NEN-ISO (nl) Risico management. Productinformatie. Bedrijfsleven Onderwijs Overheden Zorg

Transcriptie

1 Productinformatie NEN-ISO (nl) Risico management SECTOR Bedrijfsleven Onderwijs Overheden Zorg TYPE Riskmanagement, Compliance management, Kwaliteitsmanagement & systemen BRON

2 PRODUCTINFORMATIE NEN-ISO (nl) Risico management SECTOR Bedrijfsleven Onderwijs Overheden Zorg TYPE Riskmanagement, Compliance management, Kwaliteitsmanagement & systemen INHOUDSOPGAVE 1. Informatie 2. Modules en proces 3. Inhoud (onderwerpen) BRON BESCHRIJVING Portfolio (uw werkruimte) inclusief de officiële norm en richtlijnen. Volledige inhoud, indeling en normstelling handzaam geordend en opgedeeld. Yucan maakt het eenvoudig, toegankelijk en beheersbaar. GESELECTEERDE MODULES 01. Modules: Evaluatie (looptijd 1 jaar) PRIJS 517,00 (excl. btw) incl. 25 gebruikers

3 1. Informatie ISO (2009) in Yucan U start uw eigen online werkruimte inclusief de officiële norm. Met de implementatie van ISO binnen Yucan heeft u uw risico managementsysteem direct op orde. In de voorbereiding van uw accreditatie en vooral ook als de omgeving waarin u uw kwaliteitszaken blijvend meet, borgt en beheert. Als krachtige onderlegger voor verbetering, groei en succes! Yucan biedt u alle instrumenten om goed en structureel te werken met ISO U en uw collega s kunnen Yucan alleen of samenwerkend en naar keuze inzetten: om te zien waar u staat (evaluatie), voor een accreditatieproces (audit), om risico- en impactanalyses te maken (ontwikkelen), behandellijsten en acties te beheren (ontwikkelen), en projecten en plannen te beheren (ontwikkelen), Documentenbeheer (standaard beschikbaar), Rapportage en verslaglegging (standaard beschikbaar). Het proces van meting, verbetering en ontwikkeling tot en met borging wordt eenvoudig en beheersbaar. Op ieder moment en blijvend beschikbaar voor u en uw collega's. Jaar in jaar uit. Uw input blijft voor u bewaard. Doelmatige en gebruiksvriendelijke processen Inclusief alle benodigde instrumenten De inhoud van de norm is handzaam en doelmatig voor u opgedeeld, De normbeschrijvingen zijn toegankelijk gesteld, Er wordt informatieve en ondersteunende informatie geboden, U toetst op de eisen en kunt toelichtingen en verbeterpunten benoemen, Direct documenten toevoegen die uw conclusies onderbouwen of als bewijsmateriaal dienen, Inclusief geautomatiseerde rapportages Van NEN Deze internationale norm - NEN-ISO bevat principes en algemene richtlijnen voor risicomanagement. Deze internationale norm kan worden gebruikt door elke publieke, private of maatschappelijke onderneming, vereniging, groep of elk individu. Deze internationale norm is dan ook niet toegesneden op een specifieke bedrijfstak of sector. Deze internationale norm kan worden toegepast gedurende de gehele levenscyclus van een organisatie en op een breed scala aan activiteiten, zoals strategie- en besluitvorming, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten en bedrijfsmiddelen. Deze internationale norm kan worden toegepast op elk type risico, ongeacht de aard, en ongeacht of het positieve dan wel negatieve gevolgen heeft. Hoewel deze internationale norm generieke richtlijnen biedt, heeft de norm niet tot doel uniformiteit in risicomanagement tussen verschillende organisaties na te streven. Bij het ontwerp en de implementatie van plannen en kaders voor risicomanagement zal men rekening moeten

