“Wat is risicomanagement?” Het is vaak de eerste vraag die organisaties hebben die met risicomanagement willen beginnen of die hun risicomanagement verder willen ontwikkelen. Bij het beantwoorden van deze vraag zoeken veel mensen naar voorbeelden, modellen en best practices voor een duidelijk en volledig beeld van het mooie vak: risicomanagement. In deze blog delen wij een overzicht van de belangrijkste risicomanagemen-modellen documenten, frameworks en codes die onmisbaar zijn wanneer jouw organisatie zich hier verder in wil verdiepen.
Risicomanagement-modellen continue in ontwikkeling
De meeste documenten en modellen in deze blog worden continu doorontwikkeld. Dit heeft te maken met nieuwe inzichten van organisaties, maar ook met de trend waarin risicomanagement steeds concreter wordt uitgewerkt. Daarnaast wordt risicomanagement steeds strategischer en krijgt ook cultuur steeds meer aandacht binnen de modellen van risicomanagement.
Wil je meer weten over risicomanagement en hoe je hiermee kan starten? Lees dan ook de sub blogs per model of bekijk de officiële website met het gehele document.
10 frameworks rondom risicomanagement
1. COSO 2017
De COSO is in 2017 vernieuwd met als kern geen aparte lijstjes met risico’s, maar “Linking risk management to strategy and performance”. Het is een uitgewerkt risicomanagement model met 20 principes, die zeer goed bruikbaar zijn voor de implementatie en professionalisering van risicomanagement binnen jouw organisatie. De oude verplichte COSO-kubus wordt nog veel gebruikt door financiële instellingen en beursgenoteerde bedrijven, maar ook zij moeten uiteindelijk over naar de nieuwe versie. Zo kunnen ook zij de laatste ontwikkelingen op gebied van risicomanagement in hun strategie te implementeren.
Meer weten over COSO 2017? Lees dan hier een samenvatting van de nieuwe COSO
Of lees ons andere blog over COSO met voorbeelden.
2. ISO31000 2018
De ISO31000 2018 is een best practice document vanuit de ISO-stal. Het is een overzichtelijk document van 22 bladzijden in een goed te begrijpen taal. Het geeft een zeer goede structuur die kan dienen als basis voor een beleidsdocument met betrekking tot risicomanagement. De kracht van dit document is dat het onderscheid maakt tussen verschillende zaken:
- Kernwaarden risicomanagement waarbij de bedrijfscultuur een belangrijke rol speelt.
- Het implementeren van risicomanagement: wie doet wat, wanneer en hoe?
- Het uitvoeren van een risicoanalyse: uit welke stappen bestaat een risicoanalyse?
Opvallend is dat je je voor deze ISO31000 zelf niet kunt certificeren. Er zijn wel steeds meer normen zoals de ISO9001 die wel verwijzen naar deze ISO31000. De ISO31000 is marktleider in de publieke sector en wordt veel gebruikt in combinatie met het Kaplan model.
Meer weten over COSO 2017? Lees dan hier een samenvatting van de nieuwe COSO
Of lees ons andere blog met de uitwerking ISO inclusief infographics
3. Kaplan 2012
Het model van Kaplan legt de nadruk op het verminderen van management risico’s, het bevorderen van het maken van strategische keuzes en het managen van externe risico’s. Het model is zeer behulpzaam om risicomanagement beter te positioneren binnen jouw organisatie. Daarnaast focust het model zich op de risicodialoog wat acceptatie bevordert binnen het management en de eerste lijn. Dit model wordt veel gebruikt om risicomanagement uit de negatieve en operationele hoek te halen, wat vooral binnen overheidsorganisaties belangrijk is. De combinatie met ISO31000 geeft structuur maar ook de juiste aandacht op directieniveau.
Bekijk het Model Kaplan (vanuit Harvard Business Review)
4. Management of Risk 2010
Management of Risk 2010 is een raamwerk dat voorkomt uit de PRINCE2 hoek en wordt veel in de context van projectmanagement gebruikt. Het bestaat vooral uit checklists waarin helder staat welke documenten noodzakelijk zijn voor risicomanagement binnen jouw organisatie. Denk hierbij aan risicoregister, risicostrategie, implementatiestrategie, etc. Management of Risk 2010, ook wel afgekort als M_o_R, vormt een geïntegreerd raamwerk met OGC-methoden en -modellen als ITIL®, PRINCE2®, MSP® en P3O®. Voor M_o_R kun je je laten certificeren. Veel IT- organisaties gebruiken dit model om hun risicomanagement binnen de organisatie te verbeteren. Daarnaast wordt dit model ook vaak gebruikt door de grotere professionele organisaties zoals banken en verzekeraars, die ook zover gaan om hun medewerkers erin te certificeren.
