Corona: breekijzer voor risk management

Sommige bedrijven hebben opvallend veerkrachtig gereageerd op nieuwe risico’s voortvloeiend uit de wereldwijde uitbraak van het covid-19-virus. Zie de gedwongen overstap naar massaal thuiswerken, de versnelde stap naar de cloud en het gebruik van 5G, omgaan met hick-ups in de supply chain en de versnelde implementatie van de digitale transformatie. Daarmee is de functie van risk management voor organisaties belangrijker dan ooit.

Nu de pandemie bedrijven anders laat kijken naar hoe ze omgaan met onzekerheden is er overduidelijk momentum voor een herwaardering van risk management binnen de organisatie. Iedereen werkzaam in dit vakgebied in het bedrijfsleven heeft door de corona-push een kans de eigen positie te verstevigen, een leidende rol te pakken in het optimaliseren van risicomanagement en het versnellen van de digitale transformatie. En last but not least de stakeholders ervan te overtuigen zich voor te bereiden op het volgende onvoorziene risico dat eraan komt. 

Onvoldoende waarde

Traditioneel enterprise risk management (ERM) kreeg voor de pandemie nogal eens het verwijt geen of onvoldoende tastbare waarde te genereren. Door nu oude onvolkomenheden in risk management aan te pakken kan met dank aan corona een sprong naar voren worden gemaakt. En dat is hard nodig. Uit een benchmark van AON blijkt dat maar liefst driekwart van de Nederlandse organisaties risico-onvolwassen is. Volgens de adviseur op het gebied van risico-oplossingen zijn er 9 kernfactoren van risicovolwassenheid:

  1. Betrokkenheid op bestuursniveau
  2. Uitvoerend leiderschap
  3. Transparante risicocommunicatie
  4. Een cultuur van risico-eigenaarschap
  5. Gegevens en analyses
  6. Deelname van belanghebbenden
  7. Risk-based besluitvorming
  8. Risicokwantificatie
  9. Geoptimaliseerd risicoprofiel

Normaal gesproken ligt de focus van risico-identificatie en -beoordeling bij bedrijven op de jaarlijkse horizon die samenvalt met de rapportagekalender. Dit maakt de beoordeling van kansen en bedreigingen op de langere termijn lastig. Evenals investeringen in de verbetering van de veerkracht als antwoord op deze bedreigingen. Al voor de pandemie kwam er echter verandering in dit kortetermijndenken, bijvoorbeeld in het denken over de effecten van klimaatverandering op de bedrijfsvoering. Deze verderreikende blik zou de standaard moeten worden bij risk management, om ervoor te zorgen dat de focus niet alleen ligt op de continuïteit, maar ook op de fundamentele duurzaamheid van het businessmodel.Veel organisaties scoren onvoldoende op meerdere factoren. En dat is zonde, want als je dit op orde hebt is de beloning groot: betere besluitvorming en stabiliteit. Dit vergt een actieve inzet: risicoanalyses, meer kennis en betrokkenheid op bestuursniveau, efficiënt risk management en tot slot geavanceerde kwantificeringsmethoden zijn nodig om organisaties risicovolwassen te maken.

Plausibel maar onwaarschijnlijk

Hoewel risicorapportages zekerheid geven over de doeltreffendheid van beheersmaatregelen, lukt het ERM vaak niet om inzicht te geven in de relevantie van ‘hoge impact, lage waarschijnlijkheid’-blootstellingen, zoals de Covid-19-pandemie. Bepalen hoeveel focus er moet zijn voor blootstellingen met een lage waarschijnlijkheid is lastig. Maar bestudering van risico’s die ‘plausibel maar onwaarschijnlijk’ zijn, zullen uiteindelijk resulteren in verbetering van de veerkracht mocht zo’n situatie zich toch voordoen. Om minder kwetsbaar te zijn voor schokken is het zinvol te rapporteren over risicotrends, dus in hoeverre de dreiging groeit of slinkt. Ook meer gebruikmaken van scenario-analyse is een aanrader.

Risk management is terughoudend in het gebruik van het oordeel van experts bij het beoordelen van risico’s. Het gebruik van modellen en statistische technieken staat het gebruik van een oordeel kennelijk in de weg. Veel risk managers zien kwalitatieve beoordeling als overtollig, subjectief en foutgevoelig. Toch zou risicobeoordeling door experts de statistische modellen moeten aanvullen, vooral wanneer historische ervaringen en andere data onvoldoende zijn om betrouwbare modellen te maken. 

Meer pragmatisme

Het verwijt dat risk management bedrijven te weinig waarde zou brengen, komt mede voort uit een gebrek aan pragmatisme van de kant van risk managers. Risicoraamwerken staan vaak bol van jargon en ingewikkelde en starre processen die betrokkenheid van de organisatie bij risk management dwarsbomen. Het gevolg is dat er vanuit de organisatie te weinig input komt voor het risico-identificatie- en beoordelingsproces. Met een commerciële blik naar risk management kijken, helpt bij de heroriëntatie van ERM als waardevolle discipline die inzicht en vooruitzicht kan verschaffen. Een structuur waarbij risk management direct gekoppeld is aan strategische of financiële afdelingen help daarbij. Risk management, compliance en interne auditfuncties moeten meer gezamenlijk optrekken om ervoor te zorgen dat afzonderlijke en niet-afgestemde inspanningen niet resulteren in onnodige doublures, zakelijke vermoeidheid en het per ongeluk introduceren van nieuwe kwetsbaarheden.

Van niet te onderschatten belang voor effectief risk management in de digitale transformatie is het hebben van een cultuur van verantwoordelijkheid in de hele eigen organisatie. Mensen moeten zich collectief meer bewust worden van de risico’s en hun rol in het verminderen of verzachten van die risico’s. De young professionals van Breinstein die een traineeship volgen op het gebied van Cyber Security, Informatiemanagement of Data Analytics, staan klaar om hun steentje hieraan bij te dragen. Onze Digital Natives zijn opgegroeid in het digitale tijdperk en blinken uit in zowel technologische als soft skills. Wij stomen ze klaar om organisaties future-proof te maken, ook op het gebied van risk management. In dit interview vertelt Barry Derksen van de Antwerp Management School (AMS) meer over het programma dat de universiteit speciaal voor Breinstein ontwikkelde voor young professionals die zich willen bekwamen in het vakgebied Cyber Security. Hierbij is er ook nadrukkelijk aandacht voor risk management.

;