6 Risicomanagement, (nood) scenario's

Is het wenselijk een(nood)scenario of draaiboek te hebben? Die vraag stelden we in 2019 en recent voor een aantal dezelfde situaties. Wat opvalt als we de resultaten vergelijken, is dat de wenselijke score voor het hebben van zo’n draaiboek voor ‘handelen in strijd met de principes van duurzaam ondernemen’ en ‘calamiteiten veroorzaakt door terrorisme’ bij het basisprofiel sterk terugloopt van ‘duidelijk mee eens’ naar ‘min of meer mee eens’. Wij vragen ons af: lag de aandacht voor deze onderwerpen in de media in 2019 hoger dan in 2024? Stel dat dit zo is, dan rijst de vraag of de waarschijnlijkheid van het plaatsvinden van deze calamiteiten veranderd is en/of de impact van de gevolgen veranderd is. Stel dat de antwoorden op beide laatste vragen ‘nee’ zijn. Hoe is het verschil dan te verklaren? Wordt het kijken naar mogelijke risico’s dan geleid door media aandacht en gaat dit ten koste van grondig en structureel nadenken en kijken? Is actualiteit daarmee gekoppeld aan media zichtbaarheid?

We hebben de laatste jaren genoeg zaken in de wereld gezien waaraan we een paar jaar geleden niet gedacht zouden hebben. Denk bijvoorbeeld aan het ‘saboteren’ van communicatiekabels in zee.En is dan terugvallen op de huidige beschikbare ruimtelijke satelliet communicatiemo
gelijkheden een betrouwbare en gewenste optie? Ook als deze faciliteit beschikbaar wordt gesteld door een bedrijf met een dominante bestuurder, waarvan het de vraag is of deze naast winststreven ook rekening houdt met maatschappelijke belangen of alleen met zijn persoonlijke doelen en wereldbeeld? Vanuit oogpunt van risicomanagement zal de switch die heeft plaatsgevonden in onze leveranciers van (vloeibaar) gas ook niet door iedereen met gejuich en een gerust gevoel zijn bekeken. Is het ene gat gedicht met het volgende gat?

Wij denken dat de actualiteit van de genoemde risico’s, in termen van kans van optreden, niet minder is geworden. Ook denken wij dat de materialiteit van de gevolgen niet is afgenomen. En wij vrezen dat wij belanden in een situatie dat de put gedempt wordt als het kalf verdronken is. En dat laten we gebeuren? En wie betaalt dan de rekening? Wij, de ander, de aandeelhouder, ons nageslacht of….?

De meeste organisaties actualiseren jaarlijks de strategie en ondernemingsplannen. Wij pleiten ervoor dat dit ook de actualiteit en prioriteitenlijst van de te managen risico’s gaat betreffen.Daarbij adviseren wij dat de rvc hierbij op een andere manier acteert dan gebruikelijk. Niet reageren op een stuk van de rvb, maar los van stukken van de rvb zelf als individuele commissaris een lijstje aanleveren aan de secretaris en/of internal auditor (indien aanwezig) met een onderbouwing en prioriteitenvoorstel ten aanzien van de op te nemen risico’s. Vervolgens mag de secretaris of de internal auditor daar een geheel van maken en dit met de namen van de input per commissaris erbij als bespreekpunt op de agenda zetten. Op verzoek kan men overwegen het bedoelde stuk in de voorvergadering van de commissarissen, waarbij de rvb niet aanwezig is, te bespreken. Onze ervaring is dat door dit jaarlijks zo te doen de kans groot is dat eerder wordt afgeweken van de standaard risicolijst en dat nieuwe risico’s eerder op het netvlies komen.
Vervolgens kunnen de bevindingen van de rvc ingebracht worden in de discussie met de rvb. Een aanvulling hierop kan zijn om een vergelijkbare exercitie te doen met bijvoorbeeld management trainees of medewerkers die nog geen jaar in dienst zijn. De input daarvan kan dan bij het stuk van de commissarissen worden gevoegd. Het is wel belangrijk dat deze betrokkenen een bij voorkeur persoonlijke terugkoppeling met onderbouwing van de gemaakte keuzes ontvangen.

