan normen een doel op zich kan zijn.

Waarom ISO 31000?

Waarom een nieuwe norm als er al zoveel normen zijn? De huidige normen op het gebied van risicomanagement, waaronder COSO, kenmerken zich over het algemeen door het creëren van overzichten naar organisatieniveau (divisie, business unit), typen risico’s (strategisch, operationeel) en een koppeling aan het proces dat men voorschrijft in de code. Een voorbeeld hiervan is de COSO-kubus.
De nadruk bij dit soort codes ligt op rapporteren en verantwoorden (compliance). Zo wordt al snel voorbijgegaan aan cultuur en omgeving, wat juist minimale randvoorwaarden zijn voor de start van een daadwerkelijke implementatie. De ISO 31000-norm komt tegemoet aan de wens om meer handvattente bieden voor structurele verankering in de organisatie. Het doel van risicomanagement is tenslotte gestructureerd en systematisch risico’s beheersen om de organisatiedoelstellingen effectiever en efficiënter te bereiken.
Om dit te bewerkstelligen is het noodzakelijk dat de gehele organisatie zich bewust is van haar handelen, en vroegtijdig signalen opvangt én afgeeft als er risico’s ontstaan die een bedreiging kunnen zijn voor de doelstellingen van de organisatie. Naast het risicomanagementproces heeft de ISO-norm dan ook veel aandacht voor de principes die moeten gelden. Verder maakt de norm een duidelijk onderscheid tussen het proces en het raamwerk waarbinnen risicomanagement handen en voeten krijgt. Dit raamwerk kan men ook beschouwen als kader voor de minimale randvoorwaarden waar de organisatie aan moet voldoen, wil men risicomanagement succesvol implementeren.

Kernmerkend voor de ISO-norm is dat zij helder drie onderdelen onderscheidt:

1. Principes voor risicomanagement
2. Raamwerk voor risicomanagement
3. Risicomanagementproces

In dit artikel komen vooral de principes en het raamwerk aan bod. Het proces zal alleen op hoofdlijnen beschreven worden, aangezien hier al veel over gepubliceerd is. Bovendien leert de ervaring dat niet zozeer het uitvoeren van een analyse moeilijk is, maar het verankeren van de noodzaak ervan in een organisatie.

Ontsporen Het Ministerie van Verkeer en Waterstaat doet aan risicomanagement. Maar als voor de achtste keer in een paar jaar een trein ontspoort door dezelfde oorzaak, memoreert de Onderzoeksraad voor Veiligheid bij monde van haar voorzitter prof. mr. Pieter van Vollenhoven (hoogleraar risicomanagement aan de Universiteit Twente) dat het tijd wordt voor daadwerkelijk risico‘management’. We kunnen onderzoeken tot we een ons wegen, effectief risicomanagement is gericht op het daadwerkelijk beheersen van risico’s.

Principes van risicomanagement

Principes vormen de uitgangspunten van risicomanagement. Zij zijn noodzakelijk om een cultuur/houding ten aanzien van risicomanagement te bepalen.

De ISO-norm onderscheidt elf principes waaraan risicomanagement zou moeten voldoen om het tot een effectief instrument voor de organisatie te smeden. Kort samengevat zijn deze principes:

• Risicomanagement voegt waarde toe en draagt bij aan de verbetering van de organisatie.
• Het is een integraal onderdeel van de (besluit)vormingsprocessen en vormt daarmee ook een basis voor keuzes.
• Het past bij de context van de organisatie en volgt veranderingen.
• Het is een systematisch proces dat gestructureerd en op gezette tijden plaatsvindt.
• Het is transparant en houdt rekening met menselijke en culturele factoren.

De eerste twee onderdelen zijn van groot belang om risicomanagement te introduceren in de organisatie vanuit de vraag naar toegevoegde waarde. De andere drie elementen komen meer tot hun recht in de operationalisatie van de begrippen raamwerk en proces en zullen daar ook behandeld worden.