4 houden met de wisselende behoeften van een specifieke organisatie, haar specifieke doelstellingen, context, structuur, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten of bedrijfsmiddelen en de specifieke werkwijzen die in die organisatie worden toegepast. Deze internationale norm heeft tot doel risicomanagementprocessen in bestaande en toekomstige normen te harmoniseren. De norm biedt een gemeenschappelijke benadering ter ondersteuning van normen voor specifieke risico s en/of sectoren, en heeft niet tot doel deze normen te vervangen. Deze internationale norm is niet bedoeld voor certificering. Binnen uw account werken met meerdere normen en portfolio's Binnen uw account kunt u voor het werken met iedere afzonderlijke norm steeds een portfolio (uw werkruimte) activeren. Zo heeft u alles per norm georganiseerd. U kunt er voor kiezen binnen één portfolio samen te werken aan een norm. Ook kunt u voor ieder afzonderlijk deel van uw organisatie een eigen portfolio met de betreffende norm activeren. Per portfolio of door meerdere portfolio's te activeren kunt u andere betrokkenen aanwijzen en het beheer en de opvolging in uw organisatie spreiden. U en uw collega's kunnen gelijktijdig bij meerdere portfolio's betrokken zijn terwijl de regie centraal kan blijven. Inhoud Bekijk de inhoud via de betreffende tab hierboven. Werkwijze kiezen Kies een werkwijze door onder de tab 'Modules en proces' een combinatie van modules te kiezen. U kunt compact beginnen en altijd uitbreiden. U ziet daar het gekozen proces en of deze het beste bij uw doelstellingen past. U leest in het kort wat u in de verschillende modules kunt doen en wat uw output is. Rapportage Met een druk op de knop heeft u op ieder gewenst moment de beschikking over allerhande keurig verzorgde rapportages (scherm en pdf). Van de uitkomsten uit een enkel portfolio tot en met aggregaties uit verschillende portfolio s. Inclusief behandellijsten. projectoverzichten en jaarplannen. Meten is weten, maar dan Binnen Yucan kunt u kiezen voor alleen een evaluatie. U weet dan waar u staat. Door ook te kiezen voor de ontwikkelmodule geeft u snel, eenvoudig en structureel vorm aan uw ontwikkeling en verbetering. U kunt dit ook later doen d.m.v. een upgrade.

5 2. Modules en proces Proces in beeld

6 Evaluatie individueel Evaluatie - Conclusie U evalueert de in het portfolio aangeboden onderwerpen. U beantwoordt de vragen, geeft eventueel toelichtingen en benoemd verbeterpunten. Zo nodig voegt u per onderwerp onderbouwende documenten (bewijsstukken) toe. Conclusies uit een eventuele eerdere periode of (teamevaluatie) input van deelnemers aan de peiling kunt u met een druk op de knop kopiëren. Door u benoemde verbeterpunten worden - indien de ontwikkelmodule wordt gebruikt - ook automatisch in uw behandellijst getoond. U hebt de beschikking over uitgebreide rapportage van uw conclusies. Heeft u meerdere portfolio s? Dan kunt u de gegevens in rapporten combineren. Uw gegevens blijven bewaard en kunnen in een volgende periode eenvoudig worden hergebruikt.

7 3. Inhoud Deelweergave uit de norm (NEN-EN-ISO 31000: 2009 nl): 2009 Nederlands Normalisatie-instituut (NEN) 1. Inhoudsopgave Voorwoord Inleiding 1 Onderwerp en toepassingsgebied 2 Termen en definities 3 Principes 4 Kader 4.1 Algemeen 4.2 Mandaat en verbintenis 4.3 Ontwerp van een kader voor het managen van risico s Inzicht verkrijgen in de organisatie en haar context Vaststellen van risicomanagementbeleid Verantwoordelijkheid Integratie in processen van de organisatie Middelen Vaststellen van mechanismen voor interne communicatie en rapportage Vaststellen van mechanismen voor externe communicatie en rapportage 4.4 Implementatie van risicomanagement Implementatie van een kader voor het managen van risico s Implementatie van het risicomanagementproces 4.5 Monitoring en beoordeling van het kader 4.6 Continue verbetering van het kader 5 Proces 5.1 Algemeen 5.2 Communicatie en overleg 5.3 Vaststellen van de context Algemeen Vaststellen van de externe context Vaststellen van de interne context Vaststellen van de context van het proces van risicomanagement Vaststellen van risicocriteria 5.4 Risicobeoordeling Algemeen Risico-identificatie Risicoanalyse Risico-evaluatie 5.5 Risicobehandeling Algemeen Selectie van opties voor risicobehandeling Het opstellen en implementeren van plannen voor risicobehandeling 5.6 Monitoring en beoordeling 5.7 Registratie van het risicomanagementproces Bijlage A (informatief) Kenmerken van verbeterd risicomanagement Bibliografie

