Hoe goed is je risicomanagement echt?

Een serie blogs over succesmanagement.

Met de opkomst van het Corona virus zijn er al zo’n 130 bedrijven die werktijdverkorting hebben aangevraagd. Allen hebben te lijden onder dit externe risico dat opeens oppopt.
In de 25 jaren die ik me met risicomanagement bezig houdt, zie ik een ontwikkeling dat de aandacht voor risicomanagement enorm is gegroeid. Dit heeft geleid tot veel aandacht voor beheersing van risico’s. Vooral risico’s met een interne oorzaak worden beter beheerst.

Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en Moderator van de public peer group van het Controllers Netwerk.

In de top tien global risks die Aon een paar maanden geleden naar buiten bracht, zie je dat het aandeel risico’s met een externe oorzaak is gegroeid. Een virus stond daar overigens niet bij. Door de toenemende aandacht voor de beheersing van interne risico’s, hebben organisaties die steeds beter beheerst en neemt het aandeel van interne risico’s in een top tien dus ook logischerwijze af. Daarnaast wordt de wereld steeds complexer en afhankelijker, waardoor de externe risico’s toenemen: virussen, cyberrisico’s, dynamische marktontwikkelingen, nieuwe business modellen, noem maar op.

Efficiënt versus Robuust

Een belangrijke toename van externe risico’s hebben organisaties aan zichzelf te danken. Door steeds efficiënter te werken, passen de radertjes in een keten precies in elkaar. Maar als er een kink in de kabel komt, stagneert de keten en wordt opeens afhankelijk van andere onderdelen. Zo hadden de meeste organisaties 30 jaar geleden nog veel voorraden, nu wordt alles dagelijks just in time geleverd.

Verleden jaar was ik bij BMW in München waar de 3- en 4-serie wordt gemaakt. Hun grootste risico voor de productie zijn de files rondom München, omdat er door ruimtegebrek voor slechts drie uur voorraden aanwezig zijn. Als de bevoorrading stagneert, is er opeens een probleem. Dit afhankelijkheidsrisico met een externe oorzaak is door keuzes van BMW zelf groter geworden, doordat ze de beschikbare ruimte zijn gaan gebruiken voor productie in plaats van voorraden. Veel organisaties hebben dezelfde keuze gemaakt, waardoor ze minder robuust en weerbaar zijn geworden, maar wel efficiënter en winstgevender. Ook op financieel vlak geldt dit, voor bijvoorbeeld een geoptimaliseerd hefboommechanisme voor financiering. Als het dan even tegen zit, raakt het je meteen!

Hoe om te gaan met externe risico’s?

Zolang iedereen zijn verplichtingen nakomt is er niets aan de hand. Maar door de toenemende complexiteit en externe risico’s – een virus, gehackt worden –  kan de situatie snel veranderen. Voor de beheersing van risico’s met externe oorzaken behoren organisaties hun risicomanagement en compliance goed in te richten. Denk daarbij aan de volgende drie hoofdpunten:

• Met welke scenario’s kan ik worden geconfronteerd?
  En hoe reageer ik daarop? Heb je als organisatie een oplossing als je leverancier niet meer kan leveren of als je data wordt gekidnapt en je niets meer kunt doen?
   
• Neem scenario’s en signalen serieus.
  Teveel organisaties denken: dat overkomt ons toch niet. Het is beter om van te voren na te denken over hoe je gaat reageren als scenario’s zich voordoen. Ook al denk je dat het jou niet gaat raken. Ik ken veel organisaties die denken dat ze niet worden gehackt, omdat ze daarvoor niet interessant genoeg zijn. Zo werkt het niet. Algoritmen speuren het net af naar verouderde systemen en hacken alles wat ze tegenkomen. Wat ga je dan doen?
   
• Wees flexibel en veerkrachtig.
  Wat zijn alternatieve activiteiten om je doel te realiseren? Hoe gemakkelijk kun je iets alternatiefs doen als het gebruikelijke niet meer lukt? Belangrijk is hierbij ook je financiële veerkracht. Hoe lang kun je het uitzingen als het tegenzit? Wat is je balans tussen efficiëntie en robuustheid?

Risico’s met externe oorzaken zullen de komende jaren steeds verder toenemen. Als directe beheersing geen optie is, moeten we klaar zijn om snel te kunnen reageren als een risico zich voordoet.

Het kan nooit kwaad om nog eens goed te kijken naar hoe effectief je risicomanagement echt is!

Alle blogs van Geert Haisma voor u op een rij gezet.