Kijkend naar de principes van risicomanagement, kan iedere organisatie voor zichzelf de volgende kernvragen beantwoorden: waarom ze aan risicomanagement wil doen en wat ze ermee wil bereiken. Doen we een beetje risicomanagement voor de Raad van Commissarissen, Raad van toezicht of Gemeenteraad en een beetje voor het management? Of doen we echt aan integraal risicomanagement omdat het voor de organisatie beter is?
Zo hebben banken voor de buitenwereld allemaal een prachtig verhaal over hun risicomanagement, tot en met zeer bureaucratische checklists van Sarbanes Oxley aan toe. Maar is er sprake van integraal risicomanagement? Kennen de verschillende managers elkaars risico’s?

Waarom is het in de praktijk zo moeilijk om aan integraal risicomanagement te doen? De oorzaak lijkt het ontbreken van een duidelijk beeld over de toegevoegde waarde van risicomanagement, zowel op het bestuurlijke niveau als op operationeel niveau. Als de verschillende lagen in een organisatie onvoldoende beseffen waarom aan risicomanagement wordt gedaan en wat dit kan bijdragen aan hun functioneren, zal men ook geen risicobewuste cultuur gaan uitdragen. Bij het implementeren van (integraal) risicomanagement moet men continue de toegevoegde waarde er van voor de verschillende niveaus in de organisatie schetsen. Pas als er een duidelijke relatie zichtbaar is tussen eigen prestaties en risicomanagement, zal de organisatie gaan bewegen. Toegevoegde waarde hangt nauw samen met belangen, afgeleid van taken en verantwoordelijkheden die men heeft in een organisatie.
In figuur 1 hebben wij enkele voorbeelden van belangen en/of taken en verantwoordelijkheden van verschillende niveaus in een organisatie naast elkaar gezet. Hierbij gaan wij er even van uit dat risicomanagement in ieder geval drie gebruiksniveaus heeft: het bestuur als eindverantwoordelijke om de doelstellingen te realiseren, het management om de organisatie zo effectief en efficiënt mogelijk in te zetten en de projectorganisatie om interne en/of externe projecten te realiseren.

Figuur 1. Waarom risicomanagement?

Zoals de figuur duidelijk aangeeft, hebben de verschillende gebruikers van risicomanagement hun eigen taak- en rolopvatting. Belangrijker is dat de figuur duidelijk laat zien dat de toegevoegde waarde van risicomanagement zit in de communicatie over risico’s en kansen en hoe deze het beste kunnen worden beheerst of gerealiseerd.
Doordat men deel uitmaakt van dezelfde organisatie is het cruciaal en daarmee ieders verantwoordelijkheid om te communiceren over mogelijke risico’s om deze in een zo vroeg mogelijk stadium te beheersen. Dat maakt dit onderdeel van de ISO 31000-norm – de principes van risicomanagement – tot het meest belangrijke onderdeel. Het heeft geen nut om risicoprofielen op te stellen als de verschillende gebruikers van elkaar niet weten welke risico’s men loopt.

Een afgeleid voordeel van het onderkennen van verschillende gebruiksniveaus is het inzicht dat zo gecreëerd wordt in de typen risico’s. Binnen taken worden met name operationele risico’s gedefinieerd. Tactische risico’s doen zich daar voor waar werkzaamheden worden overgedragen en verantwoordelijkheden vaak niet meer duidelijk zijn.

Afhankelijk van de omvang en de impact kunnen operationele en tactische risico’s ook strategisch worden. Denk aan het niet snel genoeg kunnen reageren op een kredietcrisis als gevolg van operationele problemen. Verder zijn strategische risico’s vaak afhankelijk van de context van een organisatie en zien wij dat dergelijke risico’s veelal een externe oorzaak hebben.
Kortom: voor implementatie op de verschillende niveaus moet er eerst duidelijkheid zijn over de toegevoegde waarde voor de verschillende gebruikers van risicomanagement in de organisatie. Dan pas kan men verder gaan met het bouwen aan een raamwerk en het inbedden van het risicomanagementproces.

Raamwerk voor risicomanagement

De ISO 31000-norm stelt dat voor een succesvolle implementatie een raamwerk (figuur 2) noodzakelijk is. Het raamwerk is de basis voor het inbedden van risicomanagement in de organisatie, op alle niveaus. Dit raamwerk vormt het beleidskader en daarmee het mandaat voor de aansturing van alle risicomanagementprocessen in de organisatie. Nauwe aansluiting met de bestaande processen is noodzakelijk. Mede hierdoor wordt risicomanagement onderdeel van integraal management en draagt het direct bij aan besluitvorming in de organisatie, zowel strategisch als operationeel.

