Nederlandse bedrijven zijn maar weinig risicobewust

Nederlandse organisaties zijn zich te weinig bewust van de risico’s die hun bedrijfsvoering bedreigen. Voor de top 10 risico’s geldt dat Nederlandse organisaties zich minder goed voorbereiden bedrijven in de rest van de wereld. Voor het risico waarvan internationaal de meeste organisaties wakker liggen - reputatieschade – hebben veel Nederlandse bedrijven geen plan klaarliggen om het risico te beheersen.

Dat blijkt uit de Global Risk Management Survey, een tweejaarlijks onderzoek van risico-adviseur en verzekeringsmakelaar Aon. In het onderzoek werden wereldwijd meer dan 1.400 CEO’s, CFO’s en risk managers ondervraagd, waarvan 124 uit Nederland. De risico-top 10 van Nederlandse organisaties verschilt op meerdere plekken van die van de rest van de wereld. Opvallend is dat cyberrisico’s niet in de top 10 staan (plaats 12), terwijl dit risico internationaal voor het eerst een top 10 notering kent (plek 9). Ook het risico op bedrijfsonderbreking (plek 18 in Nederland versus 7 internationaal) en schade aan één van de eigendommen (plek 24 versus 10) worden in Nederland lager ingeschat dan internationaal het geval is.

Disruptieve bedrijfsmodellen
“Het Nederlandse bedrijfsleven is zich in vergelijking met de rest van de wereld meer bewust van de risico’s van disruptieve bedrijfsmodellen zoals Uber en Airbnb,” zegt Alex van den Doel, Managing Director bij Aon Global Risk Consulting. Dat blijkt onder meer uit twee risico’s die in de Nederlandse top 10 hoger staan dan internationaal: toenemende concurrentie (plaats 2 versus plaats 4) en gebrekkige innovatie (plaats 4 versus plaats 6).

Bij ruim een kwart van de Nederlandse organisaties (28%) de Raad van Bestuur geen risicomanagementbeleid heeft geformuleerd. Ook dit is volgens Aon een teken dat Nederlandse organisatie zich minder goed voorbereiden op incidenten. Internationaal ligt dit percentage namelijk slechts op 16%. Bovendien heeft bijna de helft van de Nederlandse organisaties (49%) geen formele risicomanagementfunctie, terwijl wereldwijd 71% van de organisaties dat wel heeft.

Chief Risk Officer
Zeven op de tien Nederlandse organisaties (72%) hebben geen Chief Risk Officer en zijn ook niet van plan die aan te stellen. Internationaal is dat bij zes op de tien het geval (59%). Bijna de helft van de Nederlandse organisaties meet bovendien de effectiviteit van hun risicomanagementactiviteiten niet (46%), fors meer dan het internationale gemiddelde (29%).

Nederlandse organisaties lijken volgens Aon hun risicomanagement vooral vorm te geven vanuit financiële overwegingen. Bij ruim de helft van de Nederlandse organisaties (51%) is de Chief Financial Officer (CFO) ervoor verantwoordelijk. In slechts 13% van de gevallen ligt deze taak bij de Chief Executive Officer (CEO). Internationaal is dat respectievelijk 33% en 26%.

Schade gaat verder dan de financiële impact
“Incidenten hebben onmiskenbaar een financiële impact op organisaties, maar de schade gaat veel verder dan dat,” zegt Van den Doel. “Risico’s als reputatieschade of onderbreking van de toeleveringsketen kunnen de continuïteit van de bedrijfsvoering serieus bedreigen. Risicomanagement is daarmee een onderwerp dat de aandacht vraagt van het hoogste niveau in de organisatie.”

Van den Doel adviseert bedrijven om zich goed voor te bereiden op incidenten. “Denk in scenario’s en doe een stresstest. De volgende stap is het treffen van maatregelen voor de scenario’s die de grootste impact hebben op de strategische doelstellingen van de organisatie.”