Risicomanagement heruitgevonden: van beheersen naar waarde creëren

In een wereld waarin technologische innovaties elkaar in razend tempo opvolgen, staat traditioneel risicomanagement onder druk. Stephan van den Broek RA RC, expert in innovatie, strategisch risicomanagement en prestatiesturing, pleit voor een fundamenteel andere benadering. “De grootste valkuil in een exponentieel veranderende wereld is lineair blijven denken.”

Exponentiële versnelling om anders te denken
“Er zijn verschillende technologieën die onze wereld in rap tempo veranderen, maar wanneer ik één drijvende kracht achter al die exponentiële ontwikkelingen zou moeten noemen, dan zou dat het internet zijn. Via het wereldwijde netwerk wisselen we razendsnel enorme hoeveelheden data en informatie uit”, begint Van den Broek. “Het internet is een gigantische kopieermachine waardoor informatie niet langer een privilege is.”

“De schaarste aan kennis verdwijnt, die daarmee ook in financiële waarde daalt. Die grenzeloze, razendsnelle uitwisseling heeft allerlei technologische ontwikkelingen in een stroomversnelling gebracht. Bijvoorbeeld de ontwikkeling van kunstmatige intelligentie en robottechnologie. Ontwikkelingen die vervolgens andere ontwikkelingen weer een extra versnelling geven.”

Slimmer dan de mens
In 2016 schreef Van den Broek samen met wijlen prof. Blommaert het boek Management in Singularity, waarin zij de verwachting optekenden dat het netwerk aan computers tussen 2030 en 2035 ‘slimmer’ zou zijn dan de mens. “Nu nog geen tien jaar later, denk ik dat deze zogenaamde ‘technische singulariteit’ dichterbij 2030 dan bij 2035 zal liggen.”

“Bedenk dat bij je bij exponentiële ontwikkelingen niet moet kijken naar de snelheid van verandering, maar naar de verandering van snelheid. De acceleratie is enorm die we de afgelopen drie jaar hebben gezien in de ontwikkeling van kunstmatige intelligentie en robottechnologie. Die zal zich ook de komende jaren nog verder doorzetten.”

Grootste valkuil
Van den Broek noemt lineair denken de grootste valkuil in een exponentieel veranderende wereld. “Dat je impliciet veronderstelt dat je de snelheid van de ontwikkelingen over de afgelopen tien jaar in een rechte lijn kunt doortrekken naar de komende tien jaar. Maar wanneer de technologie zich exponentieel ontwikkelt, maken we de komende tien jaar niet dezelfde stap als de afgelopen tien jaar. Dan maken we de komende tien jaar een stap van 20 of zelfs 30 jaar, afgezet tegen de snelheid van nu.”

“Dus wanneer je als organisatie strategisch kijkt naar veranderingen en technologische ontwikkelingen en de vraag stelt of, hoe en wanneer daarop in te spelen, kijk dan eerst even heel goed of er in die verandering of ontwikkeling geen sprake is van een exponentiële groei. Exponentiële groeicurves hebben namelijk significante impact op de tijdshorizon.”

Van risico’s naar onzekerheden
Een van de grootste uitdagingen voor organisaties is niet wát er verandert, maar hoe snel het verandert, stelt Van den Broek. “De manier waarop wij organisaties inrichten, aansturen en beheersen is gebaseerd op een vermeende lineaire wereld. Vanwege de exponentiële ontwikkelingen ontstaat er meer en meer behoefte aan managementinnovatie, naast product, proces en businessmodelinnovatie. Dat wil zeggen dat er behoefte is aan een andere manier van denken over hoe we organisaties aansturen. Wanneer je het betrekt op risicomanagement, is dat een verandering van denken in risico’s naar een denken in onzekerheden.”

Van den Broek maakt het onderscheid tussen risico’s en onzekerheden helder: “Bij risico’s heb je een beeld van wat er zou kunnen gebeuren, noem het scenario’s, en aan die scenario’s kun je waarschijnlijkheden toekennen. Wat kan er gebeuren of misgaan? Welke kans hoort daarbij en welke impact? Vandaaruit kun je dan mitigerende maatregelen definiëren, de kosten bepalen en evalueren of die maatregelen dan economisch rationeel zijn om te treffen. Feitelijk, vrij rechttoe rechtaan. Lineair dus.”

