Waarde en veerkracht door beter risicobeheer (2023)

De hedendaagse bedrijfsleidersnavigeren in een complexe omgeving die steeds sneller verandert. Digitale technologie ligt ten grondslag aan een groot deel van de verandering. Bedrijfsmodellen worden getransformeerd door nieuwe golven van automatisering, gebaseerd op robotica en kunstmatige intelligentie. Producenten en consumenten nemen sneller beslissingen, waarbij voorkeuren verschuiven onder invloed van sociale media en trending nieuws. Nieuwe typen digitale bedrijven maken misbruik van de veranderingen en ontwrichten traditionele marktleiders en bedrijfsmodellen. En naarmate bedrijven steeds meer delen van hun organisatie digitaliseren,het gevaar van cyberaanvallenen allerlei soorten inbreuken nemen toe.

Buiten cyberspace is de risicoomgeving net zo uitdagend. Regulering geniet in veel sectoren en regio's brede steun onder de bevolking; waar de situatie krapper wordt, wordt de winstgevendheid onder druk gezet. Klimaatverandering heeft gevolgen voor de bedrijfsvoering en consumenten en toezichthouders stellen ook eisen voor beter zakelijk gedrag in relatie tot de natuurlijke omgeving. Geopolitieke onzekerheden veranderen de bedrijfsomstandigheden en stellen de voetafdruk van multinationals op de proef. Bedrijfsreputaties zijn kwetsbaar voor afzonderlijke gebeurtenissen, omdat risico's waarvan ooit werd gedacht dat ze een beperkte waarschijnlijkheid hadden, zich daadwerkelijk voordoen.

De rol van het bestuur en senior executives

Risicomanagement bij niet-financiële bedrijvenheeft geen gelijke tred gehouden met deze evolutie. Voor veel niet-financiële bedrijven blijft risicobeheer een onderontwikkelde en geïsoleerde vaardigheid in de organisatie, die slechts beperkte aandacht krijgt van de hoogste leiders. Van ruim 1.100 respondenten totMcKinsey’s Global Board Survey voor 2017ontdekten we dat risicomanagement nog steeds een onderwerp met relatief lage prioriteit is op bestuursvergaderingen (zie figuur).

See Also

15 beste praktijken voor effectief projectrisicobeheer | ProjectPraktisch.comProjectrisicobeheer: projectrisico's begrijpen en aanpakkenProjectrisico beheren: een handleiding in 5 stappen7 veelvoorkomende projectrisico's en hoe u deze kunt voorkomen [2023] • Asana

Bestuurders besteden slechts 9 procent van hun tijd aan risico’s – iets minder dan in 2015. Uit andere vragen in het onderzoek blijkt dat slechts 6 procent van de respondenten gelooft dat ze effectief zijn in het beheersen van risico’s (opnieuw minder dan in 2015). Sommige individuele risicogebieden worden relatief verwaarloosd, en zelfs cyberbeveiliging, een kernrisicogebied dat steeds belangrijker wordt, wordt door slechts 36 procent van de besturen aangepakt. Hoewel veel senior executives gefocust blijven op strategie en prestatiemanagement, slagen ze er vaak niet in om capaciteiten of strategische beslissingen vanuit een risicoperspectief ter discussie te stellen (zie kader ‘Nog een lange weg te gaan’). Een reactieve benadering van risico's blijft te gebruikelijk, waarbij er pas actie wordt ondernomen als er iets misgaat. Het resultaat is dat raden van bestuur en senior executives hun bedrijven onnodig in gevaar brengen, terwijl ze persoonlijk hogere wettelijke verplichtingen en reputatieschade op zich nemen.

