Geschreven door: Martin van Staveren
“Bedrijven nog nooit zo slecht voorbereid op risico’s”. Dit is dé conclusie uit het Global Risk Management Survey 2017 van risicoadviseur Aon. Wereldwijd heeft amper een kwart van de bedrijven – 27 procent – de belangrijkste bedreigingen voor hun bedrijfsvoering onder controle. Het laagste percentage sinds Aon in 2007 is gestart met dit tweejaarlijkse onderzoek onder CEO’s, CFO’s en risk managers. In 2017 zijn er meer dan 1800 ondervraagd. Wat zijn die top risico’s en zijn dat eigenlijk wel risico’s? En is niet voorbereid zijn op de belangrijkste bedreigingen wel een zwakte, of juist een kracht?
Mondiale risico top 10
Wat is nu die mondiale risico top 10? Aon heeft de volgende lijst gepubliceerd:
- Reputatieschade
- Economische neergang of langzaam economisch herstel
- Toenemende concurrentie
- Veranderingen in wet- en regelgeving
- Cybercriminaliteit/-risico’s
- Gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften
- Onvermogen toptalent aan te trekken en vast te houden
- Onderbreking van de bedrijfsvoering
- Politieke risico’s en onzekerheden
- Wettelijke aansprakelijkheid
Natuurlijk zijn deze risico’s als trefwoorden weergegeven, om een leesbaar lijstje te krijgen. Toch dringt een prikkelende vraag zich op: zijn dit eigenlijk allemaal wel risico’s? Of is het meer een lijst met de belangrijkste aandachtspunten voor organisaties? En als dat zo is, maakt dat wat uit?
Risico is geen probleem
Dit is een stelling van me die nogal eens een eye opener blijkt te zijn. De essentie van dit onderscheid is dat een probleem er al wel is, terwijl een risico er nog niet is. Een risico is een onzekere gebeurtenis of situatie met effecten op doelen. Een risico kan optreden, maar dat is niet zeker. Of en wanneer dat gebeurd is onbekend en kan slechts worden voorspeld. Sommige risico’s treden nooit op. En pas als een risico optreedt, wordt het een probleem. Tenzij je er goed op voorbereid bent, dan kan het best meevallen.
Zo bekeken is risico dus geen probleem, tenzij je er de ogen en oren voor sluit. Een groot voordeel van deze benadering is dat risicodossiers zo soms wel tot de helft kunnen inkrimpen, door alle bestaande problemen er uit te filteren. Problemen vergen immers een andere aanpak dan risico’s, omdat ze al manifest zijn. Ook verdwijnt zo de illusie dat een probleem zich vanzelf oplost, omdat het in het risicodossier staat en daarmee dus onzeker zou moeten zijn. Samenvattend, helder onderscheidt tussen risico’s en problemen voorkomt veel misverstanden, en daarmee problemen.
Mondiale probleem top 10?
Hoe gaat de mondiale risico top 10 er uit zien volgens de benadering van risico is geen probleem? Laten we er eens een kritische blik op werpen, en daarbij ook de oorzaken en gevolgen van risico’s meenemen. Structuur brengen in risico’s is immers het begin van effectief risicomanagement.
Het risico op de nummer 1 positie, reputatieschade, is een gevolg van een opgetreden risico. Als zodanig is reputatieschade nietszeggend. Het risico dat het veroorzaakt is nodig om iets zinnigs over reputatieschade te kunnen zeggen. Economische neergang of langzaam economisch herstel zijn bestaande problemen en kunnen oorzaken van risico’s zijn. Wat die specifieke risico’s – ongewenste gebeurtenissen of situaties met als gevolg bijvoorbeeld reputatieschade – zijn zal per organisatie verschillen. Dit geldt ook voor toenemende concurrentie: dit is voor veel bedrijven gewoon een bestaand probleem en kan de oorzaak van verschillende risico’s zijn.
Veranderingen in wet- en regelgeving worden pas risico’s zodra het gaat om onzekere veranderingen in die wet- en regelgeving met effecten op de organisatiedoelen. Al bekende veranderingen zijn weer bestaande problemen en mogelijk oorzaken van risico’s.
Pas met cybercriminaliteit / -risico’s, we zijn inmiddels bij nummer 5, hebben we het eerste echte risico te pakken. Dit zijn immers onzekere gebeurtenissen met in veel gevallen serieuze effecten – waaronder reputatieschade – op organisatiedoelen. Hierbij is cybercriminaliteit één van de oorzaken van cyberrisico’s, naast bijvoorbeeld datalekken van privacygevoelige informatie door een verloren USB stick.
De nummers 6 en 7, gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften en onvermogen om toptalent aan te trekken en vast te houden, zijn weer typische gevallen van bestaande problemen. Waarmee ik ze niet gelijk van tafel wil vegen. Het kan zinvol zijn om voor je organisatie na te gaan welke onzekerheden van innovaties of veranderingen op de arbeidsmarkt relevante gevolgen voor de organisatiedoelen kunnen hebben. Dan worden het ineens relevante risico’s.
Onderbreking van de bedrijfsvoering is wel degelijk een risico, aangezien bedrijfscontinuïteit voor de meeste organisaties een belangrijk streven is. En dan gaat het niet alleen om een usual suspect als brand, het eerder genoemde cyberrisico is wellicht een veel belangwekkender oorzaak.
