Intern alles op orde? Drie pijlers om ook risico’s met externe oorzaken te kunnen beheersen.
Met de komst van het corona virus zijn er al honderden bedrijven die werktijdverkorting hebben aangevraagd. Veel bedrijven lijden onder dit externe risico dat opeens om de hoek komt kijken. In de 25 jaren die ik me met risicomanagement bezighoud, zie ik de aandacht voor risicomanagement enorm groeien. Dit heeft geleid tot veel aandacht voor beheersing van risico’s. Vooral risico’s met een interne oorzaak worden nu beter beheerst. In de top tien Global Risks die Aon naar buiten bracht, zie je dat het aandeel risico’s met een externe oorzaak is gegroeid. Een virus stond daar overigens nog niet bij, maar dat zal in de toekomst wel anders zijn. Door de toenemende aandacht voor de beheersing van interne risico’s, hebben organisaties die steeds beter beheerst en neemt het aandeel van interne risico’s in een top tien dus ook logischerwijze af. Daarnaast wordt de wereld steeds complexer en afhankelijker, waardoor de externe risico’s toenemen: virussen, cyberrisico’s, dynamische marktontwikkelingen, politieke risico’s, noem maar op.
Een belangrijke toename van externe risico’s hebben organisaties aan zichzelf te danken. Door steeds efficiënter te werken, passen de radertjes in een keten precies in elkaar. Maar als er een kink in de kabel komt, stagneert de keten en wordt deze opeens afhankelijk van andere onderdelen. Zo hadden de meeste organisaties 30 jaar geleden nog veel voorraden, nu worden veel goederen zoveel mogelijk ‘just in time’ geleverd.
Verleden jaar was ik bij BMW in München waar de 3- en 4-serie wordt gemaakt. Hun grootste risico voor de productie zijn de files rondom München, omdat er door ruimtegebrek voor slechts drie uur voorraden aanwezig zijn. Als de bevoorrading stagneert, is er opeens een probleem. Dit afhankelijkheidsrisico met een externe oorzaak is door keuzes van BMW zelf groter geworden, doordat ze de beschikbare ruimte zijn gaan gebruiken voor productie in plaats van voorraden. Veel organisaties hebben dezelfde keuze gemaakt, waardoor ze minder robuust en weerbaar zijn geworden, maar wel efficiënter en winstgevender. Ook op financieel vlak geldt dit, voor bijvoorbeeld een geoptimaliseerd hefboommechanisme voor financiering. Als het dan even tegen zit, raakt het je meteen!
Zolang iedereen netjes zijn verplichtingen nakomt is er niets aan de hand. Maar door de toenemende complexiteit en externe risico’s – een virus, gehackt worden – kan de situatie snel veranderen. Voor de beheersing van risico’s met externe oorzaken behoren organisaties hun risicomanagement en compliance goed in te richten. Denk daarbij aan de volgende drie hoofdpunten: Met welke scenario’s kan ik worden geconfronteerd? En hoe reageer ik daarop? Heb je als organisatie een oplossing als je leverancier niet meer kan leveren of als je data worden gekidnapt en je niets meer kunt doen? Teveel Te veel organisaties denken: dat overkomt ons toch niet. Het is beter om van te voren na te denken over hoe je gaat reageren als scenario’s zich voordoen. Ook al denk je dat het jou niet gaat raken. Ik ken veel organisaties die denken dat ze niet worden gehackt, omdat ze daarvoor niet interessant genoeg zijn. Zo werkt het niet. Algoritmen speuren het net af naar verouderde systemen en hacken alles wat ze tegenkomen. Wat ga je dan doen?Wat zijn alternatieve activiteiten om je doel te realiseren? Hoe gemakkelijk kun je iets alternatiefs bedenken en uitvoeren als het gebruikelijke niet meer lukt? Belangrijk is hierbij ook je financiële veerkracht. Hoe lang kun je het uitzingen als het tegenzit? Wat is je balans tussen efficiëntie en robuustheid? Risico’s met externe oorzaken zullen de komende jaren steeds verder toenemen. Als directe beheersing geen optie is, moeten we klaar zijn om snel te kunnen reageren als een risico zich voordoet.
Het kan daarom nooit kwaad om nog eens goed te kijken naar hoe effectief je risicomanagement echt is!
Geert Haisma