Als er één voorbeeld is van een bedrijf waar meerdere risico’s kunnen samenvallen, is het netbeheerder Stedin wel. Commissaris Doede Vierstra legt uit: “We opereren in een zeer kwetsbare en vitale sector, de energiesector. We werken met elektra en gas, met kabels en leidingen. Er kunnen ongelukken gebeuren met grote gevolgen. Niet alleen voor onze eigen mensen, maar voor de leveringszekerheid naar onze afnemers.” Bovendien zijn bedrijven in de energiesector gevoelig voor de omstandigheden in een wereld die tamelijk onstuimig en onvoorstelbaar is op dit moment. “We hebben een risicomanagementorganisatie die standaard onderdeel is van de organisatie en klaarstaat voor als er wat gebeurt”, vertelt Doede. “Wat dat betreft denk ik dat we beter zijn voorbereid dan de gemiddelde organisatie.”
Een proef op de som vond onlangs plaats, toen Stedin als hoofdrolspeler deelnam aan een documentaire waarin die stapeling van risico’s werd gesimuleerd. Doede raadt iedereen aan deze documentaire, Black-out, te bekijken. In de simulatie was er sprake van een hack van de systemen, waardoor het hele elektriciteitssysteem van Zuid-Holland, Zeeland en Utrecht platlag. Daarbij viel ook internet uit. “Het was ongelooflijk professioneel gedaan, ook de hulpdiensten en instanties deden mee”, weet de commissaris nog. “Je ziet wat er gebeurt na een uur, na twee uur, na 24 uur. Je ervaart hoe snel een situatie kan ontaarden. Met communicatieproblemen, het opraken van eten en drinken, met plunderingen die plaatsvinden… De aandacht voor eigen risico’s verschuift al snel naar de risico’s die de hele samenleving kunnen ontwrichten.” Doede geeft aan dat deze ervaring waardevol en leerzaam is geweest voor Stedin.
Als Advisory partner bij Grant Thornton werkt Erwin Rexwinkel voor klanten aan vraagstukken rond risicomanagement. Het reguliere risicomanagement is bij steeds meer organisaties goed geborgd in systemen, protocollen en rapportages, ziet hij, waarbij de integratie met de managementprocessen en -besluitvorming vaak nog achterblijft. Uitdagender wordt het wanneer meerdere risico’s samenvallen. Erwin ziet dat organisaties in vitale sectoren, bijvoorbeeld in de zorg en in de energiebranche, zich over het algemeen voldoende bewust zijn van de risico’s die tegelijkertijd kunnen optreden. Maar de noodzaak voor structurele aandacht voor het samenvallen van risico’s is nog niet overal doorgedrongen, laat ook het Grant Thornton commissarissen benchmarkonderzoek zien.
De grootte van een organisatie is niet per definitie een graadmeter voor de mate van volwassenheid van het risicomanagement, ervaart Erwin: “Er zijn genoeg bedrijven van formaat die risicomanagement benaderen vanuit een compliance-gedachte. Het is een hygiënefactor. Aan de andere kant zijn er mkb’ers die mogelijke risico’s écht doorleven. Dat zit dan echt in de cultuur van die organisaties.”
Het belang van aandacht voor de stapeling van risico’s is evident, vindt Doede, wanneer hij de toestand in de wereld door zijn oogharen aanschouwt: “We komen helaas in een situatie in de wereld waarin megarisico’s zich aandienen. Ontwikkelingen die werkelijk niemand durfde te voorspellen, worden werkelijkheid.” De commissaris doelt bijvoorbeeld op de oorlog in het Midden-Oosten. Een belangrijke aanvoerroute voor olie wordt afgesloten. Het heeft verstrekkende gevolgen voor de energievoorziening en daarmee voor de hele economie.