Raden van bestuur hebben een cruciale rol te spelen bij het ontwikkelen van risicobeheercapaciteiten bij de bedrijven waarop zij toezicht houden. Ten eerste moeten besturen ervoor zorgen dat er een robuust operationeel model voor risicobeheer aanwezig is. Met een dergelijk model kunnen bedrijven risico's begrijpen en prioriteren, hun risicobereidheid bepalen en hun prestaties ten opzichte van deze risico's meten. Het model moet het bestuur en senior executives in staat stellen om met bedrijven samen te werken om blootstellingen buiten de ‘appetijt statement’ van het bedrijf te elimineren, en het risicoprofiel waar gerechtvaardigd te verminderen, door middel van bijvoorbeeld kwaliteitscontroles en andere operationele processen. Wat strategische kansen en risicoafwegingen betreft, moeten raden van bestuur expliciete discussies en besluitvorming tussen het topmanagement en de bedrijven bevorderen. Dit zal de efficiënte inzet van schaarse risicobronnen en het actieve, gecoördineerde beheer van risico's in de hele organisatie mogelijk maken. Bedrijven zullen dan voorbereid zijn om opkomende crises aan te pakken en te beheersen wanneer risico’s zich voordoen.

Een sectorale kijk op risico's

De meeste bedrijven opereren in een complexe, sectorspecifieke risicoomgeving. Ze moeten omgaan met macro-economische en geopolitieke onzekerheden en worden geconfronteerd met risico's die zich voordoen op het gebied van strategie, financiën, producten, activiteiten en compliance en gedrag. In sommige sectoren hebben bedrijven geavanceerde benaderingen ontwikkeld voor het beheersen van risico's die specifiek zijn voor hun bedrijfsmodellen. Deze benaderingen kunnen aanzienlijke waarde behouden. Tegelijkertijd worden bedrijven uitgedaagd door opkomende soorten risico's waarvoor zij effectieve mitigatieplannen moeten ontwikkelen; bij afwezigheid daarvan kunnen de verliezen als gevolg van ernstige risicogebeurtenissen verlammend zijn.

• Automobielbedrijvenbeheersen de risico's in de toeleveringsketen met geavanceerde monitoringmodellen waarmee OEM's potentiële risico's in de hele toeleveringsketen vooraf kunnen identificeren. Tegelijkertijd moeten autobedrijven de strategische uitdaging aangaan om over te stappen op elektrisch aangedreven en autonome voertuigen.
• Farmaceutische bedrijvenproberen het neerwaartse risico van grote investeringen in hun productportfolio en -pijplijn te beheersen, terwijl ze tegelijkertijd de productkwaliteit en patiëntveiligheid aanpakken om te voldoen aan de relevante wettelijke vereisten.
• Olie- en gas-, staal- en energiebedrijvengeavanceerde benaderingen toepassen om de negatieve effecten van de financiële markten en de volatiliteit van de grondstoffenprijzen te beheersen. Terwijl de sociale en politieke vraag naar schonere energie toeneemt, streven deze bedrijven actief naar groeimogelijkheden om hun portefeuilles te verschuiven in afwachting van een energietransitie en een koolstofarme toekomst.
• Bedrijven in consumentengoederenhun reputatie en merkwaarde te beschermen door middel van goede praktijken om de productkwaliteit en de arbeidsomstandigheden in hun productiefaciliteiten te beheren. Toch worden ze voortdurend uitgedaagd om tegemoet te komen aan de steeds veranderende smaak en behoeften van consumenten, evenals aan de regelgeving op het gebied van consumentenbescherming.

Op weg naar proactief risicobeheer

Een aanpak die gebaseerd is op het naleven van minimale regelgevingsnormen en het vermijden van financiële verliezen creëert op zichzelf risico's. In een passieve houding kunnen bedrijven geen optimaal risicoprofiel vormgeven op basis van hun bedrijfsmodellen, noch een snel evoluerende crisis adequaat beheersen. Toppresteerders mijden een risicobenadering die bestaat uit kortetermijnprestatie-initiatieven gericht op opbrengsten en kosten en beschouwen risicobeheer als een strategische troef, die op de lange termijn aanzienlijke waarde kan behouden. Inherent aan de proactieve aanpak zijn een aantal essentiële componenten.

