Maint. Het magazine van de NVDO

Transcriptie

1 Maint Het magazine van de NVDO Slimme keuzes maken bij onderhoud rijdende assets Composieten vergen nauwelijks onderhoud Waarde ISO 31000norm onderschat Alleen onderhoud bij ongezond gedrag NL

2 Risicomanagement Waarde ISO norm onderschat Sinds 2009 bestaat er een ISO-standaard voor risicomanagement, maar dit lijkt een goed bewaard geheim. En dat is zonde, vindt een aantal partijen dat zich bezighoudt met asset- en risicomanagement. Want in plaats van het wiel zelf uit te vinden, kunnen bedrijven redelijk snel de breed geaccepteerde beginselen van risicomanagement in de organisatie neerleggen. De mensen die iets van ISO weten, komen er vaak mee in aanraking via de ISO normenserie voor asset management, dat voor het hoofdstuk risicomanagement verwijst naar de norm, vertelt Richard Korver, asset management consultant en trainer bij IES Asset Management. Hij wil een lans breken voor de ISO De meeste deelnemers hebben voor een training nog nooit gehoord van de David van Baarle ISO Nu neemt het aantal bedrijven dat ISO wil implementeren wel toe, maar voor bedrijven die dat een stap te ver vinden gaan, kan ISO helpen hun risico s te alloceren en managen. Dick Hortensius van NEN is het met Korver eens dat de norm voor risicomanagement onterecht wat onderbelicht is. Als we het succes van de norm moeten afmeten aan het aantal exemplaren dat is verkocht sinds 2009, dan is dat met zo n duizend stuks niet hoog. Maar risicomanagement is een integraal onderdeel van een aantal andere normen, zoals de ISO 9001-norm voor kwaliteitsmanagement, de ISO norm voor milieumanagement, de NTA 8620 voor veiligheidsmanagement en ISO voor asset management. De toepassing van deze normen is beter te kwantificeren omdat bedrijven zich hiervoor kunnen laten certificeren en die certificaten zijn te tellen. Dat is direct de crux voor de norm voor risicomanagement: het is een richtlijn en dus vrijblijvender. Daarbij komt het feit dat de norm redelijk generiek is. Er worden principes en het proces van risicobeoordeling en het treffen van beheersmaatregelen uitgelegd. Er wordt een raamwerk neergelegd, maar het IMPLEMENTATIE VAN RISICOMANAGEMENT Martin van Staveren promoveerde op de implementatie van risicomanagement bij organisaties. Inmiddels doceert Van Staveren op de TU Twente en adviseert hij bedrijven op het gebied van risicomanagement. Hij vatte de uitdagingen voor de bedrijven als volgt samen: Organisaties zijn continu aan verandering onderhevig. Door veranderingen in wet- en regelgeving, concurrentiedruk uit binnen- en buitenland, technologische ontwikkelingen, fluctuaties in grondstofprijzen en veranderende eisen van consumenten moeten organisaties zich voortdurend aanpassen. Tegelijkertijd lopen de werknemers van die organisaties tegen tijdsgebrek aan. Ondanks alle veranderingen die in de organisatie moeten worden doorgevoerd, blijft de productie draaien en moet men dus vele ballen hooghouden. Als derde factor voegt Van Staveren daar ook nog onzekerheid aan toe. Dankzij alle veranderingen en de reactie daarop van de bedrijven ontstaat onzekerheid over de te volgen strategie en de uitkomst daarvan. Daar komt bij dat die externe factoren waarop men reageert een jaar later weer kunnen veranderen. Regels kunnen worden aangepast, technologie verandert continu en grondstofprijzen zijn ook moeilijk te voorspellen. Van Staveren: Het trio verandering, tijdgebrek en onzekerheid hangt dus onlosmakelijk met elkaar samen en beïnvloedt elkaar. Het helpt volgens hem niet om het aantal veranderingen terug te brengen, dat zou een organisatie niet overleven. Ook harder werken is geen oplossing in organisaties waarin al heel hard wordt gewerkt. Van Staveren ziet de oplossing dan ook met name in het slim omgaan met onzekerheid door risicogestuurd te werken. Risicogestuurd werken betekent in de ogen van Van Staveren: omgaan met onzekerheden, om daarmee doelstellingen van organisaties en personen in die organisaties te helpen realiseren. Het betekent soms ook dat bedrijven risico s beperken of soms gewoon iets anders doen en niet zelden ook risico s nemen. Maar dan wel als bewuste keuze. Het betekent ook dat er expliciet wordt gesproken over risico s, de onderliggende onzekerheden en de vaak impliciete verschillen in risicotolerantie tussen bijvoorbeeld managers en medewerkers. 50 MaintNL

