3LM / 3LoD / BIO / BIO / compliance risk management / Control framework / COSO 2017 / COSO ERM / governance / GRC / GRC software / GRC-software / handboek risicomanagement / IIA / iso31000 / ISO31000 ERM 2018 / Kaplan / management of risk / nieuwe ISO31000 / risico-leiderschap / risicoanalyse / risicosturing / Strategisch risicomanagement / three lines of defence / www.naris.com

Ken je deze 10 risicomanagement-modellen?

Geplaatst door

“Wat is risicomanagement?” is vaak de startvraag voor medewerkers of organisaties die met risicomanagement gaan beginnen of willen doorontwikkelen. Bij het zoeken naar antwoord op deze vraag zoeken veel mensen naar voorbeelden, modellen en best practices. In deze blog een overzicht van de belangrijkste risicomanagement documenten, frameworks en codes.

De meeste van deze documenten ontwikkelen continu door. De trend is zichtbaar dat risicomanagement steeds concreter wordt uitgewerkt. Ook wordt het steeds strategischer en krijgt cultuur steeds meer aandacht.

Hoe starten met risicomanagement? Lees de hele blog eens door en klik door op een vervolg-blog of de officiele site met het gehele document.

Risicomanagement modellen , frameworks COSO iso31000

10 frameworks rondom risicomanagement.

COSO 2017

In 2017 vernieuwd met als kern geen aparte lijstjes risico’s maar “Linking risk management to strategy and performance”. Een uitgewerkt risicomanagement model met 20 principes, die zeer goed bruikbaar zijn voor de implementatie en professionalisering van risicomanagement. De oude verplichte coso kubus wordt nog veel gebruikt door financiële instellingen en beursgenoteerde bedrijven maar ook zij moeten op termijn over naar de nieuwe versie.

Samenvatting nieuwe COSO

Uitwerking COSO in eerdere blogs in Nederlands en voorbeelden

ISO31000 2018

Een best practice document vanuit de ISO-stal. Overzichtelijk document (22 bladzijden) met goed omschreven standaardtaal. Het geeft een zeer goede structuur welke kan dienen als basis voor een beleidsdocument. De kracht is dat het een onderscheid maakt tussen:

-Kernwaarden risicomanagement (cultuur)

-Hoe implementeer je risicomanagement en (wie doet wat, wanneer en hoe?)

-Hoe voer je een risico-analyse uit.  (uit welke stappen bestaat een risicoanalyse?)

Opvallend is dat je je voor deze ISO31000 zelf niet kunt certificeren. Maar er zijn wel steeds meer normen zoals ISO9001 die wel verwijzen naar deze ISO31000.  De ISO31000 is marktleider in de publieke sector en wordt veel gebruikt in combinatie met het Kaplan model.

ISO31000

Uitwerking ISO in eerdere blogs en infographic

Kaplan 2012

Het model van Kaplan met de verdeling te voorkomen, strategische en externe risico’s is zeer behulpzaam om risicomanagement beter te positioneren in je organisatie. Ook de focus op de risicodialoog maakt het voor management en eerste lijn beter te accepteren. Dit model wordt veel gebruikt om risicomanagement uit de puur negatieve en operationele hoek te halen vooral binnen overheidsorganisaties. De combinatie met ISO31000 geeft structuur maar ook de juiste aandacht op directie-niveau.

Model Kaplan (vanuit Harvard Business Review)

Blogs over de praktijk Kaplan

Management of Risk 2010

Raamwerk dat voorkomt uit de PRINCE2 hoek en wordt veel in de context van projectmanagement gebruikt. Veel checklists en ook helder welke documenten noodzakelijk zijn. Denk hierbij aan risicoregister, risicostrategie, implementatiestrategie, etc. M_o_R vormt een geïntegreerd raamwerk met OGC-methoden en -modellen als ITIL®, PRINCE2®, MSP® en P3O®. Voor M_o_R kun je je laten certificeren. Veel IT- organisaties gebruiken dit model. Daarnaast zijn het wat grotere professionele organisaties als banken en verzekeraars, die ook zover gaan om hun medewerkers erin te certificeren.

