Hoe maak ik mijn organisatie zo onverwoestbaar als de Toyota Hilux?

Een van de meest onverwoestbare auto’s op deze wereld is de Toyota Hilux. De mannen van Top Gear probeerden hem meermaals te slopen. Tevergeefs. De Toyota Hilux bleek onverwoestbaar. Maar hoe zit het met de weerbaarheid van onze bedrijven en organisaties?

Afgelopen dinsdag kwamen William Bontes, CFO bij de Louwman Group (importeur van de Toyota Hilux!) en Alex van den Doel (Managing Director Global Risk Management bij Aon) bij ons in de studio om te praten over resilience en riskmanagement – onderwerpen die actueler zijn dan ooit volgens William Bontes: “De riskindicatoren voor bedrijven en organisaties op global niveau staan behoorlijk hoog momenteel. Een half jaar geleden was het allemaal Corona, nu is het cybercrime. Ook de geopolitieke risico’s voor bedrijven zijn hoger dan ooit.” Maar wat betekent dat voor onze organisaties? En hoe wordt je zo weerbaar als een Toyota Hilux?

(klik op de foto om de sessie terug te kijken)

RISC
Hoe voorkom je incidenten? En wat doe je op het moment dat je organisatie uiteindelijk wel wordt geraakt door een schok? Van den Doel laat een aantal sheets zien waarmee ze bij Aon de verschillende dimensies van risicomanagement in kaart brengt. In zijn uitleg gaat Van den Doel onder andere in op het acroniem RISC, dat vaak wordt gebruikt om aan klanten te laten zien hoe ze als organisatie van Risk Overview tot Risk Insight kunnen komen:

RISC staat voor:

Risico’s
Analyseer voor je eigen organisaties een aantal serieuze risico’s (niet meer dan 10) en probeer voor die risico’s oorzaak-gevolgrelaties te formuleren. Als het bijvoorbeeld gaat om cybercrime: moet je organisatie beducht zijn voor privacylekken, of voor ransomware? Welke beheersmaatregelen kun je daarvoor inrichten?

Incidenten
Probeer kritisch terug te kijken naar incidenten die je al eens eerder hebt meegemaakt als organisatie. Wat heb ik ervan geleerd? Hoe functioneerde mijn teams?

Scenario’s
Denk vooruit en kijk naar de toekomst. Met welke milieu- en klimaatmaatregelen gaat je organisatie te maken krijgen. Welke impact heeft dat op je kritische processen en resources? Maak ook analyses van je ketens. Wat gebeurt er met je organisatie wanneer de leveranciers van mijn leveranciers in de problemen komen, bijvoorbeeld door Corona? Welke eigen afdelingen zijn betrokken bij zo’n situatie – en wat kunnen ze doen om wend- en weerbaar te zijn?

Crisis-assets
Waar in je processen zitten de assets of resources die de meeste financiële impact ondervinden van een crisis. Is het de order to cash, de supplychain? Stel vast waar je kritische middelen zitten.

Basis op orde
De basis op orde hebben, dat is ook heel belangrijk volgens Van den Doel: “Je moet weten waar je key people rondlopen binnen je organisatie. Weet je dat niet, dan krijg je het heel moeilijk in een crisis.”
Bontes vult hierbij aan hoe lastig het soms is om risico’s te voorspellen: “Vóór Corona stond het uitbreken van een pandemie op plek 62 van mogelijke risico’s voor bedrijven. En toch zitten we er opeens middenin.” Van den Doel erkent dat vooruitkijken moeilijk is: “In 2008 waren er ook weinig mensen die het omvallen van banken en de credit default in hun top-tien hadden staan van reële risico’s.”
Toch raadt Van den Doel bedrijven aan om bewust om te gaan met het meer robuust maken van hun organisatie: “In de steeds complexere wereld heb je een steeds breder perspectief nodig om te anticiperen op nieuwe risico’s. Denk daar over na, met je stakeholders, met je RvC. Resilience en riskmanagement worden steeds belangrijker, ook voor de beurskoers van bedrijven.”

