Onlangs verscheen de Global Risk Management Survey 2019 van Aon, een global professional services firm. Dit tweejaarlijkse, wereldwijde onderzoek presenteert én onderbouwt de mondiale Top 15 risico’s. Het bijbehorende persbericht klinkt alarmerend: ‘Organisaties nog nooit zo slecht voorbereid op risico’s.’ Is dit loos alarm, of een signaal om serieus te nemen? Reden genoeg voor risicomanagementexpert Martin van Staveren om deze survey eens nader te verkennen en er wat praktijktips uit af te leiden. Wat blijkt? De Top 15 risico’s bieden een fascinerend venster op de VUCA-wereld.
Hieronder staan de momenteel 15 meest relevante risico’s, wereldwijd. Althans, volgens de 2672 CEO’s en CFO’s en risicomanagers die aan het onderzoek hebben meegedaan, uit 60 landen en 33 sectoren. De positie van de risico’s in 2017 is eveneens aangegeven, om te laten zien wat er in twee jaar is veranderd.
Top 15 risico’s wereldwijd
VUCA-wereld
De term VUCA dook voor het eerst op in Amerikaanse defensiekringen, begin jaren 1990. De vier VUCA-factoren volatiliteit (beweeglijkheid), uncertainty (onzekerheid), complexiteit en ambiguïteit creëren gezamenlijk een onstabiele en snel veranderende wereld. VUCA heeft dan ook een forse impact, niet alleen op organisaties, ook op ons persoonlijke (werk)leven. Inmiddels wordt de VUCA-wereld aangehaald in een diversiteit aan vakgebieden, variërend van de economie, via risicomanagement, tot de neuropsychologie.
Zo schetst het World Economic Forum de invloed van de VUCA-wereld op global risks in The Global Risk Report 2016. Global risks zijn bijvoorbeeld economische, geopolitieke, en milieukundige risico’s, met wereldwijde effecten.
VUCA lijkt geen tijdelijk fenomeen. Zo ziet het vernieuwde COSO raamwerk voor risicomanagement uit 2017 de VUCA-factoren als blijvend: ‘There is no doubt that organizations will continue to face a future full of volatility, complexity, and ambiguity.’
Hoogleraar neuropsychologie Margriet Sitskoorn stelt dat het effectief kunnen omgaan met VUCA-factoren nieuwe vaardigheden van ons vergt, de zogenoemde 21st century skills. Denk hierbij naast digitale vaardigheden aan flexibiliteit en probleemoplossend vermogen. Hiervoor moeten we werken aan onze prefrontale hersenschors, om ons van speelbal tot spelleider te kunnen ontwikkelen.
De laatste jaren duikt het VUCA-woord ook geregeld op in Nederlandse managementliteratuur en -blogs. En dat is maar goed ook, want de wereldwijd 15 grootste risico’s voor organisaties blijken in belangrijke mate te worden veroorzaakt door de vier VUCA-factoren. Laten we dit eens verder verkennen.
De toprisico’s zijn volatiel
De eerste VUCA-factor is volatiliteit, ofwel beweeglijkheid of dynamiek. Het begeleidende persbericht van de Global Risk Management Survey 2019 beschrijft dit als volgt: ‘In de huidige dynamische wereld hebben bedrijven, ongeacht hun grootte, te maken met ongekende volatiliteit en onzekerheid.’
Dit beperkt zich niet tot commerciële bedrijven. Ook overheden en andere not-for-profit organisaties hebben hier volop mee te maken. Minimaal acht van de Top 15 risico’s worden in belangrijke mate veroorzaakt door externe factoren, zoals economische en geo-politieke ontwikkelingen. Hierbij zorgt volatiliteit voor dynamiek en onzekerheid. Illustratief is risico nummer 3: ‘snel veranderende marktfactoren’. Dit risico stond in 2017 nog op nummer 38 en is de snelste stijger sinds Aon in 2007 met de tweejaarlijkse onderzoeken is gestart.
De toprisico’s zijn (deels) onzeker
Dat de tweede VUCA-factor uncertainty of onzekerheid een hoofdrol speelt is niet verrassend in een risico Top 15. Volgens de moderne richtlijnen van ISO en COSO wordt risico immers gezien als ‘effect van onzekerheid op een doel’. Zie dat doel hierbij in de meest brede betekenis van het woord: bijvoorbeeld een strategisch of operationeel doel, een veiligheidseis of patiëntveiligheid.
Praktijktip: onderscheid risico’s, dit zijn gebeurtenissen die nog kunnen optreden, van problemen, ofwel situaties die er al zijn. Risico’s en problemen vragen immers om een verschillende aanpak. Zo zou je in een kritische stemming kunnen stellen dat ‘snel veranderende marktfactoren’ in veel gevallen helemaal geen risico is. Dit is immers de huidige situatie in de meeste sectoren.
Wel kunnen snel veranderende marktfactoren de oorzaak van een risico zijn. Het daaruit volgende risico, een onzekere gebeurtenis die in nabije of verdere toekomst zou kunnen optreden, moet dan specifiek worden beschreven voor de betreffende organisatie.
