Voorwoord Risk Impact: Risicojaar 2018
Inspiratiebron voor bedrijven om de grootste risico’s in kaart te brengen en daarmee Risk Management toegankelijk, actueel en concreet maken. Dat zijn onveranderd de doelstellingen van de Risk Impact en dit jaarboek Risicojaar 2018. Al ruim vier jaar scannen we het dagelijkse nieuws op relevante en actuele risico’s voor het bedrijfsleven in Nederland.
Elk jaar bundelen we de maandelijkse Risk Impact edities in een jaarboek. Dit jaar doen we dit voor het eerst in digitale vorm met Risicojaar 2018. Dit is een voorbode naar een verdere doorontwikkeling naar een kennisplatform op onze website waar op een aantal zoekcategorieen (zoals type risico’s en sector) kan worden gezocht naar de voor uw bedrijf relevante incidenten. Inmiddels hebben we in vier jaar een databank met ruim tachtig incidenten. Volkwagen, Samsung Galaxy Note, ING en Imtech zijn slechts enkele voorbeelden.
Waarom vinden wij dit belangrijk?
Ten 1e het feit dat elk bedrijf morgen een incident kan krijgen dat leidt tot een forse financiele impact. Als onderbouwing de volgende twee zorgwekkende statistieken:
Meer dan de helft van de bedrijven (uit ‘Aon Reputation Review’) maakt over een vijfjaarsperiode een incident mee dat de beurskoers met meer dan 20% doet dalen. Ook hebben we in de praktijk voor een aantal bedrijven de beurskoers met meer dan 20% zien dalen door grote incidenten (Imtech, SBM Offshore, Volkswagen).
20% van de bedrijven uit het onderzoek ‘Crisismanagement in het bedrijfsleven’ (Kantar TNS i.o.v. COT, 2017) heeft een crisis meegemaakt, waarbij de volgende definitie voor crisis is gebruikt: ‘An abnormal, unstable, complex situation that represents a threat to the strategic objectives, reputation or existence of an organization’ (bron: British Standard Institution).
Ten 2e wordt de wereld steeds complexer en dynamischer en gaan veranderingen sneller dan ooit. Hierdoor hebben organisaties te maken met ongekend hoge volatiliteit en onzekerheid. Hiervoor is beter inzicht nodig in de nieuwe en emerging risks wat deels kan worden bereikt door te leren van incidenten bij andere bedrijven. Een aantal voorbeelden:
Business Impact en het inwerking treden van Continuiteitsplannen kan veel bredere oorzaken hebben dan een fysiek incident bij een bedrijf zelf (leer bijvoorbeeld van de brede business impact in de Rotterdamse haven van een cyberaanval of de impact van het blokkeren van vaarroutes en dus leveringen door een gestrand schip in de Maas).
Verschil in aanpak van een groot incident (nieuw risico) tussen Samsung en Volkwagen heeft een enorm verschil gemaakt, waarbij de aandelenkoers en reputatie van Samsung veel sneller hersteld was.
Wij vinden daarom al langer dat een goede risk management strategie en beleid onvermijdelijk is, maar we gaan verder. Om om te gaan met de nieuwe dynamiek en de grote impact die incidenten kunnen hebben gaat risk management verder dan alleen de risk management functie.
Wij pleiten voor een overkoepelende aanpak waar Risk Management, Business Continuity Management, Compliance, IT Security, Veiligheidsmanagement, Crisis Management en Insurance worden samengebracht, en silo’s tussen de “downside disciplines” worden doorbroken. Zo kunnen organisaties beter anticiperen en reageren op incidenten. Klassiek risicomanagement voldoet niet meer en moet worden herijkt. Er wordt teveel in silo’s geopereerd en elke silo heeft zich vaak onafhankelijk van de ander verder doorontwikkeld, waarbij de afstemming vaak niet voldoende heeft plaatsgevonden.