Bekend is dat officiële organen zoals externe toezichthouders niet uitblinken in snel van hun standpunten en opvattingen af te stappen. Daarmee kunnen ze een remmende invloed hebben op een noodzakelijke versnelling van transities. Daarbij kan het zijn dat de belangenafweging over bijvoorbeeld individueel belang versus algemeen maatschappelijk of landsbelang anders uitvalt dan bij de start van het betreffende extern toezichtsorgaan. Gedacht kan worden aan verdergaande vormen van samenwerking tussen bedrijven op bijvoorbeeld het gebied van kwantummechanica of defensie, waardoor nationaal en/of op Europees gebied de facto een monopolie ontstaat. Vaak is in dit soort situaties wellicht een politieke (her)overweging nodig. Ook op dat gebied is de keuze tussen snelheid en zorgvuldigheid niet altijd gemakkelijk. Maar vasthouden aan eigen ‘schaduwen’ kan dan zelfs letterlijk en figuurlijk dodelijk zijn. De wereld en de spelregels zijn veranderd en veranderen nog steeds. Hebben externe toezichthouders, politici, bedrijfsleven en non-profitorganisaties hier wel eens over nagedacht en gesproken of doen ze dat als er niets meer te redden valt?

Diverse respondenten wezen tijdens de persoonlijke interviews op het alternatief voor de individuele draaiboeken: het werken met crisisteams en een crisisprocedure. De vraag is of dit voor elk van de onderzochte mogelijke calamiteiten een realistische, werkzame aanpak is. Het is aannemelijk dat calamiteiten veroorzaakt door brand een risico betreft, waar de nodige draaiboeken voor klaarliggen. Er zal zelfs al geïnvesteerd zijn in voorzieningen zoals brandmelders, sprinklerinstallaties, brandslangen en waterputten. Het lijkt voor de hand te liggen dat een crisisteam, als deze situatie actueel wordt, volgens het draaiboek aan de slag kan gaan. Maar dat komt omdat de infrastructuur voor het omgaan met deze calamiteit al beschikbaar is en er vermoedelijk ook regelmatig oefeningen zijn gedaan. Als we naar de verschillende risico’s kijken, zullen er een aantal zijn waarvoor geen infrastructuur aanwezig is en waarvoor geen oefeningen zijn gedaan.Op het moment dat het risico zich voordoet (bijvoorbeeld een tekort aan drinkwater), is het de vraag of een crisisteam dan nuttig werk kan doen, als er geen infrastructurele voorzieningen zijn getroffen. Een drinkwatertekort zal in een dergelijke situatie niet alleen eventuele productieprocessen raken, maar ook de mensen in de betrokken regio, inclusief eigen medewerk(st)ers en de leden va het crisisteam. Bovendien zal het drinkwaterprobleem wellicht niet beperkt zijn tot de eigen organisatie. ‘Even snel naar de supermarkt gaan’ is dan geen optie!

We gaan weer even terug naar calamiteiten in verband met brand. Het is aannemelijk dat bij brand in het scenario is opgenomen dat men de brandweer belt om assistentie te verlenen bij het behandelen van de brand. Maar hoe zeker is het dat de brandweer beschikbaar is in alle omstandigheden? Vanzelfsprekendheden van enige tijd geleden zijn niet meer zo vanzelfsprekend. En stel dat zowel brandweer als bluswater/-schuim niet beschikbaar zijn, wat kan een crisisteam dan doen? En we hebben het nog niet over een gelijktijdige verstoring in de communicatienetwerken. We hebben geen antwoorden, maar wel vragen die we voorheen niet zouden stellen en nu wel. Stelt men deze vragen ook op een vergelijkbare manier wanneer men bij uw organisatie over risico’s en risicomanagement spreekt? En wie stelt deze vragen? De rvc, de rvb, de internal auditor, een externe consultant, een klant, een toeleverancier of andere mensen uit de organisatie?