Figuur 2. Raamwerk voor risicomanagement

Het raamwerk is ontwikkeld om risicomanagement te integreren in bestaande managementsystemen van organisaties. Daarom is het als organisatie noodzakelijk om de onderdelen van het raamwerk aan te passen aan de bestaande procedures en richtlijnen.
Wat zijn de vijf belangrijkste onderdelen van het raamwerk?

Zonder mandaat en draagvlak van de hoogste managementlaag is het onmogelijk om risicomanagement te implementeren. Belangrijk is dat het bestuur:

• het risicomanagementbeleid toelicht en uitdraagt;
• de toegevoegde waarde benadrukt en uitdraagt naar belanghebbenden;
• KRI (Key Risk Indicators) benoemt die in lijn liggen met de andere prestatie- indicatoren;
• de risicomanagementdoelstelling laat aansluiten bij de strategische doelstellingen van de organisatie. Voor gemeenten betekent dit in de praktijk dat zij aansluiting moeten zoeken bij de programmadoelstellingen van de gemeente. Vervolgens kan men bezien wat de programmadoelstellingen betekenen voor de doelstellingen van de afdelingen. Zo volgt de risicomanagementstructuur de rollen en verantwoordelijkheden van de organisatie;
• het management verantwoordelijk maakt;
• ervoor zorgt dat het een continue proces blijft.

Voor het opstellen van het raamwerk voor het managen van risico’s is het zaak een aantal aspecten expliciet te benoemen en mee te nemen in de overwegingen. Dit betreft onder andere een goed begrip van de interne en externe omgeving van de organisatie. Denk daarbij aan bestaande informatiesystemen, p&c-cyclus, waarden en normen en de politieke omgeving, economische ontwikkelingen en trends die gevolgen kunnen hebben voor het presteren van de organisatie.

Vanzelfsprekend dient het risicomanagementbeleid uitgesproken te zijn en duidelijk antwoord te geven op vragen als:

• Hoe sluit risicomanagement aan bij de bestaande processen?
• Wie wordt waarvoor verantwoordelijk?
• Hoe wordt erover gerapporteerd?
• Hoeveel risico wil de organisatie lopen?
• Hoe gaan we om met conflicterende belangen?
• Welke instrumenten gebruiken we?
• Hoe gaan we resultaten meten en wat doen we met de uitkomsten?
• Wat wordt de frequentie van het proces?

Vervolgens moet aandacht besteed worden aan de integratie van risicomanagement in het operationele proces. Risicomanagement kan nooit een doel op zich worden. Het moet om te werken, net als ieder ander proces, een integraal onderdeel vormen met alle andere procedures en processen.
Implementatie werkt alleen als verantwoordelijkheden worden benoemd en belegd. Concreet betekent dit dat risico-eigenaren worden aangewezen die verantwoordelijk zijn voor het beheersen van hun risico’s. Uit de rapportages moet blijken hoe de risico’s zich ontwikkelen in de loop der tijd. Hierover moeten prestatieafspraken gemaakt worden met het management. Op voorhand moet bepaald worden wanneer successen behaald zijn.
Vanzelfsprekend moet er tijd, geld en mensen vrijgemaakt worden om dit proces te begeleiden. Aandacht voor het functieprofiel van de risicomanagementcoördinator is essentieel. De grote valkuil is dat deze coördinator verantwoordelijk wordt gehouden voor de risico’s, terwijl het managen van risico’s juist een managementtaak is.
Tot slot is het belangrijk om te bepalen hoe er over de resultaten gecommuniceerd gaat worden en met wie. Het gaat om gevoelige informatie waarmee zorgvuldig omgegaan moet worden. Men dient ervoor te waken dat risicomanagement als iets negatiefs wordt gezien, waarbij men afgerekend wordt op gemaakte fouten. De essentie is juist om als organisatie te leren en te anticiperen om zo via de minst risicovolle weg de doelstellingen te realiseren.

De derde stap is het daadwerkelijk implementeren van risicomanagement. Dit gebeurt door het volgen van de stappen zoals benoemd in het risicomanagementproces, wat verderop in het artikel aan bod komt.