Bedrijfscultuur
Volgens Bontes is bedrijfscultuur de rode draad van resilience. Vorig jaar maart, aan het begin van de Corona-crisis, zat hij samen met de groepsdirectie bij Aon te praten over risk appetite en hoe de Louwman Group riskmanagement en crisismanagement beter zou kunnen borgen in de organisatie: “Diezelfde middag keken we naar de eerste Corona persconferentie van onze minister-president die aankondigde welke impact het virus inmiddels had.” Bontes en zijn organisatie kwamen midden in hun eigen leerproces terecht in een crisis van wereldformaat.
Toch zag Bontes de afgelopen maanden dat een crisis ook heel veel kracht bloot kan leggen die aanwezig is in de organisatie: “We besloten in die eerste Corona-weken dat wij, op dag-basis, al onze managementinformatie wilden hebben, alle KPI’s – dagbezoeken, autoverkopen. Voor Corona had het heel veel voeten in aarde gehad om die informatie te krijgen. Nu was het binnen twee weken geregeld en hadden we 50 dashboards door het hele bedrijf, die ieder dag online gevuld werden.’”
Mensen in de organisatie bleken opeens veel flexibeler dan daarvoor. Dat moest ook wel volgens Bontes: “Onze markt – mobiliteit – stortte in. Iedereen ging thuiswerken. Onze showrooms werden gesloten, onze medewerkers moesten auto’s gaan afleveren op parkeerterreinen. We zijn zelf ook twee medewerkers verloren aan Corona. Verschrikkelijk. Als organisatie werden we behoorlijk op de proef gesteld. Hoe blijf je dan in control? Dat was behoorlijk ingewikkeld.”

Rol CFO
Bontes heeft veel geleerd van de Corona-epidemie: “We hebben ontzettend veel gecommuniceerd met de organisatie. Er kwam een Louwman journaal waarin we mensen aan het woord lieten om te vertellen wat er gebeurde binnen de organisatie. Dat hielp enorm.”
Wat Bontes ook als zijn taak zag: rust bewaren: “Ik ben naast CFO bij Louwmans ook Commissaris bij de Jaarbeurs Utrecht, een organisatie die natuurlijk ook flink werd geraakt door de crisis. Ook in die rol is het belangrijk om kalm te blijven, vertrouwen uit te stralen. Je directie te ondersteunen waar nodig. Overzicht behouden, scenario’s bedenken en de connectie blijven maken met je mensen.”
De lessen van de Corona-crisis zijn niet vergeten. Zo is het Louwmans journaal een blijvertje geworden en is het nog duidelijker geworden binnen de organisatie hoe belangrijk ‘online’ is, zelfs in de automotive branche, waar mensen toch graag even langskomen om een aankoop te zien en te voelen.
Wat Bontes ook verraste: de enorme veerkracht en creativiteit die hij zag binnen de eigen organisatie – afdelingen die opeens met hele nieuwe ideeën kwamen. “Tijdens de eerste Corona-golf hebben onze mensen van www.auto.nl, een van de bedrijven binnen onze groep, het initiatief #ZorgheldenAuto opgestart. Samen met andere bedrijven in de sector kregen zij het voor elkaar om gratis 700 auto’s ter beschikking te stellen aan mensen in de zorg die door de crisis in de knel kwamen met mobiliteit. Dat vond ik ontzettend mooi om te zien.”

