De ISO31000 is vernieuwd en is hier te bestellen. Een tijdje terug zag de nieuwe COSO ERM 2017 het levenslicht, maar nu is dus ook een nieuwe ISO31000.
Het eerste wat opvalt is het aantal pagina’s. ISO31000 was al 5/6 keer dunner dan het zeer uitgebreide COSO ERM 2017, maar nu is ook het aantal pagina’s teruggebracht van 24 tot 20. Veel overbodige tekst is geschrapt wat de leesbaarheid ten goede komt. Dat had voor mij bij COSO 2017 ook wel mogen gebeuren!
Bouwstenen principes duidelijker worden gepositioneerd in ISO31000
De teksten zijn meer generiek toepasbaar gemaakt voor verschillende organisatietypen. Het maakt risicomanagement niet nodeloos ingewikkeld en daardoor makkelijker intern uit te leggen. Ook zijn de graphics aangepast, waardoor de bouwstenen principes (cultuur), framework en proces duidelijker worden gepositioneerd.
Eerste indruk inhoudelijke wijzigingen ISO31000
De principes zijn nu korter en kernachtiger omschreven in de nieuwe ISO31000. Ook het doel van risicomanagement “waarde-creatie en bescherming” staat nu centraal. Wel dien je, in mijn ogen, de principes nog steeds op maat te maken voor je eigen organisatie willen ze echt waarde toevoegen.
In het framework valt mij op dat het thema ‘leiderschap en commitment” nu centraal staat en meer structuur heeft. In plaats van een lijst met acties is er nu een verdeling gemaakt tussen de rol van het topmanagement en de rol van toezichtsorganen.
Bijzonder is dat hier risk appetite niet wordt genoemd, maar er wel melding wordt gemaakt van ” het vaststellen van de hoeveelheid en soorten risico’s die wel en niet acceptabel zijn, als leidraad voor de ontwikkeling van risico criteria, en zich ervan verzekeren dat deze gecommuniceert worden naar de organisatie en haar stakeholders”. Dit lijkt op een risk appetite statement, echter de verantwoordelijkheid lijkt minder expliciet bij het top management te liggen. Een gemiste kans in mijn ogen.