Riskmanagement 2.0: durf je als CFO voorop te lopen?

In de volatiele wereld waarin we vandaag de dag leven, worden organisatie blootgesteld aan meer risico's dan ooit. Van pandemieën, tot (cyber)oorlogen, van vastlopende supplychains tot een kwetsbare arbeidsmarkt. Tijdens een van de vele roundtables op CFO Day 2022 gingen Alex van den Doel, Managing Director en Abderrahman Kaouass, Practiceleader Team Resilience bij Aon Global Risk Consulting, samen met Vincent Wanders en 20 CFO’s het gesprek aan over risk en hoe hier mee om te gaan.

Een rondje onder de aanwezige CFO’s over wat riskmanagement voor hen betekent leverde de volgende antwoorden op: kansen en bedreigingen identificeren en oppakken, initiatief nemen, het testen van extreme situaties, agility, focus.

Wanneer Alex van den Doel ingaat op de top-6 van bekende risks voor bedrijven, zoals deze naar voren komen uit recent onderzoek (cyber, business interrupties, de pandemie, HR, klimaat en geopolitieke strubbelingen), wordt ook duidelijk dat veel van deze risico’s ook een sterke ‘interconnectiviteit’ kennen, wat een gerichte aanpak enerzijds ingewikkeld kan maken, maar aan de andere kant soms ook verrassende inzichten oplevert. Zo blijkt dat de financiële schade door cybercrime (voor Europese bedrijven) voor 70% bestaat uit business interruptie en maar voor 30% uit technische schade of losgeld.

Beware of the Black swan
Daarom is het verstandig om bij het vaststellen van je riskmanagement strategie heel goed te kijken naar twee factoren: likelihood en de daadwerkelijke impact van een bepaalde risico voor de eigen organisatie. Een gouden tip hierbij, ook met het oog op de interconnectiviteit van risks: maak een flexibel crisisplan, waarin, los van specifieke risico’s de meest bedrijfskritische assets en processen worden geïdentificeerd en ‘getest’ onder extreme scenario’s. Hiermee kan je organisatie namelijk ook robuust worden gemaakt voor ‘black swans’ – risico’s waarvan niemand nu nog weet dat ze er zijn (zoals vier jaar geleden nog ‘niemand’ serieus bezig was de mogelijkheid van een wereld-epidemie).  
Wanders tekent hier overigens wel bij aan dat het begrip ‘black swans’ toch ook wel relatief is en sterk afhankelijk van ons eigen perspectief. In biowetenschappelijke kringen werd er al jaren rekening gehouden en zelfs gewaarschuwd voor de risico op een pandemie. Ook haalt hij een analyse aan van De Nederlandsche Bank waarin men terugkijkt op de crisis van 2008, waarbij men achteraf toch tot de conclusie kwam dat er al lang van tevoren, binnen verschillende onderdelen van de organisatie, signalen waren afgegeven dat er een crisis zat aan te komen. Dat deze waarschuwingen niet doordrongen tot de boardooms had volgens de DNB analyse vooral ook te maken met het gebrek aan onderlinge communicatie binnen de organisatie, waardoor bepaalde inzichten niet voldoende leverage kregen.

Bedrijfscultuur
Een aantal CFO’s vertelt over de risico’s waarmee men dagelijks te maken heeft en hoe men er mee omgaat: van papierschaarste en de keuze om hum premium magazine op goedkoper papier te drukken, tot het rouleren van een groep ‘onmisbare’ medewerkers om te voorkomen dat een team in een keer uitvalt door ziekte. Een andere CFO, werkzaam binnen de projectontwikkeling, vertelt over hoe men in zijn sector tegenwoordig serieus rekening moet houden met aannemers die door extreme prijsstijgingen van materialen niet meer rondkomen met hun begroting – en daardoor gewoonweg failliet kunnen gaan, waarbij het probleem opeens bij hem ligt. Weer een andere CFO kwam er door schade en schande achter dat er, ondanks alle protocollen rondom sociale veiligheid, toch nog leemtes waren in het beleid, waardoor er blinde vlekken en excessen konden ontstaan die het bedrijf veel schade hebben berokkend.
Hiermee komt het gesprek tussen de CFO’s via risks en ‘black swans’ op het aspect ‘bedrijfscultuur’. Moeten we als bestuurders niet gewoon beter kijken naar wat er om ons heen gebeurt? Zowel binnen als buiten onze organisatie? Volgens een van de deelnemers aan de round table vormt het eigen personeel vaak de beste bron voor het identificeren van daadwerkelijke risico’s, zowel binnen de organisatie als in de keten. De vraag is: willen we luisteren? En zo ja, wat doen we ermee als boardroom? Wanders haalt hierbij een onderzoek aan dat een telecombedrijf ooit liet uitvoeren onder de eigen medewerkers over de grootste risico’s binnen de organisatie. Het antwoord, door heel de organisatie heen, loog er niet om: de ‘tone at the top’ werd gezien als het grootste risico. Riskmanagement betekent soms ook dat je als bestuurder heel kritisch moet kijken naar jezelf en de mate waarin je zelf openstaat om actie te ondernemen ten aanzien van risico’s die nu nog ver weg lijken omdat niemand het er graag over heeft.

ESG liability
Een van die risico’s die op ons afkomen is volgens Wanders bijvoorbeeld de nieuwe EU-regelgeving inzake due diligence en ESG liability die in 2026 moet worden meegenomen in de verslaglegging. Het in maart aangenomen voorstel moet nog inhoudelijke worden uitonderhandeld door de EU-lidstaten, maar zal waarschijnlijk verder gaan dan alleen het rapporteren van milieu-impact. Europese bedrijven zullen in de toekomst waarschijnlijk ook aansprakelijk kunnen worden gehouden voor mensenrechtenschendingen in hun hele keten.
Of een van de aanwezige CFO’s daar al mee bezig is? Het antwoord: nee.  Van den Doel is niet verbaasd. Volgens onderzoek van Aon heeft nog slechts 25% van alle Europese bedrijven een plan van hoe om te gaan met nieuwe regelgeving op dit gebied. Veel CFO’s stellen zichzelf ook de vraag: wie gaat al die nieuwe regelgeving straks eigenlijk handhaven? De nieuwe privacywetgeving waar het jaren geleden over ging en die alles zou veranderen – wie heeft er ooit nog wat over gehoord?  

Toch is het volgens Wanders wel goed om scherp in de gaten te houden wanneer ESG risks uiteindelijk ook financial risks kunnen worden. Zo zijn er steeds meer banken die geen krediet meer verstrekken aan bedrijven waar de ESG rapportering niet op orde is. Daarom drukt hij ons nog maar eens op het hart: zorg dat je CFO niet overvallen wordt door zogenaamde ‘black swams’ die dat vaak helemaal niet zijn, als je maar een beetje goed oplet wat er allemaal gebeurt buiten je boardroom. Durf voorop te lopen in het adresseren van potentiële bedreigingen, binnen je organisatie maar ook naar stakeholders buiten je organisatie. Dit schept niet alleen een veilige, riskminded cultuur binnen het bedrijf, maar kan ook goodwill opleveren op het moment dat het toch een keer misloopt.