Aon Global Risk Consulting
Aon in de praktijk
‘Het risicojaar 2015’ Blik op het zakelijke nieuws van een risicoadviseur
MARCEL SCHREUDER ALEX VAN DEN DOEL
Leuk, actueel en concreet maken van Risk Management. Dat was de doelstelling aan de start van onze maandelijkse uitgave van de ‘Risk Impact’, waar we vanuit Aon Global Risk Consulting (AGRC) in januari 2015 mee zijn gestart. We wilden het dagelijkse nieuws scannen op relevante en actuele risico’s die van belang zijn voor het bedrijfsleven in Nederland. Klopt het nu echt dat ‘meer dan 50% van de internationaal opererende organisaties in een periode van vijf jaar een incident meemaakt dat de beurskoers met meer dan 20% doet dalen’ (Bron: Aon Reputation Review).
4
Een eerste positieve indicatie bleek al uit de vele hits na het intypen van de zoekterm risico bij verschillende kranten. Maar na een jaartje ervaring met inmiddels 11 edities van de Risk Impact, bleek inderdaad dat veel grote Nederlandse bedrijven een incident hebben gehad met een dergelijke impact op de koers. Deze voorbeelden met update kunnen jullie nalezen in deze bundel. Imtech is het meest dramatische voorbeeld, maar ook in de bouwsector (verlies op grote projecten), retailsector (concurrentie van nieuwe digitale bedrijfsmodellen) en de financiële sector (woekerpolis) zijn er vele voorbeelden te noemen. Zo kunnen we inmiddels voor elke bedrijfstak wel putten uit een aantal actuele voorbeelden van risico’s met een grote impact. Maakt dit het nu leuker? De wetenschap uiteraard niet, maar uiteraard wel de uitdaging die voor ons ligt om bedrijven meer risicobewust te maken. Zeker voor Nederland vinden wij dat van belang, aangezien uit onze 2-jaarlijkse Aon Global Risk Management Survey (2015) blijkt dat Nederlandse bedrijven minder risicobewust zijn dat hun buitenlandse peers.
5
De upside is er, want bedrijven die meer volwassen zijn in hun risicomanagement, hebben minder incidenten en dus betere en stabielere prestaties op lange termijn. Dus: een hogere beurskoers en minder verrassingen! Toch nog een beetje leuk.
6
Inleiding
We beginnen dit boek met een artikel in CFO.nl over ‘Crisiscontinent Europa onaantrekkelijker voor beleggers door nieuwe risico’s’ en hebben daarna de 11 edities van ons eerste jaar ‘Risk Impact’ gebundeld met aan het einde daarvoor nog een toevoeging van een update van de recente ontwikkelingen rondom de besproken incidenten.
Als je de media bekijkt, dan tref je meer en meer artikelen aan over het onderwerp risicomanagement. Hieruit blijkt dat er binnen het Nederlandse bedrijfsleven steeds meer waarde aan dit onderwerp wordt gehecht. Echter de huidige status van risicomanagement binnen Nederlandse bedrijven en organisaties loopt achter. Vreemd, aangezien de impact van het onvoldoende risicobewustzijn grote (financiële) consequenties kan hebben voor een organisatie. In sommige gevallen is faillissement zelfs niet uitgesloten.
Hopelijk biedt dit inspiratie en voorbeelden van de vele relevante risico’s zodat u tijdig uw organisatie kunt voorbereiden en op koers kunt houden!
Instabiel Europa niet langer de keus van beleggers
Alex van den Doel Managing Director Aon Global Risk Consulting
‘Crisiscontinent Europa onaantrekkelijker voor beleggers door nieuwe risico’s” – CFO.nl ‘Meer dan 50% van internationaal opererende organisaties heeft in een periode van vijf jaar een incident meegemaakt dat de beurskoers met meer dan 20% liet dalen. De recente incidenten bij grote multinationals in West-Europa staan niet op zichzelf, maar leggen een gebrek aan effectiviteit en volwassenheid van risicomanagement bloot die kenmerkend is voor steeds meer West-Europese organisaties. Dat maakt hen minder aantrekkelijk voor internationale beleggers, die steeds kritischer kijken naar de risicoprofielen van organisaties uit Nederland en andere West-Europese landen. Het frappante is dat juist de druk van aandeelhouders op organisaties om financieel te presteren een voedingsbodem is voor nieuwe en ongewenste risico’s.
7
Deze nieuwe risico’s, zoals fraude, leiden vrijwel allemaal tot reputatieschade, het nummer één risico volgens risk managers en bestuurders (Aon Global Risk Management Survey (GRMS)). Die vicieuze cirkel kan doorbroken worden door risicomanagement naar een hoger niveau te tillen in de organisatie. Om dat te realiseren is het uitermate belangrijk dat het beheersen van risico’s voldoende aandacht en urgentie geniet op directieniveau en dat de methoden en technieken worden aangepast aan de nieuwe situatie.
Nederlandse organisaties minder risicobewust
8
Incidenten doen zich niet alleen voor bij autofabrikanten, Imtech, banken (denk aan de Libor-fraude) en verzekeraars (woekerpolissen), maar kunnen bij alle bedrijven plaatsvinden. Meer dan de helft van de internationaal opererende organisaties heeft in een periode van vijf jaar een incident meegemaakt dat de beurskoers met meer dan 20% liet dalen, zo blijkt uit de Aon Reputation Review. Uit een ander onderzoek van Aon (GRMS) blijkt dat Nederlandse organisaties internationaal bezien relatief minder risicobewust zijn. De kans dat een incident zich voordoet, met grote gevolgen voor de organisatie, is sterk aan verandering onderhevig. Wat nu een klein risico lijkt, kan door nieuwe wetgeving of veranderende technologieën in rap tempo uitgroeien tot een enorm risico dat het voortbestaan van een organisatie bedreigt. Organisaties worden steeds complexer en complexe organisaties zijn doorgaans gevoeliger voor incidenten. Daarbij staan risico’s veel meer dan voorheen in verband met elkaar. Nederlandse organisaties zijn door hun internationale focus extra vatbaar hiervoor.
Domino-effect Veel bestaande risicomanagementsystemen gaan er ten onrechte vanuit dat risico’s op zichzelf staan en zodoende goed beheersbaar zijn. Er treedt echter steeds vaker een domino-effect op: een risico als verlies van data kan leiden tot reputatieschade wat weer kan leiden tot het verlies van belangrijke klanten, een lagere beurskoers en het niet kunnen aantrekken van talentvolle werknemers. Gedegen risicomanagement gaat daarom uit van een integrale benadering. Daarbij wordt niet alleen naar individuele risicofactoren gekeken, maar ook naar hun onderlinge verband – en naar factoren van buitenaf, zoals risico’s bij toeleveranciers en hun toeleveranciers, politieke risico’s, maatschappelijke onrust of natuurrampen. Een aantal recente incidenten laat zien dat de belangrijkste risico’s veelal uit een totaal onverwachte hoek komen. Hoewel deze risico’s zich nauwelijks laten voorspellen, moeten organisaties zich er wel terdege op instellen. Dat kunnen zij doen door hun belangrijkste risico’s beter te begrijpen en hiervoor concrete worst case scenario’s te ontwikkelen, waardoor ze zich beter kunnen voorbereiden op de grootste incidenten en de juiste beheersmaatregelen nemen om de impact te beperken.
Impact als uitgangspunt Dat betekent voor de meeste organisaties dat zij risicomanagement voortaan anders moeten benaderen: Niet zozeer de kans dat het risico optreedt, maar met name de impact als het gebeurt, is daarin leidend. Het uitwerken van scenario’s vanuit de impact gedachte kan een verrijking zijn voor de effectiviteit van risicomanagement. Om deze scenario’s te definiëren kan geput worden uit de incidenten die bij vergelijkbare bedrijven of bij bedrijven met een vergelijkbare risico’s
9
hebben plaatsvinden. Die data is beschikbaar en kan vertaald worden naar elke organisatie. Uiteindelijk zullen bedrijven naast hun bestaande risicoregister een set van worst case scenario’s actief moeten beheren. Door dit te doen kunnen West-Europese bedrijven hun risicoprofiel vanuit beleggersperspectief weer aantrekkelijker maken.
10
Risk Impact 2015 – Anno 2016 De hierna opgenomen edities van de Risk Impact edities van 2015 laten ‘risico-nieuws’ zien zoals dat het afgelopen jaar in de media voorbij is gekomen. Maar hoe ziet die wereld eruit met de kennis van vandaag? In welk licht zouden we de risico’s en incidenten nu plaatsen? Zijn er aspecten mogelijk niet meer van toepassing of zijn er ontwikkelingen die onderdelen wellicht nog nadrukkelijker onder de aandacht brengen? Bij elk besproken risico wordt de notering in de Aon Global Risk Management Survey (GRMS) vermeld.
Het terrorismerisico (#41 GRMS ) domineerde het nieuws in 2015. De aanslag in januari 2015 op de redactie van Charlie Hebdo zorgde voor een dramatische start van dit jaar. Dit kreeg helaas een vervolg met onder andere een nieuwe reeks van dodelijke aanslagen in Parijs in november. Sindsdien is het risico van terrorisme in Europa veel dichterbij gekomen en geldt een verhoogde staat van paraatheid, ook in Nederland. Om hierop te anticiperen vermeldden wij in november de zeven vragen die u voor uw bedrijf zou moeten beantwoorden om de schade van de vergrote indirecte dreiging van terrorisme te beperken. Bovendien kunt u voor de afweging op het gebied van internationale handel de Aon Terrorism & Political Violence Map raadplegen. Beide bronnen bieden u inzicht en geven u informatie om invulling te geven aan de (strategische) doelen van uw organisatie. Cyberrisico (#9 GRMS) is dagelijks ‘nieuws’, ook in 2015. De hack op Sony in januari had grote financiële gevolgen en leidde zelfs tot het vertrek van topvrouw Amy Pascal. Echter, hier bleef het niet bij, want in
11
12
februari werden de Nederlandse bedrijven Gemalto en ASML opgeschrikt door inbraken van waarschijnlijk Chinese hackers op zoek naar intellectueele eigendom. Bedrijfsspionage door hacking is daarmee een concreter gevaar geworden. De impact op zowel Gemalto als ASML was uiteindelijk minder groot door snel en adequaat ingrijpen. Ook 2016 is al begonnen met een grote creditcard kraak, naar verwachting 5 tot 10 keer zo groot als de grootste tot nu toe. Echter tot op heden was er, in ieder geval in Nederland, nog geen verplichting tot het melden van dergelijke incidenten. De invoering van de ‘meldplicht datalekken’ per 1/1/2016 in Nederland zal zeker verandering brengen in deze situatie. Hierdoor zal niet per definitie het aantal hacks (of soortgelijke cyberincidenten) toenemen, maar wel het aantal dat openbaar wordt en gemeld wordt aan de betrokken instantie. Inmiddels hebben we als Aon de consequenties (de impact) hiervan voor u in kaart gebracht. Middels een ‘Privacy Impact Analyse’ kunnen deze specifiek worden gemaakt voor uw organisatie. Het continuïteitsrisico (#7 GRMS) dat zich in januari 2015 manifesteerde bij Philips in de Verenigde Staten door het stilleggen van de productie van hun CT scanners werd uiteindelijk opgelost, maar het risico van continuïteit in combinatie met supply chain risk (#14 GRMS) kwam vaker terug in het nieuws. Het bekendste voorbeeld met grote impact voor een behoorlijk aantal Nederlandse bedrijven is de grote brand en explosies in de Chinese havenstad Tianjin. Dit heeft geleid tot een negatieve impact op de economische groei in China, wat indirect van invloed is op Nederlandse bedrijven. Daarnaast hebben veel Nederlandse bedrijven ook direct schade ondervonden doordat bijvoorbeeld componenten of producten niet of later werden geleverd. Hieruit blijkt maar weer eens hoe belangrijk het is om de risico’s van alle onderdelen van de ‘supply chain’
continu te monitoren. Business Continuity Management is daarom ook van belang voor internationale risico’s, maar ook dichterbij huis kan een op het oog klein incident leiden tot grote gevolgen, zoals bleek uit de gevolgen van een gesprongen waterleiding bij VUmc in Amsterdam. Uiteindelijk heeft dit geleid tot een miljoenenschade en werden alle patiënten geëvacueerd. Business Continuity Management is sindsdien voor elk ziekenhuis een must. De combinatie van het risico van toenemende concurrentie (#4 GRMS) en gebrek aan innovatie (#6 GRMS), staat voor concurrentie van ‘disruptieve bedrijven’ en was een van de thema’s in februari. Inmiddels is V&D failliet en Blokker gered, maar heeft de impact van digitale concurrentie zich verspreid naar een aantal andere retailers zoals Perry Sport, dat inmiddels ook failliet is of richting doorstart gaat. Nog maar weer eens een waarschuwing voor alle traditionele bedrijven, dat nieuwe disruptieve business modellen een grote bedreiging vormen. Steeds meer bedrijven reduceren dit risico door onder anderer overname van potentiële nieuwe concurrenten (Google, Apple), grotere focus op het innovatief vermogen (o.a. DSM) of het opzetten van ‘ambidextrous organisations’ waarbij binnen een bestaand bedrijf wordt geëxperimenteerd met nieuwe business modellen. Een risico dat dus zeker niet van de baan is, maar waarop geanticipeerd moet worden in de strategie van uw organisatie. Maart was een roerige maand , want veel geopolitieke risico’s (#15 GRMS) manifesteerden zich en zorgden voor onrust in Europa. De betrekkingen met Rusland en de bijbehorende risico’s verbeterden in de loop van het jaar, maar hier kwam in mei het risico van een Brexit voor in de plaats. Dit risico hangt steeds nadrukkelijker boven de markt, nu op 23 juni 2016 het daadwerkelijk
13
referendum gepland staat. De 100 grootste Britse bedrijven scharen zich achter Cameron en willen het land ervan doordringen dat Groot-Brittannië ‘beter, veiliger en sterker is binnen de EU’. Ook in andere landen vinden al studies plaats over wat de mogelijke impact voor hun economie zou zijn als het Verenigd Koninkrijk daadwerkelijk uittreedt. Echter pas in de loop van 2016 zal blijken wat de uitkomst is en aansluitend zal blijken wat de potentiële gevolgen hiervan kunnen zijn. Door de sterke verbinding tussen Groot-Brittannië en Nederland is de kans groot dat veel Nederlandse bedrijven hier grote negatieve gevolgen van kunnen ondervinden.
