Het was een normale dinsdagmorgen. We waren bezig met een strategische expansie, alles verliep volgens plan, totdat we hoorden dat een van onze grootste klanten was overgenomen en hun nieuwe eigenaren andere leveranciers verkozen. Binnen twee weken viel 30 procent van onze omzet weg. Dit was geen risico waar we rekening mee hadden gehouden.
Risicomanagement is het deel van strategie dat mensen liever overslaan. Het voelt als zeuren over dingen die niet gaan gebeuren, als paranoia, als een vervelende afleiding van waar het eigenlijk om gaat. Maar de organisaties die risicomanagement serieus nemen, zijn de organisaties die veerkrachtiger zijn wanneer het onverwachte gebeurt.
Dit artikel gaat over: Strategie
Waarom risicomanagement essentieel is
Risico is inherent aan ondernemen. Elke strategische keuze brengt risico met zich mee, of je het nu accepteert of niet. Het verschil tussen goede en slechte strategie is niet dat goede strategie geen risico kent — het is dat goede strategie rekening houdt met risico en zich erop voorbereidt.
Ik heb gezien dat risicomanagement vaak wordt gereduceerd tot verzekeringen en compliance. Dit is nodig, maar het vangt niet de echte risico’s die een organisatie kunnen treffen. De risico’s die echt impact hebben — de strategische risico’s, de risico’s die je marktpositie kunnen bedreigen — die vragen om een andere aanpak. Innovatie en risicomanagement gaan hand in hand.
Het doel van risicomanagement is niet om alle risico te elimineren. Dat is onmogelijk en onwenselijk. Het doel is om geinformeerde keuzes te maken over welke risico’s je neemt, en om voorbereid te zijn wanneer die risico’s zich materialiseren.
Soorten risico
Er zijn verschillende soorten risico’s die een strategie kunnen beinvloeden. Het is nuttig om ze te onderscheiden omdat ze verschillende aanpakken vragen.
Operationele risico’s zijn risico’s die verband houden met de dagelijkse operaties van de organisatie. Denk aan verstoring van toeleveringsketens, uitval van IT-systemen, het verliezen van key personnel. Deze risico’s zijn vaakmitigeerbaar door goede processen en redundantie.
Strategische risico’s zijn risico’s die verband houden met de langetermijnkoers van de organisatie. Veranderende markten, nieuwe technologieen, verstoring van bedrijfsmodelen. Deze risico’s zijn moeilijker te mitigeren omdat ze vaak onvoorspelbaar zijn en buiten de controle van de organisatie liggen.
Externe risico’s zijn risico’s die voortkomen uit de omgeving van de organisatie. Economische recessies, politieke instabiliteit, natuurrampen, pandemieen. Deze risico’s kun je niet beheersen, maar je kunt je er wel op voorbereiden.
Voorbereiden op onverwachte gebeurtenissen vraagt om langetermijndenken, en dat begint bij risicoanalyse.
Risico’s identificeren
De eerste stap in risicomanagement is het identificeren van risico’s. Dit klinkt simpel, maar het is verrassend moeilijk. Mensen zijn slecht in het inschatten van risico’s, vooral risico’s die niet direct voor de hand liggen.
Er zijn verschillende methoden om risico’s te identificeren. Een daarvan is het systematisch doorlopen van de strategische kaart: wat kan er fout gaan bij elk onderdeel van onze strategie? Een andere methode is het praten met mensen die verschillende perspectieven hebben op de organisatie — mensen aan de voorkant, mensen in de operatie, mensen aan de bestuurstafel.
Ik heb geleerd dat het nuttig is om risico’s te categoriseren naar waarschijnlijkheid en impact. Lage waarschijnlijkheid, lage impact hoeft weinig aandacht. Hoge waarschijnlijkheid, hoge impact vraagt om serieuze voorbereiding.
Risico’s evalueren
Na identificatie komt evaluatie. Hoe groot is de kans dat dit risico zich voordoet? Wat is de impact als het zich voordoet? Hoe verdraagzaam is de organisatie voor dit risico?
Een risico met hoge impact maar lage waarschijnlijkheid vraagt misschien om een noodplan, niet om uitgebreide mitigatie. Een risico met hoge waarschijnlijkheid en hoge impact vraagt om serieuze aandacht, misschien zelfs om het heroverwegen van de strategie.
Het is belangrijk om eerlijk te zijn over de onzekerheid in deze evaluaties. Risico’s inschatten is geen exacte wetenschap. Je probeert een oordeel te vellen over dingen die nog niet hebben plaatsgevonden, en daarin kan je gemakkelijk biases hebben.
Een nuttige vuistregel: als je niet een specifiek risico kunt noemen dat je strategie kan bedreigen, denk dan nog eens goed na. Vaak zijn de gevaarlijkste risico’s de risico’s die je niet ziet.