Er is slechts één benchmark die een draaiboek/scenario voor omgaan met calamiteiten veroorzaakt door de geopolitiek zonder meer wenselijk acht: de jonge commissaris. Wij vragen ons af in hoeverre de andere organisaties wel voldoende tot zich hebben laten doordringen hoe de afhankelijkheid in de keten is voor hun dienstverlening en/of het kunnen functioneren van hun medewerkers, toeleveranciers en klanten. De indirecte gevolgen van hick-ups zijn soms zeer ingrijpend. Wat dat betreft is het ketendenken niet bij elke organisatie en vermoedelijk ook niet bij elke commissaris voldoende ontwikkeld. Alleen al het opnemen van risico’s in dit onderzoek, waarvoor wij geen plaats hadden ingeruimd in het 2019 onderzoek, was voor een aantal van de geïnterviewden al een eye-opener. En de geopolitieke component daarin heeft alleen het afgelopen jaar al sterk aan invloed gewonnen. Het ziet er niet naar uit dat dit na de ‘lente´ omslaat. Is een ‘oorlogsscenario’ nog ver weg?

Er zijn tien benchmarks die een veranderwens hebben voor het hebben van een scenario in het geval van calamiteiten veroorzaakt door wateroverlast. Daarvan zijn de meeste een (urgente)verbeterwens. Op dit moment heeft geen van de bedrijfsbenchmarks zo’n scenario liggen en bij de meeste persoonsgebonden benchmarks is de instemming afwezig of niet hoog. Alleen de vrouwelijke commissaris en de internal auditor lijken hier enigszins oog voor te hebben. Bij of zo’n scenario wenselijk is, zien we echter ook geen duidelijke bijval. De meeste benchmarks geven aan het daar min of meer mee eens te zijn. Blijkbaar is wateroverlast de afgelopen tijd meer op het netvlies gekomen, maar ziet men nog niet in wat dat voor effect kan hebben op de eigen bedrijfsvoering.
In oktober 2024 verscheen een onderzoek van Investico, nu.nl, de Gelderlander, de Stentor en De Groene Amsterdammer met als titel ‘Nederland niet voorbereid op hevige regenval’. Bij nu.nl kreeg het als titel mee ‘Kwart van de ziekenhuizen komt in ernstige problemen bij zware regenbui’.¹ Een van de voorbeelden die werd genoemd in dat nieuwsbericht is dat de afdeling Spoedeisende Hulp (SEH) van het Slingeland Ziekenhuis in Doetinchem in 2024 al twee keer na zware neerslag dicht moest voor patiënten. En ook de Onderzoeksraad voor Veiligheid is inmiddels een onderzoek gestart naar de veiligheidsrisico’s rond wateroverlast.² Wij denken dat het voor elke organisatie relevant kan zijn om te zien wat voor effect wateroverlast kan hebben op locaties, logistiek, medewerkers, klanten, etcetera. Of rijdt men dan op stel en sprong naar de bouwmarkt voor een paar zandzakken….?

1 https://www.nu.nl/klimaat/6332489/kwart-van-de-ziekenhuizen-komt-in-ernstige-problemen-bij-zware-regenbui.html
2 https://onderzoeksraad.nl/onderzoek/veiligheidsrisicos-rond-wateroverlast/