14
Ook in maart werd een indirect gevolg van de geopolitieke risico steeds duidelijker met de verdere daling van de olieprijs tot een historisch dieptepunt. Het belang van grondstofprijs risico (#11 GRMS) kwam bovenaan de agenda van vele bedrijven te staan. En terecht, want sindsdien is de olieprijs alleen maar verder gedaald, wat heeft geleid tot grote negatieve financiële gevolgen bij oliebedrijven en daaraan gerelateerde bedrijven. Echter, er zijn ook positieve gevolgen van een lage olieprijs. Zo verwacht DNB een kort positief effect voor de Nederlandse economie. Maar ook individuele bedrijven kunnen profiteren van deze ontwikkeling. AirFrance KLM publiceerde voor het eerst sinds jaren recent weer eens zwarte cijfers door deze ‘meevaller’. Dit bedrijf ondervond in september vorig jaar echter dat een risico dat ver buiten de top 10 staat: risico van stakingen kan leiden tot grote financiële gevolgen. Door een pilotenstaking bij AirFrance in september en oktober 2015 viel de winst EUR 500 miljoen lager uit door minder omzet door vervallen vluchten en de kosten van het onderbrengen van passagiers bij andere maatschappijen.
In april 2015 komen technologische ontwikkelingen duidelijk naar voren in de media, denk aan ‘Internet of Things (IoT)’ en de zelfrijdende auto’s. Deze ontwikkelingen kunnen dé toekomst zijn en mogelijk de huidige markt en de rol van de spelers op deze markt compleet veranderen. Het niet meegaan met deze ontwikkelingen (gebrek aan innovatie; #6 GRMS) kan de continuïteit van uw organisatie dan ook bedreigen. Een mooi voorbeeld is de snelheid waarmee sommige ontwikkelingen gaan. In maart 2016 was de eerste grote praktijktest met semi-autonome voertuigen in Europa. Ruim vijftig intelligente auto’s reden tussen het reguliere verkeer achter elkaar aan over de A2. Een geslaagde test, maar wat zijn de gevolgen voor alle spelers die actief zijn in deze branche. Denk bijvoorbeeld aan autoverzekeraars. Wat als er wel een aanrijding plaatsvindt: wie is er dan aansprakelijk? De huidige (Europese) wetgeving voorziet nog niet in deze ontwikkeling en daardoor blijven wij als maatschappij achter op een techniek die er al lang is. Dus hoe snel gaat de ontwikkeling van de techniek als de regels er wel zijn? Wees voorbereid op de toekomst, innoveer. Ook reputatierisico (#1 GRMS) is in april en in november van 2015 duidelijk naar voren gekomen in de media. De verschillende omgang met recalls die zich in 2015 alleen al in de Automotive industrie hebben voorgedaan, laten zien dat de omgang met recalls de reputatie van een bedrijf kunnen maken of breken. De kern hiervan lijkt te zitten in open en eerlijk communiceren met de betrokkenen. Het ontkennen van Toyota van de veiligheidsrisico’s versus het terughalen door Tesla van gemakkelijk uit te voeren zelfcontroles door bestuurders toont dit aan. Echter ook de openheid van Gerrit Zalm in het geval van compliance issues bij ABN AMRO versus het verhullen van dergelijke
15
tekortkomingen door Deutsche Bank tegenover de toezichthouder in Dubai. In een maatschappij waar technologie niet altijd meer onderscheidend is ten opzichte van de concurrent, maar merk en reputatie een groot deel van de waarde van uw organisatie vormen, wordt de bescherming ervan steeds belangrijker. Naast de nummer 1-notering in de Aon GRMS-lijst laat ook de uitkomst van het Britse Centre for the Study of Financial Innovation (CSFI) zien dat dit risico steeds beter onderkend en gewaardeerd wordt. Voorheen werd deze niet genoemd bij dit onderzoek, maar in 2015 stond het op de twaalfde plek. Deze relatief lage notering was volgens respondenten te wijten aan het relatief slechte imago dat de financiële sector nu al heeft.
16
Het risico van klimaatverandering (#45 GRMS) is ook een sluimerend en onderschat risico. In mei noemden we de grote operationele en financiële gevolgen door de langdurige droogte in Californië, maar ook dat Unilever jaarlijks zo’n EUR 400 miljoen aan kosten maakt om de gevolgen van klimaatverandering op te vangen. Het historisch klimaatakkoord dat in december werd gesloten kan weliswaar zorgen voor verduurzaming van de aarde, echter hier komen nieuwe risico’s voor terug zoals de impact op de kosten die ook andere bedrijven moeten maken, middels investeringen om te gaan voldoen aan de verscherpte normen. Fraude en corruptierisico (#24 GRMS) wordt in 2015 vooral toegewezen aan de FIFA en Volkswagen. Het grote dieselschandaal staat een ieder nog helder voor de geest. Ondanks dat de beurskoers van Volkswagen met zo’n 30% is hersteld vanaf het dieptepunt is er nog steeds een groot risico. De combinatie van frauderisico (#24) en reputatierisico (#1) leidde tot een waardevernietiging van meer dan EUR 14 miljard op één dag en een mogelijke boete tot maximaal EUR 16 miljard
van de Amerikaanse milieuorganisatie EPA. Echter hier bleef het niet bij, want recent diende een groep van in totaal 278 institutionele beleggers bij de rechtbank in het Duitse Braunschweig een claim van EUR 3,3 miljard in tegen Volkswagen. In relatie tot het corruptieschandaal van de FIFA is dat wel anders. Inmiddels is bekend geworden dat de Wereldkampioenschappen van 1998 in Frankrijk en 2010 in Zuid-Afrika zijn binnengehaald door betaling van smeergeld. De wereldvoetbalbond eist dan ook tientallen miljoenen euro’s ter compensatie van de schade die de organisatie heeft geleden doordat een aantal individuen hun positie binnen de organisatie hebben misbruikt. Daarnaast eisen zij ook een vergoeding voor directe financiële schade die de organisatie heeft geleden. Het risico op een pandemie (#44 GRMS) lijkt door de notering van minder groot belang dan andere risico’s die aan bod gekomen zijn, maar het terugkerende karakter in combinatie met de snelle verspreiding van een virus wereldwijd maakt dat dit risico niet te onderschatten is. Enkele jaren geleden was het de Mexicaanse griep die binnen afzienbare tijd een groot deel van de wereld in zijn greep hield, in 2015 was dat de constatering van MERS in Zuid-Korea en inmiddels ook het Zika-virus dat zijn oorsprong kent in Brazilië. Het uitvallen van een grote groep medewerkers als gevolg van een pandemie kan aanzienlijke gevolgen hebben voor uw organisatie. De continuering van uw (primaire) processen kunnen onder druk komen te staan of vallen wellicht zelfs stil. Dit risico dient dan ook echt als een continuïteitsrisico benaderd te worden ten einde de impact voor uw organisatie zoveel beperkt te houden.
17
AGRC Risk Impact 2015 Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin maandelijks de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken.
18
1-Januari 2015 Terreurdreiging klopt op de deur en hack Sony kost meer dan ‘alleen’ geld
7-Juli/Augustus 2015 Wat een zomer vol incidenten ons leert
2-Februari 2015 De digitale transformatie en digitale bedrijfsspionage
8-September 2015 De rol van externe en interne risico’s bij VUmc en VW
3-Maart 2015 Traditioneel rustige Europa wordt instabieler en schommelingen in de olieprijs
9-Oktober 2015 De verborgen dreiging van stakingen en adviesrapporten
4-April 2015 Reputatierisico’s, de zelfrijdende auto en The Internet of Things
10-November 2015 Wees voorbereid op terreurdreiging en beperk reputatieschade met een vlekkeloze recall
5-Mei 2015 Klimaatverandering, Brexit en terrorisme 6-Juni 2015 FIFA’s corruptie, MERS in Zuid-Korea
11-december 2015 Het klimaatakkoord en de Meldplicht Datalekken
1
Januari 2015
Terreurdreiging klopt op de deur en hack Sony kost meer dan ‘alleen’ geld
De hack van Sony, de terroristische aanslagen in Europa en de productiestop van Philips bewijzen dat risico’s uit onverwachte hoek kunnen komen. Hoe hebben deze ontwikkelingen impact op uw strategie?
Terrorisme - terreurdreiging klopt op de deur Met de aanslag in Parijs op de redactie van Charlie Hebdo, de verijdelde aanslag op de Belgische politie en de ‘kaping’ van het NOS journaal, is de dreiging van terrorisme erg dichtbij gekomen. De kans dat ook Nederlandse bedrijven te maken krijgen met terroristische dreiging is toegenomen en inmiddels hebben een aantal bedrijven al besloten om hun veiligheidsbeleid nog eens kritisch tegen het licht te houden. In de landen met terroristische dreiging staat Nederland al tijden laag, maar dat zal wellicht in de aankomende metingen toenemen door bovengenoemde ontwikkelingen. Ga na welke gevolgen een dergelijke dreiging voor uw organisatie kan hebben en houd ontwikkelingen nauwlettend in de gaten, bijvoorbeeld met behulp van de Aon Terrorism & Political Violence Map. Kijk ook nog eens kritisch naar uw veiligheidsbeleid om te bepalen of deze voldoende rekening houdt met lokale terroristische dreiging.