Mitigatiestrategieen
Wanneer je risico’s hebt geidentificeerd en geevalueerd, is de volgende stap het ontwikkelen van mitigatiestrategieen. Dit zijn de acties die je neemt om de kans of impact van een risico te reduceren.
Er zijn verschillende manieren om risico te mitigeren. Je kunt risico vermijden door bepaalde activiteiten niet te ondernemen. Je kunt risico reduceren door processen of systemen te verbeteren. Je kunt risico overdragen door verzekeringen of door partners te betrekken. Of je kunt risico accepteren, wetende dat je voorbereid bent als het zich voordoet.
De keuze hangt af van de aard van het risico en de risicobereidheid van de organisatie. Sommige risico’s zijn acceptabel, andere vragen om actie. Dit is een strategische afweging die door het managementteam moet worden gemaakt.
Data en feiten helpen bij het maken van goede risico-inschattingen, maar uiteindelijk blijft er onzekerheid.
Voorbereid zijn
Mitigeren is belangrijk, maar even belangrijk is het hebben van plannen voor wanneer risico’s zich toch voordoen. Dit noemen we contingency planning of crisis planning.
Een goed crisisplan bevat een paar elementen: wie is verantwoordelijk voor wat wanneer het crisis zich voordoet? Wat zijn de eerste stappen die moeten worden genomen? Hoe communiceren we met stakeholders? Wat zijn de fallback opties?
Ik heb meegemaakt dat organisaties zonder crisisplan volledig werden overvallen door gebeurtenissen die ze hadden kunnen voorzien. Had iemand butsen nadenken over wat te doen bij een grote verstoring, dan had dat veel paniek en schade voorkomen.
Continuiteit bouwen
Risicomanagement is uiteindelijk een manier om continuiteit te bouwen. Het gaat om het ensures dat de organisatie veerkrachtig is, dat ze kan omgaan met schokken, dat ze niet volledig afhankelijk is van hetcenario dat alles meezit.
Continuiteit bouwen begint bij het hebben van diverse inkomstenstromen, niet afhankelijk van een enkele klant of markt. Het gaat over het hebben van financiele buffers voor slechte tijden. Het gaat over het hebben van redundante systemen voor kritische processen. Het gaat over het hebben van getrainde mensen die taken kunnen overnemen indien nodig.
Al deze dingen kosten geld en moeite. Ze zijn lastig te rechtvaardigen wanneer alles goed gaat. Maar wanneer het misgaat, zijn ze onbetaalbaar.
De cultuur van risicobewustzijn
Risicomanagement is niet alleen een proces, het is een cultuur. Organisaties die risicobewustzijn hebben, zijn organaties waar mensen wordt aangemoedigd om na te denken over wat er mis kan gaan, waar problemen vroeg worden gemeld, waar lessen worden geleerd van wat er mis is gegaan.
Deze cultuur begint bij leiderschap. Leiders die zelf risico’s bespreekbaar maken, die zelf groeien door fouten te leren, die het goede voorbeeld geven — zij creeren een omgeving waar risicobewustzijn kan floreren.
De tegenhanger is een cultuur waar risico’s worden verborgen, waar problemen pas worden gemeld wanneer ze niet meer verborgen kunnen worden, waar fouten worden bestraft in plaats van besproken. Dit is de cultuur die risico’s laat verlammen.
Praktische stappen
Wil je risicomanagement verbeteren in jouw organisatie? Hier zijn praktische stappen:
Ten eerste: neem een moment om na te denken over de risico’s die jouw strategie bedreigen. Wat is het ergste dat er kan gebeuren? Hoe waarschijnlijk is het? Wat is de impact?
Ten tweede: ontwikkel contingency plannen voor de belangrijkste risico’s. Dit hoeft geen uitgebreid document te zijn, maar wel een heldere aanduiding van wie wat doet wanneer het misgaat.
Ten derde: bouw financiele buffers. Hoe pijnlijk dit nu ook is, het geeft ruimte om te opereren wanneer de wereld even niet meezit.
Ten vierde: creëer een cultuur waar risico’s bespreekbaar zijn. Moedig mensen aan om problemen vroeg te melden, niet laat.
Dit artikel valt onder: Strategie
Bronnen bij dit artikel:
Bernstein, P. (1996). Against the Gods. Wiley.
Hopkin, P. (2017). Fundamentals of Risk Management. Kogan Page.
De inhoud van deze blog is gebaseerd op onderzoek, praktijkervaring en persoonlijke inzichten. Genoemde auteurs en onderzoeken worden aangehaald als inspiratiebron of illustratie. Alle niet-gemarkeerde inhoud vertegenwoordigt de visie en ervaring van Sertel Ortac.
Vond je dit nuttig? Volg me op LinkedIn voor meer inzichten.
Volg op LinkedIn