Op 31 augustus verscheen op nu.nl het bericht dat onderzoek van KPMG liet zien dat slechts 7 van de 25 AEX bedrijven een pandemie als risico zagen in 2019. Dat lijkt dat best raar wanneer je kijkt naar het feit dat we midden in een pandemie zitten met mondiaal heftige effecten. Ik heb hier toch een dubbel gevoel bij. Want ik snap heel goed dat je het risico op een pandemie nou niet als belangrijk risico ziet, zeker niet wanneer je een traditionele manier van kijken naar risico’s hanteert. Want wat is de “kans van optreden” en wat is de “gevolgschade” van een pandemie? Wie had voorzien dat dit zo groot kon zijn in moderne tijden?
Traditioneel risicomanagement
Het traditionele risicomanagement ken je vast wel. Je gaat eens goed zitten met een managementteam of projectteam om de risico’s voor de organisatie of voor een project in kaart te brengen. Dat zijn vaak langdurige bijeenkomsten die enthousiast beginnen, maar die uiteindelijk eindigen in een snelle invulexercitie van een Excel sheet om er maar snel vanaf te zijn. Hoe groot is de kans van optreden? Wat is de gevolgschade? “Doe maar hoog dit kee, die hadden we nog niet”. Ik overdrijf natuurlijk, maar feit is wel dat we, met de eerdere ervaringen die wij hadden met uitbraken van ziektes, maar moeilijk konden inschatten wat de impact van deze COVID-19 uitbraak zou kunnen zijn. De Spaanse griep zit niet in ons collectieve geheugen en alles wat daarna aan uitbraken is geweest had op de economie en organisaties feitelijk maar een zeer beperkte impact. Een uitbraak van een virus die een mondiale lockdown, veranderend consumentengedrag en compleet verstoorde supply chains tot gevolg had klinkt meer als een scenario van een film. Op basis daarvan vind ik het vooral knap dat 7 van de 25 AEX bedrijven een pandemie wel als risico zagen. De volgende vraag is natuurlijk welke beheersmaatregelen ze daarbij hadden, dat leert het onderzoek ons niet. Maar de essentie van risicomanagement is natuurlijk wel dat je beheersmaatregelen neemt.
Hoe schat je risico’s in?
Het is natuurlijk verschrikkelijk moeilijk om potentiële risico’s echt op waarde te schatten. Het gaat toch vaak om inschattingen, een onderbuikgevoel en het uitwisselen van ideeën die moeten leiden tot een inschatting van een risico. Vooral bij risico’s die vrij extreem zijn hebben we geen echte voorbeelden uit het verleden of data beschikbaar op basis waarvan we kunnen komen tot een reële inschatting. Op het moment dat voldoende gegevens beschikbaar zijn kun je een beroep doen op statistische modellen om te proberen een inschatting te doen van het risico dat je loopt. Maar waar is de data van de impact van een pandemie? Ook hier lijkt het voorspellen van een mogelijke impact van een pandemie op voorhand niet te doen. Nog een goede reden om dat niet expliciet als risico te vermelden dus. Dit is ook wel een punt bij de constatering van KPMG dat de registers vooral een korte termijn focus hebben. KPMG pleit daarbij voor een grotere focus op de lange termijn. Daar ben ik het van harte mee eens, maar hoe langer de termijn, hoe onduidelijker de kans van optreden en de mogelijke gevolgschade natuurlijk.
Scenario’s!
Toch is er volgens mij ook een manier om met de mogelijke gevolgen van risico’s om te gaan terwijl ze niet echt kwantificeerbaar zijn, of zelfs helemaal niet worden gezien als risico. Dat is het werken met scenario’s. Want scenario’s kun je bedenken los van de mogelijk optredende risico’s. Je kunt heel goed scenario’s bedenken voor het wegvallen van omzet of voor het verstoord raken van een supply chain bijvoorbeeld. En met die scenario’s in het achterhoofd kun je ook heel goed bedenken hoe je gaat reageren wanneer je in een dergelijk scenario terecht komt, door welke reden dan ook. Scenario denken kon wel eens een prima alternatief zijn voor het proberen te benoemen van al die specifieke potentiële risico’s die we lopen. En het is ook een goed middel om nu al actie te nemen rekening houdend met verschillende scenario’s. Dat is volgens mij ook de essentie van wat nu de “resilient” organisatie wordt genoemd: een organisatie bouwen die om kan gaan met verschillende scenario’s en die goed kan reageren wanneer onverwachte gebeurtenissen optreden. Dat is nog eens risicomanagement!
Door: Jan Heinen, directeur PLUC!