Alle kanten opgaan
“Misschien wat te eenvoudig gezegd, maar voor risico’s zou je een draaiboek kunnen maken, waar je voor onzekerheden de mogelijkheden en capaciteiten moet hebben om te kunnen improviseren.Op risico’s kun je je  voorbereiden, bij onzekerheden moet je inherent snel inspelen als er iets onverwachts gebeurt.  Onzekerheden manage je dan ook fundamenteel anders dan risico’s. ” Hij benadrukt dat we risicomanagement niet overboord zouden moeten gooien, maar dat het traditionele risicomanagement in de onzekere, turbulente wereld van vandaag niet langer voldoende is.|

Lees ook: Persoonlijk leiderschap voor financials. Prof. Freek Peters over tunnelvisie, complexiteit en veerkracht

Kansen en risico’s als twee zijden van dezelfde medaille
Een van de fundamentele inzichten in Van den Broeks cursus Risicomanagement in een exponentiële wereldis dat risico’s ook strategische kansen kunnen zijn. Veel organisaties blijven echter hangen in compliance en risicomijding in plaats van het benutten van kansen. “Elke activiteit of elke investering heeft per definitie twee kanten heeft. Aan de ene kant alle mogelijke positieve uitkomsten die we in spreektaal vaak ‘de kans’ en dus de kans-zijde noemen. En aan de andere kant staan alle mogelijke negatieve uitkomsten van de te ondernemen activiteit of investering, die we in spreektaal ‘het risico’ of dus de risico-zijde noemen.”

“Daar de kans-zijde bestaat uit alle mogelijke netto positieve uitkomsten, noemen we die kant van de medaille ook wel de rendements-zijde. Maar zowel de rendement- als risico-zijde komen voort uit exact dezelfde bron, namelijk activiteiten of investeringen.” Hij spreekt dan ook niet over risicomanagement, maar over kans- en risicomanagement ofwel opportunity & riskmanagement.

De valkuil van niets doen’
Een veelgemaakte denkfout in risicomanagement is de aanname dat niets doen een neutrale keuze is. Van den Broek verwijst naar een concreet voorbeeld: een investeringsvoorstel met slechts twee alternatieven: investeren en  niet-investeren. “Soms veronderstellen managers impliciet dat er geen consequenties verbonden zijn aan het niet ondernemen of in dit geval het niet doen van een investering. De verwachting is dan dat niet-investeren geen kans biedt op een positief resultaat, hetgeen overigens nog begrijpelijk is.”

“Maar tegelijkertijd wordt impliciet verwacht dat niet-investeren dan ook niet zal leiden tot een negatief resultaat. Niets doen is dan neutraal ofwel de financiële uitkomst van niet-investeren wordt verondersteld nul te zijn. Maar dit is vaak een valse gedachte, zeker in een exponentieel veranderende wereld. Niets doen heeft namelijk vaak wél consequenties. Niets doen betekent meestal dat je achteruit gaat en dus is de uitkomst van niet-investeren vaker niet neutraal en in financiële termen niet nul.”

Risico van niets doen
Door niets doen geen risico toe te kennen, blijft een belangrijke dimensie buiten beeld. “Wanneer stilstand achteruitgang betekent, zou je kunnen zeggen dat niets doen dus wel degelijk de risico-zijde van de medaille kent. Zeker wanneer, zoals in de meer compliance-gedreven omgevingen, risicomijding in de gedachte centraal zou staan, leidt de valse veronderstelling dat niets doen een veilige, neutrale optie is eigenlijk tot een belangrijk strategisch risico. Namelijk dat je te weinig verandert, waarmee je de verdiencapaciteit van de organisatie stap-voor-stap zou uithollen.”

