Wie onderneemt, neemt risico. Want hoe hard je ook werkt, het eindresultaat van werkzaamheden laat zich moeilijk voorspellen. Brand, inbraak, verzuim, investeringen die zich niet terugverdienen, ongelukken op de werkvloer, nieuwe regelgeving, cybercriminaliteit: het is slechts een kleine greep uit de bedrijfsrisico’s die van invloed kunnen zijn op het eindresultaat.

Bedrijfsrisico’s

Die risico’s met een simplistische kansberekening afdoen alsof ze jou als ondernemer niet zullen overkomen, is niet meer van deze tijd. Of, zoals Marko van Leeuwen van het Verbond van Verzekeraars het verwoordt: meestal gaat het goed. Tot het niet goed gaat. Er zijn talloze voorbeelden van bedrijven die een incident niet te boven kwamen, simpelweg doordat ze zich er niet op voorbereid hadden. Daarom is goed risicomanagement zo belangrijk: het zorgt ervoor dat een bedrijf veerkrachtig kan reageren op ongelukken en incidenten. Maar wat is goed risicomanagement? Hoe pak je dat aan, en waar gaat het vaak mis?

Het oerbrein

Risico’s inschatten blijkt niet bepaald een talent van mensen, vertelt Theo Kocken, professor riskmanagement aan de VU. “Ons brein past vele versimpelingen toe die nuttig waren toen we moesten jagen op de savanne. Het oerbrein komt echter minder goed uit als we moeten beslissen over een onzekere en complexe toekomst.” Kleine kansen met grote impact worden vaak verkeerd ingeschat, waardoor mensen en besturen nog steeds veel fouten maken. “Neem de schade als gevolg van de grote hagelstormen deze zomer en waarover tussen verzekeraars en agrariërs met kapotte kassen en schuren veel discussie is.

Hagel is bedrijfsrisico in de glastuinbouw

In de glastuinbouw is het hagelrisico bekend en kunnen aparte hagelverzekeringen afgesloten worden. Toch wordt dat door de hoge kosten niet altijd gedaan”, vertelt Onno Paymans, die lid is van het zakelijk overleg van Adfiz, de branchevereniging van onafhankelijk financieel adviseurs. Tegelijk zie je dat weerrisico’s door klimaatverandering een ander karakter hebben gekregen. Het lijkt soms nog ver weg. Paymans geeft aan dat grote schades dan kunnen helpen om over die risico’s en dekkingen na te denken. Van Leeuwen haalt een recent onderzoek van Threadstone in opdracht van MKB Nederland aan, waaruit bleek dat veel bedrijven die aantoonbaar kwetsbaar waren voor cybercriminaliteit het desondanks niet nodig vonden om actie te ondernemen. “Hoe verder de risico’s afliggen van de core business van een bedrijf, hoe moeilijker het wordt er iets zinnigs over te zeggen.”

Het belang van risicomanagers

Volgens de experts gaat het vaker mis in de afweging tussen de kosten om iets op een goede manier af te dekken enerzijds en de kans dat het gebeurt anderzijds. Daarom zijn specialisten zo belangrijk. Veel grotere bedrijven hebben zelf een risicomanager in dienst, die de risico’s continu monitort. Kleinere bedrijven kunnen de hulp inschakelen van externe adviseurs, of risicodeskundigen bij verzekeraars. “Vaak weten organisaties niet eens dat ze op een bepaald vlak risico lopen. Neem de onlangs ingevoerde Meldplicht Datalekken, er zijn veel bedrijven die denken dat het hen niet aangaat, terwijl die meldplicht wel degelijk voor iedereen geldt”, zegt Van Leeuwen.

De risk appetite

Welke risico’s een bedrijf precies loopt is afhankelijk van zijn omvang, van de sector waarbinnen het opereert en bijvoorbeeld of het in verschillende landen actief is. Een grote bakkersfabriek heeft logischerwijs met veel meer risico’s te maken dan de bakker op de hoek en een zeer gespecialiseerd chemiebedrijf heeft met heel andere risico’s te maken dan een webwinkel in kinderspeelgoed. Wanneer bepaald is welke risico’s je als organisatie loopt, kun je een gedegen afweging maken over welke risico’s je bereid bent te lopen. Paymans: “De risk appetite van een bedrijf dat net gestart is, is heel anders dan een bedrijf dat al langer meegaat en een spaarpot heeft weten op te bouwen.”

Beheersmaatregelen bedrijfsrisico’s

Beheersmaatregelen kunnen risico’s voor een groot deel afdekken. Heb ik mijn procedures op orde? Heb ik goede instructies voor het personeel? Zitten er goede sloten op de deuren? Hoeveel sleutels van mijn voordeur zijn er in omloop? En kan ik misschien mijn bedrijfsrisico’s verkleinen als ik zorg dat ik heel solvabel ben? Het zijn allemaal vragen die jezelf als ondernemer moet stellen, stelt Van Leeuwen. Maar zelfs als alle brandpreventiemaatregelen die je kunt nemen genomen zijn, is er nog steeds een kans dat er brand uitbreekt. Dat resterende risico kun je in veel gevallen afdekken met een verzekering. Beheersmaatregelen vertalen zich vaak direct door in de hoogte van de premie. Volgens Paymans is het dus een hele simpele rekensom: als je x moet uitgeven voor een bepaalde maatregel en je bespaart daarmee y op je premie, weet je of de maatregel zin heeft. De kost gaat hierbij voor de baat uit.

Risicomanagement onderdeel van DNA

Een van de belangrijkste aspecten van goed risicomanagement is dat het niet iets is wat in de bestuurskamer wordt bedacht en dat vervolgens de rest van de organisatie niet bereikt. Risicomanagement is voor een belangrijk deel een kwestie van cultuur, benadrukt Kocken. “Het moet in het DNA van de onderneming zitten om te denken in termen van onzekerheid en scenario’s om externe bedreigingen adaptief te kunnen pareren. Anders gaat het niet werken, al huur je nog zoveel consultants in.” Paymans noemt bedrijven in de haven waar risicomanagement onderdeel is van de gehele bedrijfsvoering en waar alle werknemers er continu mee bezig zijn. In sommige grote bedrijven wordt er op de schermen geprojecteerd hoe lang er al geen incidenten in de fabriekshal zijn geweest, bij andere is er een financiële prikkel voor bedrijfsonderdelen die bijvoorbeeld geen beroep doen op de verzekering. Zijn advies: hoe abstract sommige risico’s ook zijn: probeer ze altijd te vertalen naar de individuele medewerker die er invloed op kan uitoefenen.

Kostenpost

Risicomanagement is soms een ondergeschoven kindje, omdat het vooral als kostenobject wordt gezien. Van Leeuwen: “Preventie en verzekeringen kosten inderdaad geld, maar je kunt ze ook zien als een investering in je bedrijfscontinuïteit.” Je hebt dus eigenlijk niet zo veel te kiezen, zo stellen de experts. Adequaat risicomanagement zorgt ervoor dat je als bedrijf ook op de lange termijn competitief blijft, doordat je je continu aanpast aan veranderingen in de externe omgeving, concludeert Kocken. “Over een lange horizon is risicomanagement dus extreem rendabel.”