Wat past het beste bij jou organisatie?
Risicomanagement
“Wat is risicomanagement?” Het is vaak de eerste vraag die organisaties hebben die met risicomanagement willen beginnen of die hun risicomanagement verder willen ontwikkelen. Bij het beantwoorden van deze vraag zoeken veel mensen naar voorbeelden, modellen en best practices voor een duidelijk en volledig beeld.
In dit artikel nemen we je mee door de keuzes die je moet maken voor een goed risicomanagementbeleid. Daarnaast delen wij nogmaals een overzicht van de belangrijkste risicomanagement-modellen documenten, frameworks en codes die onmisbaar zijn wanneer jouw organisatie zich hier verder in wil verdiepen.
Kies één van de basis risicomanagement-modellen
De meest bekende risicomanagement frameworks zijn COSO en ISO31000. Deze modellen zijn vaak de basis voor beleidsdocumenten of handboeken risicomanagement. De reden hiervoor is dat ze drie onderdelen goed omschrijven;
- Wat zijn de doelstellingen en kernwaarden van risicomanagement?
- Hoe organiseer je risicomanagement? Positionering, mandaat, budget.
- Stappen van een risicoanalyse? Van identificatie tot monitoring.
Het voordeel van ISO31000 is dat deze kort en bondig is omschreven. Bovendien in het Nederlands en dat is de reden dat de publieke sector veel voor dit raamwerk kiest. Een andere reden is dat er veel relaties met vele andere normen van ISO liggen. Denk hierbij aan de ISO27001 (informatiebeveiliging) en ISO9001 (kwaliteitsmanagement).
COSO wordt veel vanuit de auditor/accountant geopperd als risicomanagement model. De oude kubus is inmiddels vervangen door een DNA streng en er is meer aandacht voor governance en cultuur.
Minder bekend is Management of Risk (M_o_R). Het grote voordeel van dit model is de vele checklists, maar ook de verdieping welke documenten er noodzakelijk zijn, van risicoregister tot risico-implementatiestategie.
Vul aan met risicomanagement-modellen, codes en wetten
Naast de basis risicomanagement modellen zijn er ook aanvullende modellen. Belangrijk hierbij is het gedachtengoed van Kaplan met zijn onderscheid tussen strategische, externe en te voorkomen risico’s. Dit model wordt vaak toegevoegd aan het risicomanagementbeleid.
Ook het Three Lines Model wordt vaak gebruikt als structuur rondom de organisatie van risicomanagement. Rondom projecten wordt nog steeds vaak het model van RISMAN toegepast.
Governance codes worden steeds concreter ten aanzien van risicomanagement. Deze code zorgt ervoor dat risicomanagement voor de top van de organisatie relevant wordt.
Maar ook wetgeving en normen verwijzen voortdurend naar risicomanagement. Bekende voorbeelden zijn de BIO of NIS2.
Als laatste is de uitvoering ofwel de praktijk. Ook deze kent vele modellen. Martin van Staveren geeft met zijn Risicogestuurd werken & Risicoleiderschap methode meer handen en voeten over hoe risicomanagement in de praktijk kan werken. Naris zorgt met haar eigen Watermeloen model voor een integrale benadering door strategie en ook operationeel risicomanagement meer met elkaar in lijn te brengen.
10 frameworks rondom risicomanagement
1. COSO
De COSO is in 2017 vernieuwd met als kern geen aparte lijstjes met risico’s, maar “Linking risk management to strategy and performance”. Het is een uitgewerkt risicomanagement-model met 20 principes, die zeer goed bruikbaar zijn voor de implementatie en professionalisering van risicomanagement binnen jouw organisatie. De oude verplichte COSO-kubus wordt nog veel gebruikt door financiële instellingen en beursgenoteerde bedrijven, maar ook zij moeten uiteindelijk over naar de nieuwe versie. Zo kunnen ook zij de laatste ontwikkelingen op gebied van risicomanagement in hun strategie te implementeren.
2. ISO31000
De ISO31000 is een best practice document vanuit de ISO-stal. Het is een overzichtelijk document van 22 bladzijden in een goed te begrijpen taal. Het geeft een zeer goede structuur die kan dienen als basis voor een beleidsdocument met betrekking tot risicomanagement. De kracht van dit document is dat het onderscheid maakt tussen verschillende zaken:
- Kernwaarden risicomanagement waarbij de bedrijfscultuur een belangrijke rol speelt.
- Het implementeren van risicomanagement: wie doet wat, wanneer en hoe?
- Het uitvoeren van een risicoanalyse: uit welke stappen bestaat een risicoanalyse?
Opvallend is dat je je voor deze ISO31000 zelf niet kunt certificeren. Er zijn wel steeds meer normen zoals de ISO9001 die wel verwijzen naar deze ISO31000. De ISO31000 is marktleider in de publieke sector en wordt veel gebruikt in combinatie met het Kaplan model.
