Enterprise Risk Management (ERM) of integraal risicomanagement – beide begrippen hebben een gestructureerde aanpak van onzekerheden (de essentie van risico’s) en tal van andere aspecten met elkaar gemeen – refereren aan een structurele aanpak van (organisatie)risico’s. In die zin is er niets nieuws onder de zon. Wel nieuw is – relatief gezien – het gegeven dat ERM of (integraal) risicomanagement gezien de explosief groeiende complexiteit van onze (inter)nationale samenleving zo mogelijk nog relevanter en nog noodzakelijker is geworden.
Door Erik H. van der Graaf – Business Development Manager Bureau Veritas
De snelheid van veranderingen en de diversiteit van zowel oude als geheel nieuwe thema’s vragen – of beter gezegd eisen – van organisaties dat zij kunnen inspelen en waar mogelijk kunnen anticiperen op verandering en vernieuwing van de context waarin zij opereren. Niet als doel op zich, maar als voorwaarde om hun voortbestaan zeker te stellen. In ons hedendaagse taalgebruik wordt dit fenomeen ook wel aangeduid als ‘business continuity’.De factor ERM c.q. risicomanagement is hierbij essentieel, evenals de wijze waarop hieraan invulling wordt gegeven, met inbegrip van het adresseren van een aantal cruciale randvoorwaarden. Zoals gememoreerd is het concept van risicomanagement – risico (h)erkenning – op zich niet nieuw, maar wel aan verandering onderhevig door externe factoren. De metafoor ‘risicomanagement 3.0’ dringt zich daardoor niet voor niets op.
Essentie van risicomanagement
De essentie van risicomanagement is kernachtig verwoord in het jaarlijkse rapport van het prestigieuze World Economic Forum. Risicomanagement-expert en auteur Michelle Wucker stelt in The Global Risks Report 2018: ‘Risk management starts withidentifying and estimating the probability and impact of a given threat’. Daarmee slaat ze de spreekwoordelijke spijker op de kop, want het draait feitelijk om het identificeren van risico’s voorafgaand aan het inschatten van de waarschijnlijkheid waarmee het (vermeende) risico zich zou kunnen voordoen en de gevolgen of impact die het zou kunnen hebben.
Enige nadere duiding van een beperkt aantal kernbegrippen is wel op z’n plaats om een uniforme betekenis te kaderen binnen het bestek van dit artikel. Om te beginnen het primaire begrip ‘risico’. De breed gehanteerde definitie van het trefwoord ‘risico’ luidt: ‘effect van onzekerheid op het behalen van doelstellingen’. Daarbij de kanttekening dat effect wordt uitgelegd als afwijking ten opzichte van de verwachting (een afwijking in positieve of negatieve zin) en onzekerheid wordt begrepen als ‘het geheel of gedeeltelijk ontbreken van informatie, inzicht of kennis, de gevolgen of de waarschijnlijkheid’. Het begrip risico kan dus tweeledig worden opgevat: positieve risico’s (kansen) en negatieve risico’s (bedreigingen). Beiden hebben met elkaar gemeen dat er sprake is van onzekerheid (over het uiteindelijke resultaat), ingegeven door een gebrek aan informatie of inzicht.
Ten tweede de begrippen risicomanagement en Enterprise Risk Management (ERM). Risicomanagement kan worden gedefinieerd als ‘gecoördineerde activiteiten om een organisatie te sturen en te beheersen in relatie tot risico’s’. In samengevatte vorm kan de term ERM – oorspronkelijk voortgekomen uit de wereld van financiële dienstverlening – omschreven worden als ‘het proces rondom het plannen, organiseren, sturen, controleren en verbeteren van de activiteiten van een organisatie om de kans op risico’s te minimaliseren’.
Afgaande op de samenvattende omschrijvingen kunnen we stellen dat er ogenschijnlijk weinig tot geen verschil lijkt te zijn tussen risicomanagement en ERM. Beide termen leggen de focus op een gestructureerde aanpak van onzekerheden annex risico’s – en zijn voor praktisch gemak als synoniemen uitwisselbaar.