Strategische besluitvorming

Strenger,vertekende strategische besluitvormingkan de veerkracht van het bedrijfsmodel van een bedrijf op de langere termijn vergroten, vooral in volatiele markten of sectoren met externe uitdagingen. Uit onderzoek blijkt dat de actieve, regelmatige herevaluatie van de toewijzing van middelen, gebaseerd op goede beoordelingen van risico- en rendementsafwegingen (zoals het betreden van markten waar het bedrijfsmodel superieur is aan de concurrentie), meer waarde en een beter aandeelhoudersrendement creëert.1Zie bijvoorbeeld Yuval Atsmon, ‘Hoe vlotte toewijzing van middelen de waarde van uw bedrijf kan verdubbelen’, augustus 2016; William N. Thorndike, Jr., The Outsiders: Acht onconventionele CEO's en hun radicaal rationele blauwdruk voor succes, Boston, MA: Harvard Business Review Press, 2012; Rebecca Darr en Tim Koller, ‘Hoe een alliantie op te bouwen tegen het kortetermijndenken van bedrijven’, januari 2017.Flexibiliteit geeft kracht in een dynamische markt. Veel bedrijven gebruiken hedgingstrategieën om zich te verzekeren tegen marktonzekerheden. Het is bijvoorbeeld bekend dat luchtvaartmaatschappijen toekomstige blootstelling aan schommelingen van de brandstofprijzen afdekken, een maatregel die kan helpen de winstgevendheid op peil te houden wanneer de prijzen stijgen. Op dezelfde manier genereert strategisch beleggen, gebaseerd op een langeretermijnperspectief en een diep begrip van de kernpropositie van een bedrijf, meer waarde dan opportunistische bewegingen die gericht zijn op een stijging van de aandelenkoers op de korte termijn.

Debiasing en stresstesten

Benaderingen zoals debiasing en stresstests helpen senior managers om voorheen over het hoofd geziene bronnen van onzekerheid te overwegen om te beoordelen of het risicodragende vermogen van het bedrijf de potentiële impact ervan kan absorberen. Een nutsbedrijf in Duitsland verbeterde bijvoorbeeld de besluitvorming door actie te ondernemen om gedragsvooroordelen te verminderen. Als gevolg hiervan scheidde het zijn activiteiten op het gebied van hernieuwbare energie van zijn conventionele energieopwekkingsactiviteiten. In de nasleep van de ramp in Fukushima, die de belangstelling voor milieuvriendelijke energieopwekking sterk deed toenemen, leidde de stap van het nutsbedrijf tot een aanzienlijk positief effect op de aandelenkoers (15 procent boven de sectorindex).

Producten van hogere kwaliteit en veiligheidsnormen

Investeringen in productkwaliteit en veiligheidsnormen kunnen aanzienlijke rendementen opleveren. Een vorm die dit in de energiesector aanneemt, is het terugdringen van schade- en onderhoudskosten. Bij een internationaal energiebedrijf leidden verbeterde veiligheidsnormen tot een vermindering van 30 procent in de frequentie van gevaarlijke incidenten. Autobedrijven met een reputatie die is gebaseerd op veiligheid kunnen hogere prijzen voor hun voertuigen afdwingen, terwijl de betere reputatie die wordt gecreëerd door hogere kwaliteitsnormen in de farmaceutische sector duidelijke voordelen met zich meebrengt. Naast de toename van de vraag die voortkomt uit een reputatie van kwaliteit, kunnen bedrijven hun herstelkosten aanzienlijk verlagen. Uit onderzoek van McKinsey blijkt dat farmaceutische bedrijven die te kampen hebben met kwaliteitsproblemen een jaarlijkse omzet verliezen die gelijk is aan 4 tot 5 procent van de kosten van de verkochte goederen.