Aan de andere kant hebben we een scenario bij calamiteiten veroorzaakt door een watertekort. Alleen de internal auditor geeft aan het min of meer eens te zijn dat zo’n scenario aanwezig is. Opvallend is echter dat de instemming om zo’n scenario te maken gemiddeld veel lager ligt dan een scenario voor wateroverlast. Het lijken ons toch twee zijden van dezelfde medaille? Alleen de vrouwelijke commissaris en de internal auditor zijn het (slechts) min of meer mee eens dat zo’n scenario er ook voor een watertekort moet komen. Daarnaast is het aantal veranderwensen voor een scenario voor watertekort ook flink minder dan voor een scenario voor wateroverlast, zes om tien. Drinkwaterbedrijven waarschuwen al enige jaren voor een naderend tekort door onder andere toenemende verzilting, vervuiling van rivierwater in verband met moeilijk te verwijderen chemische stoffen (onder andere pfas) en medicijnresten.Ook de SER heeft in januari van dit jaar een signalering uitgebracht ‘Naar een toekomstbestendige omgang met water’. Daarin schrijven ze onder andere dat ‘Nederland heeft middels een verdringingsreeks vastgelegd hoe water in tijden van ernstige droogte (met andere woorden: voor korte tijd en in geval van nood) wordt verdeeld over verschillende gebruikers. Water blijft in deze reeks het langst beschikbaar voor veiligheidsdoeleinden, natuur en burgers (drinkwater en energievoorziening). Maar als perioden van droogte in de toekomst vaker en in extremere mate voorkomen, zullen met name de landbouw en industrie vaker en langer worden geraakt door maatregelen zoals vastgelegd in de verdringingsreeks.’¹ Wie enkele jaren geleden had gezegd dat bedrijven niet konden uitbreiden vanwege een stroomtekort was voor gek verklaard. Nu zien we eenzelfde scenario voor ons waarin dat ook geldt voor drinkwater.Een misschien bekende waarschuwing van Jelle Hannema, voormalig bestuursvoorzitter Vitens, in het Financieel Dagblad van vorig jaar kan daarin als teken aan de wand worden gezien ‘Tientallen bedrijven krijgen al geen drinkwater, nieuwbouwwijken volgen‘.²

1 https://www.ser.nl/nl/publicaties/omgang-water
2 https://fd.nl/economie/1512002/tientallen-bedrijven-krijgen-al-geen-drinkwater-nieuwbouwwijken-volgen

Uit een onderzoek van BDO over fraude, corruptie en non-compliance¹ komt naar voren dat in de profitsector minder dan de helft van de bedrijven zegt te beschikken over een (formeel) fraudebeleid. In de publieke sector is de verdeling ongeveer fiftyfifty. Verder blijkt uit dat onderzoek dat een deel van de organisaties (ook) niet beschikt over een gedragscode, waarin de gedragsregels rondom fraudepreventie en -detectie, anticorruptie en het voorkomen van overtredingen van wet- en regelgeving zijn vastgelegd. Ook hier scoren organisaties uit de publieke sector beter dan profitbedrijven.We hebben in ons onderzoek niet gevraagd of er daadwerkelijk een beleidsplan lag, alleen of er een scenario ligt als er iets gebeurt.Dat kan van belang zijn voor de organisatie zelf en de organisatiecultuur. Is er een gedragscode waarin bijvoorbeeld gedragsregels zijn opgenomen over fraude? En wat gebeurt er als men daarmee in strijd handelt? Handhaven of wegkijken? Daar ziet met name de profitsector verbetermogelijkheden.
Maar handelen in strijd met de gedragscode, zoals fraude, kan natuurlijk op een gegeven moment ook naar buiten komen. Dan spreken we meer over een scenario voor omgaan met een publiek optreden van een klokkenluider en zeker ook over een scenario hoe om te gaan met negatieve publiciteit. Daar zien we dat maar liefst elf benchmarks vinden dat het beter moet.² Daarmee staan beide in de top vijf van meest gedeelde verbeterwensen bij (nood)scenario’s. Het punt is echter: ook vijf jaar geleden was een scenario voor omgaan met negatieve publiciteit een veel gedeelde verbeterwens. Waarom lukt het maar niet om een scenario voor negatieve publiciteit te ontwikkelen? Dat geldt met name voor de profitsector. Moeten we dat wijten aan te weinig kennis en aandacht voor communicatie in de rvc, te weinig marketing kennis in de rvc en/of te weinig aandacht voor integriteit? Of gaan we daarmee te kort door de bocht? In dit kader is het ook nog waard om even Deloitte USA te benoemen. Zij schreven in hun jaarverslag over 2023 over hun grote steun aan diversiteit en inclusie en we zien een jaar later dat die woorden blijkbaar toch niet zoveel betekenen. Wat zegt dat over het verankerd zijn van een bepaalde cultuur in die organisatie? Of zegt dit wat over het betrokken management en non-executives in de board? Wat voor effect heeft dat op de aantrekkingskracht voor nieuwe medewerkers, zowel in de USA als bijvoorbeeld in Nederland? Wat voor bedrijven trek je aan als klant?

