Een must-do: als CFO bouwen aan de risk maturity van je organisatie
Onmisbaar voor de CFO: gedegen risicomanagement. Martin Weltje, Directeur Risk, bij VLC & Partners adviseert organisaties, instellingen en familiebedrijven bij dit vraagstuk. In dit artikel belichten we het belang van goed risicomanagement en delen de tips en trends op risicogebied waar de CFO in 2023 rekening mee moet houden.
Effectief risicomanagement begint bij een goede risicoanalyse
‘Het mooiste vind ik het missiewerk’ zegt Martin Weltje (47) ‘er zijn nog maar weinig bedrijven echt risk mature en het is mooi om ze te helpen bij hun eerste stappen op dit punt.’ VLC & Partners is ontstaan uit de verzelfstandigde verzekeringstakken van ING en Van Lanschot. Hoewel VLC & Partners een onafhankelijke verzekeringsbroker is, is verzekeren maar een deel van het proces op weg naar risicovolwassenheid. Weltje noemt vier belangrijke aspecten van risicomanagement: ‘Accepteren, mitigeren, vermijden en overdragen. Sommige risico’s zijn te groot of te onvoorspelbaar, dus dan kun je als bedrijf zeggen: we accepteren ze. Andere risico’s kun je mitigeren, ofwel kleiner maken door preventie.’ Daarbij gaat het bijvoorbeeld om de brandveiligheid verbeteren of de veiligheid op de werkvloer verhogen. Je kan risico’s ook vermijden en de laatste stap is overdragen: dan betaal je een verzekering om je risico’s over te nemen.
‘Het eerste wat ik vraag als ik een bedrijf binnenkom: wat is het grootste risico dat je loopt?’ Dit doet Weltje om te kijken waar de veronderstelde risico’s zitten, om daarna te kijken naar waar de feitelijke risico’s liggen. Met comparatieve (claim)data kan Weltje en zijn team dan zien waar het gat zit tussen de veronderstelde en werkelijke risico’s en waar het risk management nog wat verbetering kan gebruiken. Risicomanagement is een samengesteld proces omdat het aan de ene kant een complexe business is die drijft op complexe modellen en grote hoeveelheden actuariële data, maar aan de andere kant ook op boerenverstand. ‘Het is soms heel praktisch werk. Dan kom je bijvoorbeeld in een fabriek met een grote kelder, en dan denken ze: dat is lekker handig, dus hebben ze daar allemaal hout opgeslagen. Maar niemand heeft er over nagedacht dat het dan wel heel snel gaat als de boel in de fik vliegt.’
Weltje stimuleert de CFO’s aan de andere kant van de tafel ook om bepaalde aspecten van de bedrijfsvoering vanuit een risicoperspectief te bekijken. Neem nou HR. ’Risico’s zitten ook in de menselijke hoek. Sommige bedrijven zijn volledig afhankelijk van een paar mensen. Stel dat ze naar de concurrentie willen, wat is er dan met ze afgesproken? Kun je ze een ander contract aanbieden? Of wat gebeurt er als ze ziek worden, draait het bedrijf dan niet meer door? Heb je een back up of een interne opleiding om vervangers klaar te stomen? Dat soort risico’s zitten niet in het verzekeringspalet, maar je kunt er wel over nadenken.’
Risicovolwassenheid betekent voor Weltje dat je op een neutrale manier met risico’s omgaat, waarbij het midden wordt gezocht tussen angstig alles oververzekeren en zakelijke kansen missen door overdreven voorzichtigheid, en overoptimistisch denken waardoor er belangrijke zaken over het hoofd worden gezien. ‘Het gaat om het opstellen van een pragmatische maar fatsoenlijke risicoanalyse.’ Wat daarbij helpt is een onorthodoxe gedachtenoefening: ‘We raden iedereen aan om een keer per jaar een middagje negatief te doen en op alle fronten te zeggen: stel nou dat, wat dan.’ Ongebruikelijk in het bedrijfsleven, waar negativiteit bepaald geen gewenste eigenschap is. Toch is het zinvol om af en toe een middagje te doemdenken als onderdeel van de risicomanagementstrategie. Uiteindelijk is het doel immers om juist negativiteit en angst weg te nemen. ‘Na een middagje risicoanalyse slaap je gewoon wat lekkerder.’
