De NEN-ISO 31000 richtlijnen beter naleven? Dat doe je zo.

Bij ondernemen hoort het accepteren van onzekerheid. Organisaties hebben continu te maken met nieuwe economische ontwikkelingen, strengere milieueisen, beschikbaarheid van goederen of materialen, personeelstekorten, enzovoorts. Hoe beter een bedrijf omgaat met deze onzekerheden, hoe groter de kans op succes in de toekomst. Met andere woorden; wie risico’s correct beheerst, presteert het best.

Wil je het als bedrijf echt goed doen? Dan beheers je risico’s niet alleen, maar zet je ze ook om in kansen.

Onzekere factoren in het dagelijkse bedrijfsleven kunnen een negatieve invloed hebben op bedrijfsdoelstellingen. Maar dit is zeker niet altijd het geval. Wanneer ook de risico’s gevonden worden die een positieve invloed kunnen hebben, kan men risico’s om gaan zetten in kansen. Hiermee onderscheiden organisaties zich van anderen, en stellen zij resultaten en reputatie van de organisatie veilig voor de toekomst.

Hoe kunnen organisaties dit goed aanpakken? Bijvoorbeeld door de richtlijnen te volgen van de internationale ISO 31000 norm.

Wat is ISO 31000 nu eigenlijk?

Met de internationale ISO 31000 norm leiden organisaties risicomanagement in goede banen. Het is de enige internationaal erkende ISO standaard binnen risicomanagement, en het definieert risico’s welke effect kunnen hebben op economische resultaten, reputatie, sociale omgeving en veiligheid binnen bedrijven. Het voldoen aan deze norm draagt effectief en positief bij aan prestaties van organisaties binnen onzekere omgevingen.

ISO 31000 is een alternatief voor bijvoorbeeld de managementmodellen COSO-model en RISMAN. Het levert organisaties een raamwerk met een set aan principes en processen waarmee zij, ongeacht sector, grootte of bedrijfsactiviteit, risico’s kunnen managen. Je kunt deze norm toepassen op een divers, groot aantal activiteiten binnen organisaties, zoals bijvoorbeeld projectmanagement, productmanagement of assetmanagement.

Wat is het verschil tussen ISO 31000, COSO en RISMAN?

Als ISO 31000 een alternatief is voor het COSO-model en RISMAN, wat zijn dan de verschillen tussen deze modellen? Gebruik hiervoor deze tabel:

Geen eisen maar richtlijnen

Waar andere management normen vaak bestaan uit een set van eisen, bestaat ISO 31000 uit een set van generieke richtlijnen. Het gevolg hiervan is dat er geen certificatie bestaat voor hele organisaties. Wel kunnen professionals een persoonlijk certificaat behalen. Men krijgt dan een objectief, schriftelijk bewijs dat men kan werken met de methodologieën, richtlijnen en de aanpak die passen bij deze norm.

De eerste versie van ISO 31000 komt uit 2007 en in 2009 is het officieel in werking getreden. De laatste versie is herzien in 2018, wat heeft geleid tot de vernieuwde standaard ISO 31000:2018. Sinds medio 2019 is deze vernieuwde richtlijn actief.

Binnen de vernieuwde ISO 31000:2018 richtlijnen is de beschrijving van het risicomanagementproces in relatie tot het raamwerk verbeterd. Er wordt nu duidelijker beschreven welke zaken meegenomen moeten worden binnen de scope van verschillende processen:

• De scope op organisatieniveau is anders dan bij specifieke processen;
• Terwijl op hoger niveau onder andere rekening gehouden wordt met specifieke omstandigheden, stakeholders, wetgeving en subdoelen, moeten op dieper niveau de details ingevuld worden;
• Ook het evalueren van risico’s wordt voorzien van een kader;
• Daarnaast is er extra aandacht voor rapportage over risicomanagement, bijvoorbeeld naar stakeholders toe.

Wat zijn de 8 principes van ISO 31000:2018?

Toen in 2018 gestart werd met de update van de oude ISO 31000 richtlijnen, is er veel gestroomlijnd. Richtlijnen die niet meer écht noodzakelijk waren voor correcte uitvoer, zijn opgeschoond of verplaatst.

Voor deze stroomlijning bestond ISO 31000 uit 11 principes. Bij herformulatie sneuvelden 5 principes, waarna er 8 overbleven:

• Geïntegreerd: risicomanagement in de volledige bedrijfswerking en in alle activiteiten; 
• Gestructureerd en veelomvattend: de aanpak moet goed gestructureerd en veelomvattend zijn; 
• Gepersonaliseerd: het kader voor risicomanagement moet aangepast zijn aan de context en doelstellingen binnen de organisatie;  
• Inclusief: alle relevante stakeholders worden bij risicomanagement betrokken; 
• Dynamisch: proactief handelen, anticiperen op risico en veranderingen goed en correct aanpakken zijn cruciaal; 
• Best beschikbare informatie: met alle beperkingen van beschikbare informatie wordt rekening gehouden; 
• Menselijke en culturele factoren: dit is essentieel en komt in elke fase aan bod. 
• Continu verbeteren: dankzij ervaringen en opgedane kennis worden organisaties continu sterker in risicomanagement. 

Waarom kiezen bedrijven voor ISO 31000?

Goed risicomanagement volgens de ISO 31000 norm kent een aantal voordelen:

Focus op doelstellingen

Wanneer bedrijven gebruik kunnen maken van best practices rondom risk assessment, wordt de kans om doelstellingen te behalen vergroot;

Kostenbesparing

Wanneer je helder, correct inzicht hebt op risico’s kun je beter gerichte beslissingen maken voor verbetertrajecten;

Risicobewuste cultuur

Als een organisatie een risicobewuste cultuur kent, worden weloverwogen beslissingen genomen op elk niveau. Bijvoorbeeld bij het toewijzen van middelen.