Van den Broek werkt in de tweedaagse cursus met het zogenaamde Risk Dashboard en Key Risk Indicators (KRI’s) om risico’s en prestaties te monitoren. “Zoals gezegd is iedere activiteit en elke investering te zien als een medaille met een positieve ofwel rendement-zijde en een negatieve ofwel risico-zijde. Aan rendement-zijde zijn we, in het kader van prestatiemanagement, inmiddels gewend om Key Performance Indicators, de KPI’s, te definiëren, daarover te rapporteren en daarop bij te sturen. Aan de risicozijde is dat tot op heden echter veel minder geaccepteerd. Maar eigenlijk is het logisch om aan beide zijden van dezelfde medaille te rapporteren over indicatoren die iets vertellen over de ontwikkeling en trends. Dus naast KPI’s ook over Key Risk Indicatoren ofwel KRI’s.”

Tijdigheid van signaleren
“Het doel van KPI’s is om eerder grip te krijgen op de onderliggende drijvers van het beoogd rendement of beoogd positief resultaat, zodat tijdige bijgesturing mogelijk is.Het doel achter de KRI’s is precies hetzelfde. In een wereld die alsmaar sneller verandert, wordt tijdigheid van signaleren en actie nemen alleen maar belangrijker. Vandaar dat we de set aan KPI’s rondom de activiteiten die een organisatie onderneemt uitbreiden met een set aan KRI’s. Het managementdashboard omvat dan dus zowel prestatiedrijvers als risicodrijvers.”

Een treffend voorbeeld om het belang van KRI’s te onderstrepen: “Een onderneming had een KPI gedefinieerd op het doorvoeren van prijsverhogingen richting klanten. De onderliggende gedachte was uiteraard meer omzet en de klantwinstgevendheid. Over de KPI werd gerapporteerd en er werd op gestuurd. Maar de tegenpool van diezelfde actie is omzetverlies doordat klanten vertrekken. De KPI van het doorvoeren van prijsverhogingen had dus eigenlijk met een KRI rondom klanttevredenheid moeten komen.”

“In dit geval stegen de omzet en klantwinstgevendheid op de korte termijn, maar de klanttevredenheid daalde harder. Het behalen van de KPI leidde tot omzetverlies. Er had dus een eind moeten komen aan het eenzijdig sturen op prijsverhogingen. Het weglaten van relevante KRI-informatie droeg bij aan de te eenzijdige focus op de KPI.”

Risicodynamiek onder druk
Tijdens de cursus werken deelnemers aan een praktijkcasus in de voetbalwereld. “Feitelijk is de voetbalwereld als elke andere business. Werkelijk alles wat je in andere organisaties hebt of tegenkomt, speelt in deze setting ook, zeker bij een wat grotere club. De bijzonderheid is echter dat er in het voetbal. Er is ook meer druk vanwege de media-attentie.. Dat leidt tot een verhoogd risico op irrationele besluitvorming op allerlei niveaus en dat maakt deze setting juist interessant om van te leren.”

In de praktijkcasus worden bepaalde cultuuraspecten en psychologische druk meer uitvergroot dan in andere organisaties. “En de invloeden daarvan op de acceptatie en effectiviteit van riskmanagement kun je dus beter met elkaar bediscussiëren. Juist ook doordat Jeroen Slop, als oud-CFO van Ajax, het tijdens de cursus lardeert met anekdotes en sprekende voorbeelden wordt het een waardevolle oefencasus, ook voor niet-voetballiefhebbers.”

Waardecreatie begint bij het definiëren van risicokaders
Van den Broek benadrukt dat waardecreatie geen losstaand project is maar een continu proces. “Iedere organisatie heeft tot doel waarde toe te voegen. Zonder het bestendig of duurzaam toevoegen van waarde, heeft geen enkele organisatie enig bestaansrecht. Waardemanagement is die medaille met twee zijden. De rendement-zijde en de risico-zijde, prestatiemanagement en risicomanagement, die inherent met elkaar verbonden zijn en dus ook gezamenlijk bezien en gemanaged zouden moeten worden. Je kunt risicomanagement niet los zien van prestatiemanagement.”

In een passend voorbeeld duidt hij waarom: “Wanneer ik namelijk iemand op pad zou sturen om een rendement te maken dat hoger ligt dan het risicovrije rendement op veilige staatsobligaties en daar vervolgens vanuit de gedachte van prestatiemanagement een mooie bonus aan koppel, dan stuur ik hem of haar ook op pad om risico’s te nemen. Het één kan niet zonder het ander, en dus moet je het ook samen sturen.”

