ISO 31000: risico als opportuniteit

december 2010

De ISO 31000 is eind 2009 gepubliceerd als een familie van richtlijnen die te maken hebben met Risk Management. Doel is om algemene principes en richtlijnen met betrekking tot risicomanagement op te stellen, die dan universeel erkend en aanvaard worden door organisaties en bedrijven. Er bestonden immers vele kleinere normen en richtlijnen, vaak beperkt gebruikt in één regio of industrietak.

De ISO 31000 familie bestaat uit:

  • ISO 31000: Principles and Guidelines on Implementation
  • ISO/IEC 31010: Risk Management - Risk Assessment Techniques
  • ISO/IEC 73: Risk Management – Vocabulary

Doel en scope

Het doel van ISO 31000:2009 is om toepasbaar en aanpasbaar te zijn voor “ elke publieke, private of coöperatieve onderneming, vereniging, groepering of individu”. De richtlijn is dus niet ontworpen voor een bepaalde industrie, voor een bepaald managementmodel, maar moet eerder worden gezien als een geheel van best practices om de processen die verband houden met risk management te structureren.
Tweede doelstelling is om een kader te scheppen waar bestaande managementsystemen probleemloos kunnen ingepast worden. Immers, bijna alle van de meest bekende certificeerbare normen gaan in essentie over het managen van risico's. Denken we maar aan:

  • ISO 9001: beheersen van processen en risico's verbonden met kwaliteit van producten of diensten, klantentevredenheid, klachten, etc. Dit geldt ook voor sectorspecifieke normen die van ISO 9001 zijn afgeleid.
  • ISO 22000 of BRC en aanverwanten: idem als ISO 9001, maar bijkomend voedselveiligheid en volksgezondheid als belangrijke risicovelden.
  • ISO 14001: milieurisico's en -aansprakelijkheid, volksgezondheid.
  • OHSAS 18001: beheersen en verbeteren van de processen mbt welzijn op het werk
  • Investors in People (IiP): zelfs deze norm met betrekking tot personeels- en ontwikkelingsbeleid is er uiteindelijk op gericht om het risico te vermijden dat mensen minder presteren omdat ze zich onvoldoende gemotiveerd, opgeleid of gewaardeerd voelen. Verder dekt deze norm ook het retentierisico af en het risico van het niet vinden van de juiste werknemers. Al deze ingeburgderde systemen zijn perfect compatibel met ISO 31000, dat een gemeenschappelijk framework creëert. Dit framework laat toe om alle taken – of die nu strategisch zijn of operationeel – te aligneren op eenzelfde set van risicodoelstellingen en –principes, doorheen alle projecten, functies en processen in een organisatie.

Duaal karakter

ISO31000 definieert een risico als “het effect van onzekerheid op doelstellingen”. Dit is een neutrale definitie, die zowel een positief als negatief effect kan inhouden van de onzekerheid, en reflecteert een basiselement van wat ondernemerschap inhoudt: het nemen van een risico met de bedoeling dat de opbrengst groter is dan wat je investeert. Risicomanagement laat toe een goed zicht te krijgen op risico's van diverse aard en van daaruit passende maatregelen te treffen, enerzijds om schadelijke gevolgen tegen te gaan, maar evengoed om kansen die mogelijks optreden optimaal te grijpen. Dit duale karakter van risico als begrip is een belangrijke verdienste van ISO 31000.
Verder is de korte definitie ook heel breed te interpreteren, want ze verwijst naar doelstellingen in het algemeen. Dit kunnen financiële doelstellingen zijn, maar ook milieu- en veiligheidsdoelstellingen, of doelstellingen met betrekking tot HR. Het kan slaan op een volledige organisatie, maar ook op een project of een individueel proces.

