Dit blog is natuurlijk niet compleet zonder een uitleg over strategisch risico management. In de post leg ik uit wat risico management is, waarom ik me focus op deze specifieke categorie en welke overige typeringen er zijn.

Wat is risico management?

Google één minuut naar deze term en je vindt veel verschillende definities. Er is niet een “officiële” definitie die iedereen aanhoudt. Risico management is in mijn ogen het identificeren, inschatten en beheersen van onzekerheden die een organisatie in haar uitvoering en bestaan kunnen beïnvloeden. Dit is een mooie definitie voor in een handboek, in de praktijk is dit eigenlijk wat je doet: het verkleinen van de kans dat je faalt. Oftewel, het vergroten van de kans dat je slaagt.

Onder risico managers komt een nieuwe stroming op die risico management op een andere manier benadert. Zij zien risico management simpelweg als een besluitvormingstool. Zij hangen hierbij een zwaar statische en wiskundige benadering aan met stochastische modellen en Monte Carlo analyses. Beide methoden kunnen ingezet worden om toevalligheden en vele verschillende variaties te modelleren. Leuk als je sterk bent in statistiek en veel variabelen hebt, maar niet makkelijk toe te passen voor kleine ondernemers en zelfstandigen.

Nog een aanvulling: risico’s zijn niet alleen negatief, ze kunnen ook een positieve uitwerking hebben. Recent nog een goed voorbeeld bij Dragon’s Den: een van de kandidaten had vooraf extra mensen ingezet om de verwachte stroom aan nieuwe klanten op te vangen (de uitzending waarin je meedoet genereert eigenlijk altijd veel nieuwe aanwas), maar had te weinig voorraad van zijn product ingeslagen. Hierdoor moest hij nee verkopen aan de extra klanten die hij kreeg doordat hij meedeed aan het programma (bron). Dit is dus een positief risico (veel nieuwe klanten) met een negatieve uitwerking (nee verkopen).

Waarom strategisch risico management

Strategisch risico management richt zich op factoren die het voortbestaan van een organisatie kunnen beïnvloeden. Deze factoren komen vooral voort uit de gekozen strategische richting van de organisatie. Met andere woorden: verandert je strategie, dan veranderen ook je strategische risico’s Ik schreef al eerder over het juist bepalen van je strategische risico’s en welke valkuilen je moet vermijden bij het bepalen van je risico’s.

Waarom is strategisch risico management dan zo belangrijk voor ondernemers? In 2015 publiceerde Harvard Business Review dit diagram:

Volgens dit staatje wordt er veel te veel gefocust op andere categoriën risico’s, terwijl de bulk van de problemen bij bedrijven voortkomt uit strategie. Een paar Nederlandse voorbeelden: V&D, OAD, Coolcat, Miss Etam, Kijkshop, SNS, Imtech, Vestia, DSB. Kodak is een goed voorbeeld uit het buitenland; ooit synoniem voor fotografie en nu weggevaagt.

Een tweede reden voor deze focus is dat het voor veel ondernemers relatief makkelijk kan zijn om strategische risico’s aan te pakken zonder daar dure consultants voor in te huren of een hele boom aan beleid e.d. op te tuigen. Het kan effectief én efficient, maar is geen wondermiddel; niets is 100% feilloos.

Andere typeringen van risico management:

Operationeel risico management

Grote bedrijven (vooral in de financiële sector) hebben soms hele afdelingen die zich met operationeel risico management bezig houden. Dit gaat vooral om de risico’s die zich dagelijks op de werkvloer voor kunnen doen. Bijvoorbeeld bij het aanvragen van een woningfinanciering. Krediet risico (kan deze klant het wel terug betalen) en fraude (is dit inkomen wel echt?) zijn twee voorbeelden van categoriën waarbinnen vervolgens weer risico’s benoemd worden. Kredietwaardigheid van een persoon en het ontbreken daarvan is een risico: dit wordt o.a. afgedekt door een BKR toets. De toetsing is daarmee (één van) de beheersmaatregelen die dit risico’s moeten beheersen.

Dit gaat echt per dossier en heel erg in detail. Ook het controleren of alle maatregelen in dossiers zijn toegepast gebeurt met grote regelmaat en meestal op steekproef basis. Niet ieder bedrijf heeft hier behoefte aan, en niet ieder bedrijf haalt er grote voordelen mee.

Financieel risico management

Ook dit tref je vooral aan bij financiële instellingen; het gaat hier vooral om risico’s die in financiële middelen en producten zitten zoals rentes, valutakoersen, aandelen e.d. Een veel gehoord misverstand is hier risico’s onder worden geschaard die een financiële impact kunnen hebben; bijvoorbeeld boetes doordat een organisatie zich niet aan bepaalde wet- en regelgeving heeft gehouden.

Overige categorieën

Het ene bedrijf is het andere niet: zwaar gereguleerde sectoren hebben vaak een compliance afdeling die wet- en regelgeving in de gaten houden. Deze organisaties hebben vaak ook compliance risico als losse categorie benoemt. Bedrijf die gevaarlijk fysiek werk doen zoals de bouw, infrastructuur en chemie, hebben soms aparte diensten voor HSE risico’s (health, safety and environment).

Cybercrime is een snel groeiende categorie. Bijna elke organisatie heeft ermee te maken en loopt hier risico. Recent nog heeft de UvA een aanval afgeslagen, waar de universiteit van Maastricht daar minder succesvol in was. De GGD had een datalek doordat medewerkers frauduleus handelden en banken worden bijna dagelijks aangevallen met DDoS technieken.

Samenvattend

Er zijn veel verschillende categorieën risico’s, waarbij je per risico ook een aparte tactiek kunt inzetten. Voor veel organisaties hebben strategische risico’s de meeste impact, er is dan ook veel effectiviteit en efficiëntie op dit gebied te behalen.