ISO 31000, de internationale norm voor risicomanagement

De wereld verandert in sneltempo en onzekerheid is een dagelijkse realiteit geworden. Denk maar aan de coronacrisis, economische ontwikkelingen en strengere milieu-eisen. Op welke manier een organisatie met die onzekerheid omgaat, bepaalt in grote mate het toekomstige succes. Of anders gezegd: hoe beter je je risico’s beheert, hoe beter je presteert.

Dat klinkt eenvoudig, maar dat is het niet altijd. Daarom is er ISO 31000, de internationale norm voor risicomanagement. Zo stel je de resultaten en de reputatie van je organisatie veilig op de lange termijn, want de norm gaat niet enkel over risicoanalyse maar ook over het spotten van opportuniteiten. Onzekere factoren – of risico’s – kunnen immers een positieve invloed hebben op het bereiken van je doelstellingen. En daarin onderscheiden risicobewuste organisaties zich van de rest!

Risicomanagers opereren nog te vaak in de zijlijn van de bedrijfsvoering. ISO 31000 moet hen helpen om van risicomanagement een integrale schakel te maken, op operationeel én strategisch vlak.
James Brown, voorzitter van ISO’s commissie rond risicomanagement.

Wil je weten welke richtlijnen je moet volgen om ‘goed risicomanagement’ in te voeren?

Koop NBN ISO 31000:2018 Risicomanagement Richtlijnen aan bij het NBN. De norm is beschikbaar in het Engels, Nederlands en Frans.

1. Wat is ISO 31000?

ISO 31000 biedt bedrijven en andere organisaties richtlijnen om risicobewuste beslissingsvoering te integreren in hun bestuur, planning, rapportering, beleid, waarden en cultuur. Het is een open, op principes gebaseerd systeem, waardoor de norm toepasbaar is in elke context. De internationale norm dient zowel voor risicomanagement op bedrijfsniveau als voor het beheren van strategische en operationele risico’s in de dagelijkse werking of in projecten.

ISO 31000 werd herzien in 2018, bijna 10 jaar na de eerste publicatie in 2009. Daardoor sluit de norm beter aan bij de huidige marktsituatie en houdt ze rekening met nieuwe uitdagingen voor organisaties. Enkele voorbeelden: de toenemende complexiteit van economische systemen en opkomende risicofactoren, zoals digitale munteenheden en cybercriminaliteit.

Belangrijk: het in ISO 31000 omschreven concept van risicomanagement (en ‘risk assessment’) was een belangrijke input voor de nieuwe generatie 'risk-based' managementnormen, zoals ISO 9001 (kwaliteitsmanagement), ISO 14001 (milieumanagement) en ISO 45001 (gezondheid en veiligheid op het werk).

HLS maakt van risicomanagement pijler voor managementnormen

Via de High-Level Structure (HLS) bevatten alle managementnormen dezelfde basisstructuur, definities en concepten. Risicomanagement neemt hierbij een centrale plaats in. Met andere woorden: weet je wat ISO 31000 inhoudt, dan kan je efficiënter managementnormen toepassen.

 

Wat is het doel van ISO 31000?

De definitie van risico is volgens ISO 31000 ‘het effect van onzekerheid op je doelstellingen’. Risicomanagement is dus een hulpmiddel om bedreigingen (negatieve effecten) te beheersen en kansen (positieve effecten) te benutten en zo de prestaties van een organisatie, project, product of dienst te verbeteren. Kortom: het centrale doel van ISO 31000 is waarde realiseren en beschermen.

Deze 8 principes van ISO 31000 ondersteunen het doel:

  • Geïntegreerd: risicomanagement moet geïntegreerd zijn in de volledige bedrijfswerking en in alle activiteiten.
  • Gestructureerd en alomvattend: de aanpak moet gestructureerd en alomvattend zijn.
  • Op maat gemaakt: het kader voor risicomanagement moet aangepast zijn aan de context en doelstellingen van de organisatie.
  • Inclusief: alle (relevante) stakeholders moeten bij het risicomanagement worden betrokken.
  • Dynamisch: proactief handelen, anticiperen en kordaat veranderingen aanpakken, zijn cruciale elementen van goed risicomanagement.
  • Best beschikbare info: risicomanagement houdt rekening met alle beperkingen van beschikbare informatie.
  • Menselijke en culturele factoren: deze factoren zijn essentieel en moeten in elke fase aan bod komen.
  • Continue verbetering: door ervaring en opgedane kennis moet een organisatie in staat zijn om alsmaar sterker te worden in risicomanagement.