19
een definitieve schadebepaling is het nog te vroeg. De hackers hebben veel gegevens van Sony buitgemaakt, waaronder compromitterende mailwisselingen van topvrouw Amy Pascal met anderen. Een vertrek van Pascal uit het bestuur was het gevolg. Dit incident laat zien dat bestuurders er verstandig aan doen na te gaan hoe zij de digitale eigendommen en ‘kroonjuwelen’ van de organisatie hebben beschermd en wat de effectiviteit is van de beheersmaatregelen die zij hebben getroffen ter bescherming van de bedrijfsdoelstellingen en continuïteit van de organisatie.
Continuïteit - operationele beslissing brengt continuïteit in ‘gevaar’
20 De huidige maatschappij en wereldwijde situatie veranderen snel. In de huidige situatie hoeft dreiging niet meer in de directe of fysieke omgeving voor te komen. Een cyberaanval kan een bedrijf of zelfs een land ook volledig plat leggen of op zijn minst ernstige verstoringen brengen.
Cyber - hack Sony kost meer dan ‘alleen’ geld Dit laatste gebeurde ook bij Sony. De grootschalige cyberaanval dwong het bedrijf de financiële en boekhoudsystemen van dochteronderneming Sony Pictures Entertainment in november 2014 tijdelijk stil te leggen. Hierdoor is de publicatie van de cijfers van het derde kwartaal, dat eindigde op 31 december, uitgesteld. De voorlopige directe schade van dit cyberincident bedraagt naar eigen zeggen 15 miljoen USD, maar voor
Cyberincidenten kunnen de continuïteit van een organisatie aanzienlijk beïnvloeden. Maar ook operationele besluiten, zoals de productiestop van CT scanners bij Philips in de Verenigde Staten, kan een grote financiële impact hebben op een organisatie. In januari van dit jaar werd er naar aanleiding van dit besluit door Philips een winstwaarschuwing afgegeven, maar ook is de CEO Healthcare is opgestapt. De oorzaak van de productiestop kwam uit onverwachte hoek, namelijk grote tekortkomingen in de kwaliteitsprocessen en de documentatie daarvan. De kwaliteit van de producten van toeleveranciers werd jarenlang onvoldoende gecontroleerd en een bedrijf leverde afgekeurde onderdelen. Het opnieuw opstarten van de productie drukt de resultaten nu met EUR 225 miljoen. Maar zolang de fabriek niet op volle toeren draait, kunnen de kosten zelfs nog verder oplopen. Eventuele misgelopen omzet en imagoschade zijn hierin nog niet meegenomen, zoals bijvoorbeeld het verminderde vertrouwen in het aandeel Philips.
21
22
Continuïteit van een bedrijf kan in gevaar komen door onverwachte incidenten. Naast de voor de hand liggende oorzaken als het weggevallen van een belangrijke leverancier, een brand of het verliezen van een belangrijke klant, bewijst dit Philips incident dat men ook rekening moet houden met andere onverwachte oorzaken, waarmee de continuïteit in gevaar kan komen. Door de grote financiële impact is het analyseren van risico’s in de gehele supply chain daarom cruciaal om de impact en kans van dit soort events te voorkomen of te beperken. Continuïteit van een bedrijf kan in gevaar komen door onverwachte incidenten. Naast de voor de hand liggende oorzaken als het weggevallen van een belangrijke leverancier, een brand of het verliezen van een belangrijke klant, bewijst dit Philips incident dat men ook rekening moet houden met andere onverwachte oorzaken, waarmee de continuïteit in gevaar kan komen. Door de grote financiële impact is het analyseren van risico’s in de gehele supply chain daarom cruciaal om de impact en kans van dit soort events te voorkomen of te beperken.
2
Februari 2015
De digitale transformatie en digitale bedrijfsspionage
Door concurrentie en verdere digitalisering staan de business modellen van veel bedrijven meer dan ooit onder druk. Onderzoek van het Financieel Dagblad onder 350 topondernemers in 2014 toont aan dat 82% verwacht ‘het business model van zijn bedrijf te moeten aanpassen om de ambities waar te kunnen maken’. Vorig jaar was dit nog maar de helft. Daarnaast neemt de kwetsbaarheid van bedrijven in de digitale wereld duidelijk sterk toe. Deze kwetsbaarheid bleek in februari een steeds groter risico te worden met twee incidenten van mogelijke digitale bedrijfsspionage in Nederland.
Digitalisering en concurrentie zet business modellen van V&D, Blokker en Fugro onder druk De digitale transformatie met de opkomst van nieuwe bedrijven als Airbnb, Netflix en Uber zet druk op de traditionele business modellen. Dit zogenaamde business model risk kwam deze maand het duidelijkst naar voren bij de retailers V&D en Blokker, maar ook bij bodemonderzoeker Fugro. Hoe groter het risico, m.et andere woorden hoe schever het business model. Hoe groter de gevolgen en hoe drastischer de maatregelen zijn die moet worden
23
genomen. Bij V&D heeft dit zich onder meer geuit in gedwongen loonsverlagingen en druk op verhuurders om huurverlagingen te accepteren. Bij Fugro heeft dit geleid tot heroverweging van de activiteiten en het besluit zich te focussen op de oorspronkelijke kernactiviteit, ingenieursdiensten. Ook bij Fugro gaan de gevolgen verder dan deze strategische verandering met de druk op hun governance model en een mogelijke overname.
24
Als druk op het business model groot is komen velerlei risico’s tegelijk samen, wat meestal leidt tot een toename van de ‘risk of risks’, namelijk reputatierisico. Dit risico wordt in de praktijk gereduceerd door o.a. overnamen van potentiële nieuwe concurrenten (Google, Apple), ‘ambidextrous organisations’, waarbij binnen een bestaand bedrijf wordt geëxperimenteerd met nieuwe business modellen (kranten met online platform ernaast) en grotere focus op innovatief vermogen in organisaties. Het actueel houden van uw business model blijkt dus evenzo belangrijk als het actueel houden van uw producten en diensten. Ontwikkelingen blijken dus zeer belangrijk om het hoofd boven water te houden. Naast dit relatief ‘nieuwe’ risico, business model risk, is ook het cyberrisico de afgelopen periode weer veelvuldig in het nieuws geweest. Getroffen worden door dit risico blijkt steeds meer de vraag van ‘wanneer’ in plaats van ‘of’, ervoeren ook ASML en Gemalto.
Cyber – Digitale bedrijfsspionage bij ASML en Gemalto Chipmaker ASML heeft bevestigd dat het is gehackt, waarbij naar eigen zeggen een beperkte hoeveelheid data werd buit gemaakt. Een partij heeft (deels met succes) ingebroken in de IT-omgeving van ASML en
daar bestanden ingezien, dan wel bemachtigd. De inbraak is waarschijnlijk het werk van Chinese hackers, op zoek naar intellectueel eigendom. Ook digitaal beveiliger Gemalto liet onlangs weten dat het in 2010 en 2011 waarschijnlijk slachtoffer was van hacks. Ook hier zou maar ‘beperkte hoeveelheid’ data zijn gestolen. Wellicht dat deze bedrijven net op tijd ontdekten dat ze werden gehackt; feit blijft wel dat data en intellectueel eigendom is onttrokken van deze partijen. De kans blijft bestaan dat bedrijven veel tijd en geld in innovatie steken en net voor het uitbrengen, dan wel patent aanvragen, het product in een andere economie al op de markt wordt gebracht. Bedrijfsspionage kan hiervan de oorzaak zijn, en de gevolgschade is lang niet altijd gedekt. Deze incidenten laten zien dat organisaties er verstandig aan doen na te gaan hoe zij de digitale eigendommen van de organisatie hebben beschermd en wat de effectiviteit is van de beheersmaatregelen die zij hebben getroffen ter bescherming van de bedrijfsdoelstellingen en continuïteit van de organisatie.
25
Organisaties zijn zich vaak terdege bewust van de risico’s die zich in hun directe omgeving voordoen. Echter, mondiale ontwikkelingen, zoals de politieke instabiliteit in diverse landen en de ontwikkeling van de olieprijs kunnen van grote invloed zijn op uw bedrijf, daar hoeft u geen multinational voor te zijn. Juist in deze tijd met de lage olieprijs en toenemende geopolitieke risico’s is het belangrijk om hierbij stil te staan. Lees meer over de impact van deze risico’s op uw organisatie in deze editie van AGRC Risk Impact.
Geopolitiek - traditioneel rustige Europa wordt instabieler Geopolitiek is momenteel sterk in beweging en ook de risico’s voor internationale ondernemers veranderen mee. Naast de veranderingen in de mondiale verhoudingen, is er ook dynamiek in het traditioneel rustige Europa. De slechte relatie met Rusland beïnvloedt de Europese economie en kan ook voor Nederlandse sectoren, zoals de landbouw, verregaande gevolgen hebben. De wijze waarop Europa optreedt richting Griekenland, de financieel-economische effecten hiervan, maar ook het sentiment in andere zuidelijke lidstaten, vormen een delicaat geheel.
26
3
Maart 2015
Traditioneel rustige Europa wordt instabieler en schommelingen in de olieprijs
Zakendoen met het buitenland vereist oog voor internationale betrekkingen en effecten hiervan op de business. Tijdig signaleren van risico’s van non-betaling, boycot of economische stagnatie geeft ondernemingen de mogelijkheid alternatieve paden te bewandelen. Zo hebben diverse Nederlandse bedrijven die last ondervinden van de Russische boycot nieuwe afzetmarkten gezocht, ten einde de productie en omzet van de organisatie op peil te houden en de continuïteit van de organisatie te borgen. Echter, een grote afhankelijkheid van een geopolitiek instabiel land of instabiele regio is wellicht niet op te vangen voor uw
27
organisatie en kan de continuïteit ernstig bedreigen. Inzichtelijk maken van de internationale betrekkingen en het afzetten ervan tegen de Aon Political Risk Map en de Aon Terrorism & Political Violence Map, kan u meer inzicht en sturing bieden voor uw strategische planning.
Economie - lage olieprijs: een kans of een risico
28
Naast geopolitieke ontwikkelingen zijn uiteraard ook economische ontwikkelingen van groot belang voor organisaties, met name organisaties die internationaal actief zijn. Een van de belangrijkste economische factoren is de olieprijs. Eind vorig jaar is de olieprijs in twee maanden tijd bijna gehalveerd. Van circa 86 USD per vat ruwe olie tot 45 USD. De laatste tijd loopt de prijs echter weer op en lijkt het kostenvoordeel voorbij. Of toch niet? Schommelingen in de olieprijs zijn een gegeven. De richting en de mate waarin de prijs schommelt is wel onzeker. Het rendement van investeringen in een nieuwe verbrandingsinstallatie voor het opwekken van groene energie, terminals voor olieopslag in de Rotterdamse haven of energiebesparende maatregelen
hangen direct samen met de hoogte van de olieprijs. Omdat deze investeringen een terugverdienperiode hebben van 10 jaar of meer dient de directie in de besluitvorming een inschatting te maken van de ontwikkelingen van de olieprijs op de lange termijn. Dit is echter theoretisch onmogelijk gezien de vele variabelen die met elkaar interacteren: • machtsverhoudingen en politieke onrust in het Midden-Oosten; • oorlogsdreiging tussen Rusland en Ukraine; • de gaswinning in Groningen; • wereldwijd afnemende olievoorraden; • de koers van de USD; • de tegenvallende groei in China; • majeure incidenten tijdens oliewinning zoals in de golf van Mexico; • aanhoudende overheidssubsidies voor groene energie en daarop volgende speculaties van oliehandelaren. • De oorzaak wegnemen van dit risico is zoals gezegd geen optie, dus blijft over het anticiperen op en beperken van de potentiële gevolgen. Dit vereist strategisch inzicht en wendbaarheid. Welke risico’s zijn we bereid te nemen bij het realiseren van onze doelstellingen en strategie en welke willen we overdragen tegen een acceptabele prijs? Voor u is het belangrijk deze vragen te beantwoorden en na te gaan of u deze risico’s wilt afdekken, in welke mate en op welke wijze. Vervolgens kunt u maatregelen treffen om uiteindelijk wellicht rendement te halen uit risico’s en onzekerheid, en kunt u actuele ontwikkelingen laten bijdragen aan het realiseren van uw strategische doelen. In de Aon Whitepaper Black Silver vindt u meer uitleg over de impact van deze ontwikkeling.
