Veiligheid

Meer aandacht voor terrorismerisico’s en cybersecurity in herziene norm ISO 31001 risicomanagement

Eén van de voor de preventieadviseur meest interessante normen is de norm ISO 31000 over risicomanagement. Deze norm ISO 31000 uit 2009 is recent herzien en werd op 15 februari 2018 gepubliceerd.

Geen certificatie

ISO 31000:2018 geeft richtlijnen, geen vereisten en daarom is hij niet bedoeld voor certificatiedoeleinden.

Terrorismerisico’s en cybersecurity

De reden van de herziening is dat het risicomanagement de laatste jaren erg is veranderd. Denk maar aan terrorismerisico’s of risico’s op cybersécurity. Deze risico’s waren in 2009 niet of minder van toepassing. Ook de inpassing van het risicomanagement in de governance, waarbij de raad van bestuur van elke organisatie rekening moet houden met risico’s, maakten een aanpassing van de oude norm nodig. Bedrijven hebben meer nog dan vroeger nood aan een manier hoe ze de risico’s moeten aanpakken. Daarom was er ook de noodzaak om ISO 31000, Risk Management – Guidelines te herzien. 

Risicochecklist

De risico’s waar organisaties mee te maken krijgen zijn, dan ook zeer divers (zie tabel hieronder en in bijlage).

Risico’s in managementsysteemnormen

Managementsysteemnormen zoals ISO 9001:2015 over kwaliteitsmanagement, ISO 14001:2015 over milieumanagement besteden expliciet aandacht aan risico’s en kansen (zie tabel).  Deze risico’s en kansen moeten op zowel strategisch niveau, als op tactisch en operationeel niveau worden beheerst. Zo vormen de interne en externe aspecten risico’s en kansen waaraan de organisatie aandacht aan moet besteden (= strategische niveau). 

Ook inzicht in de noden en verwachtingen van de belanghebbenden, geeft inzicht in risicoaspecten en acceptabele risiconiveaus. Meer operationele risico’s zijn risico’s op brand of diefstal.  Op tactisch niveau zijn er risico’s op gebied van IT, die de bedrijfscontinuïteit in het gedrang kunnen brengen. 

Het toepassingsgebied van het managementsysteem dient daarbij aan te sluiten bij de te beheersen risico’s.  Paragraaf 6.1 gaat uit van de risico’s en kansen van de organisatie: deze moeten worden geanalyseerd en behandeld.  Volgens paragraaf 8.1 moeten risicobeheersmaatregelen worden getroffen waarvan de effectiviteit volgens paragraaf 9.1 moeten worden gemonitord en geëvalueerd. 
 
Nieuw in ISO 31001:2018

De nieuwe versie van ISO 31000 is gepubliceerd op 15 februari 2018.  ISO 31000: 2018 biedt duidelijkere, kortere en beknoptere richtlijnen voor organisaties. ISO 31000 geeft risicomanagementprincipes die kunnen worden gebruikt ter verbetering van het risicomanagement in de organisatie. De belangrijkste wijzigingen zijn:

  • een eenvoudiger taalgebruik maakt de standaard toegankelijker voor alle belanghebbenden;
  • meer aandacht wordt besteed aan waardecreatie en beschermen van waarde als belangrijke drijfveer voor risicomanagement;
  • toevoeging van nieuwe principes, zoals continue verbetering, het betrekken van belanghebbenden, aangepast zijn aan de organisatie en rekening houden met menselijke en culturele factoren;
  • een grotere focus op leiderschap van het management: het management moet ervoor zorgen dat het risicomanagement wordt geïntegreerd in alle organisatorische activiteiten.  Risicomanagers in de marge van organisatie is dus niet de juiste aanpak.  Integendeel zal meer de nadruk liggen op risicomanagement als een integraal onderdeel van de bedrijfsvoering;
  • een grotere nadruk op het dynamisch karakter van risicomanagement;
  • een stroomlijning van de inhoud van de richtlijn met meer focus op het ondersteunen van een systeemmodel met feedbackmechanismen.  De relatie met de externe omgeving komt meer aan bod samen met de noden en verachtingen van de belanghebbenden.
  • herziening van de principes van risicobeheer: de oude norm ISO 31000:2009 ging uit van 11 principes van goed risicomanagement, in de nieuwe norm is er ook sprake van risicoprincipes.  Het aantal risicoprincipes is verminderd naar 9;

1. Waardecreatie en waardebescherming: risicomanagement dient waarde te verhogen en te beschermen;
2. Integratie: risicomanagement dient geïntegreerd te zijn in alle processen van de organisatie;
3. Structureel: risicomanagement vraagt een structurele aanpak;
4. Aangepast: risicomanagement dient aangepast te zijn aan de situatie.  Vergelijk het een beetje met situationeel leiderschap;
5. Inclusief: risicomanagement is inclusief;
6. Dynamisch en responsief (reactief op de situatie): risicomanagement dient permanent te worden aangepast en er dient te worden gereageerd op interne en externe veranderingen;
7. Best beschikbare informatie: dit is een nieuw principe gelijkaardig aan best beschikbare technieken BBT, spreekt ISO 31001 over best beschikbare informatie;
8. Menselijke en culturele factoren: menselijke en culturele factoren zijn belangrijk bij het risicomanagement;
9. Continue verbetering: eigen aan elke managementsysteem, staat continu verbeteren centraal.




Definitie "risico"

Risico wordt nu gedefinieerd als het "effect van onzekerheid op doelstellingen", dat zich richt op het effect van onvolledige kennis van gebeurtenissen of omstandigheden op de besluitvorming van een organisatie. Dit vereist een verandering in de traditionele kennis van risico's, waardoor organisaties risicobeheer moeten afstemmen op hun behoeften en doelstellingen.

ISO 31000 biedt een raamwerk voor risicobeheer dat alle activiteiten ondersteunt, zoals strategie en planning, veerkracht van organisaties, IT, corporate governance, HR, compliance, kwaliteit, gezondheid en veiligheid, bedrijfscontinuïteit, crisisbeheer en beveiliging. 

Gepubliceerd op 23-02-2018

Jan Dillen
Auditor @ Vincotte / VCA-coördinator
  369