2. Waarom ISO 31000 toepassen?

De grootste voordelen van goed risicomanagement volgens ISO 31000:

  • Focus op doelstellingen: door gebruik te maken van de internationale best practices rond ‘risk assessment’ vergroot je de kans om je doelstellingen te bereiken.
  • Lagere kosten: door doorgedreven risicoanalyse, verhoog je de kans om meteen goede beslissingen te nemen, waardoor je op de lange termijn onnodige kosten uitspaart.
  • Risicobewuste cultuur: de norm zorgt ervoor dat op alle niveaus weloverwogen beslissingen worden genomen, bijvoorbeeld bij de toewijzing van middelen.
  • Sterkere reputatie: een organisatie die ISO 31000 toepast, bewijst aan de buitenwereld dat de risico’s niet enkel geïdentificeerd maar ook geanalyseerd en beheerd worden.
  • Opportuniteiten spotten: de herziene ISO 31000 benadrukt dat risico’s niet per se negatief zijn, maar ook een positieve invloed kunnen hebben op je doelstellingen.   
  • Schaalbaar: wanneer je organisatie groeit, hoef je geen nieuw proces voor ‘risk assessment’ te introduceren, want de norm biedt ook dan handvatten.
  • In lijn met andere normen: dankzij de structuur van de laatste versie van ISO 31000 sluit de norm beter aan bij andere normen, zoals ISO 9001 (kwaliteitsmanagement) en ISO/IEC 27001 (informatiemanagement).

3. Voor wie is ISO 31000 bedoeld?

Iedereen die bijdraagt aan het ‘risk assessment’ binnen een organisatie kan zich beroepen op ISO 31000, dus niet enkel professionele risicomanagers, maar ook:

  • leden van het topmanagement;
  • risicoanalisten;
  • lijnmanagers;
  • projectmanagers;
  • externe en interne auditors.

Op zoek naar handige technieken om nóg beter risico’s te beoordelen?

Met de norm ISO/IEC 31010, de perfecte aanvulling op ISO 31000, creëer je een praktisch, duurzaam en makkelijk verstaanbaar evaluatieproces.

4. Certificatie ISO 31000

ISO 31000 is geen managementnorm pur sang, omdat de norm richtlijnen voor een managementsysteem omvat in plaats van eisen. Het gevolg: in tegenstelling tot bijvoorbeeld ISO 9001 of ISO 14001, kan je je organisatie niet laten certificeren voor ISO 31000. Maar professionals kunnen wél een certificaat voor ISO 31000 behalen.

 

Wat is certificatie voor personen?

Een certificatie is een objectief en schriftelijk bewijs dat je de methodologieën, richtlijnen en aanpak in ISO 31000 volledig onder de knie hebt. Als je slaagt voor het PECB-examen, krijg je een certificaat van de internationaal geaccrediteerde certificatie-instelling PECB.

In België kan je ook een certificaat behalen via het Global Network for Independent Certification (GNIC). Samen met het NBN organiseert GNIC geregeld cursussen en examens die risicomanagers de kans bieden om hun vaardigheden aan te scherpen.

Interesse om zelf een gecertificeerde risicomanager te worden?

Neem deel aan onze masterclass ISO 31000 en leg aansluitend een examen af.

Waarom een persoonlijke certificatie voor ISO 31000 behalen?

Met een certificaat dat aan je naam verbonden is, geef je je loopbaan een serieuze boost. Deze erkenning geeft immers aan dat je getraind bent om organisaties te beschermen tegen risico’s én opportuniteiten te spotten. Deze troef boezemt meteen vertrouwen in bij verschillende stakeholders.

 

5. Risk-based auditing

Het belang van risicoanalyse maakte de laatste jaren een sterke opmars bij diverse normcommissies. Zo ook bij de commissie die verantwoordelijk is voor de norm ISO 19011, die richtlijnen geeft voor interne en externe audits van managementsystemen. Meer zelfs, risicogebaseerd denken is in ISO 19011:2018, de laatste versie van de norm, een van de 7 basisprincipes voor managementsysteemaudits geworden. En de kernideeën voor dat nieuwe principe zijn direct gelinkt aan ISO 31000.

 

Wat is risk-based auditing?

Waar klassieke auditmethoden vertrekken vanuit overeenstemming ('compliance') met procedures, is het uitgangspunt van risk-based auditing het bereiken van bedrijfsdoelstellingen, waarbij risico’s proactief worden benaderd. Deze nieuwe auditfocus wordt alsmaar meer de norm. Het gevolg: laat je je organisatie auditen voor managementnormen zoals ISO 9001 (kwaliteitsmanagement) of ISO 14001 (milieumanagement), dan zal de auditor zeker oog hebben voor je risicomanagement binnen die domeinen. Kennis van de richtlijnen uit ISO 31000 zijn op dat moment een grote troef.

Wil je een expert worden in risk-based auditing?

Het NBN zet je op weg in de gevorderde opleiding ‘Risicomanagement & Risk-based auditing – ISO 31000'.

6. Opleidingen voor ISO 31000

Het NBN organiseert opleidingen en leertrajecten op centrale locaties of bij jou op kantoor. Het biedt daarvoor een programma op maat aan:

In onze opleidingskalender vind je alle mogelijke datums terug. Nog niet zeker welke cursus het beste bij jou past? Op de overzichtspagina voor ISO 31000-opleidingen denken we graag met je mee.

 

7. Aanverwante normen

Om je risicomanagement naar een nieuw niveau te tillen, kan je naast ISO 31000 ook gebruikmaken van deze aanverwante normen:

Zelf met NBN ISO 31000:2018 aan de slag?

Koop de norm aan in de e-shop van het NBN. Zo krijg je meteen een overzicht van alle richtlijnen voor goed risicomanagement.

Blijf je graag als eerste op de hoogte van de meest recente normen?

Schrijf je dan in op de maandelijkse NBN-nieuwsbrief.