29
4
April 2015
30
Reputatierisico’s, de zelfrijdende auto en The Internet of Things
In een wereld waarin technische ontwikkelingen met de dag versnellen, wet- en regelgeving doorlopend verandert en het gebruik van bijvoorbeeld social media alleen maar toeneemt, veranderen risico’s razendsnel mee. Houd u het tempo bij? Bij onze recent gepubliceerde Global Risk Management Survey 2015 blijkt dat de wereldwijde toprisico’s voor bedrijven flink zijn verschoven. De top 10 heeft zelfs een nieuwe lijsttrekker: reputatie- of merkschade. Er is ook een nieuwkomer: cyberrisico’s staan voor het eerst in de top tien. Dat dit een volkomen terechte score is, laten recente incidenten zien. In deze Risk Impact gaan we er kort op in. Het niet voldoen aan wet- en regelgeving kan een grote invloed hebben op de reputatie van organisaties, zo laten recente voorbeelden zien. Tenslotte staan we stil bij aansprakelijkheidsvraagstukken bij nieuwe technologische ontwikkelingen, zoals The Internet of Things, 3D-printing oen zelfrijdende auto’s.
Reputatierisico’s: spelen met vuur Deutsche Bank (DB) kreeg afgelopen maand een boete van USD 8,4 miljoen van de toezichthouder in Dubai wegens ernstige tekortkomingen in de compliance binnen de organisatie en het risicobeheer in het land. Het was een schoolvoorbeeld van het altijd aanwezige
risico op reputatie- of merkschade, wat ons betreft. Hoe klein het bedrag immers ook is in vergelijking met de boete van EUR 725 miljoen voor de fraude met het LIBOR-tarief in Europa en de mogelijke schikking van meer dan 1 miljard dollar met de Amerikaanse en Britse autoriteiten, de reputatieschade kan enorm zijn als DB de regelgeving vaker aan zijn laars lapt. De bank laat zien hoe het niet moet: de misstanden waren bekend, maar werden verzwegen. De toezichthouder in Dubai neemt dat DB ernstig kwalijk. Bij ABN AMRO zagen we onlangs een vergelijkbaar incident. Maar daar koos de topman van de bank, Gerrit Zalm, voor een andere aanpak: hij informeerde de toezichthouder zelf over de misstanden en hield hem vervolgens consequent op de hoogte van het
31
onderzoek. Geen verhullingen dus, maar eerlijkheid en transparantie. Het is dé manier om reputatieschade te voorkomen of op zijn minst te beperken. Ook bij de recente affaires van SBM Offshore zagen we een duidelijke rol voor reputatieschade weggelegd. Beleggers leden aanzienlijke schade omdat het bestuur van de organisatie hen te laat informeerde over problemen bij specifieke bedrijfsonderdelen en bij activiteiten in Brazilië. Het is nalatigheid die het bedrijf duur kan komen te staan: naast aansprakelijkstelling kan het incident zomaar tot het aftreden van bestuurdersleden leiden.
32
Elke organisatie zou moeten weten dat informatie die voor stakeholders van belang is, ook daadwerkelijk met die partijen gedeeld moet worden. Gebeurt dat niet, dan kan de schade groot zijn: van de daadwerkelijk geleden schade waarvoor men aansprakelijk wordt gesteld tot boetes van toezichthouders en mogelijk zelfs reputatieschade. Veel organisaties hebben nog moeite om deze risico’s in te schatten, signaleren wij. Waarschijnlijk onder meer omdat het een relatief nieuw en opkomend risico is.
Cyberrisico’s: impact beperken Het zal u niet ontgaan zijn dat media dagelijks berichten over cyberincidenten, groot- en kleinschalig. Ze illustreren dat cyberrisico’s reëel en wijdverbreid zijn. Maar de impact kan sterk variëren: van diefstal van een beperkte hoeveelheid data tot een complete stilval van organisaties. Feit is dat geen apparaat meer veilig is voor hacks. Het zijn al lang niet meer alleen computers, maar ook telefoons, tablets en horloges die beveiligd worden. U kunt zich terecht afvragen in hoeverre het digitale ‘inbraakrisico’ helemaal uit te sluiten valt, want dat is simpelweg niet te doen. Wat u wel kunt doen, is u goed
op een hack voor te bereiden zodat de impact op uw organisatie beperkt blijft. Sony ontdekte onlangs na een hack dat de geleden schade lastig te kwantificeren bleek door zowel Sony als de verzekeraar. Inmiddels heeft het bedrijf een schikking getroffen met Zürich America Insurance Co. De case is een les voor organisaties, verzekeraars en andere spelers op de markt. Het is zinvol om niet af te wachten tot het gebeurt, maar goed voorbereid te zijn op de impact van een hack op uw organisatie.
The Internet of Things en zelfrijdende auto’s Adviesorganisatie Gartner voorspelt een vervijfvoudiging van het aantal internet-apparaten (van 5 naar 25 miljard) in de komende vijf jaar. Die totale verbondenheid biedt voordelen, maar heeft ook een keerzijde: de risico’s op een hack nemen fors toe. Internet-apparaten zullen beter beveiligd moeten worden, van koffiezetapparaten en pacemakers tot aan zelfrijdende auto’s. Naar dat laatste heeft Aon onderzoek gedaan. Want ‘The Internet of Things’ heeft een flinke impact op aansprakelijkheidskwesties in de autobranche. Neem schade aan zelfrijdende auto’s: wie is daarvoor verantwoordelijk bij een ongeval? Is dat de bestuurder of de fabrikant van de auto, omdat de auto zelf rijdt? Dit soort vragen raakt alle partijen die bij de verzekering en vergoeding van autoschade betrokken zijn. De vraag is: gaat de technologie niet te hard voor de maatschappij? In onze whitepaper ‘Als de auto autonoom wordt’ staat die vraag centraal. De snelle ontwikkeling van 3D-printing is nog zo’n verandering die onmiskenbaar consequenties heeft voor de verzekeringsmarkt. Stel bijvoorbeeld dat iets
33
onjuist geprint is, waardoor iemand schade lijdt. Wie is dan aansprakelijk: de producent van de printer, de organisatie die de printer bedient of degene die de blauwdruk van het uitgeprinte product ontwierp? Iedere gebruiker van een 3D-printer zou daarmee ook wettelijk gezien een producent worden (artikel 6:185 e.v. BW). De vraag is of 3D-printing ook in de zorgsector echt de aardverschuiving gaat opleveren waarover zoveel wordt gespeculeerd. In dat geval is het aansprakelijkheidsvraagstuk opnieuw iets waar alle betrokkenen goed naar moeten kijken.
34
Cyberrisico’s, The Internet of Things en zelfrijdende auto’s: het zijn stuk voor stuk onderwerpen die al snel futuristisch klinken. Daar schuilt het gevaar dat ernst en aandacht verslappen. U heeft kunnen lezen hoe dat mis kan gaan. In de volgende editie van de Risk Impact, houden we de laatste risico-ontwikkelingen opnieuw tegen het licht. Zo helpen wij u voor te blijven op de nieuwste ontwikkelingen en de daarmee gepaard gaande risico’s, zodat u tijdig kunt reageren en uw strategie kunt bijstellen.
5
Mei 2015
Klimaatverandering, Brexit en terrorisme
Een veranderend klimaat of een overheid die onverwacht een referendum houdt over deelname aan een bondgenootschap als de Europese Unie. Het zijn serieuze risico’s voor uw bedrijf, maar uw directe invloed erop is in het gunstigste geval zeer klein. Het laat zien dat de scope van risicomanagement niet meer beperkt is tot binnen de muren van de organisatie. Een scherpe blik naar buiten is noodzakelijk. Een blik op maatschappelijke ontwikkelingen in eigen land en op internationale trends. In deze Risk Impact staan we stil bij een sluimerend risico met forse gevolgen: klimaatverandering. Ook illustreren we hoe een onvoorzien politiek besluit in het Verenigd Koninkrijk onverwacht tot risico’s kan leiden. We laten zien dat een kritische blik over de grens, zeker voor internationaal georiënteerde bedrijven, een absolute noodzaak is. Niet in de laatste plaats met het oog op veiligheid van personeel. Tot slot geven we u concrete tips om risico’s optimaal te beheersen. Zodat u alert en met een gedegen voorbereiding kansen kunt benutten.
Klimaatverandering: bedrijven drogen financieel op Risico’s in relatie tot het weer, de klimaatverandering en de schaarsheid van natuurlijke bronnen scoren in de
35
en financiële problemen, niet alleen binnen de landbouwsector. De eerste faillissementen zijn al een feit. Beide voorbeelden tonen aan dat algemeen beschikbare informatie, bijvoorbeeld over de eigen sector en over concurrenten, niet altijd volstaat om risico’s voldoende in te schatten. Tegelijkertijd laat het ook zien dat organisaties die aan goed risicomanagement doen, kansen beter kunnen benutten. Denk aan wasmiddelen die ook op lagere temperaturen de was schoon krijgen, meer geconcentreerde deodorant maar ook de zogenaamde ‘droog shampoo’. Stuk voor stuk zijn het voorbeelden van succesvolle varianten op traditionele producten, waarbij de bedenkers slim hebben ingespeeld op een nieuwe situatie.
36 Aon Global Risk Management Survey geen plaats in de top 10. Toch kunnen weersomstandigheden leiden tot aanzienlijke kosten. Neem Unilever. Als gevolg van klimaatverandering maakt het bedrijf jaarlijks zo’n EUR 400 miljoen aan kosten. Een gigantisch bedrag waaruit blijkt dat risico’s die op basis van een algemeen onderzoek niet direct om aandacht schreeuwen, wel degelijk van belang zijn. Een ander voorbeeld: de droogte in Californië. Hoewel de precieze oorzaak nog betwist wordt, leidt het geen twijfel dat klimaatverandering en de stijgende temperaturen over de laatste jaren er op zijn minst aan bijdragen. Het gevolg: de staat (burgers, organisaties én bedrijven) is op ‘rantsoen’ gezet door de overheid. Die bepaalt wie hoeveel water mag gebruiken en hoeveel grondwater bedrijven omhoog mogen pompen. Deze situatie bezorgt veel bedrijven aanzienlijke operationele
Brexit: EU-exit voor het Verenigde Koninkrijk nabij? Maandenlang was de blik van Europa bijna uitsluitend op het financieel wankele Griekenland gericht. Hoe staat het land er financieel nu precies voor, kan het lid blijven van de EU en welke hervormingen zijn daarvoor nodig? Wat is het standpunt van de nieuwe regering? Inmiddels ligt het zwaartepunt van alle aandacht aan de andere kant van het continent, bij het Verenigd Koninkrijk - één van de oudste leden van EU. Daar wordt het lidmaatschap van het land in de waagschaal gelegd tijdens een referendum. Wat zou het verlaten van de EU voor het Verenigd Koninkrijk betekenen? Deutsche Bank heeft als eerste bank al laten weten in dat geval een deel van zijn Britse activiteiten mogelijk naar Duitsland te verplaatsen. Inmiddels is de bank een formeel onderzoek gestart. Deutsche Bank is een van de weinigen die zich nu al zo sterk roert. Veel andere financiële dienstverleners
37
willen liever niets veranderen. Wel wijzen ze de Britten erop dat het referendum aanzienlijke risico’s oplevert voor de financiële sector van het land. De vraag is: ziet de ‘gewone Brit’ die risico’s ook en kan hij ze op waarde schatten? Met het referendum zijn bedrijven afhankelijk geworden van iets wat nooit eerder een risico is geweest. Het bewijst hoe belangrijk en zelfs cruciaal het soms is om ook maatschappelijke ontwikkelingen buiten de organisatie te volgen en voorbereid te zijn op verschillende scenario’s. Zo kunnen organisaties nu al een scenario uitwerken waarin wordt bepaald wat de impact van een Brexit is op hun eigen bedrijf.