3 ISO is opgebouwd uit termen en definities voor risicomanagement en richtlijnen voor de implementatie ervan. FOTO: BP is geen kookboek dat je uitlegt hoe je risicomanagement moet implementeren in je organisatie en ook geen eisenpakket waartegen je kunt laten certificeren. Inbedden ISO is opgebouwd uit een tweetal onderdelen: termen en definities voor risicomanagement en richtlijnen voor de implementatie ervan. De norm biedt een organisatorisch raamwerk voor risicomanagement en geeft inzicht in het inrichten van het risicomanagementproces (risicobeoordeling, beheersmaatregelen en monitoring). Tegelijkertijd gaf NEN ook nog een richtlijn voor methoden voor risicobeoordeling uit: de ISO met een soort keuzemenu om te bepalen welke methode in welke situatie het beste kan worden gebruikt. Van Grunsven: Als je niet integraal naar risico s kijkt, leg je al snel verkeerde correlaties. Korver: Je moet uiteindelijk de verantwoordelijkheden bij managers binnen het bedrijf neerleggen en hun mandaten verschaffen om het proces bij wijze van spreken neer te leggen als de risico s te groot worden. Je kunt nog zulke goede analyses maken, maar als je vervolgens niet de goede acties daaraan koppelt, heb je er nog niks aan. Je zult dus op alle lagen, operationeel, middenkader en directieniveau, de taken en verantwoordelijkheden moeten benoemen. ISO helpt ook bij het koppelen van fysieke risico s aan financieel-economische risico s of minder tastbare risico s zoals imagoschade. Reguliere risico s Ook Robert van Grunsven en Jack Mies, consultants asset management van CMS Asset Management, zien dat steeds meer bedrijven wel op een of andere manier met risicomanagement bezig zijn, maar dat de verbinding tussen de afdelingen en managementlagen nog wel eens ontbreekt. Van Grunsven: ISO is het cement tussen operationeel en strategisch niveau of bijvoorbeeld financieel risicomanagement. Maar in de praktijk zie je helaas dat de verbinding soms onvoldoende wordt gemaakt. Voor een deel kan dat te maken hebben met de manier waarop de standaard in de markt is gezet. Hij is niet certificeerbaar en de scope is heel breed. Je kunt bij wijze van spreken alles dat met risico s te maken heeft in het raamwerk kwijt, maar daarmee wordt risicomanagement wel heel generiek. Zijn collega Mies voerde onlangs een kwalitatief onderzoek uit naar de invoering van risicomanagement bij een aantal lagere overheden zoals gemeentes, provincies en waterschappen. Mies: Sinds 2004 moeten die partijen in hun Besluit Begroting en Verantwoording ook een verplichte risicoparagraaf toevoegen aan de rapportage. Het leek ons interessant om te zien hoe die partijen daar mee om gingen. Uit het onderzoek bleek dat ze allemaal risico-management hadden ingevoerd, maar dat het voornamelijk werd gebruikt door de businesscontrollers of de financial controllers. De activiteiten die zich lager op de werkvloer afspeelden, hadden geen relatie met het risicomanagementsysteem. Ook opvallend was dat de focus voornamelijk op de niet reguliere risico s lag. Ofwel: men had vooral oog voor eventuele rampscenario s. De reguliere risico s, waaronder de risico s die te maken hebben met beheer en onderhoud, hadden echter geen verbinding met het risicomanagement op strategisch niveau. En dat terwijl een risico redelijk snel van het ene niveau naar het andere kan escaleren. Van Grunsven geeft het voorbeeld van het peilproces van een haven: Dit is een redelijk standaardtechniek die is gekoppeld aan het baggerproces, zodat je er zeker van bent dat een haven diep genoeg is om een schip te kunnen laten aanmeren. Dit operationele risico kan echter enorme gevolgen hebben. Niet alleen omdat er een schip vast kan lopen, maar ook door de exposure in de media, waardoor het vertrouwen in de haven op den duur kan worden geschaad. Scheiding De ontkoppeling tussen strategisch en ope- MaintNL