Uitgebreide operationele controles

Deze kunnen leiden tot efficiëntere en effectievere processen die minder gevoelig zijn voor verstoring wanneer risico’s zich voordoen. In de autosector kunnen bedrijven een stabiele productie en verkoop garanderen door het risico op verstoring van de toeleveringsketen te beperken. Na de aardbeving en tsunami van 2011 heeft een toonaangevende autofabrikant potentiële knelpunten in de bevoorrading onderzocht en passende maatregelen genomen. Na een aardbeving in 2016 verlegde het bedrijf de productie van de getroffen onderdelen snel naar andere locaties, waardoor kostbare verstoringen werden vermeden. In de hightechsector kunnen bedrijven die een superieur risicobeheer op het gebied van de toeleveringsketen toepassen, blijvende kostenbesparingen en hogere marges realiseren. Eén wereldwijd computerbedrijf pakte deze risico's aan met een speciaal programma dat in de eerste zes jaar $500 miljoen bespaarde. Het programma maakte gebruik van op risico gebaseerde contracten, waardoor leveranciers de kosten en risico's van het zakendoen met het bedrijf konden verlagen. De maatregelen zorgden voor leveringszekerheid voor belangrijke componenten, vooral tijdens markttekorten, verbeterden de kostenvoorspelbaarheid voor componenten met volatiele kosten en optimaliseerden de voorraadniveaus intern en bij leveranciers.

Sterkere ethische en maatschappelijke normen

Om aanzien te verwerven bij klanten, werknemers, zakenpartners en het publiek kunnen bedrijven van begin tot eind ethische controles toepassen op bedrijfspraktijken. Als het op de juiste manier wordt gepubliceerd en gekoppeld aan de sociale verantwoordelijkheid van bedrijven, kan een programma met betere ethische normen aanzienlijke rendementen opleveren in de vorm van een grotere reputatie en merkherkenning. Klanten zijn bijvoorbeeld steeds vaker bereid een premie te betalen voor producten van bedrijven die aan strengere normen voldoen. Ook medewerkers waarderen het om geassocieerd te worden met ethischere bedrijven, die een betere werkomgeving bieden en een bijdrage leveren aan de samenleving.

De drie dimensies van effectief risicomanagement

Idealiter worden risicobeheer en compliance door het bedrijfsleiderschap en het dagelijks management als strategische prioriteiten aangepakt. De realiteit is vaker dat deze gebieden worden gedelegeerd aan een paar mensen in het bedrijfscentrum die geïsoleerd werken van de rest van het bedrijf. Omzetgroei of kostenbesparingen zijn daarentegen diep verankerd in de bedrijfscultuur en expliciet gekoppeld aan winst- en verliesprestaties (P&L) op bedrijfsniveau. Ergens in het midden bevinden zich specifieke controlemogelijkheden met betrekking tot bijvoorbeeld productveiligheid, veilige IT-ontwikkeling en -implementatie, of financiële audits.

Om dit beeld te veranderen, moet het leiderschap zich inzetten voor het opbouwen van robuust en effectief risicobeheer. Het project is driedimensionaal: 1) het risico-operationele model, bestaande uit de belangrijkste risicobeheerprocessen; 2) een bestuurs- en verantwoordingsstructuur rond deze processen, leidend van het bedrijf tot het bestuursniveau; en 3) beste praktijken op het gebied van crisisparaatheid, inclusief een goed geformuleerd responshandboek als het ergste geval zich voordoet.

1. Het ontwikkelen van een effectief risico-operationeel model

Het operationele model bestaat uit twee lagen: een enterprise risk management (ERM) raamwerk en individuele raamwerken voor elk type risico. Het ERM-framework wordt gebruikt om risico's in de hele organisatie te identificeren, de algehele risicobereidheid te definiëren en de juiste controles te implementeren om ervoor te zorgen dat de risicobereidheid wordt gerespecteerd. Ten slotte voorziet het overkoepelende raamwerk in een systeem van tijdige rapportage en overeenkomstige maatregelen inzake risico's voor het bestuur en het senior management. De risicospecifieke raamwerken hebben betrekking op alle risico's die worden beheerst. Deze kunnen worden gegroepeerd in categorieën, zoals financieel, niet-financieel en strategisch. Financiële risico's, zoals liquiditeits-, markt- en kredietrisico's, worden beheerd door het naleven van passende limietstructuren; niet-financiële risico's, door adequate procescontroles te implementeren; strategische risico's, door belangrijke beslissingen ter discussie te stellen met geformaliseerde benaderingen zoals debiasing, scenarioanalyses en stresstests. Terwijl financiële en strategische risico's doorgaans worden beheerd op basis van de afweging tussen risico en rendement, is bij niet-financiële risico's de potentiële keerzijde vaak de belangrijkste overweging.

