Risico? Kans bedoelt u! - Door Marco Gianotten

Risico is niet hetzelfde als onzekerheid. Onzekerheid is wanneer je de kans dat iets gebeurt niet kent. Risico is het kennen van de waarschijnlijkheid en het managen op basis van die imperfecte informatie. De discipline om risico's in te schatten - strategisch, financieel envoperationeel - en ernaar te handelen wordt omschreven als enterprise riskmanagement, ofwel ERM. In directiekamers wordt ERM een topic vanwege de verscherpte regulering van financiële autoriteiten en overheden, de verscherpte concurrentie - het is hard tegen hard - en omdat eenbeslissing over een nieuwe strategieeen bedrijf in de afgrond kan storten.

Wat gebeurt er wanneer de helft van de omzet verdampt dankzij concurrentie die ver onder uw kostprijs marktaandeel wint? Of wat als u een trend mist of een beoogde doorbraak innovatie flopt? Wat doet u wanneer uw overcomplexe IT het laat afweten en verkeerde informatie leidt tot chaos in besluitvorming en aansturing van productieprocessen? Deze vragen zijn geen fictie maar realiteit. Met ERM wentelt u de bedreigingen niet alleen af, maar vormt u ze om tot kansen. Er is geld te verdienen aan risico, zeker wanneer u het beter managet dan uw concurrenten. Er zijn diverse soorten risico: politiek, cultureel, economisch, technisch en op het gebied van millieu. IT valt daarbij onder technische risico's. IT levert voor de meeste bedrijven geen concurrentievoordeel meer op, maar vormt wel een risico wanneer het fout gaat. ERM focust zich ook op IT, waarbij de volgende vijf risicosoorten moeten worden gemanaged: continuïteit, toegangsmanagement, integriteit, compliance en verandermanagement. Onder continuïteit vallen bijvoorbeeld virussen, productiefouten in ERP, outsourcing van datacenters of te lateoplevering van een nieuw systeem. Bij toegangsmanagement gaat het om het managen van rechten, passwords en privacy. Integriteit beslaat zaken als vervuilde data en het niet compatibel zijn van dataformaten. AUDIT TRAIL Compliance behandelt de transparantie en controle van systemen, maar ook zoiets als het kunnen traceren van gevoelige e-mailen het bijhouden van een audit trail van mutaties in ERP. De laatste vorm, verandermanagement, gaat onder meer over gebruikers die nieuwe systemen niet accepteren of hete ffect dat training kan hebben op het benutten van nieuwe kansen. Deze vijf risico's laten zien dat IT een belangrijk stempel drukt op ERM. Diverse grote ondernemingen stellen chief complianceofficers (CCO's) aan. Hun verantwoordelijkheden 'vallen' onder ERM, terwijl juist CFO's, CIO's en andere topmanagers die boven de dagelijkse business kunnen uitkijken, degenen zijn die deze discipline kunnen verankeren. Bazel II, de Europese wetgeving op het gebied van risicobeperkingvoor banken, behandelt naast kapitaalrisico ook operationelerisico's die IT met zich meebrengt. Daarmee wordt compliance een bijproducten schiet de reikwijdtevan de CCO tekort. Ook voor SOX of IFRS geldt dat het bijproducten zijn van ERM en niet de focus. We moeten ervoor waken dat nieuwe regelgevingeen vrijbrief wordt om geïsoleerd naar risico te kijken. Angst is ook hiereen bijzonder slechte raadgever. Risico moet je ontwijken, oplossen, accepteren of transfereren. Dat is meer dan verzekeren. Het outsourcen van de productie door PhilipsCE aan contractmanufacturers past uitstekend binnen ERM. Verlaging van vaste kosten (kapitaalinvesteringen in eigen fabrieken), meer flexibiliteit om snelleren efficiënter nieuwe producten te lanceren: allemaal bewegingen om het risico te omzeilen gegijzeld te wordend oor een oud businessmodel. Marco Gianotten is directeurvan executive relationsbureau Giarte en oprichter van het kennisplatform 'Topmanagement en IT'. Hij is tebereiken via [email protected]