8 2. Onderwerp en toepassingsgebied Deze internationale norm bevat principes en algemene richtlijnen voor risicomanagement. Deze internationale norm kan worden gebruikt door elke publieke, private of maatschappelijke onderneming, vereniging, groep of elk individu. Deze internationale norm is dan ook niet toegesneden op een specifieke bedrijfstak of sector. OPMERKING Voor het gemak wordt elke gebruiker van deze internationale norm aangeduid met de algemene term organisatie. Deze internationale norm kan worden toegepast gedurende de gehele levenscyclus van een organisatie en op een breed scala aan activiteiten, zoals strategie- en besluitvorming, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten en bedrijfsmiddelen. Deze internationale norm kan worden toegepast op elk type risico, ongeacht de aard, en ongeacht of het positieve dan wel negatieve gevolgen heeft. Hoewel deze internationale norm generieke richtlijnen biedt, heeft de norm niet tot doel uniformiteit in risicomanagement tussen verschillende organisaties na te streven. Bij het ontwerp en de implementatie van plannen en kaders voor risicomanagement zal men rekening moeten houden met de wisselende behoeften van een specifieke organisatie, haar specifieke doelstellingen, context, structuur, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten of bedrijfsmiddelen en de specifieke werkwijzen die in die organisatie worden toegepast. Deze internationale norm heeft tot doel risicomanagementprocessen in bestaande en toekomstige normen te harmoniseren. De norm biedt een gemeenschappelijke benadering ter ondersteuning van normen voor specifieke risico s en/of sectoren, en heeft niet tot doel deze normen te vervangen. Deze internationale norm is niet bedoeld voor certificering. 3. Inleiding Ongeacht type en omvang van de organisatie, wordt elke organisatie geconfronteerd met interne en externe factoren en invloeden die ertoe leiden dat het onzeker is of en wanneer zij haar doelstellingen zal behalen. Het effect dat deze onzekerheid heeft op de doelstellingen van de organisatie, is risico. Alle activiteiten van een organisatie zijn onderhevig aan bepaalde risico s. Organisaties managen risico s door deze te identificeren en te analyseren, en vervolgens te beoordelen of het risico behoort te worden aangepast door middel van risicobehandeling, zodat aan de risicocriteria van de organisatie wordt voldaan. Gedurende dit proces communiceren en overleggen de organisaties met belanghebbenden en monitoren en beoordelen ze het risico en de beheersmaatregelen die het risico aanpassen om ervoor te zorgen dat geen verdere risicobehandeling nodig is. Dit systematische en logische proces wordt in deze internationale norm in detail beschreven. Hoewel elke organisatie tot op zekere hoogte risico s managet, wordt in deze internationale norm een aantal principes beschreven waaraan moet worden voldaan wil er sprake zijn van doeltreffend risicomanagement. In deze internationale norm wordt aanbevolen dat een organisatie een kader ontwikkelt, implementeert en continu verbetert dat tot doel heeft het proces van risicomanagement te integreren in het algemene bestuur ( governance ), de strategie en planning, het management, de rapportageprocessen, beleid(slijnen), waarden en cultuur van de organisatie.

