Resilience en Risicobeheer – innige relatie
De afdeling RisicoBeheer en Techniek (RBT) van het KIVI (Koninklijk Instituut van Ingenieurs) bestudeert opvallende gebeurtenissen, analyseert die en tracht wegen te vinden technische risico’s beter te beheersen. RBT wil haar gedachtegoed uitdragen aan andere organisaties die ook belangstelling hebben in risicobeheer en risicomanagement.
British Standard en ISO – kenmerkende verschillen
De nieuwe ISO-norm 22316: 2017 Organisational resilience definieert:
"The adaptive capacity of an organisation in a complex and changing environment."[1]
Dat is korter dan de definitie van de eerdere Engelse norm BS 65000. De mogelijkheid zich aan te passen moet volgens ISO bestaan in een complexe en veranderende omgeving. Gelet op haar definitie is 22316 toe te passen op alle complexe en veranderende omgevingen, dus ook als er geen sprake is van incremental change en sudden disruptions, waar BS 65000:2014 het nog over heeft. Deze definieert:
"Organisational resilience is the ability of an organisation to anticipate, prepare for, and respond and adept to incremental change and sudden disruptions in order to survive and prosper."
Er zijn twee opvallende verschillen tussen deze beide definities.
Het eerste verschil van BS met de definitie van risicomanagement volgens ISO 22316 zit hem in de woorden incremental, disruptions en survive die BS gebruikt. ISO noemt deze elementen niet.
Sudden disruptions doen denken aan een brand, die een fabriek voor een groot deel in de as legt, aan een computer hack, die de operaties plat legt, de administratieve processen blokkeert en de geldstromen als de logistieke bewegingen onmogelijk maakt, aan een staking, een terroristisch aanval, kortom aan gebeurtenissen die onmiddellijke respons vragen.
Incremental change duidt op langzame veranderingen zoals stijging van de zeespiegel, toenemende CO2-problematiek, frequente wateroverlast door veranderend klimaat. ISO noemt dergelijke elementen niet. Het accent ligt bij de ISO-definitie op van buiten komende veranderingen, zoals zich langzaam voltrekkende marktverhoudingen in zowel de inbound als de outbound stromen van goederen en diensten.
Het tweede verschil zit hem in de complex and changing environment, die ISO wel kent, maar die niet voorkomt in de BS-definitie. ISO spreekt over een ingewikkelde (complex), veranderende (changing) omgeving waarin de organisatie opereert. Maar ook in een niet complexe en niet veranderende omgeving kan een brand uitbreken, een inbraak plaats vinden, een ontvoering worden opgezet, een systeem worden gehackt. ISO lijkt dit aspect te negeren. Toch kan ook een plotseling incident met ISO aangepakt worden. De openingsalinea van de Introductie van ISO 22316 stelt de norm ook toepasselijk voor threads and opportunities, arizing from sudden or gradual changes. [2] Plotselinge incidenten worden niet genoemd in de definitie; maar ook daarover gaat ISO 22316.
Let voorts op de woorden survive and prosper (BS), die ISO niet noemt. Het lijkt er op dat BS vooral let op het te boven komen zodat de organisatie weer verder kan in de vorm die bestond voordat men de activiteiten startte toen het verstorende incident optrad. Bij ISO hoeft een organisatie niet in de vorige toestand hersteld te worden. De organisatie kan zich ook aanpassen: een aangepast product, een andere markt betreden, een verandering in de inkomende of uitgaande goederenstroom; na een brand kan een gebouw modificaties krijgen of zelfs geheel volgens een nieuw concept herbouwd worden.
Resumerend zijn beide normen toepasbaar op veranderingen die van buiten komen, maar ook op interne oorzaken, of ze zich nu geleidelijk, dan wel zich plotseling ontwrichtend manifesteren.