Link met strategie

Risicomanagement mag niet gezien worden als een aparte discipline binnen het bedrijf. Het moet ingebed zitten in de managementcyclus van een organisatie en uiteindelijk heeft het ook alles te maken met de strategie van de organisatie.
Dat is ook de reden dat men in de richtlijn de term ‘managementsysteem' niet gebruikt. Ervaring leert dat systemen zoals ISO9001, ISO14001, ISO 22000 en OHSAS 18001 al te vaak geïmplementeerd worden als specifieke managementsystemen in een soort afzonderlijke silo, terwijl de organisatie eigenlijk draait op een ander, ‘echt' managementsysteem. Bij Amelior werken we op een andere manier bij onze klanten om de managementsytemen die worden geïmplementeerd ook daadwerkelijk te integreren in de werking van de organisatie, en ook met elkaar. Medewerkers moeten hun taak kunnen uitvoeren, zonder dat ze zich moeten vragen stellen over voor welk managementsysteem ze die taak nu eigenlijk uitvoeren. Doordat ze hun werk doen op een goede manier, voldoen ze ‘vanzelf' aan de eisen van de diverse normen waar het bedrijf zich naar richt.
Verder dient risico volgens ISO 31000 ook te worden meegenomen bij het nemen van beslissingen, zeker bij die van strategische aard. Vaak onbreekt het aan deze dimensie, merken we. Of blijft het denken aan risico's net beperkt tot het strategische niveau en is er geen beleid dat duidelijk maakt bij welke soort beslissingen er met risico rekening moet worden gehouden.
Daarom staat er in ISO 31000 een Risk Management Framework, dat duidelijk maakt hoe risk management verankerd moet zijn in een breder managementproces en moet aangestuurd worden vanuit de visie en missie van de organisatie. Bij ontbreken van dit framework was er meer kans dat organisaties die met ISO 31000 aan de slag zouden gaan, zich zouden beperken tot het pure risk managementproces, en het inderdaad als iets aparts zouden zien in hun structuur.
Het zal niemand verbazen dat dit Risk Management Framework sterk doet denken aan de goeie oude PDCA (Plan-Do-Check-Act) die ook in ISO 9001 centraal staat. Daarmee zeggen we niet dat ISO 31000 oude wijn in nieuwe zakken is, integendeel. Maar het geeft aan dat de basissystematiek die al een halve eeuw zijn deugdelijkheid heeft bewezen nog steeds springlevend is. De figuur geeft dit duidelijk aan.

Opportuniteiten voor kwaliteit, veiligheid en milieu

Een belangrijke meerwaarde van ISO 31000 ligt erin dat het een mooi kader biedt voor integratie van andere managementsystemen voor kwaliteit, veiligheid en milieu. En dat op een manier die elk van de systemen dwingt zich te richten naar hogerliggende doelstellingen en risico's, in lijn met de strategie van de organisatie. Dit zal het management van bedrijven zeker aanspreken.
ISO 31000 biedt echter ook belangrijke opportuniteiten voor managers van Kwaliteit, Veiligheid of Milieu. Het laat hen immers toe zich meer te aligneren met de strategie en dus doelmatiger te zijn in hun vakgebied. Daarnaast biedt het ook de mogelijkheid om risico's die verband houden met kwaliteit, veiligheid of milieu op de directietafel te krijgen en zelf ook impact te hebben op dat niveau.
De nieuwe richtlijn biedt met andere woorden voordelen voor veel partijen in een organisatie. We verwachten dan ook dat deze norm op termijn een belangrijk ijkpunt zal worden voor veel bedrijven en instellingen. Zeker organisaties die altijd al een heel brede kijk gehad hebben op Total Quality Management zullen zich thuis voelen in ISO 31000. Daar ligt ook de interesse van Amelior in deze nieuwe richtlijn. U mag van ons dan ook verdere initiatieven verwachten op het vlak van ISO 31000.

Word zelf ‘Expert in Risk Management'

Reeds meer dan tien jaar organiseert Amelior als enige een langlopende opleiding tot ‘Expert in Risk Management'. Hierin wordt u de brede visie op risk management zoals voorzien in ISO 31000 bijgebracht.
Deze opleiding wordt zeer sterk geapprecieerd door de deelnemers. Eén van hen was Jo Maes, CFO en Risk Manager van Asco Industries. Dit is zijn getuigenis: “De door Amelior aangeboden opleiding heeft als verdienste terug te gaan naar de beginselen van risicobeheer, haar organisatie en de buy-in van het senior management. Zonder een goed geoliede organisatie zal risk management een ‘one man show' zijn en zonder de steun van de top van de onderneming wordt risk management dode letter. De beginselen van risk management en het verder uitdiepen van de verschillende soorten risico's werpen een verruimende blik op deze complexe materie die nooit af is en af kàn zijn. Een constante bijsturing is meer dan noodzakelijk.
Voor alle professionals die in hun loopbaan al met risk management in aanraking zijn geweest is de opleiding een kans om up to date te blijven, voor al degenen die van risk management in de onderneming een aandachtspunt wensen te maken is deze opleiding een absoluut niet te missen basis om verder op te bouwen.”
Meer info over deze en aanverwante opleidingen vind je onder de rubriek opleidingen.