Praktijktip: maak dan tevens specifiek wélke veranderende marktfactoren een relevante oorzaak voor dat risico vormen. Immers, alleen met een scherpe, specifieke omschrijving kan worden geschat hoe groot het risico voor de desbetreffende organisatie is. Vervolgens kan worden besloten of er wat aan dat risico moet worden gedaan. Dit laatste is afhankelijk van de aard van het risico – kán er wel wat aan worden gedaan? – en de risicobereidheid binnen de desbetreffende organisatie – móet er echt wat aan worden gedaan?
De toprisico’s zijn complex
Ook de derde VUCA-factor complexiteit is dominant aanwezig in de wereldwijde Top 15 risico’s. Hierbij kunnen we onderscheid maken tussen de wat ingewikkelde termen dynamische systeemcomplexiteit en gedragsmatige complexiteit.
Een dynamisch en complex systeem bevat vele variabelen, die elkaar op een nauwelijks of niet te begrijpen manier beïnvloeden. Alle risico’s in de Top 15 hebben meerdere van bijvoorbeeld technische, organisatorische, menselijke, juridische, of geo-politieke aard. Die factoren beïnvloeden elkaar en veranderen ook nog eens in de tijd.
De Top 15 risico’s zijn daarbij ook gedragsmatig complex. Zo zullen de percepties van de risico’s fors verschillen tussen verschillende personen binnen en buiten organisaties. Er is dan ook geen eenduidige, voor iedereen acceptabele aanpak voor deze risico’s. Hoe er mee om te gaan verschilt per organisatie en ook intern zullen daar de nodige discussies over worden gevoerd.
Vanwege deze twee vormen van complexiteit zijn verreweg de meeste van de Top 15 risico’s zijn niet (volledig) te beheersen. Zo is alleen het risico ‘Bedrijfsonderbreking’ op nummer 4 te verzekeren. De overige veertien risico’s, ofwel ruim 90 procent van de Top 15, zijn slechts gedeeltelijk of helemaal niet te verzekeren. Daarbij biedt verzekeren alleen financiële compensatie bij een opgetreden risico. Een effect als reputatieschade is nooit louter financieel op te lossen.
De toprisico’s zijn ambigu
Dan de vierde VUCA-factor ambiguïteit: meerduidigheid of dubbelzinnigheid. Ambiguïteit volgt duidelijk uit de verschillen in risicopositie per land en per type deelnemer. Zo staat risico nummer 6 ‘Cyberaanvallen en datalekken’ in de regio Noord Amerika op nummer 1. Een positie die dit risico overigens ook inneemt bij het World Economic Forum.
Ambiguïteit komt ook tot uiting in de verschillende functies van de deelnemers aan het aan het onderzoek. Zo blijken topmanagers als CEO’s en CFO’s vooral risico’s met forse financiële gevolgen op een hoge positie te plaatsen. Bij de risicomanagers scoren juist verzekerbare en de nieuwe risico’s hoog. Verschillende functies, verschillende verantwoordelijkheden, verschillende risicopercepties.
Interessant is dat het onderzoek ook een overzicht geeft van de belangrijkste nieuwsfeiten uit 2018. Die lijken een ook behoorlijke invloed te hebben op de risicopercepties van de deelnemers aan het onderzoek, en daarmee op de Top 15. Hier is de zogenoemde ‘beschikbaarheidsbias’ aan het werk, het psychologische fenomeen dat we een risico relatief (te) hoog inschatten als dat risico recent is opgetreden.
Praktijktip: pas op voor een dure overreactie op risico’s die recent zijn opgetreden. Dit wordt ook wel de risicoregelreflex genoemd. Ga na welke feiten er over een nieuwe kans van optreden van het risico zijn en of dat het nemen van maatregelen rechtvaardigt.
De toprisico’s zijn nauwelijks beheersbaar
Kenmerkend voor de VUCA-wereld is de beperkte beheersbaarheid ervan. De cocktail van volatiliteit, onzekerheid, complexiteit en ambiguïteit creëert vooral ‘wilde vraagstukken’, waarvoor tamme oplossingen niet werken.
De Top 15 risico’s kunnen, of scherper gesteld, moeten we dan ook als ‘wilde risico’s’ benaderen. Voor degelijke dynamische en complexe risico’s werkt het vooral op beheersing en controle gerichte conventionele risicomanagement namelijk niet. Het gaat in een VUCA-omgeving veel meer om het leren omgaan met de veelal nieuwe en onbekende combinaties van risico’s: ze beheersen waar het kan, ze accepteren waar het moet en ze nemen waar het nodig is om waardevolle doelen te realiseren. En laten we de positieve kant van onzekerheid vooral niet vergeten: het verzilveren van de kansen of opportunities. Ook die kunnen immers ontstaan vanuit de vele onzekerheden in de VUCA-wereld.
Het gaat dus om het bewust omgaan met onzekerheden, risico’s én kansen. Dit alles vanuit twee heldere doelen, waar niemand redelijkerwijs tegen kan zijn: bestaande waarde behouden én nieuwe waarde te creëren.
Hoe verder?
Het omgaan met wilde risico’s vraagt om een holistische, integrale benadering. Dit vraagt om ontschotting.