Strategie en resilience
Het gesprek komt op Nokia, een bedrijf dat rond 2000 ontzettend succesvol was in de mobiele telefonie, totdat Apple met de iPhone kwam. Toen ging het snel bergafwaarts met het bedrijf. Toch wist Nokia zichzelf opnieuw uit te vinden. Van telefoonboer werd de organisatie omgevormd tot technische netwerkoperator. Een compleet nieuw businessmodel, maar wel succesvol.
Van den Doel: “Resilience wordt vaak beschouwd vanuit de operationele en organisatiekant. Maar je kan ook kijken naar de strategische dimensie van robuustheid. Durf jezelf altijd de vraag te stellen of je huidige bedrijfsmodel misschien ook een risico is? En als dat zo zou kunnen zijn. Hoe flexibel ben je daar dan in als organisatie? Vervolgens moet je natuurlijk ook de controls bepalen en dit alles op een goede manier organiseren. Dat is natuurlijk het lastigst.”
Goede scenario’s in elkaar draaien kan alleen door alle stakeholders te betrekken. Van den Doel: “Neem zoiets als cybersecurity en de manier waarop je dat inricht. Daar moet je natuurlijk een jurist bij hebben, het IT securitybedrijf, je IT-officer, compliance – maar je weet dan nog steeds niet wat een hacker doet. Dus je moet eigenlijk ook een ethical hacker inhuren en dan kijken welke gaten zo iemand in je systemen vindt.”

Risicomanagement borgen in cultuur
Volgens Van den Doel moet je als organisatie ook nadenken over wat je doet in de situatie waarin het toch mis gaat. Hoe communiceren onze mensen met elkaar als je systemen platliggen? Ga je losgeld betalen, of niet? In een simulatie kom je er misschien achter dat jij als CFO denkt, twee weken alle systemen plat kost meer geld dat het betalen van losgeld. Maar het kan ook zijn dat IT vanuit een heel ander perspectief denkt als het gaat om security. Daar kom je pas achter in een simulatie.”
Scenario’s voorbereiden. Controls formuleren. Je moet het als organisatie allemaal doen. Maar omdat er altijd risico’s zijn die je niet kunt voorspellen, is het toch belangrijk om een algemene reactiesnelheid in te bouwen in je organisatie – een bedrijfscultuur waarmee je, ongeacht de specifieke inhoud en aanleiding van de crisis, snel in beweging kan komen wanneer nodig. Bontes: “Wat ik toch wel vaak zie op het boardniveau van organisaties is dat risicomanagement iets is dat erbij wordt gedaan. Omdat het moet. Daardoor speelt het meer op de achtergrond, in plaats van dat het centraal staat.“
Maar hoe creëer je een cultuur waarin adaptabilty – aanpassingsvermorgen – in het DNA van je bedrijf kruipt? Volgens Bontes valt en staat alles met de juiste competentie-mix binnen je team. “Wij zijn bij de Louwman Group bezig met een traineeprogramma voor financials. In de toekomst moeten onze mensen zichzelf veel beter kunnen aanpassen aan verandering. Dus we gaan een assessment ontwikkelen waarmee we de adaptability van mensen gaan meten.”

Risk Maturity
Van den Doel sluit zich aan bij de woorden van Bontes, hoewel hij ook nog maar eens benadrukt hoe belangrijk de basis is. “Om echt adaptable te zijn moeten bedrijven en organisaties de basis wel op orde hebben: de audit, de processen, de controls.”
Om bedrijven inzicht te geven in het niveau waarop ze riskmanagement in hun organisatie hebben verankerd heeft Aon een Risk Maturity Index ontwikkeld: “Met Aon doen wij regelmatig onderzoek onder bedrijven. Wat we daarbij zien is dat slechts 25% van de Nederlandse bedrijven risk goed heeft verankerd in de organisatie. Vaak zit risk impliciet ondergebracht bij andere afdelingen: controlling, audit, compliance, of bij juridische zaken.” De roemruchte silo’s.

Hoewel Van den Doel ook ziet dat steeds meer Nederlandse bedrijven een aparte riskmanager aanstellen die wordt gesteund door een riskcommunity die de controls bewaakt, is er nog zeker groei mogelijk in Nederland als het gaat om risk maturity: “De risk-awareness die Corona heeft gebracht zal hopelijk ook leiden tot een doorvertaling naar praktisch uitgewerkte controls.”

Nieuwsgierig geworden naar de risk maturity van julie eigen organisatie?

Kijk dan eens op de pagina van de Aon risk-resilience community.