ISO 31000: Kansen en bedreigingen voor publieke organisaties zijn te managen

By: Ed Mallens, bestuurslid PRIMO Nederland, Secretary General PRIMO Europe

Risicomanagement heeft nu een referentiekader wat bruikbaar is voor met name publieke overheden. In een bondig maar duidelijk beschreven document, NEN-ISO 31000 Risicomanagement – Principes en Richtlijnen-, staan principes en richtlijnen die goed bruikbaar zijn om risico’s adequaat te kennen, te analyseren en op te volgen. Er wordt middels een algemene beschrijving duidelijk gemaakt hoe dat risicomanagement kan worden verankerd in de organisatie. Daarbij wordt aangegeven welke uitgangspunten een organisatie helpen succesvol te zijn en blijven als risicomanagement wordt ingezet. NEN-ISO 31000 Risicomanagement – Principes en Richtlijnen-, is voor medewerkers, managers en bestuurders in publieke organisaties een erg praktisch en goed leesbaar denkraam.

Inleiding
De referentie voor risicomanagement in de publieke sector heeft een ankerpunt gevonden in het NEN/ISO document. Eind 2009 is het document beschikbaar gekomen voor een groot publiek en bruikbaar in alle soorten organisaties, dus juist ook voor de lokale, regionale publieke bedrijven.

Bespreking
Er is nu een mondiaal generiek referentiekader beschikbaar waarin duidelijk de nieuwste inzichten en definities van de begrippen worden behandeld en toegelicht. Het document beschrijft in drie kernhoofdstukken het proces van risicomanagement, het frame en de principes welke risicomanagement succesvol maken bij de realisatie van doelen.

Definities
Veelvuldig werd tot voor kort gesproken en gediscussieerd over “risico” zonder dat precies duidelijk was wat dat nu voor dingen zijn. “Risico” wordt en werd in vele soorten betekenissen en toepassingen gebruikt zonder het specifiek te benoemen. Dit leidt heel vaak tot spraakverwarring.
Daarom zijn de definities erg belangrijk om de begrippen uniform te beschrijven en daarmee voor iedereen duidelijk te maken wat de essentie is van het begrip. Het is goed om te weten dat “risico” een uitwerking kan hebben in zowel positieve effecten als de meer bekende negatieve effecten, in het algemene spraakgebruik van mensen. Risico is voor een initiatief juist nodig; risico is voor een beheerklus soms vervelend. Risico’s zijn er altijd en overal; of om het plastisch uit te drukken “No Risk – No Fun”.

ISO ‘risico’-definite: Risico is het effect van een gebeurtenis op de onzekerheid dat het doel wordt bereikt.

De onderstreepte woorden licht ik onderstaand toe:
• Een gebeurtenis = een nieuw feit wat plaats vindt. Dit is als zodanig neutraal. Het krijgt een positief of negatief beeld afhankelijk van de perceptie van de waarnemer. Afhankelijk dus van de organisatie die het te weten komt en er mee van doen heeft.
• Het doel = een van te voren, bij voorkeur zo nauwkeurig mogelijk, beschreven resultaat/prestatie.
• Bereiken = duidelijk is wanneer hetgeen wat voor ogen stond er daadwerkelijk is. Dit is zo nauwkeurig mogelijk bekend en beschreven. Denk daarbij aan producten/ dienstspecificaties, kpi’s , etc.
• Het effect = dit kan zowel een positieve als een negatieve afwijking zijn van datgene wat de persoon, de organisatie verwacht of gewend is om waar te nemen.
• De onzekerheid = de mate waarin het NIET volledig bekend, duidelijk, zichtbaar, zeker is.
• Het risico wordt door mensen veelal beschreven als mogelijke gebeurtenissen en gevolgen of als een combinatie daar van. Daarbij wordt soms aangegeven hoe waarschijnlijk het kan zijn dat deze gebeurtenis zich voordoet. Hierdoor wordt een tijdskader gekoppeld aan het risico.