Naast het beoordelen van risico's op basis van waarschijnlijkheid en impact, moeten bedrijven ook hun vermogen beoordelen om op nieuwe risico's te reageren. De capaciteiten en capaciteiten die nodig zijn om deze risico's te beheersen, moeten worden geëvalueerd en de hiaten moeten dienovereenkomstig worden opgevuld. Van bijzonder belang bij crisisbeheersing is de tijdigheid van een effectieve reactie als er iets misgaat. De zeer waarschijnlijke risicogebeurtenissen met grote impact waarop het risicomanagement de meeste aandacht richt, komen vaak met een ontwapenende snelheid naar voren, waardoor veel bedrijven verrast worden. Om effectief te zijn moet het raamwerk voor ondernemingsrisicobeheer ervoor zorgen dat de twee lagen naadloos geïntegreerd zijn. Dit wordt gedaan door duidelijkheid te bieden over risicodefinities en risicobereidheid, maar ook over controles en rapportage.

• Taxonomie.Een bedrijfsbrede risicotaxonomie moet de risico's duidelijk en alomvattend definiëren; de taxonomie moet strikt worden gerespecteerd bij het definiëren van de risicobereidheid, bij de ontwikkeling van risicobeleid en -strategie, en bij de risicorapportage. Taxonomieën zijn doorgaans sectorspecifiek en omvatten strategische, regelgevende en productrisico's die relevant zijn voor de sector. Ze worden ook bepaald door bedrijfskenmerken, waaronder het bedrijfsmodel en de geografische voetafdruk (om rekening te houden met specifieke landen- en juridische risico's). Beproefde instrumenten voor risicobeoordeling moeten worden toegepast en voortdurend worden verbeterd met nieuwe technieken, zodat zowel nieuwere risico's (zoals cyberrisico's) als meer bekende risico's worden aangepakt.
• Risicobereidheid.Een duidelijke definitie van risicobereidheid zal de afwegingen tussen risico en rendement vertalen in expliciete drempels en limieten voor financiële en strategische risico's, zoals economisch kapitaal, cashflow die gevaar loopt, of gestresste maatstaven. In het geval van niet-financiële risico's zoals operationele risico's en compliancerisico's zal de risicobereidheid gebaseerd zijn op algemene verlieslimieten, onderverdeeld in inherente en restrisico's (zie kader 'Het juiste niveau van risicobereidheid vinden').
• Risicobeheersingsprocessen.Effectieve risicobeheersingsprocessen zorgen ervoor dat de risicodrempels voor de gespecificeerde risicobereidheid op alle niveaus van de organisatie worden gehandhaafd. Toonaangevende bedrijven bouwen hun controleprocessen steeds vaker rond big data en geavanceerde analyses. Deze krachtige nieuwe mogelijkheden kunnen de effectiviteit en efficiëntie van risicomonitoringprocessen aanzienlijk vergroten. Machine learning-instrumenten kunnen bijvoorbeeld zeer effectief zijn bij het monitoren van fraude en het prioriteren van onderzoeken; geautomatiseerde natuurlijke taalverwerking binnen klachtenbeheer kan worden gebruikt om gedragsrisico's te monitoren.
• Risicorapportage.De besluitvorming moet worden geïnformeerd met risicorapportage. Bedrijven kunnen raden van bestuur en senior executives regelmatig voorzien van inzicht in risico's, waarbij de meest relevante strategische risico's worden geïdentificeerd. Het doel is ervoor te zorgen dat een onafhankelijk risicobeeld, dat alle niveaus van de organisatie omvat, in het planningsproces wordt ingebed. Op deze manier kan het risicoprofiel gehandhaafd worden bij het beheer van bedrijfsinitiatieven en beslissingen die de kwaliteit van processen en producten beïnvloeden. Technieken als debiasing en het gebruik van scenario’s kunnen vooroordelen over het verwezenlijken van kortetermijndoelen helpen overwinnen. Een Noord-Amerikaanse olieproducent ontwikkelde een strategische hypothese gezien de onzekerheden op de mondiale en regionale oliemarkten. Het bedrijf gebruikte risicomodellen om aannames over de cashflow onder verschillende scenario's te testen en integreerde deze analyses in de rapporten die door het senior management en de raad van bestuur werden beoordeeld. Zwakke punten in de strategie werden daarbij geïdentificeerd en er werden verzachtende maatregelen genomen.