Groeiende risico’s voor internationaal opererende organisaties
38
Wereldwijde risico’s zijn meer dan ooit een aandachtspunt voor internationaal georiënteerde organisaties. Veiligheidssituaties kunnen razendsnel veranderen, met alle negatieve gevolgen van dien voor medewerkers, bedrijfsactiviteiten en waardeketens (supply chains). Volgens recent onderzoek van de NOS, gebaseerd op informatie van het Ministerie van Buitenlandse Zaken, is het aantal landen met een hoog risico de afgelopen vijf jaar verdubbeld. Het aantal landen met een negatief reisadvies steeg van zes naar dertien; het aantal landen waarvoor een bezoek wordt afgeraden, van dertien naar tweeëntwintig. De groeiende risico’s wereldwijd zijn ook terug te zien in de Terrorism & Political Violence Map van Aon. Daaruit blijkt dat de reis- en verblijfsomstandigheden flink verslechteren in gebieden waar politiek geweld en terreur zich concentreren, zoals Afrika en het Midden-Oosten. Als belangrijke oorzaken worden genoemd de toegenomen instabiliteit sinds de
‘Arabische Lente’ en de grotere aantrekkingskracht en invloed van gewelddadige bewegingen als Islamitische Staat (IS). Ook politieke gewelds- en instabiliteitsrisico’s, natuurgeweld en de uitbraak van besmettelijke ziekten leiden tot slechtere veiligheidssituaties. De consequenties van deze groeiende risico’s kunnen fors zijn. Zo kunnen bedrijven vaak niet meer instaan voor de persoonlijke veiligheid van medewerkers, naasten en andere belanghebbenden. Zelfs bedrijfsschade ligt op de loer als bedrijfsstilstand de continuïteit bedreigt. Waardeketens kunnen ontwricht raken. Denk aan een vertraagde of uitblijvende levering van grondstoffen, verstoring van de lokale arbeidsmarkt, verlies van samenwerkingspartners en het wegvallen van distributielijnen.
Zes tips voor een goede voorbereiding Voorbereiding is het halve werk: • Wees alert op actuele informatie over lokale en regionale operationele veiligheidsrisico’s; • Zorg voor een beslismodel dat laat zien of het verantwoord is om af te reizen naar of actief te zijn in een land; • Zorg dat u altijd snel kunt zien waar uw medewerkers en andere cruciale stakeholders zich bevinden (‘track & trace’); • Geef medewerkers concrete do’s en don’ts voor hun persoonlijke veiligheid; • Zorg voor een business continuity planning om bedrijfsactiviteiten te kunnen verplaatsen of op te vangen (voorraadbeheer, multi-sourcing); • Wees op de hoogte van verzekeringsmogelijkheden, onder andere op het gebied van reis & verblijf, kidnap & ransom, bedrijfsschade en terrorisme & politiek geweld.
39
6
Juni 2015
FIFA’s corruptie, MERS in Zuid-Korea
In deze zomerse uitgave van de Risk Impact staan we stil bij drie recente incidenten die de media domineerden, en die zowel het bedrijfsleven als de maatschappij raken.
40
Het corruptieschandaal bij de FIFA bewees het weer eens: pas als incidenten rond fraude en corruptie van formaat zijn of als bekende organisaties worden geraakt, haalt het nieuws de kranten. Meestal leiden ze alleen achter de schermen tot financiële verliezen, en blijven ze onbelicht. Onderschatting van het probleem ligt op de loer: maar liefst één op de vier bedrijven wordt getroffen door fraude van kleine of grotere omvang. De actuele MERS-uitbraak in Zuid-Korea en de eerdere Ebola-epidemie in Afrika werken ontwrichtend voor de bevolking en de economie van de getroffen landen. Ze hebben de potentie om uit te groeien tot wereldwijde rampen.
Stille risico’s van alle tijden: corruptie, fraude, wittenboordencriminaliteit ‘FIFA officials pocketed USD 150m from ‘World Cup of fraud’ – US prosecutors’, kopte een recent artikel van de Engelse krant The Guardian. De ontwikkelingen rond het FIFA-bestuur hielden onze aandacht dagenlang vast.
Los van opluchting bij voetbalfans wereldwijd, riep het opstappen van voorzitter Sepp Blatter een cruciale vraag op: krijgen frauderisico’s wel voldoende aandacht? Of zien we ze over het hoofd door een gebrek aan media-aandacht, bedrijfsblindheid en vertrouwen in collega’s? In de Aon Global Risk Management Survey van 2015 eindigen frauderisico’s op plaats 24. De ervaring leert dat respondenten van de survey deze risicogroep zelden in de top 10 plaatsen, behalve in specifieke regio’s
41
zoals Latijns-America, het Midden-Oosten en Afrika. Toch eindigen deze ‘stille’ risico’s regelmatig in grote scandalen die leiden tot enorme reputatieschade, en in sommige gevallen zelfs tot de teloorgang van gezonde bedrijven. Onderzoek toont aan dat drie zaken vaak aanzetten tot frauderen: • De gelegenheid – de waardevolle zaak ligt voor het grijpen, men ‘krijgt’ de kans; • de financiële behoefte of een slechte werksfeer; • rationalisatie door de fraudeur die zijn zaak probeert goed te praten.
42
De vraag is: zouden deze situaties zich voor kunnen doen binnen uw organisatie? Een op de vier bedrijven krijgt te maken met fraude, van grote bedrijven zelfs de helft. Het probleem beperkt zich niet tot een branche, functie of niveau en kent vele verschijningsvormen. In alle gevallen is de impact van de schade groot. Fraude vereist dan ook de nodige aandacht en vraagt om een open cultuur, adequate beheersmaatregelen, controles én een verzekering voor het financiële verlies voor het geval een incident zich toch voordoet.
Onderschatte risico’s: pandemie In de Aon Global Risk Management Survey van 2015 eindigt het risico op een pandemie op plaats 44. Daarmee staat het gevaar overduidelijk nog steeds niet hoog op de agenda. Veel mensen associëren een pandemie met een scenario voor een Hollywoodfilm. De vraag is: voor hoe lang nog? Met de uitbraak van Ebola nog vers in ons geheugen, lezen we nu in de kranten over het MERS-virus in Zuid-Korea. De longziekte dook een maand geleden opnieuw op in Azië en heeft sindsdien 25 mensen het leven gekost. Duizenden zitten in quarantaine; meer dan vierhonderd scholen
houden de deuren dicht om verspreiding van het virus te voorkomen. Sinds de eerste MERS-uitbraak in 2012 heeft het virus inmiddels meer dan vierhonderd levens geëist. Bij de Ebola-uitbraak in 2014 werd eens te meer duidelijk hoe nauw verbonden landen onderling zijn. En dat een wereldwijd gecoördineerde aanpak ontbreekt om een dergelijke uitbraak vroegtijdig te stoppen. De uitbraak zaaide angst en paniek van Dallas tot Rome. Het bewees dat wat in een ver land gebeurt, van invloed kan zijn op de hele wereld – ook als het begint als een lokaal incident.
Hoe kunnen we ons voorbereiden? De voorbereiding op een pandemie begint met onderkenning van het risico, plus het besef dat voorbereiden mogelijk is. Kenmerkend voor een pandemie is een geleidelijke ontwikkeling volgens een vaste fasering, ontwikkeld door de Wereldgezondheidsorganisatie (WHO). Bedrijven zouden standaard een plan moeten hebben met adequate maatregelen per fase om de gezondheid van werknemers en de continuïteit van de onderneming te beschermen.
43
7
Juli/Augustus 2015
Wat een zomer vol incidenten ons leert
Na een onstuimige zomer vol incidenten, waaronder het faillissement van Imtech, de kelderende beurskoersen in China en Europa en de hacks bij Ziggo, staan we in deze uitgave van Risk Impact stil bij twee grote calamiteiten:
44
• De rampzalige explosies in de Chinese stad Tianjin die tot vele slachtoffers en enorme milieuschade leidden. • De omgevallen bouwkranen in Alphen aan den Rijn, waarbij gelukkig alleen grote materiële schade ontstond.
Explosies in China raken ook Europa Beelden van de twee enorme explosies in de noordoostelijke Chinese havenstad Tianjin gingen op woensdag 12 augustus de wereld over. De ontploffingen veroorzaakten een enorme ravage, het kostte dagen om de ontstane brand onder controle te krijgen. Het dodental is inmiddels opgelopen tot 139. Daarnaast zouden meer dan 3600 autowrakken en 1677 containers uit het rampgebied verwijderd zijn. Ook de schade aan het milieu is naar verwachting groot. Wat ging hier mis? Heel veel, blijkt uit een grootschalig onderzoek. Allereerst was het niet zomaar een loods waar brand uit was gebroken: het betreffende bedrijf, Ruihai Logistics, werkte met gevaarlijke chemicaliën. Het lijkt erop dat het bluswater van de brandweer een chemische
45
reactie heeft ontketend. Die leidde op zijn beurt tot de verwoestende vuurbal die op de beelden is te zien. Inmiddels is ook duidelijk dat in de loods meer chemicaliën lagen opgeslagen dan er eigenlijk in pasten. In plaats van in de extra beveiligde ruimte werd een deel daarom in een gewone laadruimte bewaard. Onderzocht wordt hoe Ruihai Logistics überhaupt toestemming heeft gekregen om de chemicaliën op te slaan binnen de zogenaamde 1000-meterbufferzone. Dat is een wettelijk vastgesteld gebied van 1000 meter rondom huizen en wegen waar dit soort gevaarlijke stoffen niet thuishoren.
Breng de toeleveringsketen in kaart De explosies in Tianjin maken eens te meer duidelijk hoe een lokaal incident bedrijven wereldwijd kan
46
raken. De haven is de grootste van het land en de tiende in de wereld. Ook veel Europese bedrijven zijn daardoor getroffen door het incident. Bij velen is de bedrijfsvoering en toeleveringsketen onderbroken. De financiële schade daarvan op de lange termijn kan fors zijn.
de oorzaken en gevolgen van de ramp en naar de verantwoordelijkheid van betrokken partijen. De rol van de gemeente, de bouwer en zijn onderaannemers inclusief de specialistische adviseurs staan nog steeds ter discussie. Of het onderzoek dat nu loopt daar uiteindelijk duidelijkheid over geeft, is maar de vraag.
Wilt u dergelijke gevolgen voor uw organisatie voorkomen? Breng dan uw toeleveringsketen in kaart. Wat zijn voor uw bedrijfsvoering de cruciale onderdelen? En welke back-up voorzieningen kunt u treffen als die onderdelen stil komen te liggen? Door er vooraf over na te denken, kunt u in geval van een calamiteit snel overschakelen.
Wat kunnen we leren van dit ongeval? Belangrijk is te erkennen dat dit soort calamiteiten nooit helemaal uit te sluiten is, alle groeiende aandacht voor risicopreventie ten spijt.