Proces
Het risicomanagementproces, vraagt in dit document extra aandacht voor de context. Deze context is van belang om de beoordeling en de behandeling van het risico effectief te laten zijn. Het inzicht in de eigen structuur, cultuur en de inrichting van de organisatie helpen bij het uitvoeren van de activiteiten die nodig zijn om het risico adequaat aan te pakken. Voordurend is de afstemming met de eigen organisatie en de externe belanghebbenden van grote waarde; dit wordt gevat in de termen “communicatie en overleg”. Het proces is daardoor een transparante activiteit.
De voortgang van het proces, en het meten van de prestatie van het proces, worden benoemd met de termen “monitoring” en “beoordeling”. Hierdoor is duidelijk welke waarde het proces heeft en toevoegt en is het inzichtelijk wat er gebeurt( is) in het risicomanagementproces.

Frame
Risicomanagement is onlosmakelijk verbonden met alle processen en activiteiten in een (publieke) organisatie. Om duidelijk te maken hoe dat kan, wordt een organisatiebreed raamwerk beschreven. Risico’s doen zich immers voor in alle uithoeken en niveaus van de organisatie. Door het raamwerk kan de risicomanagementfunctie van de organisatie worden beschreven. Daarbij kunnen expliciet de taken, verantwoordelijkheden en bevoegdheden van de mensen die zich met risicomanagement bezig houden worden getoond. De bestuurders, directies maken daarmee duidelijk welke rol risicomanagement heeft te vervullen.
Het mandaat dat wordt verstrekt leidt tot een cyclisch doorlopen van de stappen van het Frame. Daardoor is tevens de ontwikkeling en verbetering van het Frame inbegrepen. Het frame heeft een logisch verband met het risicomanagementproces. Het proces kan meervoudig op meerdere plaatsen verschillend worden ingericht. Dit verschil kan ontstaan door het uit voeren project, de locatie, de betrokken mensen of het speciale karakter van het vakgebied.

Principes
Ze vormen het algemene denkkader waar binnen risicomanagement wordt ingericht, en betekenis heeft voor de organisatie. De 11 principes zijn onderwerp van toetsing door auditors en de verantwoording van de bestuurders naar de belanghebbenden. De organisatie moet, vooral naar zich zelf toe, duidelijk kunnen maken wat de ontwikkelingen zijn op deze 11 punten in de loop der tijd.

De principes zijn input voor het Frame en het Proces. Ze zijn een soort “geweten” op de inrichting van risicomanagement in de organisatie en laten zien welke ontwikkeling op het gebied van risicomanagement plaats vindt.

Conclusies
– Risicomanagement is volwassen geworden door de beschikbaarheid van een internationaal referentiekader.
– De afstemming op het gebied van risicomanagement is goed mogelijk en makkelijk als gebruik wordt gemaakt van dit document.
– Verschillende soorten organisaties kunnen nu dezelfde ontwikkelstappen op het vakgebied makkelijker maken.
– De transparantie neemt toe als dit document wordt gebruikt als leidraad.
– Het document is praktisch en bruikbaar in alle lagen van de organisatie.

Onze visie
PRIMO Nederland gebruikt deze visie om de kennis en het gebruik van risicomanagement bij de achterban sterk te ontwikkelen. Lokale en regionale publieke overheden, waterschappen en NGO’s worden daardoor robuuster en minder gevoelig voor onverwachte gebeurtenissen. Ze kunnen proactief hun bedreigingen alloceren en de kansen laten uitpakken in hun voordeel. PRIMO Nederland werkt aan presentaties over het onderwerp. Daarbij worden praktische gidsen ontwikkeld met aanwijzingen over het op maat inrichten van de risicomanagementfunctie en het uitvoeren van het risicomanagementproces.
Bestuurders en directies worden voorzien met een Masterclass van maximaal 2 x 2 dagdelen waarin de kern van risicomanagement wordt onderricht. Na 3 maanden vindt een evaluatie plaats op de ontwikkeling. 1 jaar na de Masterclass wordt de ontwikkeling geaudit en teruggekoppeld met de deelnemers.

Specifieke informatie is beschikbaar bij PRIMO Nederland, info@primonederland.eu. Op de website, ww-solutions.org/primonederland.eu, wordt vanaf september 2010 aanvullende informatie beschikbaar gesteld over de toepassing van, de implementatie van en de ontwikkelmogelijkheden met het referentiekader. Daar wordt tevens informatie gegevens over de voorlichtingsbijeenkomsten van PRIMO Nederland die worden gegeven voor NEN – ISO 31000; Risicomanagement – Principes en richtlijnen.