Onderliggende drijfveren
Wat zijn in de praktijk de onderliggende drijfveren voor (de noodzaak tot) risicomanagement? Voordat we op dit cruciale aspect ingaan is het wellicht goed om de in de introductie gememoreerde complexiteit van onze moderne samenleving te illustreren aan de hand van een niet-uitputtende reeks van (mogelijke) risico-aspecten waarmee organisaties te maken hebben of op enig moment te maken kunnen krijgen.
In willekeurige volgorde geeft de navolgende opsomming van potentiele risicogebieden een indruk van brede variëteit en die in sommige gevallen ongetwijfeld herkenbaar over zullen komen, maar wellicht ook relatief nieuwe(re) aspecten adresseren: beheer van bedrijfsmiddelen (‘asset management’), informatiebeveiliging, gezondheid & veiligheid (‘gezond & veilig werken’), energieverbruik- en reductie, milieu, anticorruptie, kwaliteit, maatschappelijk verantwoord ondernemen (MVO), CO2-uitstoot en reductie, bescherming van persoonsgegevens.
Uit vele onderzoeken die in de afgelopen jaren in internationaal verband zijn uitgevoerd binnen de context van risico’s en risicomanagement, komen op directe of indirecte wijze een drietal onderliggende drijfveren naar boven die organisaties ‘triggeren’ om het managen van risico’s in meer of mindere mate gestructureerd aan te pakken. De noodzaak tot continuïteit – waarmee ieder aspect van risicomanagement verbonden is – zal in dit kader niet verrassend overkomen en vormt feitelijk de ultieme kapstok.
Daarnaast vormen twee andere drijfveren de spreekwoordelijke, achterliggende rode draad in het ‘dossier’ risicomanagement. Bedrijfsreputatie is de ene drijfveer, het voldoen aan wet- en regelgeving (‘regulatory compliance’ of kortweg ‘compliance’) blijkt het andere, aanvullende motief. Bij nadere beschouwing is de drie-eenheid ‘continuïteit, reputatie en compliance’ eigenlijk ook wel logisch als je de materie praktisch bekijkt. Vooropgesteld dat het waarborgen van het voortbestaan van een organisatie een primaire vereiste is om haar doelen te kunnen realiseren, zijn reputatie en compliance niets minder dan kritische succesvoorwaarden. De reputatie van een organisatie hangt direct samen met vertrouwen, terwijl het voldoen aan wet- en regelgeving de organisatie de legitieme basis verschaft die ze nodig heeft om met succes haar strategie en doelstellingen na te jagen.
Een risicomodel
Een ander element dat uit onderzoek in zowel Nederland als in het buitenland naar voren komt is de noodzaak tot structuur in voorbereiding, uitvoering en opvolging van risicomanagement en risico’s. In de regel leidt de discussie overstructuur tot een risicomodel.
Alvorens in te gaan op elementaire randvoorwaarden die bepalend zijn voor succesvol risicomanagement, staan we even stil bij het fenomeen risicomodel. Afgaande op de (over het algemeen vrij) beschikbare informatie in relatie tot risicomodellen is er sprake van een ruime keus: het aantal ontwikkelde risicomodellen lijkt oneindig.
Als we dit gegeven in enige mate in Nederlands perspectief plaatsen, dan vormen de uitkomsten van het Tweede Nationaal Onderzoek Risicomanagementin Nederland uit 2014 een relevante illustratie op dit punt. Het destijds breed opgezette onderzoek onder ruim 700 kleine-, middelgrote- en grote organisaties bood een concrete dwarsdoorsnede van de realiteit van dat moment.
Naast het gegeven dat ongeveer de helft van de deelnemende organisaties (nog) geen gebruik maakte van een specifieke standaard of methode kwamen er vier ‘koplopers’ van gebruikte modellen of methoden naar voren: COSO, het INK/EFQM model, 6Sigma en de (generieke) norm ISO 31000.
ISO 31000 als mogelijk kader
Los van de vraag welk model of welke methode de voorkeur zou moeten krijgen – een van de genoemde vier koplopers uit het onderzoek of een van de vele andere mogelijkheden die voorhanden zijn – ligt de essentie eerst en vooral in de bewuste toepassing van een instrument om aan gestructureerd risicomanagement invulling te geven en zich niet over te geven aan het doen van aannames of het volgen van een ‘onderbuikgevoel’.
