Risicomanagement staat bij veel organisaties op de agenda in het kader van hun certificering. Maar hoe doe je risicomanagement? Onze visie: risicomanagement is geen papieren exercitie, maar is onlosmakelijk verbonden met het gedrag van mensen. De kunst is om de mensen die het werk moeten verrichten actief te betrekken; zij kunnen doorgaans risico’s als beste inschatten. Wanneer je risicomanagement bottom-up aanvliegt en benadert vanuit je strategie en de gestelde doelen, dan ga je zien dat risicomanagement je organisatie echt toegevoegde waarde oplevert en daadwerkelijk bijdraagt aan veilig, milieubewust en/of informatieveilig werken van je medewerkers.
Door Steven Zwarts en Gerben Bekooy van CertificeringsAdvies Nederland
In onze maatschappij wordt meer en meer nadruk gelegd op risicomanagement. Je ziet het terugkomen in normeringen zoals ISO 9001, ISO 27001, ISO 14001, VCA et cetera. Hierdoor komt risicomanagement bij veel organisaties steeds centraler te staan: organisaties kunnen er immers niet meer omheen en weten dat ze er wat mee moeten in het kader van hun certificering. Veel organisaties gaan met risicomanagement aan de slag met behulp van standaard documenten en templates in de vorm van spreadsheets, checklists en rapportages. Vervolgens wordt de interne organisatie, vaak al brainstormend, gevraagd om informatie aan te leveren waarmee deze documenten gevuld worden en daarmee is het risicomanagement dan ‘afgehandeld’. Organisaties die risicomanagement op deze manier aanvliegen zien het als ‘een check in de box’ geven, omdat het nu eenmaal ‘moet van ISO’. En daar gaat het mis. Het draait namelijk niet om ISO, maar juist om de overkoepelende vraag: wat is risicomanagement en waarom doe je het als organisatie? Risico’s beheers je niet op papier.
Het is daarom zaak om als organisatie te kijken vanuit je strategie en je gestelde doelen. Welke risico’s zie je op het niet halen van die doelen? Waarom zie je die risico’s? Waar worden deze door veroorzaakt? En wat kun je hier als organisatie aan doen? Dat is de essentie van risicomanagement. Of het nu gaat om strategische, operationele, veiligheids- en gezondheids-, milieu-, juridische of beveiligingsrisico’s.