9 Risicomanagement kan zowel worden toegepast op een organisatie als geheel, op al haar afdelingen en niveaus, op elk moment, als op specifieke functies, projecten en activiteiten. Hoewel de praktijk van risicomanagement zich in de loop der tijd in vele sectoren heeft ontwikkeld om aan allerlei behoeften te voldoen, kan de implementatie van consistente processen in een breed kader ertoe bijdragen dat risico s doeltreffend, doelmatig en op een coherente wijze worden gemanaged in alle lagen van de organisatie. De generieke benadering die in deze internationale norm wordt beschreven, omvat principes en richtlijnen voor het management van alle vormen van risico s op een systematische, transparante en betrouwbare wijze, binnen elke reikwijdte en context. Elke specifieke sector of toepassing van risicomanagement wordt gekenmerkt door eigen behoeften, publiek, inzichten en criteria. Een belangrijk kenmerk van deze internationale norm is dan ook de opname van het vaststellen van de context als activiteit aan het begin van het generieke risicomanagementproces. Bij het vaststellen van de context worden de doelstellingen van de organisatie beschreven, de omgeving waarin de organisatie deze doelstellingen wil behalen, wie de belanghebbenden zijn en de diversiteit aan risicocriteria. Al deze factoren helpen de aard en complexiteit van de risico s vast te stellen en te beoordelen. Als risicomanagement wordt geïmplementeerd en onderhouden overeenkomstig deze internationale norm, zal het een organisatie in staat stellen, bijvoorbeeld: de kans te vergroten dat zij haar doelstellingen behaalt; proactief management te stimuleren; bewust te zijn van de noodzaak tot het identificeren en behandelen van risico s in alle lagen van de organisatie; identificatie van kansen en bedreigingen te verbeteren; te voldoen aan relevante eisen uit wet- en regelgeving en internationale normen; verplichte en vrijwillige vormen van rapportage te verbeteren; bestuur ( governance ) te verbeteren; voor meer vertrouwen onder haar belanghebbenden te zorgen; een betrouwbare basis te leggen voor besluitvorming en planning; beheersmaatregelen te verbeteren; middelen voor risicobehandeling doeltreffend toe te wijzen en te benutten; de operationele doeltreffendheid en doelmatigheid te verbeteren; de arboprestaties te verbeteren, evenals de bescherming van het milieu; reventie van verliezen en incidentmanagement te verbeteren; verliezen te minimaliseren; leerprocessen in de organisatie te verbeteren; en het herstelvermogen van de organisatie te verbeteren. Deze internationale norm beoogt te voldoen aan de behoeften van diverse belanghebbenden, waaronder: a. personen die verantwoordelijk zijn voor de ontwikkeling van risicomanagementbeleid binnen de organisatie; b. personen die verantwoordelijk zijn voor het doeltreffend managen van risico s binnen de organisatie als geheel, of binnen een bepaalde afdeling, bepaald project of bepaalde activiteit; c. personen die moeten beoordelen in hoeverre een organisatie risico s doeltreffend managet; en d. personen die normen, richtlijnen, procedures en praktijkcodes ontwikkelen waarin volledig of deels uiteen wordt gezet hoe risico s moeten worden gemanaged in de specifieke context van deze documenten. In vele organisaties bevatten de huidige werkwijzen en beheersprocessen elementen van risicomanagement, en vele organisaties hebben al een formeel risicomanagementproces

