Door de jaren heen heb ik veel bijeenkomsten, sessies en discussies gehad over risico’s op strategisch niveau. Vaak kwam ik enige verwarring tegen over welke risico’s echt strategisch zijn en welke niet. Ik heb een eenvoudig systeem gemaakt dat onderscheid maakt tussen drie verschillende risico’s op hoog niveau, die ik vandaag zal delen. Ik heb ze strategische, entiteitsniveau en ondernemingsrisico’s genoemd.

Wat zijn risico’s?

Allereerst zal ik kort definiëren wat risico’s zijn. Ik weet dat iedereen zijn eigen definitie heeft en dat is oké, in het belang van dit artikel is één definitie handig. Een risico is een mogelijke gebeurtenis of categorie van gebeurtenissen die een negatieve en / positieve impact kan hebben op deorganisatie / op het bereiken van je doelen.

Wat is een strategisch risico?

Een strategisch risico kan van invloed zijn op de uitvoering van de gedefinieërde strategie of het bereiken van de gedefinieërde strategische doelen. Meestal is deze impact negatief. Een positieve impact kan worden gecategoriseerd als een kans. De crux hierbij is dat wanneer de strategie verandert – voor de meeste organisaties gebeurt dit elke 2 tot 5 jaar – de strategische risico’s ook veranderen. Tenzij de strategie 180 graden verandert, zal er enige overlap zijn tussen de oude strategische risico’s en de nieuwe. Maar toch zijn ze altijd gebonden aan wat er in de strategie is gedefinieerd.

Een voorbeeld: stel dat een deel van de strategie het betreden van een nieuwe markt is en die markt een nieuw land is. Dan is misschien een strategisch risico de politieke stabiliteit in dat land. Verandert de strategie en wordt besloten geen nieuw land binnen te gaan, dan verdwijnt ook dit risico.

Wat is een entiteitsrisico?

Een risico op entiteitsniveau is een risico dat zich in de hele organisatie voordoet, maar (veelal) centraal wordt beheerd. Deze risico’s veranderen zelden wanneer de strategie verandert, omdat men ze moet beheersen, ongeacht de huidige strategie.

Een voorbeeld: integriteit van medewerkers. Hoewel de gemiddelde leidinggevende zo nu en dan de integriteit van zijn collega’s zal controleren, wordt het grootste deel ervan vaak beheerd door HR: ze voeren controles uit voor indiensttreding, laten werknemers NDA’s ondertekenen of leggen misschien een eed af (bv. bankmedewerkers moeten dit in Nederland). Allemaal maatregelen om enige controle uit te oefenen op de integriteit van medewerkers. Als elke rekruterende leidinggevende zijn eigen controles vóór indiensttreding zou moeten uitvoeren, zou het een puinhoop zijn, om nog maar te zwijgen van de inefficiëntie.

Het risico vinkt beide vakjes aan: het komt voor in de hele organisatie (persoonlijk zou ik graag willen dat al mijn collega’s integer zijn) en het wordt (meestal) aangestuurd op een centrale locatie: HR.

Wat is een ondernemingsrisico?

Deze risico’s kunnen ook hygiënerisico’s of bedrijfsrisico’s worden genoemd. Deze risico’s kunnen het levensonderhoud van een organisatie aantasten, komen niet per se door de hele organisatie voor en worden ook niet altijd centraal beheerd. Dit zijn meestal checks en balances waarvan je zou verwachten dat ze alle organisaties op orde hebben (maar een verrassend / alarmerend aantal organisaties doet dat eigenlijk niet!).

Voorbeelden: een gezonde en stabiele financiële situatie. Genoeg geld verdienen om het hoofd boven water te houden. Correcte financiële gegevens. De boekhoudkundige / financiële afdeling zal een groot deel van het werk doen dat met de genoemde risico’s gepaard gaat, maar andere afdelingen kunnen ook inspraak hebben. En genoeg geld verdienen is echt ieders verantwoordelijkheid.

Overlap is normaal

De risico’s kunnen elkaar vaak overlappen. Identiteits- en toegangsbeheer is bijvoorbeeld zowel een entiteitsniveau (beheerd door een IT-afdeling) als een ondernemingsrisico (hygiëne). Ik zie dit niet als een strategisch risico; een datalek kan nadelig zijn voor elke organisatie met welke strategie dan ook, wanneer dan ook.

Het kan ook zijn dat een van oorsprong strategisch risico evolueert naar een ondernemingsrisico. Overweeg bijvoorbeeld een theater-startup. Hun tweejarige strategie is om voet aan de grond te krijgen op de theatermarkt door twee toneelstukken per jaar te produceren. In hun eerste jaar hebben ze berekend dat het verwerven van een overheidssubsidie ​​hun marketingbudget aanzienlijk zal verhogen, waardoor de kans op succes bij het creëren van die voet aan de grond sterk wordt vergroot. Het niet krijgen van die subsidie ​​wordt een strategisch risico. En een nog groter risico als ze geen ervaring hebben met het aanvragen ervan.

In latere jaren is hun inkomstenstroom misschien sterk genoeg om te overleven zonder subsidie ​​of hebben ze voldoende ervaring met het aanvragen ervan, het wordt een zaak van zaken die niet langer van invloed is op hun specifieke strategie, als kan het wenselijk blijven om die subsidie te krijgen.

Hoe te kiezen en waarom te kiezen

Dus hoe kiezen we waarop we ons concentreren? Voor de laatste twee categoriën: deze moeten te allen tijde worden beheerd. Ik geef persoonlijk de voorkeur aan een vorm van controletesten en / of rapporteren over deze risico’s. Ook is een duidelijk onderscheid tussen deze twee niet altijd nodig, zolang er maar een duidelijk onderscheid wordt gemaakt tussen strategische en niet-strategische risico’s. Voor de strategische risico’s geef ik de voorkeur aan een inschatting van welke risico’s het hoogste risiconiveau hebben, resulterend in een top 3, top 5 of misschien wel top 10. Focus staat centraal, dus tussen 3 en 5 zou naar mijn mening het beste zijn.

Waarom kiezen? In mijn ervaring kunnen ondernemings- / entiteitsrisico’s worden “ondergesneeuwd” door andere risico’s omdat er geen duidelijk onderscheid is. Ik heb gezien dat directies geen aandacht schenken aan datalekrisico’s omdat andere strategische risico’s een hoger risiconiveau kregen (door een waarschijnlijkheids- / impactanalyse) en dus dat was waar de budgetten naartoe gingen. Door dit onderscheid te maken wordt het voor de bestuursleden dus duidelijk voor welk risico altijd budget nodig is, en wat pas een risico wordt door een bepaald gekozen pad. Wat misschien ook gevolgen heeft voor de juiste risicobereidheid, maar die discussie laat ik voor een andere keer.

Beeldwerk via Unsplash