De mogelijkheid om de structuur c.q. het model van risicomanagement op- en af te kunnen schalen – afgestemd op organisatie-unieke aspecten en -context – is een overweging die de keuze van een methode zou moeten vergemakkelijken. Een andere, niet minder belangrijke overweging, ligt in het vermogen van het model om in te kunnen spelen op veranderingen en gebeurtenissen die zich zowel binnen als buiten de organisatie (kunnen) voltrekken.
“Reputatie en compliance zijn niets minder dan kritische succesvoorwaarden”
Uit praktische overwegingen – binnen het bestek van dit artikel is het onmogelijk om op alle ontwikkelde risicomodellen in te gaan – leggen we de focus op de norm ISO 31000 als mogelijk kader voor risicomanagement. Deze norm annex richtlijn heeft sinds de publicatie van de eerste versie in 2009 haar praktische toepasbaarheid bewezen en geniet (inter)nationale herkenning. ISO 31000 biedt de gebruiker handvatten voor een ‘tailor made’ benadering die kan aansluiten op de specifieke context, wensen en behoeften van individuele organisaties.
De doorontwikkelde 2018-versie van de norm omarmt nieuw en voortschrijdend inzicht met betrekking tot risico’s en risicomanagement. Daarnaast leent ISO 31000 zich voor een logische en functionele koppeling met onderliggende managementsystemen die zijn ontworpen of doorontwikkeld aan de hand van de veelgeprezen High Level Structure (HLS) en die risicomanagement als vertrekpunt hanteren.
Natuurlijk is ISO 31000 ‘slechts’ een model dat valt of staat met de wijze van toepassing en de daaraan verbonden randvoorwaarden. Buiten deze kanttekening moeten we tegelijkertijd beseffen dat de gekozen methode of het model geen doel op zich kan zijn en feitelijk een instrument is voor het instrument risicomanagement dat een hoger doel dient na te streven: continuïteit.
Essentiële randvoorwaarden
In onze whitepaper ‘Enterprise Risk Management – interactie tussen integraal risicomanagement en onderliggende managementsystemen’gaan we nader in op de essentie en inhoud van de vernieuwde norm ISO 31000 en ‘beperken’ we ons in dit artikel tot de essentiële randvoorwaarden die ISO 31000:2018 aandraagt.
In de norm zelf worden deze randvoorwaarden aangeduid als principes of uitgangspunten. Ogenschijnlijk lijkt de strekking ervan min of meer vanzelfsprekend: het gevaar schuilt wellicht in deze vanzelfsprekendheid in die zin dat ze (te) gemakkelijk over het hoofd worden gezien. In de richtlijn ISO 31000:2018 zijn een achttal principes beschreven die we kort de revue laten passeren.
Het eerste basisprincipe betreft integratie: effectief en succesvol risicomanagement maakt – per definitie – integraal deel uit van alle activiteiten van de organisatie. Als tweede uitgangspunt wordt de combinatie van structuur en diepgang opgevoerd: een gestructureerde en gedetailleerde aanpak van risicomanagement draagt bij aan het behalen van consistente en vergelijkbare resultaten. Het volgende principe is maatwerk: het managen van risico’s en de onderliggende aanpak en uitvoering zijn afgestemd op en in lijn met de in- en externe context van de organisatie en de daarmee samenhangende doelstellingen. Het vierde uitgangspunt betreft inclusiviteit: toepasselijke en tijdige betrokkenheid van relevante in- en externe belanghebbenden (‘stakeholders’) is mede bepalend voor effectief risicomanagement.
“Risicomanagement is een dynamisch proces dat bij voortduring anticipeert”
Vervolgens staat het aspect dynamiek op de lijst: risicomanagement is een dynamisch proces dat bij voortduring anticipeert en reageert op veranderingen die zich zowel binnen als buiten de organisatie voltrekken. Het zesde element is kwaliteit van informatie: kwaliteit van historische en actuele informatie en verwachtingen (en het besef van mogelijke beperkingen die eraan verbonden kunnen zijn) en kritische beoordeling en interpretatie liggen aan de basis van succesvol risicomanagement.