2. Naar robuust risicobeheer, organisatie en cultuur

Het risico-operationele model moet worden beheerd via een effectieve bestuursstructuur en -organisatie met duidelijke verantwoordelijkheden. Het governancemodel handhaaft een risicocultuur die een beter risico- en compliancebeheer sterk versterkt over de drie verdedigingslinies: business en operations, de compliance- en risicofuncties en audit. De benadering erkent de inherente tegenstelling in de eerste lijn tussen prestatie (opbrengsten en kosten) en risico (verliezen). De rol van de tweede lijn is het beoordelen en bevragen van de eerste lijn op de effectiviteit van de risicoprocessen en -controles, terwijl de derde lijn, audit, ervoor zorgt dat de lijnen één en twee functioneren zoals bedoeld.

• Drie verdedigingslinies.Een effectieve implementatie van de drie lijnen impliceert de scherpe definitie van de lijnen één en twee op alle niveaus, van het groepsniveau via de bedrijfsonderdelen tot het niveau van de regionale en juridische entiteiten. De verantwoordelijkheden met betrekking tot risico- en controlebeheer moeten duidelijk zijn. Risicobeheer kan per risicotype verschillen: financiële risico's worden doorgaans centraal beheerd, terwijl operationele risico's diep verankerd zijn in de bedrijfsprocessen. Het operationele risico van elke branche wordt beheerd door het bedrijf dat eigenaar is van de productontwikkelings-, productie- en verkoopprocessen. Dit vertaalt zich meestal in vormen van kwaliteitscontrole, maar het bedrijf moet ook een evenwicht vinden tussen de bredere impact van risico en winst- en verliesrekening. Bij de ontwikkeling van nieuwe dieselmotoren verloren autofabrikanten het evenwicht uit het oog tussen het nalevingsrisico en de extra kosten om aan de emissienormen te voldoen, met rampzalige gevolgen. Risico- of compliancefuncties kunnen deze activiteiten alleen aanvullen door onafhankelijk de geschiktheid van het operationele risicobeheer te beoordelen, bijvoorbeeld door middel van technische normen en controles.
• Beoordelen van de risicobereidheid en het risicoprofiel.Van centraal belang binnen de governancestructuur zijn de comités die de risicobereidheid bepalen, inclusief de parameters voor het zakendoen. Deze comités nemen ook specifieke beslissingen over de belangrijkste risico's en beoordelen de controleomgeving op verbeteringen naarmate het risicoprofiel van het bedrijf verandert. Goed bestuur betekent in dit geval dat risicobeslissingen worden overwogen binnen de bestaande divisie-, regionale en senior management-bestuursstructuur van een bedrijf, ondersteund door risico-, compliance- en auditcomités.
• Geïntegreerde opzet van risico- en compliance-governance.Een robuuste en voldoende bemande risico- en compliance-organisatie ondersteunt alle risicoprocessen. De geïntegreerde risico- en compliance-organisatie zorgt voor één eigenaarschap van het groepsbrede ERM-framework en -standaarden, een passende clustering van tweedelijnsfuncties, een duidelijke matrix tussen divisies en controlefuncties, en indien nodig gecentraliseerde of lokale controle. Er is een duidelijke trend waarneembaar waarbij de ERM-laag die verantwoordelijk is voor groepsbrede standaarden, risicoprocessen en rapportage geconsolideerd wordt, terwijl de expertteams die specifieke controlestandaarden voor de business opstellen en monitoren (inclusief standaarden voor commerciële, technische compliance, IT of cyberrisico’s) uitgroeien tot gespecialiseerde teams die zowel de naleving van de regelgeving als de risicoaspecten bestrijken.
• Bronnen.Passende middelen zijn een cruciale factor voor succesvol risicobeheer. De omvang van de compliance-, risico-, audit- en juridische functies van niet-financiële bedrijven (gemiddeld 0,5 per 100 werknemers) is doorgaans veel kleiner dan die van banken (6,9 per 100 werknemers). De ongelijkheid is deels een natuurlijk gevolg van de financiële regulering, maar weerspiegelt voor een deel een capaciteitskloof bij niet-financiële bedrijven. Deze bedrijven besteden doorgaans het grootste deel van hun risico- en controlemiddelen aan sectorspecifieke gebieden, zoals gezondheid en veiligheid voor luchtvaartmaatschappijen en kernenergiebedrijven of kwaliteitsborging voor farmaceutische bedrijven. Dezelfde bedrijven kunnen echter nalaten voldoende middelen ter beschikking te stellen om zeer significante risico's, zoals cyberrisico's of grote investeringen, te monitoren.
• Risicocultuur.Een verbeterde risicocultuur heeft betrekking op de mentaliteit en het gedrag in de hele organisatie. Er wordt een gedeeld begrip bevorderd van de belangrijkste risico's en het risicobeheer, waarbij leiders als rolmodellen fungeren. Vooral belangrijk zijn programma's voor capaciteitsopbouw op het gebied van risico's, evenals formele mechanismen om gezonde risicobeheerpraktijken te beoordelen en te versterken.