Drie verdedigingslijnen
In dat licht plaatste Van den Broek een discussie een prikkelende kanttekening bij het bekende three lines of defence-model. In de gebruikelijke indeling vormt het lijnmanagement de eerste verdedigingslijn, de corporate staf de tweede en audit de derde. “Geheel los van de insteek en naam van dit model poneerde ik de stelling, dat in mijn ogen de raad van commissarissen dan de eerste verdedigingslijn zou moeten vormen. Het zijn immers de commissarissen die het bestuur bevragen over de visie, strategie en gehanteerde rendementseisen, maar dan ook aan de voorkant over de risico-zijde zouden moeten doen. Dus over de bij die na te streven doelen behorende kaders van risicocapaciteit en risicotolerantie.”

En precies daar schuurt het volgens Van den Broek in de praktijk. “Wanneer je het topmanagement, door bijvoorbeeld het accorderen van een strategie, budget of bonussysteem, op pad stuurt om een bepaald rendement te maken, moet je tegelijkertijd ook spreken over de daarbij maximaal te nemen risico’s.” Voor hem is het niet meer dan logisch: “Als het aankomt op effectief risicomanagement vormt enige definitie en gemeenschappelijk beeld van de risicokaders waarbinnen gewerkt moet worden voor mij het vertrekpunt. Wanneer ik dan in het kader van opportunity & riskmanagement aan verdedigingslinies denk, komt bij mij de raad van commissarissen dan ook als eerste naar boven.”

Zo komt hij terug bij zijn beginpunt: waardecreatie begint bij het definiëren van risicokaders. Eerst weten waar de grenzen liggen, dan pas waarde realiseren.

Van risico en rendement naar bestendige waardecreatie
Van den Broek wees ons al op de twee kanten van waarde: rendement en risico. “Waardemanagement bestaat dus uit prestatiemanagement én risicomanagement. Die inherente samenhang tussen opportunity & riskmanagement en performancemanagement willen we in de cursus benadrukken en ze komen dus tezamen in wat we noemen waardemanagement.”

Organisaties, of ze nu profit of non-profit zijn, moeten uiteindelijk waarde zien toe te voegen voor hun stakeholders om zo hun continuïteit te blijven garanderen. “Verschillende stakeholders hanteren echter verschillende waardebegrippen en definiëren dus wat zij zien en wegen als rendement en risico’s dus anders. Bestendige waardecreatie gaat over het kennen van de waardebegrippen van niet alleen je aandeelhouders, maar ook die van klanten, medewerkers en de maatschappij als geheel. Door het bezien van waarde – en dus van rendement en risico’s – door de ogen van de verschillende stakeholders komen we tot vier waardebegrippen: ‘value to the customer’, ‘value to the employee’, value to the firm’ en ‘value to society’. Het idee achter bestendige waardecreatie is dat je als organisatie niet structureel op de pof kunt leven. Je kunt dus niet blijvend de waarde voor slechts één groep aan stakeholders optimaliseren wanneer dat ten koste zou gaan van een of meerdere van de andere stakeholders.”

In de cursus werkt Van den Broek met deze vier waardebegrippen en laat zien waar ze in verschillen, maar ook waar ze samenhangen én elkaar kunnen versterken. Via de waardeboom koppelen deelnemers de waardebegrippen naar de bedrijfsprocessen en terug naar de KPI’s en KRI’s. Het resultaat is een waardegedreven managementdashboard: value-based business steering.

Risicomanagement in een exponentiële wereld

Traditionele risicomodellen schieten tekort in een wereld waarin exponentiële innovaties, disruptie en onzekerheid de norm zijn. Hoe zorg je ervoor dat risicomanagement niet alleen beschermt en compliance afdekt, maar ook bijdraagt aan strategische wendbaarheid en bestendige waardecreatie? In deze tweedaagse cursus leer je hoe je risico- en performancemanagement integreert tot een strategisch en operationeel stuurinstrument.

Bekijk programma | Schrijf je in

Dit artikel verscheen eerder bij onze kennispartner Alex van Groningen