Praktijktip: doorbreek de letterlijke of figuurlijke schotten tussen afdelingen als Compliance, Crisismanagement, Business Continuity Management en IT-security. En ook die tussen disciplines als kwaliteitsmanagement, veiligheidsmanagement en risicomanagement. Maak doelen steeds weer leidend en ga om met de relevante onzekerheden die daar een negatief of positief effect op kunnen hebben. Organiseer resilience of veerkracht om snel te kunnen handelen als een onvoorzien risico abrupt aanklopt.
Naast ontschotting vraagt dit ook om helderheid, voor iedereen in de organisatie. Helderheid over de kernwaarden, visie, missie en doelen van de organisatie. En ook helderheid over ieders rol in het omgaan met onzekerheden, risico’s en kansen die daarbij opdoemen. Aon hierover in het persbericht: ‘Dit vergt krachtig risicoleiderschap, in de eigen organisatie maar ook richting leveranciers en klanten.’
Conclusies
We begonnen dit betoog met een alarmerend persbericht: ‘Organisaties nog nooit zo slecht voorbereid op risico’s.’ Deze uitspraak is gebaseerd op het percentage van de bevraagde organisaties dat zegt goed voorbereid te zijn op de toprisico’s. De afgelopen jaren daalde dit percentage gestaag van 58 % in 2015, via 53 % in 2017 naar 51 % in 2019.
Opvallend feit: deze 51 % risico-voorbereide organisaties in 2019 is het laagste percentage sinds het begin van het tweejaarlijkse onderzoek in 2007. Met andere woorden, sinds de financiële crisis in 2007 is het percentage risico-voorbereide bedrijven in twaalf jaar tijd afgenomen tot iets meer dan de helft van het aantal deelnemende organisaties. Dit alles ondanks de toegenomen aandacht voor risicomanagement in bijvoorbeeld governance codes.
Nog een markant feit: slechts 26 % van de organisaties zegt goed voorbereid te zijn op risico nummer 1: economische achteruitgang. Dit is het laagste percentage van alle risico’s in de Top 15. Is dit misschien een verklaring voor de nummer 1 positie van economische achteruitgang?
Reflectie
Tot slot een kritische reflectie. Is de dalende trend van het goed voorbereid zijn op de toprisico’s eigenlijk wel een probleem? Niet noodzakelijkerwijs, als het tijdelijk blijkt te zijn. Mogelijk heeft de afname van goed risico-voorbereid zijn namelijk te maken met een toename in risicobewustzijn en realiteitsbesef. Dit zou kunnen betekenen dat organisaties zich momenteel van ‘onbewust risico-onbekwaam’ tot ‘bewust risico-onbekwaam’ aan het ontwikkelen zijn.
De volgende stap gaat dan richting de ‘risico-bekwame’ organisatie. Bijvoorbeeld door gericht te gaan werken aan het ontwikkelen van krachtig risicoleiderschap, door formele leidinggevenden en alle overige professionals in de organisatie. Dit betekent samen stap voor stap, expliciet, realistisch en gestructureerd leren omgaan met de wilde risico’s in hun VUCA-omgeving. Zo zou de mate van voorbereiding op de toprisico’s zo maar weer kunnen gaan stijgen.
Wellicht meer hierover over twee jaar, op basis van een volgende survey. Mijn eindconclusie voor dit moment: de Top 15 risico’s bieden een fascinerend venster op de VUCA-wereld. Wat betreft de slechte voorbereiding op deze risico’s: dit geen loos alarm en ook geen reden tot paniek. Het is wel een serieus signaal om risicogestuurd mee aan de slag te gaan.
Door: Martin van Staveren
Dr. Martin van Staveren staat voor anders omgaan met onzekerheden, risico’s én kansen. Hij promoveerde op het proefschrift Risk, Innovation & Change. Vanuit risicobureau VSRM adviseert hij organisaties in allerlei sectoren over realistisch en werkbaar risicomanagement. Ook is hij kerndocent aan de Executive Masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Hij is auteur van de boeken Risicogestuurd werken in de praktijk en Risicoleiderschap: doelgericht omgaan met onzekerheden.
Bronnen
Aon (2019). Global Risk Management Survey 2019. www.aon.com
Aon (2019). Global Risk Management Survey 2019. Executive Summary. www.aon.com
COSO ERM (2017). Enterprise risk management: Integrating with strategy and performance. Committee of Sponsoring Organizations of the Treadway Commission.
Sitskoorn, M. (2016). Ik2 – De beste versie van jezelf. Ontwikkel je hersenen en bereik je doelen met het EFFECT-programma. Deventer: Vakmedianet.
Staveren, M.Th. van (2018). Risicoleiderschap: Doelgericht omgaan met onzekerheden. Deventer: Vakmedianet, Deventer.
World Economic Forum (2016). The Global Risks Report 2016. 111th Edition. World Economic Forum, Genève.
https://www.aon.com/netherlands/persberichten/2019/organisaties-nooit-zo-slecht-voorbereid-op-risico.jsp https://www.aon.com/netherlands/grms-2019.jsp
