'ISO 31000 voegt weinig toe'

ISO 31000 verdient constructieve steun. Wanneer mensen een verschillende taal spreken, leidt dat al snel tot misverstanden en conflicten. Ook in risicomanagement hebben we vaak last van Babylonische spraakverwarringen. Al spreken we dezelfde taal in de letterlijke zin van het woord, we praten voortdurend langs elkaar heen. Zo begrijpt bijvoorbeeld menig KAM-manager niet goed waar het over gaat wanneer een controller zijn aanpak voor de interne beheersing van externe financiële verslaggevingrisico’s presenteert. Andersom heeft de gemiddelde controller moeite zich een goed beeld te vormen wanneer een KAM-manager praat over risico-inventarisatie en –evaluatie.

Net zoals de bouwers van de gedenkwaardige toren in Babylon opgesloten zaten in hun eigen taal, zo zitten wij opgesloten in vakgroepen met ieder onze eigen invalshoek, terminologie en methodologie. Zelfs in relatief kleine organisaties zijn er al snel meer dan tien functies of afdelingen te identificeren die zich ieder bezighouden met een deel van het totale risicopallet. Risico’s op gebieden als technologie, milieu, arbeidsomstandigheden, inkoop, kwaliteit, fraude, financiële verslaggeving, compliance, strategie, financiële markten en automatisering zitten binnen een organisatie ieder in hun eigen hokje en komen daar maar zelden uit. Dit terwijl de risico’s zelf zich niets aan afdelingsgrenzen gelegen laten. Hierdoor ontstaan er steevast overlappingen, inconsistenties en lacunes in het risicomanagement van organisaties.

Natuurlijk is het logisch dat ieder specifiek risicogebied zijn eigen jargon kent, maar we moeten dat jargon ook kunnen vertalen naar een taal die iedereen gebruikt. Limburgers, Tukkers, Zeeuwen en Hagenaars kunnen elkaars dialecten wellicht niet begrijpen, maar kunnen wel goed communiceren in het Nederlands. Nu hebben we een unieke kans om zo’n gemeenschappelijke taal te ontwikkelen. De nieuwe algemene richtlijn voor risicomanagement, ISO 31000, is het Algemeen Beschaafd Nederlands van risicomanagement. In combinatie met ISO Guide 73 definieert de richtlijn een eenduidig begrippen- en referentiekader dat relevant is voor alle soorten risico’s en risicomanagement.

Het is voor sommigen misschien verleidelijk om vanuit het eigen risicohokje meteen op zoek te gaan naar dat ene woord of die ene passage in ISO 31000 die hun type risico of risicomanagement niet 100% dekt. Om vervolgens triomfantelijk te melden dat ISO 31000 weliswaar goed bedoeld is, maar ‘voor ons niet kan werken’. Met zo’n houding blijft iedereen in het eigen hokje zitten en negeren we hoe inefficiënt gefragmenteerd risicomanagement thans is. We vergeten voor het gemak hoe belangrijk het is dat we in risicomanagement in één taal met elkaar en met de buitenwereld leren communiceren.

Het zou spijtig zijn als we zo behoudend en defensief met ISO 31000 om zouden gaan. De nieuwe richtlijn verdient juist onze constructieve steun. We moeten over onze eigen schaduwen heenstappen vanuit het besef dat we een gemeenschappelijk referentiekader moeten hanteren. Daarbij moeten we accepteren dat zo’n wereldtaal voor risicomanagement niet 100% kan samenvallen met onze eigen taal, met ons eigen dialect. Ook al hebben buitenlandse talen niet een woord dat exact uitdrukt wat Nederlanders bedoelen met ‘gezellig’, dat betekent toch niet dat het nutteloos is om buitenlandse talen te leren?

In regio’s als het Caribische gebied slaagden in voorbije eeuwen groepen mensen uit alle hoeken van de aarde erin om over formidabele linguïstieke, sociale en culturele barrières heen gemeenschappelijke talen te ontwikkelen om met elkaar te communiceren. Laat hun succes in het overwinnen van de Babylonische spraakverwarring een voorbeeld zijn voor ons.

Even verduidelijken: COSO ERM (ofte COSO II) werd niet opgesteld vanuit een financieel perspectief maar evengoed vanuit effectiviteit (kwaliteit, veiligheid, etc), efficiëntie (doorlooptijd, kost, etc) als compliance (Arbo, milieu, GxP, etc) + houdt tevens rekening met strategische risico's. Het is een zeer ruim raamwerk dat elk bedrijf of organisatie op zijn eigen wijze kan implementeren. In die zin voegt ISO 31000 inderdaad niets toe aan COSO ERM. COSO ERM is dus een raamwerk en geen standaard zoals ISO neigt te zijn.

De positieve bijdrage vanuit ISO 31000 is het meenemen van opportuniteiten, de positieve zijde van risico's. COSO ERM heeft dit -meestal - moeilijk punt netjes opzij geschoven en verwijst opportuniteiten door naar het management process. Wat mij betreft is Risk Management = Management en is dit dus een fundamentele misser in COSO ERM. Met andere woorden: COSO heeft deze opportuniteit gemist, waaarmee de cirkel rond is...

ISO 31000 is ontwikkeld als een guideline om de diverse aspect risicomanagementsystemen die er zijn te integreren. Hierbij kan gedacht worden aan de systemen voor financiele (rapportage) risico's (COSO), kwaliteitsrisico's (ISO 9000/EFQM), Arborisico's (18000), milieurisico's (ISO 14000), ICT risico's (iso 27000) e.d. Hierdoor is het mogelijk om de kosten van de diverse afzonderlijke systemen met meer dan 30% te reduceren, het management te ontlasten en het beste van verschillende werelden te delen met elkaar. Daar waar bij de implementatie van COSO I en II net werd gedaan of een organisatie niets heeft op het gebied van genoemde aspect risicomanagementsystemen en hier dus ook geen gebruik van wordt gemaakt, gaat de 31000 verder. Ook zijn we hierdoor in staat om een gezamelijke taal te spreken. De ISO 31000 moet dus gezien worden als een soort integrator en is in deze tijd van reductie van administratieve lasten en kosten dus meer dan welkom. Beste financiele en controlllers virenden, zie dit als een kans en niet als een bedreiging :-)