Lees ook het artikel “Risicobewustzijn vergroten: klein beginnen en snel groeien” »

Verbeterde reputatie

Wanneer een organisatie ISO 31000 toepast, laat het aan de buitenwereld zien dat het bewust omgaat met risico’s. Het geeft het signaal af dat men niet alleen risico’s identificeert, maar ook analyseert en beheerst. Het laat zien dat er continu gewerkt wordt aan verbetering van kwaliteit.

Risico omzetten in kansen

De herziene ISO 31000 norm benadrukt dat risico’s niet perse gezien moeten worden als negatief. Risico’s kun je ook omzetten in kansen, waarmee het een positieve invloed kan hebben op het behalen van doelstellingen.

Prima schaalbaarheid

Deze norm is geschikt voor allerlei soorten organisaties; ongeacht grootte, sector of bedrijfsactiviteit. Groeit de organisatie? Dan hoeft er geen nieuw proces voor risicoanalyse of beheersing geïntroduceerd te worden, want ook hiervoor biedt de ISO 31000 handvatten.

Sluit goed aan op andere normen

Denk hierbij bijvoorbeeld aan normen als ISO 9001 voor kwaliteitsmanagement en ISO/IEC 27001 voor informatiemanagement.

Op welke manier zetten bedrijven ISO 31000 in?

Het kan een paraplu en integratiekader zijn voor afzonderlijke managementsystemen voor specifieke risico’s zoals kwaliteits-, milieu- en arbomanagement;

Het kan de brug vormen tussen management van financiële en fysieke risico’s. De eerste categorie is vaak het domein van controllers en interne auditors, terwijl het tweede vaak valt binnen het domein van de KAM-manager. Door deze aan elkaar te linken worden risico’s duidelijker organisatiebreed in beeld gebracht;

Het kan een handvat zijn voor organisaties die aan het begin staan voor het invoeren van een organisatiebreed risk management beleid;

Organisaties die al goed op weg zijn met risicomanagement kunnen het gebruiken als spiegel. Men gebruik het dan om te onderzoeken wat nog meer te leren of verbeteren valt op basis van ISO 31000.

Drinkwaterbedrijf Oasen voorziet 778.000 mensen in een deel van Zuid-Holland en Utrecht elke dag van lekker en betrouwbaar drinkwater. 

Ontdek waarom zij Zenya RISK gebruiken en welke voordelen dit hen oplevert.

Lees referentiecase “Meer inzicht, overzicht en gebruiksgemak voor Oasen met Zenya” »

Op welke manier ondersteunt Zenya bij het naleven van de ISO 31000 richtlijnen?

Als je richtlijnen beter wilt naleven, dan is het belangrijk dat risicomanagement niet alleen leeft bij het management of het hoger management. De hele organisatie wordt betrokken voor een zo ruim en helder mogelijk overzicht en alle medewerkers kunnen een steentje bijdragen.

Zoals eerder gezegd gaat het er in de kern namelijk om dat je risico’s niet alleen identificeert en evalueert, maar ook dat je er actief iets mee doet. Dit kan bijvoorbeeld met beheersingsstrategieën, waarbinnen je een set aan maatregelen uitvoert. Een strategie wordt door het management bepaald, en de mensen op de werkvloer zorgen ervoor dat deze strategie ook vertaald wordt naar de werkelijkheid.

Hoe simpel het ook klinkt; goed risicomanagement valt of staat dus met de mate van eigenaarschap welke leeft in de hele organisatie. Een echte kwestie van alle neuzen dezelfde kant op en samen werken aan constante verbetering.

Dankzij de gebruiksvriendelijke, heldere interface van de Zenya software is dit ook gewoon mogelijk. Zelfs mensen zonder veel technische kennis of aanleg kunnen werken met Zenya en dat maakt het nemen van eigenaarschap voor iedereen mogelijk.

Meer weten over hoe eigenaarschap succesvol bijdraagt aan kwaliteit binnen organisaties? Bekijk het Webinar “De succesfactor voor Kwaliteit: Eigenaarschap!”.

ISO 31000 richtlijnen volgen met risicomanagement software

Ben jij met jouw organisatie op zoek naar software waarmee je beter kunt voldoen aan de richtlijnen van ISO 31000? Zenya kun je bijvoorbeeld op de volgende manieren inzetten:

• Voer een audit uit waarmee je de huidige stand van zaken controleert. Met Zenya CHECK weet je precies op welke manier jouw organisatie nog meer kan leren of verbeteren.
• Komen uit audits verbeteracties? Met een zelfgemaakte custom workflow in Zenya FLOW zet je deze uit, en informeer je de juiste mensen op het juiste moment. Zo weet iedereen precies wat en wanneer er iets verwacht wordt.
• Stel notificaties in waarmee medewerkers op het juiste moment een reminder krijgen. Zo maak je het jezelf gemakkelijker omdat je niet meer achter mensen aan hoeft te lopen.
• Is het onduidelijk welke protocollen en werkinstructies bij een bepaalde workflow horen? Sla het op in Zenya DOC zodat medewerkers zelf gemakkelijk en efficiënt informatie kunnen opzoeken.
• Wil je uiteindelijk zien welke verbeteracties allemaal uitgevoerd zijn, en welke invloed het heeft gehad op de risico’s? Maak gebruik van de heldere rapportages en real-time dashboards binnen Zenya RISK.