Ook Aon heeft geholpen bij het verzamelen en beschikbaar stellen van informatie over het incident in Tianjin. Het helpt organisaties om de juiste maatregelen te nemen. Kijk voor de meest actuele informatie, service-updates en contactgegevens van lokale Aon-teams op www.aon.com/tianjinresponse.
De omgevallen bouwkranen in Alphen aan den Rijn Heel Nederland schrok maandag 3 augustus op toen in het centrum van Alphen aan den Rijn twee bouwkranen en een brugdeel omvielen. De paniek onder omstanders was compleet toen de kranen met een doffe klap door naastgelegen panden sloegen. Het mag een wonder worden genoemd dat er uiteindelijk geen menselijke slachtoffers vielen. De fysieke ravage was enorm. De instanties reageerden adequaat door direct primaire crisismanagementacties in gang te zetten. Hulpdiensten zochten naar slachtoffers, de politie zette het gebied af en bouwbedrijven stabiliseerden de omgevallen kranen. Al snel nadat de gemeente het publiek had ingelicht over de stand van zaken, verschoof de aandacht naar
Een grondige risicoanalyse voorafgaand aan een complexe operatie helpt de gevaren in kaart te brengen en passende acties te treffen. Wanneer de preventieve acties niet voldoende blijken, komt beperking van de gevolgen in beeld. Een juiste reactie op een incident is dan ook cruciaal voor de reputatie van betrokken partijen en soms zelfs voor hun voortbestaan. Onder toeziend oog van de media is het managen van een crisis van deze omvang een extra delicate bezigheid. Professioneel crisismanagement met bijbehorende communicatieondersteuning is dan essentieel om op het juiste moment de juiste stappen te zetten.
Bereid u voor Naast een gepaste reactie, kan een goede voorbereiding op calamiteiten het verschil betekenen tussen faillissement of voortbestaan. Breng de risico’s die tot calamiteiten kunnen leiden in kaart, stel een crisisteam samen en oefenen met incidenten. Als zich dan een calamiteit voordoet, blijft de rust makkelijker bewaard en is het optreden effectief. Dat schept het beeld van een beheerste en professionele organisatie – een beeld dat op zijn beurt bijdraagt aan behoud van een goede reputatie.
47
Afhankelijk van het soort calamiteit kan ook de voortzetting van de bedrijfsprocessen in het geding komen. Dit geldt met name voor calamiteiten die eigen middelen treffen, zoals kantoren of productiefaciliteiten. In dat geval is snel uitwijken en hervatten van de activiteiten cruciaal voor de bedrijfsbelangen op korte en lange termijn. Bewust nadenken over continuïteitsmanagement voorafgaand aan calamiteiten maakt het verschil.
48
Terugblikkend op de zomer kunnen we stellen dat we weer met onze neus op de feiten zijn gedrukt: rampen komen voor. Met professioneel risicomanagement helpt u de schade te beperken. Meer informatie over een goede voorbereiding op een calamiteit in uw eigen bedrijf en crisismanagement vindt u op onze website. Wilt u weten hoe u omgaat met onderbreking van bedrijfsprocessen? Lees dan meer over Business Continuity Management van Aon Global Risk Consulting en kijk met de diagnosetool hoe uw organisatie ervoor staat.
49
8
September 2015
De rol van externe en interne risico’s bij VUmc en VW
Grote incidenten in China en Alphen aan de Rijn lieten afgelopen zomer zien dat een grote calamiteit zich zelden laat voorspellen. De gevolgen kunnen fors zijn: de dagelijkse bedrijfsvoering is in één klap verstoord of komt zelfs (gedeeltelijk) stil te liggen. In hoeverre is de kans dat zo’n risico de organisatie raakt, te beïnvloeden?
50
In deze editie van de AGRC Risk Impact behandelen we die vraag aan de hand van twee recente praktijkvoorbeelden. U leest hoe een extern risico het VUmc dwong zijn calamiteitsplannen in de praktijk te toetsen en hoe een intern risico bij Volkswagen tot een enorme product recall en nog grotere reputatieschade leidt. We helpen u ook op weg naar een juiste voorbereiding op incidenten als deze.
VUmc: kleine kans, enorme impact Door een gesprongen waterleiding liep de onderste verdieping van het VUmc in Amsterdam begin september ineens vol met water. Juist daar waren cruciale voorzieningen aanwezig, zoals het ketelhuis en de elektrotechnische installaties. De gebeurtenis raakte de kernactiviteit van het ziekenhuis: toen de stroom uitviel, kon de zorg aan patiënten niet langer worden gegarandeerd. Al snel werd daarom besloten tot evacuatie van alle 339 patiënten. Niet eerder moest een ziekenhuis in Nederland zoveel patiënten evacueren. Door het ontbreken van een acute noodzaak, zoals bij brand, kon het VUmc bij de evacuatie veiligheid en zorgvuldigheid voorrang geven boven snelheid. ZiROP biedt geen continuïteitsgarantie Het incident in Amsterdam is een voorbeeld van een calamiteit veroorzaakt door externe factoren. Hoewel
Waterleidingbedrijf Amsterdam verantwoordelijk is voor de leidingen, ondervindt het ziekenhuis de nadelige gevolgen als een leiding het begeeft. Van ziekenhuizen, zeker academische, wordt verwacht dat zij goed voorbereid zijn op calamiteiten – of ze nu een interne of externe oorzaak hebben. Zo heeft elk ziekenhuis een wettelijk verplicht Ziekenhuis Rampen opvangplan (ZiROP), dat een snelle en goede opvang van slachtoffers mogelijk maakt. Mede dankzij dit plan waren omliggende ziekenhuizen in staat de patiënten van het VUmc op te vangen. De bedrijfsvoering van ziekenhuizen zelf is echter niet met een ZiROP geborgd. Patiëntveiligheid en calamiteitenzorg bieden op zichzelf onvoldoende garanties voor herstel van de continuïteit. Het ziekenhuis werd – terecht - geprezen om zijn crisiscommunicatie en de adequate reactie op het incident, maar leek minder goed voorbereid op het daadwerkelijk herstel van de beschadigde kritieke middelen. Naast de aanzienlijke materiële schade, doet juist de indirecte financiële schade als gevolg van tijdelijke bedrijfsstilstand veel organisaties in dit soort situaties de das om. Continuïteitsmanagement voor ziekenhuizen een must Juist de voorbereiding op risico’s met een kleine kans, maar een grote impact, is cruciaal voor organisaties met een belangrijke maatschappelijke functie. Deze voorbereiding kan niet zonder adequaat continuïteitsmanagement. Daarbij hoort een grondige analyse van continuïteitsrisico’s, waar ook externe risico’s zoals wateroverlast bij horen. Door de impact op kritieke middelen te analyseren en te kennen, zijn vooraf al de nodige maatregelen te nemen. Zo zijn kwetsbaarheden te verminderen en verloopt het herstel sneller.
51
Hoe goed bent u voorbereid? Ga eens voor uw organisatie na in hoeverre de continuïteit gewaarborgd is in geval van een calamiteit. Vul de Aon Business Continuity Management diagnosetool in en zie waar voor uw organisatie verbeteringen te behalen zijn.
Volkswagen: 14 miljard in één dag verdampt
52
Niet alleen externe factoren kunnen het voortbestaan van de organisatie bedreigen. Ook een calamiteit met een intern risico als oorzaak, kan enorme gevolgen hebben. Een voorbeeld daarvan is de fraude bij Volkswagen. Het bedrijf rustte miljoenen dieselauto’s uit met software om daarmee de resultaten van emissietests te manipuleren. Nadat deze praktijken openbaar werden, dook de beurskoers van het bedrijf ruim 20 procent omlaag. Een slordige EUR 14 miljard aan beurswaarde ging in één dag in rook op. Het management van Volkswagen zet EUR 6,5 miljard opzij voor de verwachte schikking met de Amerikaanse milieuorganisatie EPA. De maximale boete bedraagt EUR 16 miljard. Daarnaast worden de extra kosten voor onder meer de terughaalactie (recall) geschat op EUR 5,7 miljard. Dan blijft er een kleine EUR 2 miljard over die aan reputatieschade is toe te schrijven. Deze schadepost hangt één-op-één samen met de winstwaarschuwing die Volkswagen heeft afgegeven aan zijn investeerders.
Gebrek aan risicomanagement maakt bedrijven minder aantrekkelijk Het incident bij Volkswagen legt een gebrek aan goed risicomanagement bloot dat steeds meer West-Europese bedrijven typeert. Onder druk van aandeelhouders om financieel te presteren, vormt zich een voedingsbodem voor nieuwe risico’s, veroorzaakt
door ongewenst gedrag zoals fraude of onethisch handelen. Het tegenstrijdige is dat bedrijven daarmee juist minder aantrekkelijk worden voor internationale beleggers. Die letten steeds kritischer op de risicoprofielen van bedrijven. Risicomanagement zou daarom een strategisch thema moeten zijn voor iedere organisatie. De kans dat een risico zich voordoet en de impact daarvan op de organisatie, veranderen voortdurend. Wat nu een klein risico lijkt, kan door nieuwe wetgeving of een fraude die aan het licht komt in rap tempo uitgroeien tot een enorm incident dat het voortbestaan van een organisatie bedreigt. Nederlandse bedrijven zijn daar door hun internationale focus extra vatbaar voor. De Aon Reputation Review 2012 identificeert vijf best practices die organisaties door een crisis zoals die bij Volkswagen heen kunnen helpen. Het belangrijkste advies is dat organisaties zich op tijd voorbereiden, nog voordat een incident zich voordoet. Door risico’s te analyseren en beheersen kunnen potentiële verliezen worden beperkt. Ook een helder communicatieplan, gestoeld op leiderschap, eerlijkheid en de juiste prioriteiten, helpt stakeholders het vertrouwen te geven dat de organisatie niet aan de crisis ten onder zal gaan.
53
9
Oktober 2015
De verborgen dreiging van stakingen en adviesrapporten
In deze uitgave van Risk Impact staan we stil bij het gevaar van risico’s die in de Aon Global Risk Management Survey buiten de top 20 vielen. Deze onderbelichte risico’s staan centraal in ons rapport ‘Underrated Threats’. We blikken terug op twee recente incidenten met een kleine kans, maar een grote impact:
54
• De pilotenstaking bij Air France KLM in september en oktober, waardoor de bruto winst van het bedrijf EUR 500 miljoen lager uitviel. • Het onderzoeksrapport van het Internationale Instituut voor Kankeronderzoek (IARC), eind oktober, waarin staat dat vlees een rol kan spelen bij het ontstaan van kanker.
