Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Risicobeoordeling van wet

advertisement 
Special
Risicobeoordeling van wet- en
regelgeving volgens ISO 19600
met het bowtie-model
De definitieve richtlijn ISO 19600 is eind 2014 gepubliceerd. Deze richtlijn voor compliance management geeft
een organisatie een extra handvat om zo goed mogelijk te voldoen aan wet- en regelgeving en aan normen
die de onderneming zichzelf stelt. Een belangrijk onderdeel van de nieuwe richtlijn is de risicobeoordeling. Op
basis hiervan kan een organisatie prioriteiten stellen. Zo kan de meeste aandacht uitgaan naar verplichtingen
met de grootste risico’s bij het niet naleven. Het bowtie-model is een bijzonder bruikbare methode om deze
risicobeoordeling uit te voeren.
Michiel Bareman, ERC Management Advies en mede-eigenaar Panoptys, software voor compliance
Over compliance management in het kader van ISO 14001
en OHSAS 18001 heeft de Stichting Coördinatie Certificatie
Milieu- en Arbomanagementsystemen (SCCM) negen praktische stappen uitgewerkt in het informatieblad ‘naleving
van wet- en regelgeving met milieu- en arbomanagementsysteem’ (zie kader).
In de praktijk worstelen veel bedrijven met de uitvoering van
deze negen stappen. Dit heeft verschillende redenen. Op
de eerste plaats is het een tijdrovend proces. Er zijn heel
veel documenten die in het register wet- en regelgeving
thuishoren. Het uitwerken van al die verplichtingen in consequenties voor het bedrijf en het vaststellen en uitvoeren
van daarbij behorende taken is een forse inspanning. Op
de tweede plaats vergt de grote hoeveelheid nieuwe en
veranderende regelgeving uit Den Haag en Brussel een
Negen stappen in compliance management volgens SCCM
1. Commitment tot naleving
2. Bepalen relevante wet- en regelgeving
3. Bijhouden wijzigingen wet- en regelgeving
4. Consequenties wettelijke eisen
5. Uitvoeren maatregelen voor compliance
6. Borging maatregelen om compliance te realiseren
7. Eigen beoordeling voldoen aan wet en regelgeving
8. Interne audit
9.Directiebeoordeling
30
voortdurende actualisering van het compliance managementsysteem. Ook dat kost veel werk. Bedrijven slagen er
niet altijd in om daarvoor de tijd beschikbaar te maken.
Risicobenadering in ISO 19600
De nieuwe norm ISO 19600 Compliance managementsysteem - Richtlijnen geeft compliance management verdere invulling. Een nieuw onderdeel is de risicobeoordeling die
moet worden uitgevoerd (zie kader op de volgende pagina).
De vraag dringt zich op wat het nut is van een risicobenadering bij wettelijke eisen. Iedere wettelijke verplichting
moet immers worden nageleefd. Eerst moet de vraag
beantwoord worden of het risico beoordeeld moet worden
op het niet naleven van een wet of regeling als geheel,
of op ieder voorschrift uit die wet afzonderlijk. Het eerste
lijkt niet de bedoeling van ISO 19600 en in het laatste
geval is de praktische uitvoerbaarheid in het geding. Een
register wet- en regelgeving bevat regelmatig 100 of meer
documenten met ieder gemiddeld 100 voorschriften. Dat
betekent dat er zo’n 10.000 ‘compliance obligations’ zijn!
Het uitvoeren van een risicoassessment over zo’n enorme
hoeveelheid verplichtingen is feitelijk ondoenlijk.
In 2006 hebben de provincie Zeeland, de VROM-Inspectie
en Thermphos in de Pilot Compliance Management hierover
afgesproken dat de risicobeoordeling gericht moet zijn op
het vinden van een adequaat niveau van borging. Het is
namelijk onwerkbaar om op elke wettelijke verplichting
een even zwaar borgingsmechanisme te zetten. Dit geeft
Special
Identificatie, analyse en evaluatie van compliance risico’s
volgens ISO 19600
“Compliance risk can be characterized by the likelihood of occurrence and the
consequences of noncompliance with the organization’s compliance obligations.”
“The organization should identify and evaluate its compliance risks. This evaluation
can be based on a formal compliance risk assessment or conducted via alternative
approaches. Compliance risk assessment constitutes the basis for the implementation of the compliance management system and the planned allocation of appropriate and adequate resources and processes to manage identified compliance risks.
The organization should identify compliance risks by relating its compliance obligations to its activities, products, services and relevant aspects of its operations in
order to identify situations where noncompliance can occur. The organization should
identify the causes for and consequences of noncompliance.