4 BREDERE FOCUS De NVDO werkt momenteel mee aan de doorontwikkeling van de ISO normenserie ten behoeve van haar grote maintenance-achterban in asset management. Recent gaf de branchevereniging al aan dat de focus niet alleen op ISO moet liggen, maar dat er meer normen zijn in dit kader die van belang zijn. Hoewel in dit artikel vooral ingezoomd wordt op ISO 31000, wordt ook aandacht gevraagd voor Safety Management (ISO 10377), Systems Engineering (ISO 15288), Quality Management (ISO 9001) en Environment Management (ISO 14001). De NVDO is geen voorstander van verplichte certificering, opgelegd door vergunningverleners, inspecties of handhavers, omdat dit de toch al overvloedige wet- en regelgeving alleen maar verder compliceert en reeds goed presterende bedrijven onnodig op kosten jaagt. Het gaat namelijk niet om het verkrijgen van een certificaat, maar om de intentie zoals die is verwoord in de ISO De verantwoordelijkheid voor veilig en duurzaam beheer van kapitaalgoederen ligt primair bij de eigenaar van het kapitaalgoed. Hoe deze de eigen verantwoordelijkheid wil waarmaken, hangt af van de risico s die moeten worden beheerst. Dit neemt niet weg dat voor sommige eigenaren van kapitaalgoederen een certificering volgens ISO toegevoegde waarde kan hebben. rationeel management staat volgens Van Grunsven niet op zichzelf. Ook bij andere partijen waar wij ISO hebben helpen invoeren, zag je die scheiding. Vaak zie je dat men op strategisch niveau gebruik maakt van COSO II, een bekende standaard voor enterprise risk management, maar dat de operationele input voor dat systeem ontbreekt. We hebben bij een klant ISO gebruikt als brugmodel om het business risicomanagement, asset management en risicomanagement met elkaar te verbinden. Vervolgens worden de belangrijkste risico s vanuit het asset management naar de corporate risicomatrix en risicoregister geëscaleerd. Hierdoor draaien die risico s mee in het COSO II corporate risicomanagementsysteem. Hortensius: Risico s zijn niet altijd negatief, maar brengen ook kansen met zich mee. Die scheiding van werelden werkt, in de ervaring van Mies en Van Grunsven, niet altijd bevorderlijk voor het daadwerkelijk inzichtelijk maken van de risico s. Van Grunsven: Wanneer bedrijven te maken krijgen met falende techniek, zoeken ze al snel naar technische oplossingen, terwijl de oorzaak ervan heel ergens anders kan liggen. Je ziet bijvoorbeeld een trend bij de overheid om te verschuiven naar een steeds kleinere kernorganisatie. Als gevolg daarvan besteedt ze meer uit en als een aannemer zich minder of niet bewust is van de onderhoudsbehoefte van de assets, kunnen deze op den duur falen. Het risico ligt in dat geval dus niet zozeer op het technische vlak, maar meer organisatorisch. Als je niet integraal naar risico s kijkt, leg je al snel verkeerde correlaties of verkeerde causale verbanden. ISO 3100 biedt een prima raamwerk om dit soort zaken te voorkomen. Maar je moet de informatie wel centraliseren en aanpassen zodra de omstandigheden veranderen. Paradox Hortensius: Als er een incident plaatsvindt, is de reactie van de toezichthouders vaak om nog meer regels en procedures in te stellen. Vaak loopt men daarmee het doel voorbij en ontstaat juist meer bureaucratie en schijnveiligheid. De complexiteit en dynamiek van de omgeving waarin organisaties opereren, vraagt om een organisatie die kan meeveren met die continue veranderingen. Dat is deels in te vullen met lean management, maar het begint bij het benoemen van de risico s en het transparant delen, rapporteren en aggregeren van informatie. Als bedrijven rekening houden met onzekere factoren, kunnen ze de kansen benutten die risico s met zich meebrengen. Want laat dat duidelijk zijn: risico s zijn niet altijd negatief, maar brengen ook kansen met zich mee. Korver voegt daar aan toe dat de implementatie van risicomanagement politiek gevoelig kan liggen. Het paradoxale van risicomanagement is dat een organisatie aan zijn stakeholders moet toegeven dat hij gewogen risico s neemt. Dat kan bij bestuurders of aandeelhouders wel eens vragen opleveren over de interpretatie van risico s en de acties die worden ondernomen om ze te voorkomen. Tegelijkertijd biedt risicomanagement wel een goed kader dat, als je het goed toepast, een beeld geeft over de kwaliteit van een organisatie of bedrijf. Fysieke assets Voor de onderhoudssector biedt volgens Hortensius de asset management-norm ISO interessante aanknopingspunten. Onderhoud is sterk verbonden met de fysieke assets, de conditie ervan en daarmee met de toegevoegde waarde die zij leveren voor een organisatie. Ook op het gebied van compliancy, het voldoen aan wet- en regelgeving, nemen de risico s toe. Veel eigenaren en beheerders van grote complexe assets zien steeds meer wetten en regels op zich afkomen en dreigen daarin het overzicht te verliezen. Daarnaast zijn er veel factoren die de blijvende maatschappelijke waarde van de assets bepalen en zijn het grote kapitaalgoederen die over heel lange periodes goed moeten blijven functioneren. Vandaar ook dat veel waterschappen, gemeentes, drinkwaterbedrijven en netbeheerders zich laten certificeren voor ISO 55001, waar risico- en compliancemanagement een onderdeel van is. De procesindustrie is vooralsnog minder met ISO bezig. Zij zien de integriteit van hun assets meer als onderdeel van hun veiligheidsmanagementsysteem. En die systemen zijn bijvoorbeeld in BRZO-bedrijven doorgaans zeer goed ingericht. 52 MaintNL

5 DERTIENDE JAARGANG LOSSE VERKOOPPRIJS 17,25 Maint Het magazine van de NVDO NL Slimme keuzes maken bij onderhoud rijdende assets Composieten vergen nauwelijks onderhoud Waarde ISO norm onderschat Alleen onderhoud bij ongezond gedrag ONDERHOUDSMEDEWERKERS HEBBEN LOOPBAAN IN EIGEN HAND