Risico-expert Martin van Staveren analyseert kritisch de vorige week verschenen Global Risk Management Survey van risicoadviseur Aon. En nuanceert tegelijkertijd het onderzoek.
Een van de bevindingen in het onderzoek van Aon is dat het mondiale bedrijfsleven nog nooit zo slecht is voorbereid op risico’s als nu. Ook werd een risico top 10 gegeven. De vraag dringt zich daarbij op: zijn dit eigenlijk allemaal wel risico’s? Of is het meer een lijst met de belangrijkste aandachtspunten voor organisaties? En als dat zo is, maakt dat wat uit?
‘Risico is geen probleem’ is een stelling van Van Staveren die nogal eens een eye opener blijkt te zijn. ‘De essentie van dit onderscheid is dat een probleem er al wel is, terwijl een risico er nog niet is. Een risico is een onzekere gebeurtenis of situatie met effecten op doelen. Een risico kan optreden, maar dat is niet zeker. Of en wanneer dat gebeurt is onbekend en kan slechts worden voorspeld. Sommige risico’s treden nooit op. En pas als een risico optreedt, wordt het een probleem. Tenzij je er goed op voorbereid bent, dan kan het best meevallen.’
Onderscheid tussen risico’s en problemen
Van Staveren: ‘Zo bekeken is risico dus geen probleem, tenzij je er de ogen en oren voor sluit. Een groot voordeel van deze benadering is dat risicodossiers zo soms wel tot de helft kunnen inkrimpen, door alle bestaande problemen er uit te filteren. Problemen vergen immers een andere aanpak dan risico’s, omdat ze al manifest zijn. Ook verdwijnt zo de illusie dat een probleem zich vanzelf oplost, omdat het in het risicodossier staat en daarmee dus onzeker zou moeten zijn. Samenvattend, helder onderscheid tussen risico’s en problemen voorkomt veel misverstanden, en daarmee problemen.’
Een kritische blik op de Risico Top 10
Hoe gaat de mondiale risico top 10 er uitzien volgens de benadering van risico-is-geen-probleem? Van Staveren werpt er een kritische blik op, waarbij ook de oorzaken en gevolgen van risico’s worden meegenomen. Structuur brengen in risico’s is immers het begin van effectief risicomanagement.
1. Reputatieschade
Het risico op de nummer 1 positie, reputatieschade, is een gevolg van een opgetreden risico. Als zodanig is reputatieschade nietszeggend. Het risico dat het veroorzaakt is nodig om iets zinnigs over reputatieschade te kunnen zeggen.
2. Economische neergang
Economische neergang of langzaam economisch herstel zijn bestaande problemen en kunnen oorzaken van risico’s zijn. Wat die specifieke risico’s – ongewenste gebeurtenissen of situaties met als gevolg bijvoorbeeld reputatieschade – zijn zal per organisatie verschillen.
3. Toenemende concurrentie
Dit geldt ook voor toenemende concurrentie: dit is voor veel bedrijven gewoon een bestaand probleem en kan de oorzaak van verschillende risico’s zijn.
4. Veranderingen in wet- en regelgeving
Veranderingen in wet- en regelgeving worden pas risico’s zodra het gaat om onzekere veranderingen in die wet- en regelgeving met effecten op de organisatiedoelen. Al bekende veranderingen zijn weer bestaande problemen en mogelijk oorzaken van risico’s.
5. Cyberrisico’s
Pas met cybercriminaliteit / -risico’s, we zijn inmiddels bij nummer 5, hebben we het eerste echte risico te pakken. Dit zijn immers onzekere gebeurtenissen met in veel gevallen serieuze effecten – waaronder reputatieschade – op organisatiedoelen. Hierbij is cybercriminaliteit één van de oorzaken van cyberrisico’s, naast bijvoorbeeld datalekken van privacygevoelige informatie door een verloren USB stick.
6/7. Gebrekkige innovatie / onvermogen toptalent vast te houden
De nummers 6 en 7, gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften en onvermogen om toptalent aan te trekken en vast te houden, zijn weer typische gevallen van bestaande problemen. Waarmee ik ze niet gelijk van tafel wil vegen. Het kan zinvol zijn om voor je organisatie na te gaan welke onzekerheden van innovaties of veranderingen op de arbeidsmarkt relevante gevolgen voor de organisatiedoelen kunnen hebben. Dan worden het ineens relevante risico’s.