The organization should analyse compliance risks by considering causes and
sources of noncompliance and the severity of their consequences, as well as the
likelihood that noncompliance and associated consequences can occur.”
Bron: ISO 19600:2014
problemen met de beschikbare mankracht.1 Deze aanpak
wordt nu bevestigd in ISO 19600.
Risicobeoordeling in normen en wetgeving
In de managementsysteemnormen zoals ISO 14001 en
OHSAS 18001, en ook volgens de nieuwe HLS, was altijd
al een risicobeoordeling verplicht. Hierbij gaat het niet om
‘compliance obligations’, maar om een risicobeoordeling
voor respectievelijk het milieu of de in- en externe medewerkers in het bedrijf. In principe staat deze risicobeoordeling los van de wettelijke eisen en de naleving daarvan,
maar in de praktijk blijkt er een grote overlap te zijn.
Soms is deze overlap zelf wettelijk vastgelegd. Het Besluit
risico’s zware ongevallen (Brzo), het Besluit externe veiligheid buisleidingen (Bevb) en de Arbowet zijn hier goede
voorbeelden van. In deze regelingen wordt een risicobeoordeling verplicht, inclusief een managementsysteem om
de maatregelen uit de risicobeoordeling te implementeren
en te borgen. Terwijl andere richtlijnen juist alleen maar
middelvoorschriften bevatten. PGS 292 is hiervan een goed
voorbeeld. Deze verschillende benaderingen in wet- en
regelgeving zorgen ervoor dat een Brzo-bedrijf met opslag
van gevaarlijke stoffen in een opslagtank enerzijds een
risicobeoordeling moet uitvoeren op basis van het Brzo
en anderzijds gewoonweg de middelvoorschriften uit PGS
29 moet opvolgen.3 Veel bedrijven ervaren dit vanwege
de discrepantie als onwenselijk en soms onmogelijk. Door
de wettelijke eisen en de bedrijfsrisico’s in samenhang
te beoordelen, ontstaat een meer praktische en efficiënte
benadering, die ook goed werkt voor de risicobeoordeling
als bedoeld in ISO 19600. De risicoanalysemethode bowtie
(zie hieronder) biedt hiervoor een uitstekende mogelijkheid. Daarbij is het niet noodzakelijk gebruik te maken van
software, zoals in de voorbeelden hierna gebeurt.
Bowtie: een krachtig instrument voor risicoanalyse
De bowtie-methode geeft op een systematische en efficiënte manier een beeld van de risico’s in een organisatie en van mogelijke preventieve en
mitigerende maatregelen. Bowtie gaat uit van verschillende scenario’s. Het model combineert risico’s, bedreigingen, en preventieve en mitigerende
maatregelen in één model. Dat maakt het tot
een krachtig instrument. Het model kan een
beeld geven van de manier waarop (in complexe systemen) risico’s worden beheerst en
gemanaged. Hierbij kan een directe koppeling
worden gemaakt met specifieke organisatorische
factoren, zoals risicoperceptie, gedrag, cultuur en
aanwezige middelen en competenties. Het plaatje
(de ‘bowtie’) geeft een eenvoudig beeld van een
complexe risicoanalyse. Begrijpelijk voor zowel
het (hoger) management als de mensen op de
werkvloer. Zie verder: www.youtube.com, ‘The
BowTie method in 5 minutes’.
KAMNieuwsbrief 4 / 2014
31
Sectorspecifiek
Figuur 1 - Bowtie-model met middel- en doelvoorschriften
Doel- en middelvoorschriften in wetgeving
Wetgeving kan worden gezien als een maatschappelijke
risicobeoordeling met daaraan gekoppeld doelvoorschriften
en/of middelvoorschriften. De wetgever bepaalt hierbij welke situatie hij wil voorkomen (doelvoorschriften) en welke
maatregelen om die reden moeten worden genomen (middelvoorschriften). Doelvoorschriften zijn ofwel de maximaal
toegestane consequenties ofwel de ‘Top event’ (ook wel
Loss of Control genoemd) die moet(en) worden voorkomen.
Middelvoorschriften kunnen in het bowtie-model worden
gezien als beheersmaatregelen (zie figuur 1).
Over het algemeen zijn er meer maatregelen die op een gelijkwaardige manier invulling geven aan het doelvoorschrift.
Vaak wordt dit niet onderkend in wetgeving gebaseerd
Figuur 2 - Risico’s van brand voor diverse dimensies, voor
en na het treffen van beheersmaatregelen
32
op middelvoorschriften en worden er geen alternatieven
geboden.