3. Crisisparaatheid en -respons

Een goed presterend, effectief risicobeheermodel en bestuursstructuur, met een goed ontwikkelde risicocultuur, minimaliserende kans op bedrijfscrises, zonder ze uiteraard volledig te elimineren. Wanneer onverwachte crises zich met hoge snelheid voordoen, kunnen multinationale bedrijven in de eerste dagen miljarden aan waarde verliezen en al snel moeite hebben om hun marktpositie te behouden. Een best-in-class risicobeheeromgeving biedt de ideale omstandigheden voor voorbereiding en respons.

• Zorg voor leiderschap in het bestuur.De belangrijkste actie die bedrijven kunnen ondernemen om zich op crises voor te bereiden, is ervoor zorgen dat de inspanningen worden geleid door het bestuur en het senior management. Het topmanagement moet de belangrijkste verwachte bedreigingen, de worstcasescenario's en de acties en communicatie die dienovereenkomstig zullen worden uitgerold, definiëren. Voor elke dreiging moeten hypothetische scenario’s worden ontwikkeld voor hoe een crisis zich zal ontwikkelen, gebaseerd op eerdere crises binnen en buiten de bedrijfstak en regio van het bedrijf.
• Versterk de veerkracht.Door patronen in kaart te brengen die bij eerdere crises zijn ontstaan, kunnen bedrijven hun eigen veerkracht op de proef stellen en belangrijke gebieden in de organisatie uitdagen op mogelijke zwakke punten. Vervolgens kunnen vooraf gerichte tegenmaatregelen worden ontwikkeld om de veerkracht te versterken. Dit cruciale aspect van crisisparaatheid kan het herzien en herzien van de voorwaarden voor belangrijke leveranciers inhouden, het versterken van de financiële sector om de beschikbaarheid van contant geld op de korte termijn te garanderen, of het investeren in geavanceerde cyberbeveiligingsmaatregelen om essentiële gegevens en software te beschermen in het geval van storingen en inbreuken. .
• Ontwikkel actieplannen en communicatie.Zodra deze beoordelingen zijn voltooid en er tegenmaatregelen zijn genomen om de veerkracht te vergroten, kan het bedrijf voor elke bedreiging actieplannen ontwikkelen. De plannen moeten goed geformuleerd zijn, gebaseerd zijn op crises uit het verleden, en betrekking hebben op operationele en technische planning, financiële planning, management door derden en juridische planning. Er moet ook voor worden gezorgd dat een optimaal responsieve communicatiestrategie wordt ontwikkeld. Met de juiste strategie kunnen eerstelijnshulpverleners gelijke tred houden met zich ontwikkelende crises of deze voor blijven. Communicatiestoringen kunnen beheersbare crises in onherstelbare catastrofes veranderen. Bedrijven moeten over de juiste scripts en proceslogica beschikken waarin de reactie op crisissituaties gedetailleerd wordt beschreven. Deze moeten naar alle niveaus van de organisatie worden gecommuniceerd en daar goed zijn verankerd. Luchtvaartmaatschappijen geven een voorbeeld van de goed geformuleerde reactie, in hun voorbereiding op een ongeval of crash. Er zijn niet alleen gedetailleerde scripts beschikbaar, maar er worden ook regelmatig simulaties gehouden om werknemers op alle niveaus van het bedrijf te trainen.
