Strategische risico’s zijn de belangrijkste oorzaak voor waardedaling van organisaties. De afdeling ‘audit en risicomanagement’, veelal aanjager van het risicomanagement, besteedt maar 6% van haar tijd aan het beheersen van dit type risico’s, blijkt uit een onderzoek van CEB Global[1]. Dat moet en kan ook anders.
Meestal zijn auditors, controllers, financieel adviseurs verantwoordelijkheid voor een actueel risicoprofiel. Zij inventariseren en analyseren risico’s, zonder dat wordt afgevraagd wat de bedreiging is voor de doelstellingen.
En daar zit nu net de grootste toegevoegde waarde die een risicomanager kan bieden: laat zien hoe risico’s doelstellingen bedreigen en help daarmee de manager bij het beheersen van de risico`s en het realiseren van doelstellingen.
Hoe doe je dat?
Onderscheid maken
Maak het onderscheid tussen te voorkomen, strategische en externe risico’s. Volgens Robert S. Kaplan[2] (bedenker van de Balanced Scorecard) helpt het om risico’s op het juiste hiërarchische niveau te agenderen en de passende beheeraanpak te kiezen. Je wil een bestuurder niet belasten met operationele processen, maar wel met een kwakkelende samenwerkingspartner.
Te voorkomen risico’s zijn mogelijke knelpunten in het dagelijks werk. Deze risico’s zijn goed te voorkomen. Procesbeschrijvingen, gedragsregels, het vierogenprincipe, de inrichting van de AO/IC, zijn voorbeelden van maatregelen. Formele afspraken die dagelijks gelden.
Strategische risico’s zijn anders. Deze beheers je niet met regels. Bespreek ze in de bestuurskamer en weeg af of het risico acceptabel is. Ter illustratie. In de ‘cloud’ werken is een strategische keuze. Het levert voordelen op , maar brengt ook nieuwe risico’s met zich mee. De risico’s zijn acceptabel wanneer de voordelen zwaarder wegen.
Simpel gezegd is strategie niets anders dan wat doen we wel en wat niet. Kunnen uitleggen waarom is de acceptatie van strategische risico’s.
Externe risico’s
Tot slot de externe risico’s. De onderzoekers refereren naar dit type risico’s als belangrijkste reden voor waardevermindering. Voor bestuurders zijn deze risico’s het meest interessant. Externe gebeurtenissen, die buiten de invloedssfeer liggen van de organisatie.
Hoe benader je externe risico’s? Wij hebben het volgende model ontwikkeld.
De volgende keer als je een extern risico analyseert, vraag je dan af wat de snelheid van de verandering is en hoe waarschijnlijk het is dat de organisatie ermee te maken krijgt.
Dat levert vier typen op, elk met een eigen reactie. De risico’s in het rode vlak vragen om een direct strategisch antwoord. Deze risico’s wil je agenderen bij het management. Daar ligt voor de risicomanager een cruciale rol weggelegd. Pak die rol en voorkom waardevermindering!
[1] https://www.cebglobal.com/exbd-resources/pdf/executive-guidance/eg2014-q3-final.pdf?cn=pdf
[2] https://hbr.org/2012/06/managing-risks-a-new-framework
Door: Hans van Emmerik
Hans van Emmerik werkt bij het Nederlands Adviesbureau Risicomanagement. Hij helpt organisaties bij het visualiseren van hun strategische denkwerk en het prioriteren van uitdagingen.