Door de mogelijke consequenties met behulp van een
risicomatrix te beoordelen, kan het risico voor iedere consequentie worden bepaald met behulp van de formule Risico
= Kans x Effect. Het risico is dan gelijk aan de kans dat een
consequentie optreedt vermenigvuldigd met de ernst van
deze consequentie. Voor iedere consequentie kunnen de
risico’s voor meerdere aspecten worden bepaald, bijvoorbeeld milieu, veiligheid, kwaliteit en financiën. In figuur 2
zijn de inherente risico’s voor de consequentie ‘brand’ voor
vier verschillende dimensies aan de bovenzijde getoond
(E3 – D4). Onderaan worden de risico’s getoond als er
beheersmaatregelen getroffen zijn (C1 – B2). Naarmate
het inherente risico hoger is (‘rood’ of ‘oranje’), moeten de
beheersmaatregelen talrijker en/of betrouwbaarder zijn.
De doelen van een wettelijke regeling kunnen we vertalen
naar consequenties of een top event in het bowtie-model.
Vervolgens kunnen we per consequentie of top event
de risico’s inschatten met de risicomatrix. Omdat middelvoorschriften altijd nageleefd moeten worden, nemen
we ze direct als beheersmaatregelen op in het bowtiemodel. Afhankelijk van het risico dat het optreden van
een consequentie met zich meebrengt, kunnen we ook
andere beheersmaatregelen implementeren. Of we kunnen
met een hogere onderhouds- of beoordelingsfrequentie
de betrouwbaarheid verhogen van de reeds opgenomen
beheersmaatregel (in casu het middelvoorschrift).
Sectorspecifiek
De bowtie en PGS 29
Aan de hand van PGS 29 werken we dit uit in een voorbeeld. In figuur 3 zijn in een bowtie de bedreigingen en de
consequenties voor het top event van PGS 29, ‘vrijkomen
tankinhoud’ weergegeven.
model worden gemaakt met de LOC (Loss Of Containment) ‘vrijkomen tankinhoud’ en de consequenties brand,
explosie, bodemverontreiniging, vrijkomen H2S en vrijkomen
VOS (Vluchtige Organische Stoffen). De LOC en de vijf consequenties worden geanalyseerd met behulp van een risicomatrix. De hoogte van de risico’s is vervolgens bepalend
voor de gewenste bedrijfszekerheid, en dus de borging, van
de verschillende verplichte beheermaatregelen. In figuur 4
is dit uitgelicht voor de bedreiging ‘overvullen’ en het gevolg
‘brand’. Opgenomen zijn alleen maatregelen uit PGS 29.
Als een bedrijf andere beheersmaatregelen wil nemen dan
de maatregelen opgenomen in PGS 29, dan kan dat onder
voorwaarden3. De bowtie geeft daarbij een goed overzicht
om de alternatieven te bespreken met de overheid. Een
andere mogelijkheid is dat de middelvoorschriften uit PGS
29 wel worden getroffen maar een lagere borging krijgen in
verband met de niet-voorgeschreven maatregelen die het
bedrijf zelf al heeft geïmplementeerd.
De bowtie en risicobeoordeling volgens ISO 19600
Zoals eerder beschreven is van belang dat de bowtiemethode vooral als gedachtegang een goede richting kan
geven voor het uitvoeren van de risicobeoordeling conform
ISO 19600.
Figuur 3 - Bowtie voor topevent ‘vrijkomen van tankinhoud’
Paragraaf 2.2 van richtlijn PGS 29 geeft als algemeen doel:
het verkleinen van veiligheidsrisico’s. PGS 29 kent 275
verschillende voorschriften, vrijwel allemaal middelvoorschriften, zowel preventief als repressief. Op grond van de
verschillende paragrafen kan het bovenstaande bowtie-
Het is in veel gevallen niet noodzakelijk om software te
hebben om een bowtie uit te werken. Het gaat erom dat de
volgende stappen gevolgd worden:
1. Onderscheid maken in middel- en doelvoorschriften;
2.De doelvoorschriften vertalen naar consequenties en top
events en beoordelen op de omvang van het risico aan
de hand van een risicomatrix;
3.Middelvoorschriften relateren aan de consequenties en
top events;
Figuur 4 - Uitwerking beheersmaatregelen voor onderdeel van de bowtie
KAMNieuwsbrief 4 / 2014
33
Special
4.Volgens de bedrijfsrisicomatrix bepalen of meer consequenties en top events onderscheiden moeten worden;
5.Bij alle consequenties en top events bepalen of eigen
beheersmaatregelen nodig zijn naast of in plaats van de
middelvoorschriften uit de wet- en regelgeving;
6.Afhankelijk van de risico’s van de consequenties en top
events een onderhouds- of beoordelingsfrequentie bepalen bij de beheersmaatregelen (zowel de voorgeschreven
beheersmaatregelen als de eigen beheersmaatregel).