3. Kaplan
Het model van Kaplan legt de nadruk op het verminderen van management risico’s, het bevorderen van het maken van strategische keuzes en het managen van externe risico’s. Het model is zeer behulpzaam om risicomanagement beter te positioneren binnen jouw organisatie. Daarnaast focust het model zich op de risicodialoog wat acceptatie bevordert binnen het management en de eerste lijn. Dit model wordt veel gebruikt om risicomanagement uit de negatieve en operationele hoek te halen, wat vooral binnen overheidsorganisaties belangrijk is. De combinatie met ISO31000 geeft structuur maar ook de juiste aandacht op directieniveau.
Meer weten over Kaplan? (vanuit Harvard Business Review)
4. Management of Risk (M_o_R)
Management of Risk is een raamwerk dat voorkomt uit de PRINCE2 hoek en wordt veel in de context van projectmanagement gebruikt. Het bestaat vooral uit checklists waarin helder staat welke documenten noodzakelijk zijn voor risicomanagement binnen jouw organisatie. Denk hierbij aan risicoregister, risicostrategie, implementatiestrategie, etc. Management of Risk, ook wel afgekort als M_o_R, vormt een geïntegreerd raamwerk met OGC-methoden en -modellen als ITIL®, PRINCE2®, MSP® en P3O®. Voor M_o_R kun je je laten certificeren. Veel IT- organisaties gebruiken dit model om hun risicomanagement binnen de organisatie te verbeteren. Daarnaast wordt dit model ook vaak gebruikt door de grotere professionele organisaties zoals banken en verzekeraars, die ook zover gaan om hun medewerkers erin te certificeren.
5. 3 Lines Model (3LM) of 3 Lines of Defence model (3LoD)
Vanuit IIA is het 3 Lines of Defence model aangepast naar het 3 Lines Model. Het model dient als hulpmiddel voor ontwerp van goede governance en legt de focus op de interne organisatie. Hierbij is vooral de onafhankelijkheid belangrijk van de 3e lijn. Dit model is wereldwijd geaccepteerd en wordt gezien als de standaard voor operationeel risicomanagement.
6. De Van Maanen Governance Code
De Nederlandse Corporate Governance Code richt zich op de governance van beursgenoteerde vennootschappen. In elke nieuwe update van de Van Maanen Governance code lijkt risicomanagement een steeds prominentere plek in te nemen. In de code van Van Maanen wordt aangegeven dat de raad van bestuur in ieder geval haar risicobereidheid dient vast te stellen en zelf een risicoanalyse moet laten uitvoeren. In deze governance code wordt in een aparte paragraaf aandacht besteed aan cultuur van de organisatie binnen het risicomanagement. Hierin is ook de rol van de internal audit door de jaren heen steeds sterker neergezet. Door de Van Maanen Governance code kunnen bestuurders van organisaties het onderwerp risicomanagement in woord en daad serieus nemen.
Meer weten over de Van Maanen Governance Code? (Blog Robert ’t Hart: concretisering risicomanagement binnen governance code)
7. Baseline Informatiebeveiliging Overheid (BIO)
Er bestond al enorm veel normering op informatiebeveiliging maar voor overheden is deze samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze Baseline Informatiebeveiliging Overheid (BIO) zijn twee belangrijke keuzes gemaakt: een sterke focus op governance en een sterke focus op risicomanagement. Het is een zeer uitgebreid document met daarin ook heel concreet de uitwerking van de 114 mogelijke beheersmaatregelen, ofwel controls.
8. Risico-gestuurd werken (Van Staveren)
Martin van Staveren heeft in zijn boek Risicogestuurd werken ook een methode omschreven om risicomanagement binnen organisaties te structureren. Het woord ‘werken’ in het begrip ‘risicogestuurd werken’ geeft aan dat het moet worden opgenomen in je dagelijkse werk en dat in de werkprocessen 6 stappen moeten worden toegepast. Martin heeft meerdere boeken over risicoleiderschap geschreven. De kern van zijn denken is dat risicomanagement iets van de hele organisatie is, vandaar zijn nieuwste boek “iedereen risicoleider”. Veel overheids- en semi-overheidsorganisaties zijn gecharmeerd van de aanpak van Van Staveren.
9. RISMAN-methode
RISMAN is een methodiek die vooral binnen de infrastructurele wereld en projecten bekend is. De RISMAN-methode is een methode voor risicomanagement die van oorsprong is ontwikkeld voor projecten. Destijds is de Rijkswaterstaat samen met specialist Twynstra & Gudde de initiator geweest. Vooral de risicobrillen binnen deze methode voegen veel waarde toe aan de optimalisatie van risicomanagement binnen organisaties. Met behulp van deze brillen wordt het project beschouwd vanuit verschillende invalshoeken zodat een integraal risicobeeld wordt verkregen. Dit model richt zich echt op het uitvoeren van een risicoanalyse. Het boek ‘Risicomanagement voor projecten’ geschreven door Daniella van Well-Stam blijft door zijn simpelheid ook nog steeds een aanrader op gebied van risicomanagement binnen de infrastructurele wereld.
10. Watermeloen model
Als Naris zelf hebben wij ook een aanpak: het watermeloen-model als basis voor risk-control. Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing zijn, maar ook welke controls ‘in place’ zijn.
Meer weten over het Watermeloen model? (Blog Robert ’t Hart: Watermeloen Model als basis voor risk control)
