Home > Risicomanagement > Mondiale risico-top 10, een analyse

Mondiale risico-top 10, een analyse

31-05-2017

top 10_432594010

“Bedrijven nog nooit zo slecht voorbereid op risico’s”. Dit is dé conclusie uit het Global Risk Management Survey 2017 van risicoadviseur Aon.

Wereldwijd heeft amper een kwart van de bedrijven – 27 procent – de belangrijkste bedreigingen voor hun bedrijfsvoering onder controle. Het laagste percentage sinds Aon in 2007 is gestart met dit tweejaarlijkse onderzoek onder CEO’s, CFO’s en risk managers. In 2017 zijn er meer dan 1800 ondervraagd.

Mondiale risico-top 10

Wat is nu die mondiale risico top 10? Aon heeft de volgende lijst gepubliceerd:

  1. Reputatieschade
  2. Economische neergang of langzaam economisch herstel
  3. Toenemende concurrentie
  4. Veranderingen in wet- en regelgeving
  5. Cybercriminaliteit/-risico’s
  6. Gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften
  7. Onvermogen toptalent aan te trekken en vast te houden
  8. Onderbreking van de bedrijfsvoering
  9. Politieke risico’s en onzekerheden
  10. Wettelijke aansprakelijkheid

Natuurlijk zijn deze risico’s als trefwoorden weergegeven om een leesbaar lijstje te krijgen. Toch dringt zich bij het zien van deze mondiale risico-top 10 een prikkelende vraag op: zijn dit eigenlijk allemaal wel risico’s? Of is het meer een lijst met de belangrijkste aandachtspunten voor organisaties? En als dat zo is, maakt dat wat uit?

‘Risico is geen probleem’

Dit is een stelling van me die nogal eens een eyeopener blijkt te zijn. De essentie van dit onderscheid is dat een probleem er al wel is, terwijl een risico er nog niet is. Een risico is een onzekere gebeurtenis of situatie met effecten op doelen. Een risico kan optreden, maar dat is niet zeker. Of en wanneer dat gebeurd is onbekend en kan slechts worden voorspeld. Sommige risico’s treden nooit op. En pas als een risico optreedt, wordt het een probleem. Tenzij je er goed op voorbereid bent, dan kan het best meevallen.

Zo bekeken is risico dus geen probleem, tenzij je er de ogen en oren voor sluit. Een groot voordeel van deze benadering is dat risicodossiers soms wel tot de helft kunnen inkrimpen, door alle bestaande problemen er uit te filteren. Problemen vergen immers een andere aanpak dan risico’s, omdat ze al manifest zijn. Ook verdwijnt zo de illusie dat een probleem zich vanzelf oplost, omdat het in het risicodossier staat en daarmee dus onzeker zou moeten zijn. Samenvattend: helder onderscheid tussen risico’s en problemen voorkomt veel misverstanden, en daarmee problemen.

Mondiale probleem-top 10?

Hoe gaat de mondiale risico-top 10 eruit zien volgens de benadering van ‘risico is geen probleem’? Laten we er eens een kritische blik op werpen, en daarbij ook de oorzaken en gevolgen van risico’s meenemen. Structuur brengen in risico’s is immers het begin van effectief risicomanagement.

  1. Het risico op de nummer 1 positie, reputatieschade, is een gevolg van een opgetreden risico. Als zodanig is reputatieschade nietszeggend. Het risico dat het veroorzaakt is nodig om iets zinnigs over reputatieschade te kunnen zeggen.
  2. Economische neergang of langzaam economisch herstel, hier is sprake van bestaande problemen en die kunnen oorzaken van risico’s zijn. Wat die specifieke risico’s zijn – ongewenste gebeurtenissen of situaties met als gevolg bijvoorbeeld reputatieschade – zal per organisatie verschillen.
  3. Dit geldt ook voor toenemende concurrentie: dit is voor veel bedrijven gewoon een bestaand probleem en kan de oorzaak van verschillende risico’s zijn.
  4. Veranderingen in wet- en regelgeving worden pas risico’s zodra het gaat om onzekere veranderingen in die wet- en regelgeving met effecten op de organisatiedoelen. Al bekende veranderingen zijn weer bestaande problemen en mogelijk oorzaken van risico’s.
  5. Pas met cybercriminaliteit/-risico’s, we zijn inmiddels bij nummer 5, hebben we het eerste echte risico te pakken. Dit zijn immers onzekere gebeurtenissen met in veel gevallen serieuze effecten – waaronder reputatieschade – op organisatiedoelen. Hierbij is cybercriminaliteit één van de oorzaken van cyberrisico’s, naast bijvoorbeeld datalekken van privacygevoelige informatie door een verloren USB stick.
  6. De nummers 6 en 7, gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften en
  7. onvermogen om toptalent aan te trekken en vast te houden, zijn weer typische gevallen van bestaande problemen. Waarmee ik ze niet gelijk van tafel wil vegen. Het kan zinvol zijn om voor je organisatie na te gaan welke onzekerheden van innovaties of veranderingen op de arbeidsmarkt relevante gevolgen voor de organisatiedoelen kunnen hebben. Dan worden het ineens relevante risico’s.
  8. Onderbreking van de bedrijfsvoering is wel degelijk een risico, aangezien bedrijfscontinuïteit voor de meeste organisaties een belangrijk streven is. En dan gaat het niet alleen om een usual suspect als brand, het eerder genoemde cyberrisico is wellicht een veel belangwekkender oorzaak.
  9. Bij de politieke risico’s is het opvallende dat er onzekerheden aan zijn toegevoegd. Dit is bij de overige negen uit de top 10 niet gedaan. Duidt dit op het klassieke, en inmiddels achterhaalde, onderscheid tussen risico en onzekerheid? Een kloof die de laatste jaren zo mooi wordt gedicht door risico steeds meer te zien als het effect van onzekerheid op doelen. Deze benadering wordt onder andere gepropageerd door ISO, en recent ook door COSO.
  10. Tot slot de wettelijke aansprakelijkheid, nummer 10. Wat is hierin de component onzekerheid? Is dat niet juridisch dichtgetimmerd voor de meeste producten of diensten? Of gaat het hier om onzekere claims, als gevolg van onduidelijkheden en daarmee onzekerheden in wettelijke aansprakelijkheid? Dan kan het inderdaad een risico worden.