Natuurlijk waren er in het verleden ook grote rampen. Een oliecrisis, een bankencrisis, een pandemie, somt Erwin op. “Maar crises voltrekken zich de afgelopen periode steeds vaker. Dus de kans dat meerdere risico’s samenvallen is daarmee ook groter. Bovendien is het effect van die samenvallende risico’s groter dan de som der delen. Je krijgt dan de perfect storm-scenario’s. Vanuit geopolitiek perspectief verwacht ik dat dit de komende tijd nog wel even zo zal blijven.”
Volgens de commissaris zullen organisaties een volgende stap moeten maken in de benadering van risico’s. Hij noemt risicomanagement daarom liever anders. “Risicomanagement is voor de meesten wel duidelijk. Dat zijn processen die zijn ingericht om goed om te gaan met interne en externe gevaren. Ik heb het liever over weerbaarheid. Dat is een stap hoger. Dan gaat het erom hoe weerbaar je bent als organisatie in toekomstige crisissituaties.”
Werken aan weerbaarheid laat zich niet enkel vastleggen in methodieken en systemen, daarover zijn Erwin en Doede het eens. “Het is zaak je realistisch voor te bereiden op verschillende risicoscenario’s. Het is verraderlijk om je te verliezen in doemscenario’s”, stelt de commissaris. Het is een delicaat spel van afwegingen. Erwin op zijn beurt: “Je moet jezelf de vragen stellen: wat zijn de strategische doelstellingen en strategische risico’s van je organisatie en wat zijn dan nog nét realistische en meest impactvolle scenario’s? Daarop moet je je voorbereiden.”
De commissaris van Stedin vindt dat de gesprekken over risico’s in de afgelopen jaren steeds inhoudelijker zijn geworden. Van het slechts beoordelen van de risico’s verschuiven de gesprekken richting hoe organisaties zich verhouden tot die risico’s. De volgende stap is om samenvallende risico’s nadrukkelijker op de agenda te zetten.
Voor de Raad van Commissarissen is het van belang om bij crisissituaties in nauw contact te blijven met de Raad van Bestuur, vindt Doede. De rolverdeling is daarbij helder: “Wij schrijven geen crisisplannen. Wij zijn er evenmin voor om de organisatie actief door zo’n noodsituatie heen te loodsen. Dat is de rol van het bestuur. Dat zou verwarrend worden als ik me daarmee zou gaan bemoeien. Als je uit je rol treedt, vererger je de situatie. Maar als er principiële beslissingen moeten worden genomen die verstrekkende gevolgen kunnen hebben, moet je als commissaris wél aangehaakt zijn.”
Lees in het commissarissen benchmarkonderzoek wat andere commissarissen van belang vinden als risico’s samenvallen.
In het contact met een raad van bestuur stelt Doede vooral de bestuurders centraal. Dáár komt de druk terecht; zij moeten handelen. Die bestuursleden verdienen de ondersteuning, moreel en zichtbaar, vindt de commissaris. “Ik wil ze het gevoel geven: wij staan achter je. De functie van commissaris in crisissituaties is echt een ondersteunende, veel meer dan een operationele of controlerende.”
Doede “Als commissaris wil ik bestuursleden vooral het gevoel geven: wij staan achter je. De functie van commissaris in crisissituaties is echt een ondersteunende, veel meer dan een operationele of controlerende.”
Die ondersteunende rol vraagt om een zorgvuldig oog. Uit de coronapandemie kan de commissaris zich nog een Teams-vergadering met de board herinneren, waarin hij zich zorgen maakte over het fysieke welzijn van de bestuursleden. Als zij erdoorheen zitten, is dat een risico: “Een les die ik uit die periode leerde, is om echt zorgvuldig te beoordelen of de bestuurders het aankunnen: zijn ze in staat het bedrijf door de crisis heen te loodsen? Zijn ze nog scherp om de juiste beslissingen te nemen? Dát is onze taak om te beoordelen.”
Verder richt de commissaris zich op de medewerkers van de organisatie: een volgende prioriteit. Hoe zijn die in staat om met crises om te gaan? Erwin ziet dat op dit gebied nog een wereld te winnen is. “Mijn ervaring is dat risicomanagement voor de meeste medewerkers niet ‘top of mind’ is. Er is iemand binnen de organisatie verantwoordelijk voor het risicomanagement, maar verder leeft het buiten het management zeer beperkt. Ik vind dat organisaties actiever hun mensen kunnen meenemen in de risico’s waaraan ze als onderneming blootstaan. Stroomuitval en een cyberaanval raken hen ook direct. De recente voorbeelden daarvan zijn sprekend.”
Uit het commissarissen benchmarkonderzoek: 70% van de ondervraagde commissarissen is het oneens met de stelling dat medewerkers weten wat ze moeten doen in crisissituaties.
Kleine attenties kunnen het risicobewustzijn bij medewerkers vergroten. Zo was het kerstcadeau bij Stedin een batterijradio. “Nu is dat niet meteen dé aanpak”, realiseert Vierstra zich. “Maar je geeft wel een signaal. En je investeert in de weerbaarheid van je bedrijf.”
Daarnaast is Doede groot voorstander van simulaties. Ervaar maar: hoe is het om gehackt te worden en het internet valt uit? “Simulaties maken situaties waarin je als organisatie kunt terechtkomen heel concreet. Ze leren je in de praktijk voor welke afwegingen je komt te staan en hoe mensen reageren.”
Natuurlijk is er de bekende brandoefening. Maar ook situaties waarin meerdere risico’s samenvallen, zijn oefenbaar. Erwin knikt instemmend. Blijven trainen is zijn advies. “Zo bouw je als organisatie ‘muscle memory’ op: je traint je medewerkers om effectief te blijven in een crisissituatie en voorkomt daarmee dat medewerkers bevriezen.” Erwin ziet dat bij bedrijven verhoudingsgewijs de meeste aandacht gaat naar state-of-the-art risicomanagementmethodieken en protocollen en rapportages. Maar die mogen nooit leiden tot een gevoel van comfort: schijnveiligheid. “Ik adviseer daarom vooral te investeren in trainingen voor medewerkers in plaats van in systemen. Het komt in crisissituaties neer op de mens: zij moeten weten wat ze moeten doen.”
Erwin “Via trainingen bouw je als organisatie ‘muscle memory’ op: je traint je medewerkers om effectief te blijven in een crisissituatie.”
Niet voor niets is Doede niet alleen in dialoog met de raad van bestuur, maar ook bijvoorbeeld met de leden van de ondernemingsraad van Stedin. “Dat zijn de mensen die de praktijk op de werkvloer kennen, waar ontzettend veel kennis over risico’s te halen is. Ik leer enorm veel van die gesprekken.” Rexwinkel vat samen: “Werken aan weerbaarheid bij samenvallende risico’s is niet alleen een zaak voor de RvB of de RvC; het gaat iedereen aan.”
Grant Thornton is al ruim 16 jaar hoofdsponsor van het commissarissen benchmarkonderzoek van Board in Balance. Voor het stimuleren van goed bestuur is dit onderzoek buitengewoon waardevol. Rondom de onderzoeksresultaten en actuele onderwerpen organiseren wij regelmatig bijeenkomsten. Zo is er in de loop der jaren een interessant netwerk ontstaan. De bijeenkomsten hebben een informeel en besloten karakter. We nodigen je harte uit om aan te sluiten. Wil je op de genodigdenlijst?
In de serie ‘Door het oog van de commissaris’ lichten we thema’s uit waar toezichthouders dagelijks mee te maken hebben. In dit tweede deel staan integriteit en fraude centraal.
In de serie ‘Door het oog van de commissaris’ lichten we thema’s uit waar toezichthouders mee te maken hebben. In deel 1: het thema cyber. We gaan in gesprek met commissaris Rudina de Lange en Migiel de Wit-Beets, partner cyber risk bij Grant Thornton.