8. Onderbreking bedrijfsvoering
Onderbreking van de bedrijfsvoering is wel degelijk een risico, aangezien bedrijfscontinuïteit voor de meeste organisaties een belangrijk streven is. En dan gaat het niet alleen om een usual suspect als brand, het eerder genoemde cyberrisico is wellicht een veel belangwekkender oorzaak.
9. Politieke risico’s
Bij de politieke risico’s is het opvallende dat er onzekerheden aan zijn toegevoegd. Dit is bij de overige negen uit de top 10 niet gedaan. Duidt dit op het klassieke, en inmiddels achterhaalde, onderscheid tussen risico en onzekerheid? Een kloof die de laatste jaren zo mooi wordt gedicht door risico steeds meer te zien als het effect van onzekerheid op doelen. Deze benadering wordt onder andere gepropageerd door ISO, en recent ook door COSO.
10. Wettelijke aansprakelijkheid
Tot slot de wettelijke aansprakelijkheid, nummer 10. Wat is hierin de component onzekerheid? Is dat niet juridisch dichtgetimmerd voor de meeste producten of diensten? Of gaat het hier om onzekere claims, als gevolg van onduidelijkheden en daarmee onzekerheden in wettelijke aansprakelijkheid? Dan kan het inderdaad een risico worden.
Wat leert deze analyse ons?
1. De meeste risico’s uit de top 10 zijn bestaande problemen
Ten eerste dat drie van de tien risico’s inderdaad onomwonden risico’s betreffen: cyberrisico’s, onderbreking van de bedrijfsvoering en politieke risico’s. De overige zeven zijn grotendeels bestaande problemen, die een risico kunnen veroorzaken, of de gevolgen van opgetreden risico’s (reputatieschade, die op nummer 1 staat…). Zoals gezegd, problemen die er al zijn en risico’s die kunnen optreden vergen een ander aanpak. Daarom is het onderscheid van belang.
2. De lijst bestaat uit te algemene ‘risico-kreten’
Ten tweede dat een lijst met, wat kort door de bocht, ’10 risicokreten’ veel te algemeen is om organisatie-specifieke maatregelen op te baseren. Dit zie ik overigens ook vaak als resultaat van goedbedoelde risicosessies in organisaties. De oogst is dan een lijst met zeer vaag en incompleet geformuleerde risico’s – of problemen – waar dus geen gerichte besluiten over kunnen worden genomen. Dit leidt niet zelden tot frustratie van de betrokkenen, en daarmee vaak tot niets. Jammer van de verspilde tijd en energie. En de écht relevante specifieke risico’s blijven zo onder de radar.
3. De top 10 geeft inzicht in de belangrijkste zorgpunten van organisaties
Ten derde, met dank aan Aon voor het delen van het onderzoek, de top 10 geeft wél inzicht in de belangrijkste zorgpunten van organisaties, wereldwijd. Hier kun je op verschillende manieren je voordeel mee doen. Bijvoorbeeld door de tien risico’s en problemen specifiek te vertalen naar je eigen organisatie of afdeling, en op basis daarvan te besluiten of operationele of zelfs strategische actie nodig is. En vergeet niet ook die andere, lees positieve, kant van een risicobenadering: welke wakkere onderneming speelt in op de vele mogelijkheden om organisaties te helpen, om effectiever of efficiënter om te gaan met de top 10 risico’s / problemen? Dit is de risico als kans benadering. Bijvoorbeeld door er een blog over te schrijven.
Omgaan met onzekerheid
Tot slot de 73 procent bedrijven die hebben aangegeven de belangrijkste bedreigingen voor hun bedrijfsvoering niet onder controle te hebben. Misschien zijn dit juist wel de meest risicobewuste bedrijven. Organisaties die zich realiseren dat volledig in control zijn in de huidige VUCA wereld – volatiel, uncertain ofwel onzeker, complex en ambigue – niet meer van deze tijd is. De nieuwe realiteit is continu leren omgaan met onzekerheid, in plaats van vertrouwen op de illusie van zekerheid.
Risicogestuurd werken in de praktijk
Dr. Martin van Staveren staat voor anders omgaan met risico’s. Vanuit risicobureau VSRM adviseert hij allerlei soorten organisaties over realistisch risicomanagement. Hij is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.