Toezichthoudende instanties gaan ook deze kant op en belangrijke instanties als ISO en British Standard hebben recent een nieuwe overkoepelende norm gepubliceerd, respectievelijk de ISO 22316 over organisational resilience eind 2017 en eind 2015 de BS65000 van BSI in de UK.
We vatten dit onder de term “Organisational Resilience”. Onder organisational resilience verstaan we:
The ability of an organization to anticipate, prepare for, and respond and adapt to incremental change and sudden disruptions in order to survive and prosper - British Standard 65000.
Als Aon Global Risk Consulting hebben we onze organisatie ingericht rond een integrale aanpak van al deze disciplines met de nadruk op Risk Management, Business Continuity Management en Crisis Management. Samen met COT (fusie in 2017) hebben we met ruim vijftig collega’s enorm veel kennis over risico’s, grote incidenten, crisissituaties en crisismanagement expertise in al deze gebieden. Door risico- en crisismanagement te integreren, beheersen wij alle stappen in het risicomanagementproces. Daarbij ligt de focus zowel op beperking van de kans op een incident, als op de impact. Ook alle facetten van specialisaties, zoals Business Continuity Management en Veiligheidsmanagement, kunnen we integraal aanbieden. Daarmee sluiten we aan bij de behoefte aan een breder perspectief bij zowel klanten als regelgevende instanties (BSI en ISO), om bij (vooral nieuwe, opkomende) risico’s de nadruk te leggen op het weerstands- en herstelvermogen van organisaties (de resilience).
In 2019 zetten we deze ontwikkeling verder door met de volgende initiativen:
Ook hebben we rond het thema Resilience een aantal nieuwe diensten ontwikkelt zoals een Resilience Base Line Review – een soort nulmeting van de huidige status van uw bedrijf op weerbaarheid en veerkracht.
Met dit brede vizier van Organisational Resilience staan we nog maar aan het begin van een ontwikkeling van meerdere jaren. De eerste bedrijven stellen al een Resilience Officer aan en de vraag naar een overkoepelende aanpak neemt snel toe. Ook stijgt het aantal incidenten nog steeds. Hoe de top risico’s zich ontwikkeld hebben weten we begin mei waneer onze tweejaarlijkse Global Risk Survey weer uitkomt. We zijn benieuwd of reputatierisico nog steeds op 1 staat, of cyber wederom gestegen is en of er nog nieuwe risico’s zijn bijgekomen. We weten inmiddels dat er wereldwijd bijna 3000 bedrijven hebben deelgenomen, waarvan meer dan 60 Nederlandse bedrijven. Zeker dus een representatieve uitkomst waar we naar uit kunnen kijken.
Tot het zover is, hopen we dat dit boek u wederom inspireert en voorbeelden biedt van incidenten die uw organisatie in theorie zouden kunnen treffen. Zo kunt u zich tijdig voorbereiden om zowel de kans hierop, als de impact hiervan, te beperken.
Ontwikkelingen
- Business in Control aanpak in partnership met NARIS Software (bundeling van het grootste team van risicospecialisten met de meest pragmatische en meest gebruikte risk management software)
- Het opbouwen van een Compliance Practice, waarbij we kunnen helpen met de verbinden van de risico afdelingen met compliance en dit vertalen naar een pragmatische aanpak
- Incident Management en Claims Consulting, waarbij we bedrijven helpen bij het beperken van de impact van grote claims op het gebied van bijvoorbeeld Recall of Aansprakelijkheid (post incident)
- Een Crisis Management Game, waarbij bijvoorbeeld een cyber incident en de bijbehorende kritische besluiten en dilemma’s kan worden geoefend
- Het opbouwen van een Crisis Communicatieteam waarbij we kunnen helpen om de impact van het nr. 1 risico: Reputatierisico te beperken
- Het ontwikkelen van Risk Based Financing, waarbij we risico analyse en financiele analyse gebruiken om risico’s van bedrijven optimaal (meer risk- en analytics based) te financieren of verzekeren
- Het ontwikkelen van een standby captive verzekeraar (soort optie op een captive) waarmee we anticiperen op een mogelijk verhardende verzekeringsmarkt