Voor stakers op de vlucht Doodsbange directieleden in stukgescheurde overhemden, op de vlucht voor woedende demonstranten: dat is hoogstwaarschijnlijk het beeld dat de meeste mensen van de pilotenstaking bij Air France KLM bijblijft. De media lichtten het voorval breed uit, waarmee de staking in één klap midden in de spotlights stond. Inmiddels weten we dat het voor Air France KLM niet alleen bij de reputatieschade van deze beelden bleef. Ook de financiële gevolgen van de staking hebben
zich flink laten voelen. Vervallen vluchten, kosten voor het onderbrengen van passagiers bij concurrerende maatschappijen en tegenvallende boekingen raakten de maatschappij hard. Uiteindelijk viel de brutowinst van Air France KLM maar liefst EUR 500 miljoen lager uit. Risico onderschat Vooral de geschrokken reactie van bestuurders laat zien dat stakingen nog altijd een sterk onderschat risico zijn. Het is een dankbaar middel voor medewerkers die zich richten tot hun directie of voor vakbonden om hun standpunt kracht bij te zetten. Niet alleen in de luchtvaart, maar ook in het openbaar vervoer en bij de politie. In 2014 vonden in Nederland 25 stakingen plaats waaraan in totaal 10.000 medewerkers deelnamen. De betrokken organisaties liepen daardoor in totaal 41.000 arbeidsdagen mis (bron: CBS). Hoe groot is de kans dat een organisatie geconfronteerd wordt met een staking? Helaas is op die vraag geen eenduidig antwoord te geven – die kans hangt sterk van de omstandigheden af. Alertheid is vooral gewenst in tijden van vastgelopen cao-onderhandelingen, kostenbesparingen, recessie en werkloosheid. Uit de gegevens van het CBS blijkt dat het merendeel van de stakingen (88%) door vakbonden wordt uitgeroepen. Naast medewerkers zijn sociale partners dan ook een belangrijke factor om bij het risico van stakingen in ogenschouw te nemen. Naast het inperken van de kans op een staking, kan een organisatie zich voorbereiden op de gevolgen ervan. Zo kan de Aon Business Continuity Management-tool u helpen bepalen in hoeverre uw organisatie de continuïteit heeft geborgd. Andere maatregelen zijn meer operationeel van aard. Belangrijk is dat u te allen tijde in gesprek blijft met sociale partners en
55
medewerkers, en dat u hen tijdig informeert – niet alleen tijdens de reguliere gang van zaken maar ook bij minder populaire besluiten. Daarnaast is het belangrijk om te weten wat er speelt in uw organisatie en daarop te anticiperen. Standaard middelen zoals medewerkers-tevredenheidsonderzoeken en dagelijkse gesprekken tussen medewerker en leidinggevende kunnen hierbij helpen.
openbaar bestuur, bouwnijverheid, energie- en waterleidingbedrijven, onderwijs, vervoer en communicatie en delfstoffenwinning en industrie hebben een bovengemiddeld deelnemerspercentage (bron: CBS). In 1967 was nog 38% van de werknemers lid van een vakbond, tegen 20% in 2011. De organisatiegraad binnen uw sector is een indicatie van de macht die sociale partners hebben.
Adviesbureaus: makers of krakers De invloed van sociale partners verschilt overigens sterk per sector. Over het algemeen is hun invloed afgenomen, gezien het teruggelopen aantal lidmaatschappen van vakbonden. De sectoren
56
Het Internationale Instituut voor Kankeronderzoek (IARC), onderdeel van de WHO, publiceerde eind oktober wetenschappelijk onderzoek dat aantoont dat vlees een rol kan spelen in het ontstaan van kanker. ‘Knakworst kankerverwekkend”, kopte Trouw de volgende dag. De cijfers: elke 50 gram vleeswaren per dag vergroten de kans op darmkanker met 18 procent ten opzicht van mensen die geen bewerkt vlees eten. Daarmee valt bewerkt vlees in dezelfde categorie als onder meer asbest, alcohol en tabak – producten met een ‘stevig bewijs voor het risico op kanker’. Het laat zich raden wat dit nieuws met de beeldvorming rond vlees bij consumenten heeft gedaan. Voor
57
bedrijven in de voedingsmiddelenindustrie kan de imagoschade stevige gevolgen hebben: de vraag naar vlees zou zomaar kunnen dalen. Uiteindelijk heeft dat gevolgen voor alle partijen in de keten. Als die besluiten hun productie terug te schroeven, komt de continuïteit voor de hele keten zonder twijfel in gevaar.
58
Imagoschade beperken Hoe handel je als organisatie wanneer een erkend adviesorgaan jouw sector of producten negatief neerzet in de media? Een snelle, inhoudelijke reactie is de eerste stap om de (imago)schade beperkt te houden. In dit geval kwam die er ook: de Vereniging voor de Nederlandse Vleeswarenindustrie (VNV) verwierp de indeling van vleeswaren in categorie 1 door de IARC. Het risico van kanker zou afhangen van meerdere factoren, zoals leeftijd, aanleg, leefomgeving en leefstijl. Bovendien bevatten vleeswaren veel belangrijke voedingstoffen zoals vitaminen en ijzer. Naast de vlees(verwerkende) industrie is een groot deel van de voedingsmiddelenindustrie onderhevig aan dergelijke situatie. Denk bijvoorbeeld aan de makers van softdrinks, zoals Coca-Cola en Pepsi. Zij worden hard geraakt door de opvatting dat toegevoegde suikers bijdragen aan obesitas, diabetes en tandbederf. Credit Suisse heeft zelfs becijferd dat de zorgkosten voor diabetes type II in de VS zo’n USD 500 miljard bedragen, wat hoogstwaarschijnlijk zal stijgen naar EUR 700 miljard in 2020 (bron: FD). Inmiddels is in San Francisco bepaald dat de kans op deze aandoeningen op billboards met reclame-uitingen voor deze producten vermeld moet worden, naar het voorbeeld van sigarettenpakjes. Is de huidige situatie van de vlees(verwerkende) industrie het voorland zoals dat ooit voor de tabaksindustrie gold? Volgens analist Elly Irving (bron: Financieel Dagblad) zijn er wel degelijk overeenkomsten:
een grotendeels zelfregulerende sector en een machtige lobby. Wat voor bedrijven écht verschil kan maken, is de gedegen voorbereiding om een gepaste reactie paraat te hebben. Hierbij is het belangrijk om de impact van een risico als uitgangspunt te nemen, en wat minder op de kans dat het scenario zich voordoet. Het denken vanuit de impact draagt bij aan de effectiviteit van risicomanagement. Bedrijven moeten de voor hun toepasbare scenario’s definiëren en uitwerken. Ga hierbij uit van incidenten bij vergelijkbare bedrijven of wellicht van incidenten uit het eigen verleden en vertaal deze naar worst case scenario’s. Naast een regulier risicoregister dienen organisaties ook deze scenario’s actief te beheren.
59
10 60
November 2015
Wees voorbereid op terreurdreiging en beperk reputatieschade met een vlekkeloze recall
Het nieuws in november werd gedomineerd door de aanslagen in Parijs. Dergelijke gebeurtenissen hebben in de eerste plaats een enorme impact op direct betrokkenen en hun familie. In de nasleep werd echter al snel zichtbaar dat de maatschappelijke schade veel verder gaat en indirect ook bedrijven fors raakt. Hoe wapen je je als organisatie tegen een terroristische aanslag of de dreiging daarvan? Aon beantwoordt zeven vragen die u daarbij helpen. In deze Risk Impact daarnaast aandacht voor een risico van een geheel andere orde: product recalls. In november namen Toyota, Hyundai en Tesla auto’s terug, HEMA haalde een waterkoker uit de handel en er bleek kinderspeelgoed in omloop te zijn dat niet veilig was voor de gebruikers. Wat kun je als producent doen om de (imago)schade bij een recall zoveel mogelijk te beperken?
Zeven vragen die u helpen voorbereid te zijn op terrorisme De impact van de brute aanslagen in Parijs ijlt enkele weken later nog steeds na. Niet alleen geldt sindsdien in Frankrijk de noodtoestand, ook de opsporing van daders is nog steeds in volle gang. Als gevolg daarvan ging Brussel zelfs enkele dagen ‘op slot’.
Naast het verdriet van betrokkenen en hun familie en de politieke gevolgen, heeft het terrorismerisico ook een onderbelichte consequentie: indirecte economische schade. De focus van organisaties die zich voorbereiden op dit risico ligt – uiteraard – op wat te doen als zij direct doelwit worden van een aanslag. Wat is nodig om de veiligheid van medewerkers te borgen en hoe zorg je ervoor dat de continuïteit van de organisatie niet in gevaar komt? Het zijn zeer terechte vragen, zeker nu het terrorismerisico ook voor organisaties in Westerse landen reëel is. De kans dat organisaties worden geconfronteerd met de indirecte schadelijke effecten van terrorisme is echter veel groter. De situatie in Brussel in de dagen na de aanslagen in Parijs vormt hiervan een treffend voorbeeld. Het publieke leven werd nagenoeg stilgelegd als gevolg van terreurdreiging. Al snel waren er vanuit het bedrijfsleven geluiden hoorbaar dat de economische schade enorm zou zijn als de situatie nog langer zou voortduren. De dreiging van aanslagen op grote winkelcentra – zoals bij IKEA en De Bijenkorf – heeft vergelijkbare effecten. Naast mogelijke onveiligheid van medewerkers en onrust op de werkvloer gaat het dan om het (tijdelijk) wegvallen van een leverancier of beperking van (inter)nationale mobiliteit. Die schade is in de meeste gevallen niet te verzekeren. Als de verzekeringsmogelijkheden beperkt zijn, wat kunt u dan nog doen om de indirecte schade van terreurdreiging te beperken? Stel uzelf de volgende vragen: 1. Wat zijn de specifieke terrorismerisico’s voor mijn organisatie? 2. Wat kan ik doen om deze risico’s terug te dringen en mijn continuïteit en veiligheid te waarborgen? 3. Ben ik verzekerd tegen terrorismerisico’s die voor
61
mijn organisatie relevant zijn? 4. Welke voorzieningen voor terrorismeschaden bestaan er in het buitenland? 5. Hoe kan ik door middel van crisismanagement de impact voor mijn bedrijf beperken? 6. Hoe borg ik de continuïteit van mijn organisatie? 7. Hoe kan ik mijn medewerkers beter voorbereid van huis laten gaan bij een zakenreis? Juist omdat de verzekeringsmogelijkheden veelal beperkt zijn, is het voorbereiden van continuïteits- en crisismanagement noodzakelijk.
Product recall: voorkom reputatieschade
62
Na alle commotie rond de ‘sjoemelsoftware’ van Volkswagen, besloten meerdere automerken hun producten terug te halen. Niet zozeer vanwege frauduleuze software, maar omdat de productveiligheid niet gegarandeerd kon worden. Een recall gaat gepaard met flinke kosten. Een goede afweging voor de noodzaak ervan is dan ook van belang. Een factor die daarbij niet over het hoofd gezien mag worden, is de schade aan de reputatie van een merk als er op grote schaal ongelukken gebeuren. Tesla liet afgelopen maand zien hoe een recall de reputatie kan beschermen. Het riep 90.000 auto’s terug vanwege mogelijke problemen met de autogordels. Hoewel automobilisten heel eenvoudig zelf hun gordels kunnen controleren, besloot Tesla de test toch zelf uit te voeren en de gordels te vervangen als dat nodig was. Het concern wachtte niet totdat de instanties een gedwongen recall voorschreven, maar ondernam zelf preventief actie en liet daarmee zien zijn verantwoordelijkheid serieus te nemen.
63
De invloed van toeleveranciers op uw reputatie Een fout van een toeleverancier kan ervoor zorgen dat uw reputatie op het spel komt te staan. Een voorbeeld daarvan is Toyota. Naast de recall in november werd het merk eerder dit jaar genoodzaakt zijn auto’s terug te halen vanwege problemen met de airbags. Toyota neemt de airbags af van toeleverancier Takata. Dat bedrijf werd al in het begin van 2015 geconfronteerd met de formele vaststelling van een defect in zijn airbags. Naast Toyota, Nissan en Honda waren er nog negen andere autofabrikanten die deze airbags al
langere tijd afnamen. Hoewel de vermoedens al langere tijd bestonden er al zeven doden en tientallen gewonden werden gelinkt aan het defect, besloot Takata pas over te gaan tot een recall toen het defect formeel werd vastgesteld. Uiteindelijk riep het ruim 19 miljoen auto’s terug.