Vooruitblik 2023: van toename cyberrisico en aansprakelijkheidsrisico tot business continuity plans ter voorbereiding op onvoorziene incidenten
Vooruitkijkend naar 2023 ziet Weltje een paar belangrijke trends. ‘Datatoepassingen komen er steeds meer aan. We hebben het nu niet meer over Google en Meta die gebruik maken van data, maar ook gewone bedrijven. Dat heeft gevolgen voor de persoonsgegevensbeveiliging. Er zit ook risico aan de imagokant: stel je voor dat de data op straat komt te liggen.’ De draai naar data past sowieso in een verdere verhuizing van de business naar het digitale domein. Weltje adviseert om te investeren in zaken als gegevensbescherming, maar ook om cyberrisico mee te nemen in het verzekeringsplan, al is dat niet altijd even makkelijk. ’Alles wordt digitaal en daarmee neemt het cyberrisico toe. Die risico’s zijn lastiger verzekerbaar, zeker nu verzekeraars nu pas doorhebben wat het betekent in financiële termen.’ Het navigeren van complexe digitale platformen heeft trouwens ook gevolgen op het gebied van contracten en aansprakelijkheid: met het afnemen van digitale diensten in de platformeconomie ‘in de cloud’ in plaats van het draaien van in-house software nemen de complexe contractrisico’s toe.
De afgelopen jaren werd het nieuws gedomineerd door grote verstoringen van het zakelijke leven, zoals de coronapandemie en het vastlopen van het Suezkanaal. Weltje en zijn team krijgen daarom steeds meer aanvragen om mee te denken bij het opstellen van business continuity plans om er voor te zorgen dat de zaak kan blijven draaien, ook bij een cyberaanval of een verstoring in de logistieke ketens.
Nog los van de incidentele ‘zwarte zwanen’ zoals een vastlopend vrachtschip zijn de structurele problemen van de economie ook een bron van zorg, niet in de laatste plaats omdat bepaalde omstandigheden op een complexe manier interacteren en daarom voor onverwachte risico’s zorgen. Neem nou inflatie. ’Inflatie is ook een risico op zich, maar gecombineerd met een krappe arbeidsmarkt krijg je dat mensen eerder gaan switchen voor een hoger salaris als inflatiebescherming.’ Weltje illustreert het gevaar van inflatie met een ander voorbeeld. ’De verwachting is dat het aantal faillissementen stijgt. Als organisatie heb je kans dat je debiteuren de facturen niet meer kunnen betalen. Door een goede analyse snap je waar de risico’s zitten en kun je waar nodig mitigerende maatregelen treffen’.
Tot slot is er ook nog klimaatverandering. “Het weer wordt onvoorspelbaarder en we hebben meer te maken met extreem weer, ook in Nederland. Dan zie je bijvoorbeeld dat er in korte tijd meer regen naar beneden komt en dat geeft meer schade. Wereldwijd is dat een enorm probleem. Aan de andere kant heb je ook droogte. Bedrijven moeten evalueren wat deze climate change veranderingen teweeg brengen voor hun business. Door het inschakelen van de juiste expertise kan je advies inwinnen over de risico’s waar je mee te maken hebt en hoe je hierop kunt anticiperen, bijvoorbeeld de wijze of locatie van bouwen of produceren.
Risicomanagement anno 2023
Gedegen risicomanagement is vandaag de dag een must-do voor elke organisatie, klein of groot. Het startpunt is een gedegen risicoanalyse waar je inzichtelijk maakt welke interne en externe bedreigingen er zijn en welke risico’s hieruit naar voren komen. Uit deze analyse komen inzichten die bepalen of je de risico’s accepteert, mitigeert, vermijdt of overdraagt. Zo werk je stap voor stap naar risk maturity van je organisatie.