Conclusies
Op basis van het voorafgaande kunnen de volgende
conclusies worden getrokken:
1.De risicobeoordeling in ISO 19600 met behulp van de
bowtie is een waardevolle toevoeging om compliance
management praktisch uitvoerbaar te maken omdat
het helpt om een goede inschatting te maken van de
urgentie en zwaarte van beheersmaatregelen;
2.Door de risicobeoordeling uit ISO 19600 uit te voeren
met de bowtie methode, kan de wettelijke verplichte
risicobeoordeling (zoals Brzo, Bevb), risicobeoordeling
volgens ISO 14001, OHSAS 18001, ISO 55001 enzovoort en de risicobeoordeling volgens ISO 19600 in één
model worden uitgevoerd;
3.De beschreven methode geeft bij richtlijnen waar van de
beschreven middelvoorschriften mag worden afgeweken
een goed kader voor bedrijf en overheid om af te wegen
of deze alternatieven een zelfde borging geven;
4.Tot slot maakt de beschreven werkwijze helder dat
wet- en regelgeving gebaseerd op middelvoorschriften
kan worden verbeterd door eerst helder de doelen en
bedreigingen te beschrijven en voor de middelvoorschriften meerdere alternatieven op te nemen.
Meer informatie
Voor meer informatie kunt u contact opnemen met
Michiel Bareman, telefoon 06 288 324 95, e-mail
[email protected].
Eindrapport Pilot Compliance Management Frontoffice
Chemie Juni 2008. Redactie: VROM
2
Richtlijn voor bovengrondse opslag van brandbare vloeistoffen in verticale cilindrische tanks
3
PGS 29 staat in principe andere oplossingen toe, zie §
2.3 PGS 29, maar in de praktijk blijkt daarover moeilijk
overeenstemming te krijgen met het bevoegd gezag.
4
Als de betreffende wet of regeling alternatieven toelaat
1
Michiel Bareman is werktuigbouwkundige en heeft zich gedurende zijn carrière ontwikkeld tot allround adviseur
op het gebied van milieu, risicomanagement en compliance. Jarenlang adviseerde hij gemeenten en provincies
over handhaving en vergunningverlening. De laatste 10 jaar adviseert hij Brzo en Bevb bedrijven over vergunningen, compliance en de implementatie van een Integraal managementmentsysteem waaronder ISO 14001,
en OHSAS 18001. Voor de implementatie van een Veiligheidsmanangementsysteem maakt hij oa gebruik van
BowtieXP. In 2012 startte Michiel het bureau ERC Management Advies. Sinds 2012 werkt hij 3 dagen per week
voor het BRZO bedrijf Abengoa als HSE consultant. In 2013 nam Michiel samen met Trin-It het initiatief om VMS
van het adviesbureau MWH over te nemen en uit te bouwen tot Panoptys, een software systeem voor compliance
management.
34
Related documents
PwC - Tilburg University
PwC - Tilburg University
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
The ultimate GDPR risk protection
The ultimate GDPR risk protection
Gedrag en cultuur in compliancemanagementsystemen
Gedrag en cultuur in compliancemanagementsystemen
`Huiskraai (Corvus splendens)` PDF document | 4 pagina`s
`Huiskraai (Corvus splendens)` PDF document | 4 pagina`s
grip op de organisatie = inzicht in de verschillen tussen
grip op de organisatie = inzicht in de verschillen tussen
ISO 19600 langs de wetenschappelijke maatlat door Carl de
ISO 19600 langs de wetenschappelijke maatlat door Carl de
normen voor compliance
normen voor compliance
ISO/TS 16949: een administratieve stroom en een
ISO/TS 16949: een administratieve stroom en een
Onderstaand artikel is de bijdrage van Hans Keller aan het boek
Onderstaand artikel is de bijdrage van Hans Keller aan het boek
Gerald Rutten is een ervaren interim compliance professional met
Gerald Rutten is een ervaren interim compliance professional met
De betekenis van de HLS
De betekenis van de HLS
Samenvatting Dossier Onderhoud Wat is
Samenvatting Dossier Onderhoud Wat is
Download
advertisement