COSO management- en beheerssysteem
COSO is een managementmodel, ontwikkeld naar aanleiding van boekhoudschandalen in 2002. Was het aanvankelijk een hulpmiddel om de financiële dimensies van een organisatie in kaart te brengen, transparant, controleerbaar en beheersbaar te houden, in 2004 is gestart met toevoegen en aanpassing van elementen voor het gehele interne beheersingssysteem. COSO is door haar ontstaan en verleden een gebruikelijk systeem geworden voor banken, verzekeringsmaatschappijen en andere financiële instellingen. Het is uitgegroeid tot een van de standaardmodellen die door auditors worden gebruikt bij hun onderzoeken en boekencontroles. [3] Het is zeer geschikt voor grote organisaties met meerdere dochterondernemingen. Voor kleinere organisaties werd een meer eenvoudig model ontwikkeld, dat minder arbeidsintensief is in gebruik en toepassing. Dit laatste voorziet vooral in de betrouwbaarheid van de financiële informatie van ondernemingen. [4]
COSO en ISO 31000 - risicobeheerssystemen
COSO kent niet een paragraaf die refereert aan snelle, ontwrichtende gebeurtenissen, zoals BS dat doet, ook ontbreekt een referentie naar complexe en geleidelijk veranderde omgevingen, zoals ISO dat wel doet. Daarmee is COSO een beheerssysteem voor risicomanagement. Hoewel anders van opzet is COSO te vergelijken met ISO 31000, die procedures en processen beschrijft voor het beheersen van risico’s.
Er zijn nog wel meer risicobeheerssystemen – ook genaamd risicomanagementsystemen, zoals IRM/Alarm [5], OCEG [6], en Risman [7]. Ze kennen allemaal een zelfde beginsel. Men start met het identificeren van risico’s om ze vervolgens te evalueren en te behandelen.
Verschillen tussen Resilience en risicobeheer
Bij normaal risicomanagement gaat het over onzekerheden die doelstellingen in gevaar brengen. [8] Dat kan best vervelend zijn. Het is niet leuk voor een directie om waar in een bepaald jaar winst werd verwacht zwaar verlies op een project te moeten melden. Maar de organisatie kan blijven bestaan, maar het is niet zo dat er sprake is van incremental change (voortgaande verandering), noch minder van to survive. Het is hier normaal risicobeheer, waarbij een incident is opgetreden. Bovendien, verlies op een project komt wel eens meer voor.
Het gaat bij resilience (weerstandsvermogen) om de kracht zich te kunnen aanpassen, niet alleen in situaties van plotselinge onderbrekingen waarbij het normale voortbestaan van de organisatie in gevaar is, maar ook bij geleidelijke veranderingen. ISO en BS maken een duidelijk onderscheid met normale systemen voor risicobeheersing. [9]
In de praktijk werden en worden verschillende andere definities van weerstandsvermogen gehanteerd. [10] ISO 22316 komt nu met een definitie waarover, naar verluid, lang is gediscussieerd, maar uiteindelijk internationaal op basis van consensus is aanvaard.
Zonder uitmuntend risicobeheer geen krachtige resilience
Goed risicobeheer voorziet de veranderingen waaraan een organisatie bloot staat, inventariseert en identificeert de dreigingen - dat zijn risico’s -, analyseert ze en neemt preventieve maatregelen die uitgevoerd zullen moeten wanneer de veranderingen niet langer aanvaardbaar zijn, zodat de organisatie haar vermogen zal moeten benutten zich aan te passen aan de veranderingen. Het is dit laatste element dat risicobeheer zo belangrijk maakt voor krachtige resilience.
Mr. Ing. John van der Puil ©
Bestuurslid Afdeling RBT van het KIVI
Portefeuille Analyse & Ontwikkeling
Op persoonlijke titel.
[1] . ISO 22316, Paragraaf 4.1. Principles.
[2] . ISO 22316, Introduction, pag. V.
[3] . COSO, The Committee of Sponsering Organisations for the Treadway Commission, COSO II of Enterprieces Risk Management Framework (ERMF).
[4] . COSO Guidance for Smaller Public Companies, 2006.
[5] . IRM/Alarm/AIRMIC 2002, A Risk Management Standard.
[6] . OCEG, Red Book, 2.0: 2009, A Governance, Risk and Compliance Capability Model.
[7] . Risman is een vooral in de Nederlandse bouwnijverheid veel toegepast risicomanagement model.
[8] . Definitie risico volgens ISO 31000:
[9] . ISO 22316, Paragraaf 1, Scope.
[10] . Wikipedia kiest voor de definitie van BS 65000. Andere definities: the power or ability to return to the original form, position, etc. after being bent, compressed or stretched; ed: elasticity. Ability to recover from illness, depression, adversity, or thelike, buoyancy, www.dictionary.com/resilience. Voorts kunnen we nog een twintigtal definities vinden, gebruikt door wetenschappers in publicaties of presentaties. Wij houden het op de definitie van ISO 22316.