Management of Risk website en link naar opleidingen

Link naar blog over 3 verschillende risicomanagement modellen waaronder M_o_R

3lines model (3LM) of 3 lines of defence model (3LoD) 2020

Vanuit de IIA  is het 3LoD recent aangepast naar het 3 lines model. Het model dient als hulpmiddel voor ontwerp van goede governance en legt de focus op de interne organisatie. Vooral belangrijk is de onafhankelijkheid van de 3e lijn. Dit model is wereldwijd geaccepteerd en wordt gezien als de standaard voor operationeel risicomanagement.

3 Lines model

Blog over 3 Lines Model

De Van Maanen Governance code 2016

De Nederlandse Corporate Governance Code (hierna: de Code) richt zich op de governance van beursgenoteerde vennootschappen. In elke nieuwe update van de governance code lijkt risicomanagement een steeds prominentere plek in te nemen. In de code van Van Maanen wordt aangegeven dat de raad van bestuur in ieder geval haar risicobereidheid dient vast te stellen en zelf een risicoanalyse uit te laten voeren. In deze governance code een aparte paragraaf over cultuur van de organisatie. Ook hier is de rol van internal audit door de jaren heen steeds sterker neergezet. Door de governance code kunnen bestuurders het onderwerp risicomanagement in woord en daad serieus te nemen.

Van Maanen governance code

Blogs concretisering risicomanagement binnen governance code

Baseline Informatiebeveiliging Overheid (BIO) 2019

Er bestond al enorm veel normering op informatiebeveiliging maar onlangs is deze voor overheden samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee belangrijke keuzes gemaakt, namelijk een sterke focus op governance en risicomanagement. Het is een zeer uitgebreid document met daarin ook heel concreet de uitwerking van de 114 mogelijke beheersmaatregelen (controls).

BIO officiele document

Praktijk BIO

Risico-gestuurd werken 2015

Martin van Staveren heeft in zijn boek risicogestuurd werken ook een methode omschreven om risicomanagement binnen organisaties te structureren. Het woord werken in het begrip risicogestuurd werken geeft aan dat het moet worden opgenomen in je dagelijkse werk en dat in de werkprocessen 6 stappen moeten worden toegepast. Martin heeft meerdere boeken over risicoleiderschap geschreven. Kern van zijn denken is dat risicomanagement iets van de hele organisatie is, vandaar zijn nieuwste boek “iedereen risicoleider”. Veel overheids en semi-overheidsorganisaties zijn gecharmeerd van de aanpak van Van Staveren.

Artikel over methode van Staveren

Link naar boek risicogestuurd werken

RISMAN -methode 1992-1999

RISMAN is een methodiek die vooral binnen de infrastructurele en projecten wereld bekend is. De RISMAN-methode is een methode voor risicomanagement die van oorsprong is ontwikkeld voor projecten. Destijds is Rijkswaterstaat samen met specialist Twynstra & Gudde de initiator geweest. Vooral de risicobrillen voegen veel waarde toe. Met behulp van deze brillen wordt het project beschouwd vanuit de volgende invalshoeken, zodat een integraal risico beeld wordt verkregen. Dit model richt zich echt op het uitvoeren van een risico-analyse. Het boek Risicomanagement voor projecten geschreven door Daniella van Well-Stam blijft door zijn simpelheid nog steeds een aanrader.

Boek; Risicomanagement voor projecten, De RISMAN-methode toegepast

Link naar aanpak op website Twynstra & Gudde

 

Watermeloen model 2020

Als Naris zelf hebben wij ook een nieuwe aanpak; het watermeloen-model als basis voor risk-control. Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is dus veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing en zijn. En ook welke controls ‘in place’ zijn.

Blog naar watermeloen model en webinar over “is de tweede lijn sterk genoeg?

Blog naar website met concrete uitleg over dit model.

Blog met uitleg achtergrond watermeloen model

Plaats een reactie