Het monitoren en analyseren van het raamwerk is noodzakelijk om ervoor te zorgen dat het proces een levendig en effectief geheel blijft. Dit betekent aandacht voor de aansluiting van het raamwerk bij de doelstellingen van de organisatie, de structuur en de interne en externe omgeving. Het is belangrijk om te monitoren of de risicomanagementdoelstellingen zoals verwoord in het beleid ook in de praktijk worden gerealiseerd.

Zo niet dan zal het raamwerk als vijfde stap op onderdelen moeten worden herzien om aansluiting te houden bij de ontwikkelingen in de organisatie. De expliciete aansluiting van de norm bij de doelstellingen van een organisatie maakt dat het monitoren van het raamwerk makkelijker een onderdeel wordt van de jaarlijkse planning- & controlcyclus van een organisatie.

Het risicomanagementproces

Het risicomanagementproces – weergegeven in figuur 3 – omvat de bekende stappen: bepalen van de context, identificatie, analyse, evaluatie en behandeling van risico’s, met daarnaast aandachtvoor consultatie & communicatie (rapportages) en monitoring & beoordelen. Deze aanvullende elementen zorgen voor de link met het raamwerk. Hiermee bevat het risicomanagement alle aspecten en bepalingen die nodig zijn om risico’s op een gedegen en gestructureerde wijze in kaart te brengen.

Het proces start met het benadrukken van een goede communicatie over het risicomanagementproces en consultatie van de juiste belanghebbenden. Dit is noodzakelijk om ervoor te zorgen dat iedereen eenduidig en uniform tegen de risico’s aankijkt. Perceptie is erg subjectief. Het proces dient er juist voor te zorgen dat de risico’s zo objectief mogelijk worden benaderd. Enige mate van subjectiviteit blijft altijd bestaan.

Net als in het raamwerk dient bij aanvang van het proces opnieuw de interne en externe omgeving geanalyseerd te worden. Er wordt naar dezelfde parameters (bestaande informatiesystemen, p&c-cyclus, waarden en normen en de politieke omgeving, economische ontwikkelingen en trends) gekeken, alleen in meer detail. Dit betekent dat de scope helder in kaart moet worden gebracht ten aanzien van de risicomanagementactiviteiten; hoe de analyse wordt uitgevoerd, bepaald wordt, etc. Verder moet vastgesteld worden:

• type gevolgen die gebruikt gaan worden (bijvoorbeeld imago);
• welke kansklassen gelden;
• welke tijdgevolgen gelden;
• risico ‘appetite’;
• hoe omgegaan dient te worden met multidimensionale risico’s.

Het beheersen van risico’s is een afweging tussen de kosten en de effectiviteit van de beheersmaatregel. Staat de beheersmaatregel op zichzelf, of worden hiermee meerdere risico’s beheerst? Dit laatste komt de effectiviteit ten goede. Is de beheersing niet effectief of faalt zij, dan kan risicobeheersing zelf ook een risico vormen. Monitoring dient dan ook een integraal onderdeel te zijn van het beheersplan.
Per beheersmaatregel dient minimaal het volgende te worden vastgelegd:

• verwachte voordeel,
• verantwoordelijke,
• status,
• benodigde resources,
• kosten.

Net als bij het raamwerk is monitoren en analyseren van het proces noodzakelijk om ervoor te zorgen dat het proces efficiënt en effectief verloopt en aansluiting blijft houden bij de organisatie. Zo niet dan zal het proces moeten worden herzien.

Voor- en nadelen ISO 31000

Een belangrijk verschil tussen ISO 31000 en veel andere normen op het gebied van risicomanagement is dat het proces uit de ISO 31000-norm als apart onderdeel wordt gezien. In veel andere normen wordt geen onderscheid gemaakt tussen principes, raamwerk en proces.
Onderscheid is een belangrijk voordeel, omdat dit het eenvoudiger maakt om risicomanagement gefragmenteerd in te voeren. Door het proces eerst in een deel van de organisatie uit te proberen en van de resultaten te leren, doorloopt een organisatie een ontwikkelproces. Dat draagt uiteindelijk bij aan een hogere kwaliteit van de implementatie en een betere verankering van risicomanagement. De mogelijkheid tot het gefragmenteerd invoeren van risicomanagement komt ook de noodzakelijke cultuurverandering ten goede. Een olifant eet men in stukjes: cultuur is daar een goed voorbeeld van.
De nieuwe ISO-norm biedt een generieke methode met de mogelijkheid om diverse risico’s en kansen te onderkennen. De positieve wijze waarop een risico gedefinieerd wordt en gekoppeld wordt aan de doelstellingen van een organisatie zien wij als een belangrijk pluspunt. Hierdoor is er – in tegenstelling tot bij normen als COSO – ook veel aandacht voor externe risico’s en kansen. De koppeling aan doelstellingen is tegelijk de uitdaging. Als de doelstellingen onvoldoende SMART zijn geformuleerd, wordt het heel moeilijk om hier risico’s aan te koppelen. Zeker met de verschillende gebruikers van risicomanagement in het achterhoofd. De praktijk leert dat deze koppeling regelmatig achterwege blijft.