Menselijke en culturele factoren worden opgevoerd als zevende principe: alle aspecten van het managen van risico’s zijn onderhevig aan menselijke en culturele factoren – zowel binnen de organisatie als daarbuiten – die zich laten gelden op alle niveaus en in iedere fase. Als achtste en laatste principe haalt de norm ISO 31000 het aspect continue verbetering aan: effectief risicomanagement is gebaseerd op het grondbeginsel van voortdurende verbetering in functie van kennis, ervaring en voortschrijdend inzicht. Met dit aspect is de verbinding gelegd met de essentie van de High Level Structureen het welbekende ‘Plan-Do-Check-Act’ principe dat verweven is in onderliggende managementsystemen die integraal risicomanagement kunnen ondersteunen.
Twee invalshoeken
De rode draad van verbinding heeft meerdere invalshoeken binnen het kader van Enterprise Risk Management (ERM) of (integraal) risicomanagement. Ter afronding laten we twee van deze invalshoeken aan bod komen.
De eerste duiding van het begrip verbinding koppelen we aan de relatie en interactie tussen een organisatie-brede ‘totaal’ aanpak van het fenomeen risicomanagement – gefaciliteerd door een methode of model zoals de richtlijn ISO 31000 – en onderliggende managementsystemen. Met de toepassing van op de HLS-methodiek geïnspireerde systeemnormen – zoals ISO 9001 (kwaliteit), ISO 27001 (informatiebeveiliging) of ISO 37001 (anticorruptie) – kan een versterkende en verdiepende slag gemaakt worden.
Versterkend in de zin dat in het ‘DNA’ van de High Level Structure het detecteren, opvolgen en evalueren van risico’s op procesniveau is verankerd en vanuit de gedachte van integraal, allesomvattend risicomanagement het omgaan met risico’s binnen de organisatie en de zich hierin afspelende processen wordt doorvertaald naar de dagelijkse praktijk. Dit gegeven krijgt zo mogelijk nog meer reliëf in de wetenschap dat HLS een revisie ondergaat die tegen eind 2020 moet resulteren in een nog stevigere verankering van risicodenken (en handelen) in de managementsysteemnormen uit de ISO-familie.
Verdiepend in de zin dat de onderliggende managementsystemen – afhankelijk van het thema waarop zij zijn toegespitst – een specifieke focus en detaillering toevoegen in combinatie met het managen van risico’s. Deze verdieping kan betrekking op uiteenlopende onderwerpen die eerder in dit artikel werden genoemd, zoals beheer van bedrijfsmiddelen, maatschappelijk verantwoord ondernemen of bijvoorbeeld informatiebeveiliging.
De tweede duiding van het begrip verbindingkoppelen we aan de noodzaak van inclusiviteit (ook verwoord als vierde uitgangspunt of principe van ISO 31000) als voorwaarde voor effectief en succesvol risicomanagement, hetgeen zowel betrekking heeft op de betrokkenheid van stakeholders binnen en buiten de organisatie als de noodzakelijke interactie tussen specialisten die een of meerdere vakgebieden voor hun rekening nemen binnen een totale, integrale aanpak van risicomanagement. Het zal immers duidelijk zijn dat de complexiteit en diversiteit van (potentiele) risico’s vraagt om een multidisciplinaire benadering van ‘risicomanagement 3.0’.
Het pleidooi voor verbinding zoals hierboven uiteengezet illustreren we tot slot met nog een quote van de eerder aangehaalde risicomanagement-expert en auteur Michelle Wucker in The Global Risk Report 2018 van het World Economic Forum: ‘Risk management needs to come out of its silo and become as much an organic part of operations as budgeting and project management.’
Meer detaillering en verdieping op de operationele aspecten van de werking van ISO 31000 en de functionele verbinding met zowel gecertificeerde managementsystemen als de connectie met verslaggeving op het gebied van MVO of duurzaamheid leest u de whitepaper ‘Enterprise Risk Management – interactie tussen integraal risicomanagement en onderliggende managementsystemen’van Bureau Veritas. U vraagt ‘m aan via https://www.bureauveritas.nl/whitepapers