1 https://www.bdo.nl/Non-compliance-risico-s-voorkom-schade-en-schande.pdf
2 Een nuttig hulpmiddel kan de handreiking ‘Intern onderzoek’ van het Huis voor Klokkenluiders zijn: https://www.huisvoorklokkenluiders.nl/integriteit-in-de-praktijk---intern-onderzoek

Eén van de negentien scenario’s waar de standaarddeviatie groot is, en de meningen dus sterk uiteen lopen, is de stelling over een (nood) scenario voor calamiteiten veroorzaakt door het wegvallen van internet. Sinds enige jaren vindt om de zoveel jaar een ISIDOOR-oefening plaats. Dat is een grootschalige cyberoefening georganiseerd door het NCSC in samenwerking met de NCTV. Tijdens ISIDOOR oefent men afspraken, structuren en processen uit het Landelijk Crisisplan Digitaal (LCP-Digitaal).¹ Belangrijk daarin is onder andere dat zowel op operationeel als bestuurlijk niveau actie wordt vereist. De inhoud van de laatste oefening zou wat ons betreft ook prima toepasbaar zijn op een individuele organisatie. En we geven sterk in overweging dat ook commissarissen en directie/rvb-leden dan deelnemen aan een dergelijke oefening.
In een breder verband, als we het hebben over weerbaarheid, zou elke organisatie moeten nadenken over een situatie waarin langer dan een dag geen internet aanwezig is. We zijn als maatschappij, burgers, organisaties en overheid, ontzettend afhankelijk van internet. Een alternatief als Starlink lijkt inmiddels niet meer zo betrouwbaar. Wat gaat een organisatie doen als het internet er langer dan een dag uit ligt? Commissarissen lijken gemiddeld meer vertrouwen te hebben dat een dergelijk scenario aanwezig is, dan de rvb en de internal auditors. Wel hebben alle persoonsgebonden benchmarks (behalve de commissaris die lid is van de remuneratiecommissie²)hier een verbeterwens voor. Het lijkt daarmee dat ook commissarissen op gang komen om een meer weerbare organisatie te helpen creëren.

1 https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/isidoor
2 DIR (rvb/directie) heeft hier acht waarnemingen

Organisaties hebben in het algemeen gelimiteerde ‘resources’ beschikbaar om aan de ene kant risico’s in kaart te brengen en aan de andere kant om risico’s te managen als deze zich voordoen. Dat geldt naast voor de betrokken organisaties vermoedelijk ook voor commissarissen. In onze wereld zijn er al een aantal jaren ontwikkelingen gaande, waardoor de kans dat een risico zich manifesteert feitelijk niet meer verwaarloosbaar is. De materialiteit is meestal ook fors toegenomen. Er zijn nieuwe risico’s bijgekomen en dat verandert vermoedelijk niet. De beheersbaarheid van risico’s lijkt eerder afgenomen dan verbeterd. Het palet van risico’s en het managen ervan heeft een dusdanige omvang gekregen, dat menig bestuurder en commissaris er moedeloos van dreigt te worden. Dit vertaalt zich dan soms in uitspraken als ‘indien dat gebeurt dan zitten we allemaal in het schip en helpt niets meer’. Een dergelijke opstelling kunnen wij ons voorstellen, maar is naar ons idee niet acceptabel.
Ook blijken opgestelde draaiboeken/scenario’s niet meer altijd te werken, omdat veronderstelde hulpbronnen/-middelen helemaal niet meer beschikbaar zijn of slechts in beperkte mate.