Conclusie

In dit artikel hebben wij expliciet de verschillende gebruikers van risicomanagement ingevoegd. De ISO-norm doet dit zelf door expliciet te zoeken naar de toegevoegde waarde van risicomanagement. Dat gebeurt weliswaar generiek, maar de norm kan dit verhelderen door meer inzicht te bieden in de rollen en verantwoordelijkheden van de verschillende actoren.

ISO 31000 kan bedreigend overkomen door de presentatie als ISO-norm. Daar waar het juist niet de bedoeling is om normerend over te komen, impliceert de naam dit wel.
De belangrijkste vraag blijft echter: biedt deze norm dan wel voldoende handvatten voor een daadwerkelijke verankering van integraal risicomanagement in organisaties? Voor het antwoord kijken we naar een definitie van integraal management volgens Buurma en Jacobs (2007): ‘Integraal management in de publieke sector is inspirerend en resultaatgericht leiderschap met als kenmerken:

• het zodanig motiveren van medewerkers en actoren in de samenleving, dat zij optimaal willen bijdragen aan de resultaten van de organisatie;
• het integreren van het sturen op output, gericht op effecten in de samenleving, met het beheer van productiemiddelen;
• het delegeren van taken, verantwoordelijkheden en bevoegdheden tot zo laag mogelijk in de organisatie;
• het elkaar aanspreken op het nakomen van afspraken in het kader van politieke ambities en de organisatiestrategie’.

Door het onderscheid te maken tussen principes, raamwerk en proces rondom risicomanagement komt de ISO-norm dicht bij deze definitie. De norm onderstreept het belang voor iedere gebruiker en biedt heldere handvatten voor implementatie.

De koppeling aan doelstellingen maakt de norm resultaatgericht. Het zoeken naar toegevoegde waarde voor iedere gebruiker zorgt ervoor dat risicomanagement een gedeelde verantwoordelijkheid wordt en daarmee van belang wordt voor iedere geleding in een organisatie. Het raamwerk waarborgt een systematisch proces dat op gezette tijden plaatsvindt. Dit maakt het mogelijk elkaar aan te spreken op prestaties in het kader van politieke ambities en/of organisatiedoelstellingen.

Concluderend stellen wij dat door het onderscheid tussen principes, raamwerk en proces en een duidelijke koppeling aan doelstellingen voor verschillende gebruikers deze norm daadwerkelijk de handvatten biedt voor een verankering van integraal risicomanagement in organisaties. Hiermee onderscheidt deze norm zich duidelijk van bestaande normen.
Voor verbetering vatbaar is het cultuuraspect. De norm onderkent dat het cultuuraspect belangrijk voor een succesvolle implementatie is, maar dat element kan naar onze mening nog nadrukkelijker. De norm gaat nu met name uit van formeel opgezette rapportagelijnen. Onze ervaring leert dat er ook een communicatielijn gevonden moet worden buiten de reguliere hiërarchische lijnen om. Hiermee stimuleert men een proactieve wijze van risicobeheersing. Immers, risicomanagement gaat niet over het voorspellen van de toekomst, maar over beheersing van risico’s door te kijken naar de toekomst (Halman, 2008).

Drs. E.R. van Marle en drs. G.A.M. Haisma zijn werkzaam bij het Nederlands Adviesbureau voor Risicomanagement (www.risicomanagement.nl) en zijn tevens verbonden als docenten aan de Master opleiding risicomanagement van de Universiteit Twente.