64
Gezien het grote aantal auto’s dat is teruggeroepen, is het begrijpelijk dat Takata liever niet onnodig overging tot een massale recall. Doordat het zo lang heeft gewacht, gooit het echter zijn reputatie te grabbel. Naast de directe kosten die verband houden met de terughaalactie, wordt het bedrijf nu geconfronteerd met (letsel)schadeclaims van slachtoffers, is het al vier van de twaalf klanten verloren en hangt het een boete boven het hoofd van zo’n USD 200 miljoen. Wees voorbereid De voorbeelden van Tesla en Takata tonen aan dat de beslissing om over te gaan tot een recall vergaande gevolgen kan hebben. Het kan uw reputatie maken of breken. Des te belangrijker is het om een snelle afweging te kunnen maken. En daarvoor is een gedegen voorbereiding noodzakelijk. Breng daarom in kaart wat de gevolgen voor uw bedrijf zijn als een product moet worden teruggehaald. Wie gebruiken uw producten? Levert u rechtstreeks aan consumenten, of wordt uw product verwerkt door andere afnemers? In welke landen wordt uw product gebruikt? In Noord-Amerika en Canada zijn de claims namelijk vele malen hoger dan binnen de Europese Unie. Dat kan van invloed zijn op uw beslissing. Het is van belang dat u een goed beeld heeft van de totale financiële impact. Besef dat sommige schade gedekt kan worden door een recall verzekering,
maar sommige kosten moet u zelf dragen. Bovendien spelen ook contractuele afspraken met afnemers en leveranciers een belangrijke rol. In sommige situaties bent u contractueel wellicht verplicht tot een recall op aangeven van uw afnemer. Ook kan contractueel bepaald zijn wie de kosten van de recall voor zijn rekening neemt.
65
11 66
december 2015
Het klimaatakkoord en de Meldplicht Datalekken
We kunnen niet anders stellen: 2015 was een bewogen jaar. Politieke risico’s veranderden aanzienlijk, en de dreiging van terrorisme nam verder toe. Dat die dreiging reëel is, bleek vooral in Parijs – de Franse hoofdstad werd zowel in januari als november door aanslagen getroffen. Ook het thema reputatieschade was het afgelopen jaar veelvuldig in het nieuws. Van alle incidenten bij bedrijven sprong de dieselfraude bij Volkswagen het meest in het oog. Ook natuurrampen kenmerken 2015. De overstromingen in Engeland en de Côte d’Azur, bosbranden in Australië en Californië en aardverschuivingen in China en Guatemala toonden eens te meer aan dat klimaatverandering vergaande gevolgen heeft. Het jaar 2015 was ook een uitzonderlijk orkaanseizoen. Nieuwe hoop is gevestigd op het klimaatakkoord dat maar liefst 195 landen in Parijs afsloten. Dit akkoord moet de klimaatverandering een halt toeroepen. In deze Risk Impact blikken we niet alleen terug, maar kijken we ook vooruit naar 2016. Met de slechtste eerste beursweken ooit en het faillissement van V&D is het ‘riskjaar’ niet goed begonnen. Ook is sinds 1 januari de Meldplicht Datalekken van kracht geworden. Dit kan verstrekkende gevolgen hebben voor uw organisatie.
Hieronder leest u hoe u hiermee om kunt gaan.
Historisch klimaatakkoord tussen 195 landen Dat het klimaat van onze planeet verandert, leidt voor weinigen nog twijfel. Maar niet alleen de aarde warmt op; ook het ondernemingsklimaat verandert. Dat bleek ook tijdens de VN-klimaattop die medio december in Parijs plaatsvond. Hoewel het Nederlandse bedrijfsleven al jaren verduurzaamt, zijn er nog legio sectoren die met hun productie- en/of verwerkingsproces veel vervuiling veroorzaken. Door het klimaatakkoord is dat straks niet meer toegestaan of wordt dat door aanvullende heffingen onaantrekkelijk gemaakt. Daarmee dient het akkoord als stok achter de deur voor een versnelde verduurzaming. Voor organisaties is het zaak om deze situatie niet als bedreiging, maar als kans te zien. Innovaties en verduurzamingsprojecten die de afgelopen jaren niet van de grond kwamen, zouden nu wel eens voorrang kunnen krijgen. Denk aan het verwarmen van gebouwen met restenergie of aan verwarming via warmtepompen. Ook elektrisch rijden zal een vlucht nemen. Niet alleen dankzij gunstige (belasting)tarieven, maar ook dankzij het steeds schaarsere aanbod aan fossiele brandstoffen. Om ‘groene’ ontwikkelingen zoals elektrisch rijden en het gebruik van warmtepompen écht duurzaam te maken, zal ook de energietoeleveringsketen moeten verduurzamen. Windmolenparken en zonne-energie zijn daarvoor aangewezen bronnen, maar vragen wel om investeringen. Ook de afvalmanagement- en recyclingsector wacht een verdere groei – niet alleen
67
in Nederland. Onze omvangrijke kennis van waste management zou zomaar een gloednieuw Nederlands exportproduct kunnen zijn. Maar eerlijk is eerlijk: het klimaatakkoord stelt het Nederlandse bedrijfsleven ook voor uitdagingen. Om te zien wat de impact voor uw organisatie is, adviseren wij u om uw proces onder de loep te (laten) nemen. Ook is het goed om daarbij te bepalen waar verduurzaming mogelijk is. Kijk kritisch naar uw energie-afname en onderzoek of dit nog past binnen de gestelde klimaatdoelen en het ‘groene’ sentiment onder de consument. Past uw bedrijf nog binnen het ondernemingsklimaat van 2040, wanneer de doelen van het klimaatakkoord bereikt moeten zijn?
68
Reputatieschade blijft toprisico Nieuw in de jaarlijkse risicolijst van het Britse Centre for the Study of Financial Innovation (CSFI) is reputatierisico. De lijst is gebaseerd op interviews met 672 bankiers, toezichthouders en marktkenners. Zij werden met name naar opkomende risico’s in de financiële branche gevraagd. Hoewel reputatierisico als één van de belangrijkste risico’s uit de bus komt, staat de twaalfde plek nog altijd in schril contrast met de eerste plek die het risico krijgt in de Aon Global Risk Management Survey. Aan dit onderzoek deed het complete bedrijfsleven mee, waaronder de financiële sector.
staat daarom in de schaduw van risico’s zoals economische ontwikkeling of cybercrime. Hoe reageren aandelenmarkten op gebeurtenissen die de reputatie van een bedrijf schaden? Dat verschilt sterk, zo blijkt uit onderzoek uit oktober 2015 van de Federal Reserve Bank of Boston. Investeerders beschouwen externe incidenten veelal als one-offs, terwijl interne gebeurtenissen harder worden bestraft. De fraudes bij Volkswagen en Imtech bevestigen dit. Investeerders zien fraudes als indicator voor een matige bedrijfsvoering, en dus voor een structureel intern probleem. Interne gebeurtenissen hebben ook een voordeel: ze zijn makkelijker met maatregelen te beperken en te sturen. Cruciaal voor het bepalen van die maatregelen is inzicht in de oorzaken – zonder dat inzicht is uw organisatie overgeleverd aan de grillen van (social) media en de publieke opinie. Over het algemeen zijn de oorzaken van reputatieschade te verdelen in vier categorieën: (1) negatieve gebeurtenissen die uit informatief oogpunt in de publiciteit komen, (2) negatieve ervaringen van stakeholders met een persoon of uw organisatie als geheel, (3) bewuste zwartmakerij en (4) gebeurtenissen of incidenten uit het verleden. Een analyse van deze oorzaken kan zorgen voor scherpte in de te nemen maatregelen.
Meldplicht Datalekken: actie vereist Ook de onderzoekers van CSFI zelf vonden de twaalfde plek aan de lage kant, zeker gezien de ontwikkelingen in de branche over de afgelopen jaren. Toch blijken juist die ontwikkelingen de lagere score te verklaren. Respondenten gaven aan dat de branche al zoveel reputatieschade heeft geleden, dat de kans dat het nog erger wordt miniem is. Het risico van reputatieschade
Sinds de gewijzigde Wet bescherming persoonsgegevens (Wbp) in werking is getreden, op 1 januari 2016, is ook de Meldplicht Datalekken van kracht. Organisaties zijn vanaf nu verplicht om een ernstig datalek binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. Van zo’n datalek is sprake in geval van een verloren USB-stick, een gestolen
69
laptop, maar ook een hack van databestanden of een malware-besmetting waarbij persoonsgegevens verloren gaan. In de meeste gevallen moet het incident ook worden gemeld aan de persoon of personen van wie de gegevens zijn. De organisatie moet ook aangeven welke maatregelen zijn en/of worden genomen om de gevolgen van het lek te verhelpen. Een overtreding van de wet kan leiden tot een maximale boete van EUR 820.000,-.
70
Voor organisaties die persoonsgegevens verzamelen of verwerken, is het zaak om gegevens nog beter tegen verlies en onrechtmatige verwerking te beschermen. De eerste stap om te bepalen voor welke onderdelen dit met name geldt, is een gedegen risicoanalyse. Het beleid dat hieruit volgt moet worden ingebed in de dagelijkse praktijk. Een Privacy Impact Assessment (PIA) kan helpen om de gevolgen van de nieuwe privacywetgeving en de risico’s van het bewaren, bewerken en verwerken van persoonsgegevens in kaart te brengen. Belangrijk is dat de juiste mensen op het juiste moment geïnformeerd zijn, zodat zij tijdig en adequaat kunnen handelen. Zorg dat duidelijk is wie voor deze PIA binnen uw organisatie verantwoordelijk is.
Ook cyberrisico’s in het algemeen zullen meer zichtbaar worden in Europa. De Cyber diagnose tool vergroot de bewustwording over cyberrisico’s binnen uw organisatie en geeft een inschatting van de mogelijke gevolgen van cyberaanvallen. Risicoanalyses brengen niet alleen risico’s in kaart, maar creëren ook meer bewustwording en samenhang bij verantwoordelijke personen en afdelingen binnen uw organisatie. Cruciaal is dat u de resultaten met het management en/of de directie bespreekt: bestuurders kunnen persoonlijk aansprakelijk worden gehouden voor het niet naleven van de privacywetgeving. Na het bespreken van de analyse weet u welke (extra) maatregelen u moet nemen en legt u nieuwe afspraken vast.
71
Lijst met belangrijke rapporten en tools
72
Bij de standkoming van de maandelijkse uitgave van de AGRC Risk Impact hebben wij berichten uit de media vertaald naar risico’s voor bedrijven in Nederland. Om de impact van deze risico’s voor uw organisatie zo beperkt mogelijk te houden, hebben wij adviezen gegeven hoe u de voorgedane risico’s zo goed mogelijk het hoofd te kunnenb bieden. In deze adviezen hebben wij ook regelmatig verwezen naar andere rapporten van Aon of ‘zelf diagnose’ tools. Hieronder treft u een lijst, die bestaat uit een opsomming van rapporten en tools waarnaar in deze bundel verwezen wordt. Elk van deze bronnen kan voor u dienen als verdere verdieping van risicomanagement voor u persoonlijk, maar ook voor uw organisatie. Wij sporen u aan deze bronnen te gebruiken en er uw voordeel mee te doen. Aon rapporten • Aon Global Risk Management Survey 2015 • Aon Political Risk Map • Aon Reputation Review 2012 • Aon Terrorism & Political Violence Map Aon Whitepapers • Black Silver (Prijsschommelingen olie) • Als de auto autonoom wordt (zelfrijdende auto’s) • Recall Diagnose tools • Business Continuity Management Tool • Cyber Diagnostic Tool Belangrijke links • www.aon.com/tianjinresponse
73
COLOFON Aon in de praktijk is de tweede uit een reeks van gebundelde verhalen. In deze verhalen worden de activiteiten van Aon in een breder perspectief geplaatst. Tekst Alex van den Doel Managing Director Aon Global Risk Consulting
Druk G.B. ‘t Hooft
74
© 2016 Aon Nederland
Alle rechten voorbehouden. Niets uit deze rapportage mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of op enige andere manier, zonder voorafgaande schriftelijke toestemming van Aon.