Wij vragen ons af, allereerst uitgaande van de organisaties, of het een optie is te onderzoeken of op het gebied van risicomanagement op deelgebieden men samen kan optreden, zowel in het verkennen als in het uitwerken van beheersmaatregelen. Daarbij is het goed om naar bestaande samenwerkingsverbanden te kijken op bijvoorbeeld het gebied van cybercrime. Zowel de sterke als de verbeterpunten van dergelijke verbanden moeten kritisch worden geanalyseerd, net als nog niet toegepaste constructies. Juist door met anderen te verkennen hoe je met bedrijfsoverschrijdende risico’s om kunt gaan, kan het zijn dat je met tussenoplossingen kunt komen die in ieder geval tijdwinst opleveren. We kunnen ons afvragen of je samenwerking opzoekt op sector, lokaal, regionaal of op (supra)nationaal niveau. Ook kan het zinvol zijn bredere samenwerkingen op te bouwen met zeer uiteenlopende partners als overheid, profit- en non-profitorganisaties en ook maatschappelijke instellingen. Misschien is het moeten optuigen van een soort oorlogseconomie/-maatschappij wel een goede richting. Daarbij kunt u overwegen een deel van de eigen medewerkers zo te scholen dat u ze organisatie overstijgend kunt inzetten als een bepaalde situatie zich voordoet.
Naast de organisatie zelf pleiten wij ervoor dat misschien wel allereerst commissarissen eens verkennende gesprekken moeten voeren of een dergelijke ontwikkeling in gang gezet kan/moet worden. Maar ook of zij zelf gestructureerd stappen in deze richting kunnen/moeten zetten op het niveau van hoe commissarissen een meer eigentijds en concrete invulling op het gebied van risicosignalering en -management kunnen effectueren.
De resultaten van het onderzoek en de wereldwijde ontwikkelingen brengen ons tot de conclusie dat meer creativiteit ons niet uit de boze lijkt en dat de doorlooptijd niet onze grote bondgenoot is.

‘C’est le ton qui fait la musique’. Er zijn mensen die de gave hebben om zaken op een dusdanige manier te brengen dat alle eventuele animo om een gesprek aan te gaan over het aan de orde gestelde punt/onderwerp op voorhand al geblokkeerd wordt. Dit geldt vooral als het een manier is die tegenstrijdig is aan onze waarden, principes, opvattingen, gewoonten, omgangsvormen of ervaringen. Hebben wij eigenlijk wel de luxe om dit soort signalen te negeren? Soms wel, meestal en in toenemende mate niet. Is alles onder druk vloeibaar? Wanneer moeten we het signaal ‘genoeg is genoeg’ geven. En zijn we bereid om op te staan voor waarin we geloven? Of gaan we met droge ogen beweren dat wat wij een half jaar geleden hebben uitgedragen als onze overtuiging en leidsnoer, we dat bij nader inzien toch maar overboord gooien? Maar weer terugkomend op de relevantie van de opgebrachte punten. Zijn we flexibel genoeg om in te zien dat er op een bepaald gebied misschien een probleem is, waar we terecht aandacht aan moeten schenken, bijvoorbeeld het aanpakken van bureaucratie? Dat we daarin in het verleden tekort zijn geschoten? Beter ten halve gekeerd dan ten hele gedwaald. Maar als de boodschapper niet gehinderd wordt door enige kennis van zaken en voortdurend een eigen wereld en waarheid creëert en zich omringt met een stel claqueurs van egotrippers, hoe moeten we of kunnen we daarmee omgaan? Geopolitiek is daar en blijft vermoedelijk langer dan we wenselijk achten. Blijkt Brexit straks kinderspel bij wat er nu op ons afkomt? En de rekening komt bij de nieuwe Marsbewoners?
Kan of mag een commissaris die zich wat kan voorstellen bij de hier geventileerde opvattingen ook zo denken en daarna handelen? Of is het voorstelbaar dat deze ten behoeve van zijn bedrijf een ander standpunt inneemt? En wat zou dat andere standpunt zijn: gesprek aangaan, meebuigen, voorsorteren op een herschikking van activiteiten en werkgebieden van zijn organisatie? En spelen de toekomst van bedrijf, wereld en (klein)kinderen nog een rol?