Open cultuur cruciaal voor toezicht op risicomanagement

Riskmanagement
Gevolgen beperken en verwachtingen managen

Maar liefst 87% van de top van het mondiale bedrijfsleven is van mening dat de risico’s in de wereld zijn toegenomen, zo blijkt uit het internationale onderzoeksrapport Global Risk Landscape 2016 van BDO Accountants & Adviseurs. BDO-partner Emanuel van Zandvoort analyseert hoe toezichthouders deze risico’s het hoofd kunnen bieden.

Global Risk Landscape

‘Het Global Risk Landscape rapport biedt een aantal interessante inzichten om nader te analyseren. Het zijn niet zozeer de toprisico’s die interessant zijn, zoals toenemende concurrentie en wet- en regelgeving. Deze veranderen in de tijd niet of nauwelijks, omdat ze inherent zijn aan ondernemen en het uitvoeren van bedrijfsactiviteiten. Tot de verbeelding spreekt juist de inschatting van de potentiële impact van nieuwe ontwikkelingen, zoals risico’s op het gebied van cybercriminaliteit en door technologische ontwikkelingen.

Cybercriminaliteit

Voor het antwoord op de vraag welke macro-economische trends de komende tien jaar de meeste impact hebben, maakt de omvang van de onderneming in kwestie - gemeten in omzet - wezenlijk verschil. Zo schatten de grootste ondernemingen (met een omzet van meer dan tien miljard dollar) de impact van computercrime/hacking significant groter in dan kleinere ondernemingen. Dat is opvallend, omdat je zou verwachten dat grotere bedrijven beter voorbereid zijn op een mogelijke hack en meer reserves hebben om een incident op te vangen.

Zwakke plekken

Het is overigens een misvatting dat kleinere bedrijven minder kans maken om gehackt te worden. Cybercriminelen kijken niet naar naam of omvang, ze zoeken de zwakke plekken in netwerken en systemen. Omdat informatiebeveiliging bij kleinere ondernemingen minder formeel is ingericht, lopen deze bedrijven juist een verhoogd risico. De impact voor deze groep bedrijven kan desastreus zijn. Denk aan boetes als gevolg van privacy-schending, bedrijfsstilstand, herstelkosten en bovenal de gevolgen van reputatieschade. Dit risico, dat de komende jaren alleen maar zal toenemen, verdient daarom serieuze aandacht van alle ondernemingen en bedrijven, ongeacht omvang.

Te laat reageren op technologische ontwikkelingen

Een ander opvallende uitkomst is dat de groep grootste en kleinste ondernemingen technologische ontwikkelingen als groot risico aanmerken. De groep ondernemingen daar tussenin (met een omzet tussen de 500 miljoen en 10 miljard dollar) ziet dit risico als beduidend minder groot. Reden voor dit verschil kan zijn dat kleinere ondernemingen meer afhankelijk zijn van technologische ontwikkelingen. Als grotere ‘startup’ moet je de samenhangende kansen benutten om in de toekomst succesvol te kunnen zijn. Grotere bedrijven zijn veelal minder wendbaar en reageren daardoor mogelijk te laat op een snelle technologische verandering, met verlies van business tot gevolg. Gezien de ontwikkelingen op het gebied van digitalisering, robotisering, fotonica, nanotechnologie en energievoorziening is dat een risico voor alle bedrijven om ontegenzeggelijk rekening mee te houden.

Reputatierisico scoort opvallend laag

Ten derde valt op dat een aantal risico’s over het algemeen laag scoort: reputatieschade, niet in staat zijn te innoveren, geopolitiek, personeel en supply chain. Te beginnen met reputatie: door de vergaande penetratie van mobiele communicatiemiddelen kan het imago van een onderneming binnen no-time om zeep worden geholpen. Dit kan gebeuren door een incident, een uitspraak van een bestuurder of beelden van misstanden. Social media kunnen het imago maken en breken, zaken staan binnen enkele minuten online. Waar of niet waar: iedereen kan er iets van vinden en het bereik is wereldwijd.

Geopolitiek en supply chain

Wat betreft het risico ‘niet in staat zijn te innoveren’: dit sluit aan bij het risico van technologische ontwikkelingen en zou daarom qua risico-inschatting op dat niveau moeten zitten. Geopolitiek en supply chain hebben direct invloed op de beschikbaarheid van grondstoffen en productiemiddelen en daarmee de omzet van Nederlandse bedrijven. Technologie, zoals 3D-printen en local sourcing, kunnen de afhankelijkheid van producenten in lagelonenlanden en de daarmee samenhangende politieke ontwikkelingen verminderen.

Mens is grootste risicofactor

Als er één onvoorspelbaar bedrijfsmiddel is, dan is het wel de mens. Daarom vormt de mens zelf de grootste risicofactor. Daarbij gaat het niet alleen om competenties, integriteit, kosten en capaciteit. Besluitvorming en risico-afweging zijn wellicht de grootste personeelsrisico’s.

Beperken gevolgen

De wereld is risicovoller geworden, zoals het Global Risk Landscape rapport ook toont. Om in de toekomst succesvol te zijn, zullen bestuurders effectief met deze risico’s moeten omgaan. Omdat de oorzaak van deze risico’s vaak buiten de beïnvloedingssfeer van de onderneming ligt, zou de nadruk eerder moeten liggen op het beperken van de gevolgen van risico’s dan op het voorkomen ervan. Scenarioplanning, Business Continuity Management, een optimaal verzekeringsprogramma en crisismanagement zijn ‘musthaves’ om doelstellingen te realiseren en de verwachtingen van stakeholders te managen.

Invloed op toekomstig succes

Conclusie: risicomanagement is verwachtingen managen en draagt bij aan voorspelbare resultaten. Ook dit onderzoek toont aan dat externe risico's de grootste invloed hebben op toekomstig succes van ondernemingen. Daarom is het in het verlengde van de herziening van de Nederlandse Corporate Governance Code van belang dat bestuurders en commissarissen externe risico's goed begrijpen en reële opties en plannen hebben voor het geval deze materialiseren. Daarvoor is een open cultuur en uitwisseling van risico-informatie onontbeerlijk. Dan is er sprake van goed ondernemingsbestuur.’

Emanuel van Zandvoort is Partner Risk Advisory Services bij BDO en verantwoordelijk voor de Enterprise Risk Management-diensten van BDO Nederland. Hij werkte eerder voor Aon en KPMG. Sinds 2006 is Emanuel als docent Risk Management & Compliance verbonden aan het Executive Internal Audit Program van de Amsterdam Business School.

Klik hier voor contact met Emanuel van Zandvoort.

Het BDO-rapport Global Risk Landscape 2016 kunt u hier downloaden.

Aan het rapport werd meegewerkt door 500 topmanagers en auditcommissies op directieniveau in alle belangrijke sectoren in 44 landen in Europa, het Midden-Oosten, Afrika, Azië en Amerika. Hun werd gevraagd wat zij als de grootste huidige en toekomstige risico's voor hun onderneming zien.