Deze analyse van de mondiale risico-top 10 is samengevat in onderstaande tabel.

Mondiale risico-top 10
Nr Beschrijving Analyse
1 Reputatieschade Gevolg van een risico
2 Economische neergang of langzaam economisch herstel Probleem/oorzaak van een risico
3 Toenemende concurrentie Probleem/oorzaak van een risico
4 Veranderingen in wet- en regelgeving Probleem/risico bij onzekere veranderingen
5 Cybercriminaliteit/-risico’s Risico/criminaliteit is een van de oorzaken
6 Gebrekkige innovatie of onvoldoende aansluiten bij klantbehoeften Probleem
7 Onvermogen toptalent aan te trekken en vast te houden Probleem
8 Onderbreking van de bedrijfsvoering Risico bedrijfscontinuïteit
9 Politieke risico’s en onzekerheden Risico
10 Wettelijke aansprakelijkheid Probleem/risico bij onduidelijkheden

Deze analyse leert ons drie lessen

Wat kunnen we leren van deze kritische analyse van de mondiale risico-top 10? Drie lessen.

Ten eerste dat drie van de tien risico’s inderdaad onomwonden risico’s zijn: cyberrisico’s, onderbreking van de bedrijfsvoering en politieke risico’s. De overige zeven zijn grotendeels bestaande problemen die een risico kunnen veroorzaken, of de gevolgen van opgetreden risico’s (reputatieschade, die op nummer 1 staat …). Zoals gezegd, problemen die er al zijn en risico’s die kunnen optreden vergen een ander aanpak. Daarom is het onderscheid van belang.

Ten tweede dat een lijst met, kort door de bocht, 10 ’risicokreten’ veel te algemeen is om er organisatiespecifieke maatregelen op te baseren. Dit zie ik overigens ook vaak als resultaat van goedbedoelde risicosessies in organisaties. De oogst is dan een lijst met zeer vaag en incompleet geformuleerde risico’s – of problemen – waarover dus geen gerichte besluiten te nemen zijn. Dit leidt niet zelden tot frustratie van de betrokkenen, en daarmee vaak tot niets. Jammer van de verspilde tijd en energie. En de écht relevante specifieke risico’s blijven zo onder de radar.

Ten derde, met dank aan Aon voor het delen van het onderzoek, geeft de mondiale risico-top 10 wél inzicht in de belangrijkste zorgpunten van organisaties, wereldwijd. Hier kan je op verschillende manieren je voordeel mee doen. Bijvoorbeeld door de tien risico’s en problemen specifiek te vertalen naar je eigen organisatie of afdeling, en op basis daarvan te besluiten of operationele of zelfs strategische actie nodig is.

En vergeet niet ook die andere, lees: positieve, kant van een risicobenadering: welke wakkere onderneming speelt in op de vele mogelijkheden om organisaties te helpen, om effectiever of efficiënter om te gaan met de top 10 risico’s/problemen? Dit is de ‘risico als kans-benadering’. Bijvoorbeeld door er een blog over te schrijven.

Volledig in control niet meer van deze tijd

Tot slot nog wat over de 73 procent bedrijven die heeft aangegeven de belangrijkste bedreigingen voor zijn bedrijfsvoering niet onder controle te hebben. Misschien zijn dit juist wel de meest risicobewuste bedrijven. Organisaties die zich realiseren dat volledig in control zijn in de huidige VUCA-wereld (volatiel, uncertain ofwel onzeker, complex en ambigu) niet meer van deze tijd is. De nieuwe realiteit is continu leren omgaan met onzekerheid, in plaats van vertrouwen op de illusie van zekerheid.

Dr. Martin van Staveren | Adviseert organisaties over omgaan met risico’s en onzekerheden. Zijn missie is om daarmee effectiviteit en welzijn binnen en buiten organisaties te vergroten. Van Staveren is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. 

>TIP: Meer lezen van Van Staveren? Bijvoorbeeld ‘Risicogestuurd werken in de praktijk’.

image_pdf

Deel dit bericht via: