Hoe verandert de rol van de risicomanager? Covid-19

Aanleiding

Dit is het eerste blog in de serie van blogs richting mijn afstuderen aan de master Risicomanagement. In 2019 ben ik gestart bij de Universiteit van Twente aan de Master Risicomanagement omdat ik, als risicomanager, in het werkveld vaak heb gezien dat risicomanagement niet holistisch wordt aangepakt. Er is veel ingericht op individuele werkvelden zoals Kwaliteit, Veiligheid en Financieel maar de verbinding tussen de risico’s van de vakgebieden ontbreekt vaak, hier kan een risicomanager goed zijn rol vervullen. Met mijn Master heb ik meer inzicht gekregen over hoe ik deze vakgebieden beter met elkaar kan verbinden zodat ik ondernemers nog beter kan adviseren ten aanzien van risico’s die het behalen van hun doelen in de wegstaat.

Covid-19

In 2020 zijn we allemaal, dus ook de risicomanager, geconfronteerd met de komst van het Covid-19 virus en de gevolgen van de crisis moeten we tot op de dag van vandaag ondervinden. Het thema van vorig Risk en Resilience festival was volledig gebaseerd op de Covid-19 crisis en de impact die dit heeft gehad op iedereen. Vragen die tijdens dit festival gesteld werden waren: hadden wij dit, als risicomanagers,  kunnen verwachten? Hadden wij dit kunnen inschatten? Hoe groot is de impact op onze organisatie? En kunnen we leren van de tijd die achter ons ligt? Dit zijn natuurlijk heel erg relevante vragen. Aangezien ik, als risicomanager, uiteraard risicomanagement studeer lijkt het mij leuk om te onderzoeken of de rol van risicomanager nu anders is geworden door de impact van deze crisis. Wat heeft dit met hun persoonlijke veerkracht gedaan en zien de risicomanagers hun rol veranderen?

Wat is de traditionele rol van een risicomanager?

Een risicomanager wordt verantwoordelijk gehouden voor het analyseren, beoordelen en omgaan met de risico’s waarmee de organisatie wordt geconfronteerd. Ze helpen de organisaties met betrekking tot alle soorten risico’s die de winstgevendheid van de organisatie kunnen beïnvloeden en ontwikkelen strategieën en processen om die bedrijfsrisico’s te beheersen en om een succesvolle bedrijfscontinuïteit te waarborgen. De functie van risicomanager is belangrijk voor het succesvol runnen van een bedrijf.

De belangrijkste taak van de risicomanager is het verzamelen van de gegevens en het uitvoeren van onderzoeken om de risico’s waaraan een organisatie kan worden blootgesteld te onderkennen. Als onderdeel van het onderzoeksproces moeten de risicomanagers de belangrijkste risico-indicatoren analyseren en wat-als-analyses uitvoeren om de zorgen vast te stellen als de in het proces geïdentificeerde risico’s zich voordoen.

Risicomanagers zijn ook betrokken bij het implementeren van controlesystemen en actieplannen om de activa en middelen van de organisatie te beschermen. Dit wordt gedaan door risico’s en mogelijke veroorzaakte schade te beperken. De stappen die de risicomanager neemt om het risico te beperken, verschillen van organisatie tot organisatie. Enkele voorbeelden van te nemen maatregelen door de risicomanager zijn onder meer het definiëren van crisismanagement, het ontwerpen van bedrijfscontinuïteitsplannen, het invoeren van operationele protocollen, verzekeringsdekking en het bijwerken van de procedures in overeenstemming met de nieuwste beste praktijken.

Aanleiding van mijn thesis

Verschillende bedrijfstakken hebben de gevolgen van COVID-19 ondervonden. Hoewel dit de eerste grote pandemie in een eeuw was, was dit risico niet helemaal onaangekondigd. De mooie keerzijde van de medaille van een crisis is dat organisaties zullen gaan leren van deze ervaring, de veerkracht van de strategie zal worden heroverwegen om in de toekomst beter voorbereid te kunnen zijn.

De Covid crisis benadrukt de noodzaak om proactief te zijn, ook door risicomanagers. Het belang van risicomanagement is duidelijk naar voren gekomen, met de nadruk op de waarde van robuuste plannen voor bedrijfscontinuïteit die snel en effectief reageren op uitdagingen. Door beter geïnformeerd te zijn kunnen bedrijven in de toekomst beter inspelen op snelle wijzigingen. Dit betekent wel dat er op dit moment al beter gekeken zal moeten worden naar de strategische besluitvorming. Hierin kan de risicomanager in de toekomst een grotere rol gaan spelen. Risicomanagement zal in de basis van de strategie ingebed moeten gaan worden. (Marsh and McLennan, 2020)

Wat is er al gepubliceerd over dit onderwerp?

Sinds we in 2020 geconfronteerd zijn geworden met het virus Covid-19 is er al veel onderzoek gedaan naar de implicatie van deze crisis op het vakgebied van risicomanagement en de rol van de risicomanager. We lezen in diverse rapportages en onderzoeken dat organisaties opnieuw prioriteit moeten geven aan risico en veerkracht en hun perspectief op risicomanagement moeten verbreden en verankeren tot een cruciaal bedrijfsprioriteit (AON rapport). Hun onderzoek in organisaties en industrieën in verschillende regio’s, wereldwijd, hebben ze gekeken hoe bedrijven momenteel actief zijn met risicomanagement. Er worden drie belangrijke tijdframes vastgesteld: 1 is reageren op crisis, 2 herstellen en hervormen en 3 is voorbereiden op de toekomst.

Het derde tijdframe gaat over hoe organisaties een strategie moeten gaan formuleren om te reageren op toenemende risico’s in het systeem. AON stelt dat er kritieke gebieden zijn waaraan organisaties prioriteit moeten geven om risico’s te beheren en veerkracht op te bouwen, waaronder veerkracht van het personeelsbestand, digitale technologie-infrastructuur en de leveranciers keten. Om deze doelstellingen te behalen zal de rol van de risicomanager moeten veranderen in een meer geïntegreerd en holistische aanpak om toekomstige schokken goed op te kunnen vangen als organisatie. Een veranderende strategie komt door een verandering in risico’s , ook dit betekent een veranderende rol voor de risicomanager. In de toekomst zal de risicomanager zich meer adviserend opstellen ten aanzien van enterprise risk management en de invloed hierop op de te voeren strategie.

Marsh and McLennan (2020)  stellen dat om proactief te zijn dat er nu al vast een en ander zal moeten veranderen. Zoals de het opstellen van bedrijfsprocessen en kanalen om cruciale informatie te verzamelen en te beoordelen. Door risicobewuste, samenwerkende organisatieculturen op te bouwen, kunnen organisaties plannen voor onderling verbonden risico’s en eerder niet-gerealiseerde kansen benutten. Dit komt overeen met de holistische aanpak die we gezien hebben in het AON rapport. Pro activiteit en aanpassingsvermogen stellen veel risicoprofessionals en senior bedrijfsleiders in staat om met vertrouwen om te gaan met dynamische en opkomende risico’s. Maar dat zou niet mogelijk zijn zonder kennis.

Pandemie zorgt voor verschuivingen in kritieke risicoprioriteiten ,waardoor ook de bedrijfsstrategie zal moeten inspelen op deze veranderingen.  Organisaties zullen zich ook gaan  richten op het opbouwen van veerkracht tegen de veranderende risico’s. De lessen die in 2020 zijn geleerd, moeten worden benut bij het herzien en aanpassen van bedrijfscontinuïteitsplannen die bedoeld zijn om bedrijven te helpen de effecten van de volgende grote uitdaging het hoofd te bieden.

(Marsh and McLennan, 2020)

We hebben, gedurende de pandemie, gezien dat bijvoorbeeld het aantal gevallen van cybercriminaliteit enorm is toegenomen. Dit betekent voor bedrijven dat hun strategie steeds meer gericht zal moeten zijn op andere risico’s. Cyberweerbaarheid vereist verschuiving van focus Pandemie veroorzaakt een toename van het aantal ransomware aanvallen. Door het toepassen van scenario management hebben organisaties plannen klaar liggen om in te spelen op verschillen situaties in de toekomst.  (P. De Ruijter, 2011 Klaar om te wenden)

Persoonlijke veerkracht

Ook Macatee et al. (2015), vindt dat risicogedrag en veerkracht van twee belangrijke eigenschappen omdat ze angst goed voorspellen. Deze angst kan van invloed zijn op de veerkracht van een organisatie.. Echter, zoals ondersteund door eerder onderzoek (Cavanagh et al., 2012; Koscielniak et al., 2016), vinden we ook dat leeftijd een essentiële moderator is van deze relatie. Vergeleken met jongere generaties, die  vertonen meer risicomijdend gedrag ten opzichte van de zeer veerkrachtige ouderen die veel lagere angstniveaus hebben laten zien. Met andere woorden, terwijl jongere, veerkrachtigere en risicomijdende personen tijdens deze pandemie meer angst kunnen ervaren, keert deze relatie gedurende de hele levensduur om, zodat oudere, veerkrachtiger en risicomijdende personen tijdens de COVID-19 pandemie minder angst ervaren. Het lijkt erop dat veerkracht van eigenschappen gunstig kunnen zijn voor de oudere bevolking. Twee mogelijke verklaringen voor deze bevinding zijn onder meer eerdere leerervaringen en verhoogde beloningsgevoeligheid. Om veerkracht te verhogen binnen jouw organisatie is het goed om te beseffen dat leeftijd een essentiële moderator is.

(Jim McCleskey, Dritjon Gruda, 2020)

Veerkrachtige mentaliteit

Een veerkrachtige mentaliteit erkent dat de oneindige verscheidenheid aan toekomstige dreigingen niet adequaat kan worden voorspeld en gemeten, noch dat de effecten ervan volledig kunnen worden begrepen. Het aannemen van een dergelijke benadering betekent dat we onze prioriteiten moeten heroverwegen, en vooral de rollen van optimalisatie en efficiëntie. De wetenschap van systems engineering leert ons dat wanneer je een deel van een complex systeem probeert te optimaliseren, je uiteindelijk het systeem als geheel kunt destabiliseren. Dit principe is duidelijk zichtbaar in wereldwijde toeleveringsketens, zeker een van de meest efficiënte componenten van de internationale economie. De Franse minister van Economie, Bruno Le Maire, stelt dat er een voor en na Covid-19 zal zijn voor het wereldeconomische systeem: “We moeten alle conclusies trekken uit deze epidemie over de manier waarop globalisering wordt georganiseerd, en met name waardeketen ”(Le Maire 2020). Wanneer uw sterk geoptimaliseerde workflow wordt verstoord door schokken zoals Covid-19, heeft just-in-time misschien een dosis just-in-case nodig.

Verder moeten we, terwijl we systemen herstellen en her configureren voor een betere toekomst, ons bewust zijn van het feit dat toekomstige systeemschokken kunnen ontstaan ​​uit een aantal bronnen of industrieën, zonder redelijke manier om te anticiperen op en ons voor te bereiden op het brede universum van bedreigingen. In plaats daarvan moeten onze systemen veerkrachtig zijn ontworpen, zodat ze het vermogen hebben om te herstellen en zich aan te passen, ongeacht de uitdagingen waarmee ze te maken kunnen krijgen.

Vooruitkijkend (Hynes et al, 2020): een veerkrachtige benadering om met COVID 19 en toekomstige systeemschokken om te gaan.

Hoe gaat de toekomst eruit zien?

Ook in het rapport van de OESO zien we een aantal aanbevelingen terug komen die van invloed kunnen zijn op de rol van risicomanager.

Aanbevelingen OESO rapporten

Op basis van OESO-rapporten en de resilience-literatuur omvatten specifieke aanbevelingen voor het opbouwen van veerkracht van organisaties om toekomstige schokken de baas te kunnen:

• Ontwerp systemen, inclusief infrastructuur, leveranciersketens, economische, financiële en volksgezondheidssystemen, om veerkrachtig te zijn, d.w.z. herstelbaar en aanpasbaar.
• Ontwikkel methoden voor het kwantificeren van veerkracht, zodat afwegingen tussen de efficiëntie en veerkracht van een systeem expliciet kunnen worden gemaakt en investeringen kunnen sturen.
• De complexiteit van het systeem beheersen om trapsgewijze storingen als gevolg van onverwachte verstoringen te minimaliseren door onnodige verbindingen over de infrastructuur los te koppelen en noodzakelijke verbindingen controleerbaar en zichtbaar te maken.
• Beheer de systeemtopologie door de juiste verbindingen en communicatie over onderling verbonden infrastructuur te ontwerpen.
• Voeg middelen en redundanties (meer sporen beleid) toe aan systeem kritische componenten om functionaliteit te garanderen.
• Realtime hulpmiddelen voor besluitondersteuning ontwikkelen die gegevens integreren en de selectie van beheeralternatieven automatiseren op basis van expliciete beleidsafwegingen in realtime.

ichtlijen IRGC

In 2018 is er een richtlijn uitgevaardigd door het IRGC het International Risk Governance Centre voor de governance van systeemrisico’s (IRGC 2018). Het IRGC benadrukt dat procedures kunnen helpen bij het identificeren voor systeem risico’s. Ze hebben hiervoor een cyclisch proces opgesteld wat er als volgt uitziet:

5. Verken het systeem, definieer de grenzen en dynamiek ervan;
6. Ontwikkel scenario’s waarin rekening wordt gehouden met mogelijke lopende en toekomstige transities;
7. Bepaal doelen en het niveau van tolerantie voor risico en onzekerheid;
8. Co-ontwikkeling van managementstrategieën voor elk scenario;
9. Pak onverwachte obstakels en plotselinge kritieke verschuivingen aan;
10. Bepaal, test en implementeer strategieën;
11. monitoren, leren van, herzien en aanpassen.

Nu zien we dat veel literatuur en onderzoeken uit de praktijk verwijzen naar de veranderen rol van risicomanagers. De holistische aanpak van risicomanagement waarbij veerkracht en strategie een belangrijke rol gaan spelen in de toekomst.

Om het hoofd te bieden aan ontwrichtende gebeurtenissen die niet adequaat kunnen worden aangepakt met traditionele risicobeheersystemen, heeft een klein maar groeiend aantal academici, managers, beleidsmakers en politici hun aandacht verlegd van het identificeren en verminderen van risico’s naar het proberen veerkracht te vergroten. (Vegt, De term veerkracht komt van het Latijnse woord veerkracht (springen of achteruit springen).

Veerkracht weerspiegelt het vermogen van systemen om schokken op te vangen en te herstellen, terwijl ze hun structuren en middelen om te functioneren bij langdurige spanningen, veranderingen en onzekerheid transformeren. Dit vereist een actief begrip van het risicolandschap, bepalen waar die risico’s het beste kunnen worden beheerd en beheerd, de componenten van het systeem die helpen om die risico’s het hoofd te bieden, versterken en begrijpen hoe de onderlinge samenhang van deze componenten het functioneren van het systeem beïnvloedt. In tegenstelling tot traditionele risicobeheerbenaderingen die gericht zijn op het identificeren van risico’s en het verminderen van de mate van kwetsbaarheid voor externe verstoringen, impliceert het hanteren van een veerkrachtige benadering van verstoringen de focus op capaciteiten en capaciteiten die middelen creëren of behouden in een vorm die voldoende flexibel, op te slaan, converteerbaar is. , en kneedbaar waardoor systemen met succes kunnen omgaan met en leren van het onverwachte (Sutcliffe & Vogus, 2003).

Veranderende rol van risicomanager?

Uit de literatuur hebben we kunnen leren dat de Covid-19 pandemie een nieuw licht heeft laten schijnen op de rol van risicomanager en risicomanagement in het algemeen. De gemene deler in de literatuur is dat de rol van risicomanager meer holistisch vorm gegeven moet gaan worden in de toekomst om op deze manier een beter bijdrage aan de strategie te kunnen leveren. Deze strategie kan in de toekomst beter opgesteld worden door middel van scenario planning waardoor meerdere routes beschreven worden om de doelen te behalen.  De risicomanagement plannen van de toekomst moeten business continuïteit waarborgen doordat deze plannen snel en effectief kunnen reageren op uitdagingen. In de literatuur wordt daarnaast beschreven dat we goed moeten kijken naar de manier waarop de organisatie nu is ingericht. De focus op efficiëntie en efficiency heeft ertoe geleid dat er leveranciersketens ontstaan die ontwricht kunnen worden door een tegenslag en waarbij de gevolgen niet te overzien zijn. Het is aan te bevelen om stress test activiteiten uit te voeren voor operationele modellen of financiële modellen om zo in kaart te brengen hoe veerkrachtig het systeem is.

De veranderende rol van risicomanager ligt ook op het gebied met een grote mensfactor. Hoe veerkrachtiger de groep medewerkers is, hoe makkelijker zijn schokken in het systeem op te vangen. We zien dat de traditionele risicomanagement systemen niet effectief zijn om het hoofd te bieden aan gebeurtenissen als een pandemie. Hierdoor komt er steeds meer focus op het vergroten van veerkracht in plaats van alleen aandacht te hebben voor het verkleinen van risico’s. In het rapport van AON hebben we gezien dat er kritieke gebieden zijn waaraan organisaties prioriteit moeten geven om risico’s te beheren en veerkracht op te bouwen, waaronder veerkracht van het personeelsbestand, digitale technologie-infrastructuur en de leveranciers keten.

Om deze doelstellingen te behalen zal de rol van de risicomanager moeten veranderen in een meer geïntegreerd en holistische aanpak om toekomstige schokken goed op te kunnen vangen als organisatie. Een veranderende strategie komt door een verandering in risico’s, ook dit betekent een veranderende rol voor de risicomanager. In de toekomst zal de risicomanager zich meer adviserend opstellen ten aanzien van enterprise risk management de invloed hierop op de te voeren strategie, bouwen aan veerkracht en bouwen aan een risicocultuur.

Conclusie

In dit blog hebben we gelezen dat er een aantal aanknopingspunten zijn om de veranderende rol van de risicomanager verder te onderzoeken. Hoe heeft de risicomanager de Covid-19 tijd zelf ervaren qua veerkracht en ziet hij/zij daarnaast de aanbevolen veranderingen al terug in de praktijk? Dit wil ik graag onderzoeken bij de leden van het genootschap voor risicomanagement. Het lijkt mij interessant om te zien of de praktijk ook overeenkomt met de reeds geschreven literatuur. De route richting mijn Master Thesis wil ik blijven delen in leuke en leerzame blogs om zo de uitkomst van mijn onderzoek uiteindelijk te presenteren in een lezing in het Risk & Reslience festival 2021 van de Universiteit van Twente.