Bij de politieke risico’s is het opvallende dat er onzekerheden aan zijn toegevoegd? Dit is bij de overige negen uit de top 10 niet gedaan. Duidt dit op het klassieke, en inmiddels achterhaalde, onderscheid tussen risico en onzekerheid? Een kloof die de laatste jaren zo mooi wordt gedicht door risico steeds meer te zien als het effect van onzekerheid op doelen. Deze benadering wordt onder andere gepropageerd door ISO, en recent ook door COSO.
Tot slot de wettelijke aansprakelijkheid, nummer 10. Wat is hierin de component onzekerheid? Is dat niet juridisch dichtgetimmerd voor de meeste producten of diensten? Of gaat het hier om onzekere claims, als gevolg van onduidelijkheden en daarmee onzekerheden in wettelijke aansprakelijkheid? Dan kan het inderdaad een risico worden.
De analyse van de mondiale top 10 risico’s is samengevat in onderstaande tabel.
Mondiale Top 10 Risico’s | ||
Nr. | Beschrijving | Analyse |
1 | Reputatieschade | Gevolg van een risico |
2 | Economische neergang of langzaam economisch herstel | Probleem / oorzaak van een risico |
3 | Toenemende concurrentie | Probleem /oorzaak van een risico |
4 | Veranderingen in wet- en regelgeving | Probleem / risico bij onzekere veranderingen |
5 | Cybercriminaliteit/-risico’s | Risico / criminaliteit is een van de oorzaken |
6 | Gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften | Probleem |
7 | Onvermogen toptalent aan te trekken en vast te houden | Probleem |
8 | Onderbreking van de bedrijfsvoering | Risico bedrijfscontinuïteit |
9 | Politieke risico’s en onzekerheden | Risico |
10 | Wettelijke aansprakelijkheid | Probleem / risico bij onduidelijkheden |
Wat leert deze analyse ons?
Wat kunnen we leren van deze kritische analyse van de mondiale risico top 10? Drie lessen. Ten eerste dat drie van de tien risico’s inderdaad onomwonden risico’s betreffen: cyberrisico’s, onderbreking van de bedrijfsvoering en politieke risico’s. De overige zeven zijn grotendeels bestaande problemen, die een risico kunnen veroorzaken, of de gevolgen van opgetreden risico’s (reputatieschade, die op nummer 1 staat…). Zoals gezegd, problemen die er al zijn en risico’s die kunnen optreden vergen een ander aanpak. Daarom is het onderscheid van belang.
Ten tweede dat een lijst met, wat kort door de bocht, “10 risicokreten” veel te algemeen is om organisatie-specifieke maatregelen op te baseren. Dit zie ik overigens ook vaak als resultaat van goedbedoelde risicosessies in organisaties. De oogst is dan een lijst met zeer vaag en incompleet geformuleerde risico’s – of problemen – waar dus geen gerichte besluiten over kunnen worden genomen. Dit leidt niet zelden tot frustratie van de betrokkenen, en daarmee vaak tot niets. Jammer van de verspilde tijd en energie. En de écht relevante specifieke risico’s blijven zo onder de radar.
Ten derde, met dank aan Aon voor het delen van het onderzoek, de top 10 geeft wél inzicht in de belangrijkste zorgpunten van organisaties, wereldwijd. Hier kan je op verschillende manieren je voordeel mee doen. Bijvoorbeeld door de tien risico’s en problemen specifiek te vertalen naar je eigen organisatie of afdeling, en op basis daarvan te besluiten of operationele of zelfs strategische actie nodig is. En vergeet niet ook die andere, lees positieve, kant van een risicobenadering: welke wakkere onderneming speelt in op de vele mogelijkheden om organisaties te helpen, om effectiever of efficiënter om te gaan met de top 10 risico’s / problemen? Dit is de risico als kans benadering. Bijvoorbeeld door er een blog over te schrijven.
Tot slot de 73 procent bedrijven die hebben aangegeven de belangrijkste bedreigingen voor hun bedrijfsvoering niet onder controle te hebben. Misschien zijn dit juist wel de meest risicobewuste bedrijven. Organisaties die zich realiseren dat volledig in control zijn in de huidige VUCA wereld – volatiel, uncertain ofwel onzeker, complex en ambigue – niet meer van deze tijd is. De nieuwe realiteit is continu leren omgaan met onzekerheid, in plaats van vertrouwen op de illusie van zekerheid.
Dr. Martin van Staveren staat voor anders omgaan met risico’s. Vanuit risicobureau VSRM adviseert hij allerlei soorten organisaties over realistisch risicomanagement. Hij is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.
Met dank aan de bron van Aon
Opleidingen op het gebied van Risicomanagement
Opleiding Risicomanagement en Gedragsverandering voor de overheid en non-profit
Risicomanagement staat hoog op de agenda bij veel overheidsinstellingen en non-profit organisaties. Tijdens deze intensieve opleiding krijgt u binnen 5 dagen alle kennis die noodzakelijk is om risicomanagement optimaal vorm te geven binnen uw organisatie.
Opleiding Risicomanagement voor de profit sector
In een tijd met veel disruptie en concurrentie moeten bedrijven hun bedrijfsstrategie continu optimaliseren. Risicomanagement is hierbij cruciaal. Tevens vragen toezichthouders meer op dit gebied, zoals binnen de Herziene Nederlandse Corporate Governance Code. Bestuurders zullen hun ‘Risk Appetite’ en adequate risicobeheersingen controlesystemen moeten borgen binnen bedrijven om de continuïteit te realiseren. Tijdens deze opleiding krijgt u kennis, praktijkvoorbeelden en opdrachten om risicomanagement te verankeren.