• Train managers op alle niveaus.Het bedrijf moet sleutelmanagers op meerdere niveaus trainen in wat ze kunnen verwachten en hen in staat stellen de druk en emoties in een gesimuleerde omgeving te voelen. Als u dit elke keer herhaaldelijk en op een rijkere manier doet, zal het reactievermogen van het bedrijf in een echte crisissituatie aanzienlijk verbeteren, ook al is het misschien niet precies de crisis waarvoor managers zijn opgeleid. Het zijn ook op zichzelf waardevolle leeroefeningen.
• Zorg voor een gedetailleerd draaiboek voor crisisrespons.Hoewel elke crisis zich op unieke en onvoorspelbare manieren kan ontvouwen, kunnen bedrijven in alle situaties een aantal fundamentele principes van crisisrespons volgen. Ten eerste: zorg voor controle onmiddellijk nadat de crisis toeslaat, door nauwkeurig de mate van blootstelling aan de dreiging te bepalen en een crisisresponsleider te identificeren, niet noodzakelijkerwijs de CEO, die dienovereenkomstig passende maatregelen zal nemen. Ten tweede moeten betrokken partijen – zoals klanten, werknemers, aandeelhouders, leveranciers, overheidsinstanties, de media en het bredere publiek – effectief betrokken worden bij een dynamische communicatiestrategie. Ten derde moet er een operationele en technische ‘oorlogskamer’ worden opgezet om de primaire bedreigingen te stabiliseren en te bepalen welke activiteiten moeten worden voortgezet en welke moeten worden opgeschort (het identificeren en bereiken van kritische leveranciers). Ten slotte moet er doelbewust worden geprobeerd de diepere oorzaak van de crisis aan te pakken en te neutraliseren, zodat er zo snel mogelijk een einde aan kan worden gemaakt.

In een gedigitaliseerde, genetwerkte wereld, met gemondialiseerde toeleveringsketens en complexe financiële onderlinge afhankelijkheden, is de risicoomgeving gevaarlijker en duurder geworden. Een holistische benadering van risicobeheer, gebaseerd op de goede en slechte lessen van toonaangevende bedrijven en financiële instellingen, kan waarde uit die omgeving halen. De weg naar risicoveerkracht die zich aandient, is een inspanning, onder leiding van de raad van bestuur en het senior management, om het juiste risicoprofiel en de juiste bereidheid tot stand te brengen. Succes hangt af van de steun van een bloeiende risicocultuur en een state-of-the-art crisisparaatheid en -respons. Verre van een minimale naleving van de regelgeving en het vermijden van verliezen, bestaat de optimale benadering van risicobeheer uit fundamenteel strategische capaciteiten die diep verankerd zijn in de hele organisatie.