10 geïmplementeerd voor bepaalde typen risico s of voor bepaalde omstandigheden. In dergelijke gevallen kan een organisatie ervoor kiezen een kritische beoordeling van de bestaande werkwijzen en processen uit te voeren in het licht van deze internationale norm. In deze internationale norm worden zowel de uitdrukkingen risicomanagement als het managen van risico s gebruikt. In algemene zin verwijst risicomanagement naar de architectuur (principes, kader en proces) voor het doeltreffend managen van risico s, terwijl het managen van risico s verwijst naar de toepassing van die architectuur op bepaalde risico s. 4. VOORBEELDEN VAN EISEN UIT DE NORM Informatieve en ondersteunende informatie, zowel tekstueel als grafisch beschikbaar in de norm inclusief inline bijlagen. De eisen zijn pragmatisch gegroepeerd en zodanig opgedeeld dat u er eenduidig mee kunt werken. U hebt op ieder punt de mogelijkheid om direct toelichtingen, verbeterpunten en ondersteunende documenten (of bewijsstukken) te plaatsen Integratie in processen van de organisatie Risicomanagement behoort te zijn ingebed in alle werkwijzen en processen van de organisatie, op een relevante, doeltreffende en doelmatige wijze. Het risicomanagementproces behoort een onderdeel te worden van deze organisatieprocessen, en behoort daar niet los van te staan. In het bijzonder behoort risicomanagement te zijn ingebed in beleidsvorming, zakelijke en strategische planning en beoordeling, en in processen voor veranderingsmanagement. Er behoort een organisatiebreed risicomanagementplan te zijn, om ervoor te zorgen dat het risicomanagementbeleid wordt geïmplementeerd en dat risicomanagement wordt ingebed in alle werkwijzen en processen van de organisatie. Het risicomanagementplan kan worden geïntegreerd in andere plannen van de organisatie, zoals een strategisch plan. a. Er is een organisatiebreed risicomanagementsplan. b. Risicomanagement is ingebed in alle werkwijzen en processen van de organisatie, op een relevante, doeltreffende en doelmatige wijze. c. Het risicomanagement is onderdeel geworden van de organisatieprocessen en staat daar niet los van. d. Risicomanagement is ingebed in beleidsvorming, zakelijke en strategische planning en beoordeling, en in processen voor veranderingsmanagement. e. Het risicomanagementplan kan worden geïntegreerd in andere plannen van de organisatie, zoals een strategisch plan Vaststellen van risicocriteria De organisatie behoort criteria vast te stellen aan de hand waarvan de belangrijkheid van het risico wordt beoordeeld. Deze criteria behoren een weerslag te vormen van de waarden, doelstellingen en middelen van de organisatie. Sommige criteria kunnen worden voorgeschreven door, of worden ontleend aan, eisen uit wet- en regelgeving en andere eisen die de organisatie onderschrijft. Risicocriteria behoren te zijn afgestemd op het risicomanagementbeleid van de organisatie (zie 4.3.2); ze behoren te worden vastgesteld aan het begin van elk risicomanagementproces en continu te worden beoordeeld. Bij de vaststelling van de risicocriteria behoren onder meer onderstaande factoren (g t/m m) in overweging te worden genomen. a. De organisatie stelt de criteria vast aan de hand waarvan de belangrijkheid van het risico wordt beoordeeld. b. De criteria vormen een weerslag van de waarden, doelstellingen en middelen van de organisatie.

11 c. Criteria kunnen worden voorgeschreven door, of worden ontleend aan, eisen uit wet- en regelgeving en andere eisen die de organisatie onderschrijft. d. Risicocriteria zijn afgestemd op het risicomanagementbeleid van de organisatie. e. De organisatie stelt risicocriteria vast aan het begin van elk risicomanagementproces. f. De organisatie beoordeelt de risicocriteria continu. g. De organisatie overweegt bij de vaststelling van de risicocriteria de aard van en het type oorzaken en gevolgen die zich kunnen voordoen, en hoe die zullen worden gemeten. h. De organisatie bepaalt de definitie van het begrip waarschijnlijkheid. i. De organisatie bepaalt het tijdbestek voor waarschijnlijkheid en/of gevolg(en). j. De organisatie stelt het risiconiveau vast. k. De organisatie kent de gezichtspunten van belanghebbenden. l. De organisatie bepaalt het niveau waarop een risico aanvaardbaar of tolereerbaar wordt. m. De organisatie bepaalt of zij rekening behoort te houden met combinaties van meer risico s en zo ja, welke combinaties in overweging moeten worden genomen, en hoe.