ISO31000 integratie risicomanagement
In de inleiding van de nieuwe ISO31000 wordt meer de nadruk gelegd op de integratie risicomanagement met de governance van de organisatie, inclusief besluitvorming. Dit vraagt zonder twijfel support van stakeholders maar vooral van het topmanagement.
In het hoofdstuk “raamwerk” waarin vooral wordt omschreven wie wat wanneer doet, wordt meer toegelicht waaruit deze support dient te bestaan.
Leiderschap en commitment
In plaats van een lijst met acties is er nu een verdeling gemaakt tussen de rol van het topmanagement en de rol van toezichtsorganen. Dit is goed omdat dit nogal vaak op één hoop wordt gegooid.
Het topmanagement is verantwoordelijk voor het managen van risico’s terwijl toezichtsorganen verantwoordelijk zijn voor het totaal overzicht van de risicomanagement processen.
Topmanagement toont leiderschap en commitment door:
- Het passend maken en implementeren van alle componenten van het kader
- Het vaststellen van een risicomanagementbeleid of -statement met een risicomanagementaanpak of actieplan
- Ervoor te zorgen dat de benodigde middelen aan het risicomanagement worden toegewezen.
- Enkel een risicomanager aannemen is niet voldoende. Hij/zij moet wel de middelen hebben om risicomanagement in de organisatie te laten leven. Denk hierbij aan inhuur, training, database en software.
- Het toewijzen van mandaat, verantwoordelijkheid en verantwoordingsplicht op de geschikte niveaus in de organisatie.
- Belangrijk onderdeel aangezien je met een risicomanager 4 lagen onder de directie laat zien dat je het onderwerp niet serieus neemt. Eerder schreef ik over de mood at the middle die mijn inziens zeer belangrijk is om risicomanagement daadwerkelijk te laten leven.
Toezichtsorganen dienen ervoor te waken dat:
- Risico’s daadwerkelijk worden meegenomen bij het vaststellen van de doelstellingen van de organisatie.
- Dat de risico’s die de organisatie onderweg bij het uitvoeren van de doelstellingen tegenkomt onderkent worden.
- Risicomanagementsystemen om risico’s te managen daadwerkelijk zijn geïmplementeerd en operationeel zijn.
- De risico’s aansluiten bij de context en de doelstellingen van de organisatie
- Ervoor te zorgen dat informatie over deze risico’s en het management hiervan goed wordt gecommuniceerd.
Bovenstaande helpt de organisaties met:
- Het verbinden van risicomanagement met doelstellingen, strategie en cultuur
- Het zorgen voor naleving van wet- en regelgeving.
- Het vaststellen van de hoeveelheid en soorten risico’s die wel en niet acceptabel zijn, om dit vervolgens goed te communiceren naar de organisatie en haar stakeholders
- Het communiceren over de waarde van risicomanagement, het promoten van systematisch monitoren, en het zekerstellen dat het risicomanagement blijft aansluiten bij de context van de organisatie.