Management of Risk website en link naar opleidingen
5. 3lines model (3LM) of 3 lines of defence model (3LoD) 2020
Vanuit de IIA is het 3 Lines of Defence model recent aangepast naar het 3 Lines model. Het model dient als hulpmiddel voor ontwerp van goede governance en legt de focus op de interne organisatie. Hierbij is vooral de onafhankelijkheid belangrijk van de 3e lijn. Dit model is wereldwijd geaccepteerd en wordt gezien als de standaard voor operationeel risicomanagement.
Bekijk het 3 Lines model hier.
6. De Van Maanen Governance code 2016
De Nederlandse Corporate Governance Code richt zich op de governance van beursgenoteerde vennootschappen. In elke nieuwe update van de Van Maanen Governance code lijkt risicomanagement een steeds prominentere plek in te nemen. In de code van Van Maanen wordt aangegeven dat de raad van bestuur in ieder geval haar risicobereidheid dient vast te stellen en zelf een risicoanalyse moet laten uitvoeren. In deze governance code wordt in een aparte paragraaf aandacht besteed aan cultuur van de organisatie binnen het risicomanagement. Hierin is ook de rol van de internal audit door de jaren heen steeds sterker neergezet. Door de Van Maanen Governance code kunnen bestuurders van organisaties het onderwerp risicomanagement in woord en daad serieus nemen.
Lees meer blogs over de concretisering risicomanagement binnen governance code
7. Baseline Informatiebeveiliging Overheid (BIO) 2019
Er bestond al enorm veel normering op informatiebeveiliging maar onlangs is deze voor overheden samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze Baseline Informatiebeveiliging Overheid (BIO) zijn twee belangrijke keuzes gemaakt: een sterke focus op governance en een sterke focus op risicomanagement. Het is een zeer uitgebreid document met daarin ook heel concreet de uitwerking van de 114 mogelijke beheersmaatregelen, ofwel controls.
Bekijk hier het officiele BIO document
Of lees meer over de praktijk van de BIO op onze website
8. Risico-gestuurd werken 2015 (Van Staveren)
Martin van Staveren heeft in zijn boek risicogestuurd werken ook een methode omschreven om risicomanagement binnen organisaties te structureren. Het woord ‘werken’ in het begrip ‘risicogestuurd werken’ geeft aan dat het moet worden opgenomen in je dagelijkse werk en dat in de werkprocessen 6 stappen moeten worden toegepast. Martin heeft meerdere boeken over risicoleiderschap geschreven. De kern van zijn denken is dat risicomanagement iets van de hele organisatie is, vandaar zijn nieuwste boek “iedereen risicoleider”. Veel overheids- en semi-overheidsorganisaties zijn gecharmeerd van de aanpak van Van Staveren.
Lees hier een artikel over de methode van van Staveren
Of lees zijn boek risicogestuurd werken
9. RISMAN-methode 1992-1999
RISMAN is een methodiek die vooral binnen de infrastructurele wereld en projecten bekend is. De RISMAN-methode is een methode voor risicomanagement die van oorsprong is ontwikkeld voor projecten. Destijds is de Rijkswaterstaat samen met specialist Twynstra & Gudde de initiator geweest. Vooral de risicobrillen binnen deze methode voegen veel waarde toe aan de optimalisatie van risicomanagement binnen organisaties. Met behulp van deze brillen wordt het project beschouwd vanuit verschillende invalshoeken zodat een integraal risicobeeld wordt verkregen. Dit model richt zich echt op het uitvoeren van een risicoanalyse. Het boek ‘Risicomanagement voor projecten’ geschreven door Daniella van Well-Stam blijft door zijn simpelheid ook nog steeds een aanrader op gebied van risicomanagement binnen de infrastructurele wereld.
Lees het boek; Risicomanagement voor projecten, De RISMAN-methode toegepast
10. Watermeloen model 2020
Als NARIS zelf hebben wij ook een nieuwe aanpak: het watermeloen-model als basis voor risk-control. Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing zijn, maar ook welke controls ‘in place’ zijn.
Meer weten over dit model? Lees dan een van onze blogs over dit model:
- Blog naar watermeloen model en webinar over “is de tweede lijn sterk genoeg?“
- Blog naar website met concrete uitleg over dit model.
- Blog met uitleg achtergrond watermeloen model
