Resilience van grote ondernemingen – stand van zaken

De afdeling RisicoBeheer en Techniek (RBT) van het KIVI (Koninklijk Instituut Van Ingenieurs) bestudeert opvallende gebeurtenissen, analyseert die en tracht wegen te vinden technische risico’s beter te beheersen. RBT wil haar gedachtegoed uitdragen aan andere organisaties die ook belangstelling hebben in risicobeheer en risicomanagement.

Weerstandsvermogen van organisaties is dominant actueel. Het symposium van Bouw & Waterbouw en RisicoBeheer & Techniek in samenwerking met de TU Delft wordt eind maart gehouden.

Hoofdkantoor getroffen, een ontwrichtende gebeurtenis.
Digitale tekening the digital artist, Pixabay

Resilience is hot. Het gaat om de mogelijkheid van een organisatie een ontwrichtende gebeurtenis goed te boven te komen: een natuurramp, een brand, een explosie, een overstroming, een storing in de energievoorziening, een hack. Maar hoe staat het er nu mee bij grote ondernemingen? Zij staan voortdurend bloot aan verschillende soorten van dreigingen.

Het Amerikaanse consultantsbureau Control Risks publiceerde een studie over de stand van zaken bij 144 van haar grote klanten. [1] Control Risk is niet zo maar een doorsnee adviesbureau. Het heeft wereldwijd 36 kantoren, waaronder een in Amsterdam. Risk Control ondersteunt haar relaties hun risico’s en kansen goed te beheersen, vooral in complexe en vijandige markten. Het kantoor heeft een breed palet van disciplines en oriëntaties, die allemaal betrekking hebben op risico’s in de vorm van grote onzekerheden met ingrijpende impact. Resilience is een actueel onderwerp, waaraan diepgaande studies worgen gewijd. Doelstelling van het onderzoek was inzicht te verkrijgen in de stand van zaken van het weerstandsvermogen van ondernemingen en hun bedrijven.

De betrekkelijk recente internationale norm ISO 22316: 2017 [2] definieert organisational resilience (weerstandsvermogen) als de kracht van een organisatie om ontwrichtende incidenten te boven te komen, dan wel zich aan te passen aan veranderende externe omstandigheden. In de praktijk worden verschillende andere definities van weerstandsvermogen gehanteerd. ISO 22316 komt nu met een definitie waarover, naar verluid, lang is gediscussieerd, maar die uiteindelijk internationaal is aanvaard. Dat betekent nog niet dat die definitie breed wordt toegepast.

Verbeteren van resilience van organisaties blijkt urgent. Maar liefst 65% van de respondenten had gedurende de laatste 12 maanden een zeer ernstige storing meegemaakt. Slechts 5% is van mening dat zijn organisatie zeer goed in staat is een sterk ontwrichtende gebeurtenis of veranderende omstandigheden te boven te komen.

62% was niet op de hoogte van het bestaan van ISO 22316, dan wel had hem niet gelezen. Echter, 92% stemde volledig in met de basisprincipes, die vooral betrekking hebben op eensgezindheid binnen alle functies van de organisatie over de doelstellingen weerstandsvermogen in te bouwen, te verbeteren en te onderhouden. Daarentegen stelde 18% niet voornemens te zijn om haar basisprincipes aan te passen, doch voorkeur gaf te blijven bij haar bestaande processen.

Uit de enquête kwamen verschillende weerstand verhogende middelen aan het licht. Doelmatig leiderschap (53%), heldere doelstellingen (22%), informatie en delen van kennis (37%), beschikbaarheid van middelen (24%), coördineren van verschillende management disciplines (28%), voortdurende verbeteringen (46%).

De oorzaken van ontwrichtende incidenten vormen een waaier van dreigingen. Bovenaan staat de dreiging van cyberspionage (47%), gevolgd door instabiele politiek (43%), wijziging in regelgeving (36%), verandering in concurrentiesituatie (31%), wijziging in de dynamiek van markten (31%), storingen in de ketens van inkomende en uitgaande goederen (22%), terrorisme (17%), schommelingen in koersverhoudingen (13%), effecten van natuurrampen (13%). Ook werden beveiliging (3%) en transportbelemmeringen genoemd (1%).

Opvallend is de veel voorkomende vrees voor cyberstoringen. Men is zeer bezorgd voor het verlies van data en intellectuele eigendom. Wat ons als technici opvalt: dit is de enige dreiging met een technisch karakter. Natuurrampen worden wel genoemd, maar het bedrijfsleven schijnt die niet overwegend als dreigingen te ervaren. De respons op de enquête komt van uiteenlopende ondernemingen, die niet noodzakelijkerwijs zeer technisch georiënteerd zijn. Techniek is niet altijd core business.

Zal de nieuwe ISO-norm ook worden toegepast? De vraag luidde: bent u voornemens uw bedrijfsvoering in overeenstemming te brengen met de ISO richtlijnen? 45% antwoordde dat men dat wel zou overwegen, maar nu bezig was de bedrijfsvoering door te lichten, 33% vulde ja in, terwijl 18% bij haar bestaande processen zou blijven. Dan was er nog een kleine groep van 5% die aangaf dat er andere standaarden waren die beter pasten.

Het nut van dit onderzoek?

Dat is betrekkelijk. 144 geënquêteerden is niet representatief, hoewel het hier wel gaat om wereldwijd opererende concerns. Die hebben met elkaar zeer veel invloed op de wereldeconomie, wellicht wel meer dan de politieke leiders van alle democratieën samen.

Het is zeer verrassend dat maar liefst 37% van de respondenten van mening is dat zijn organisatie de deskundigheid of het talent niet in huis heeft om richting te geven aan organisational resilience, terwijl 27% zeer bewust personeel heeft geworven dat zich specifiek moet bezig houden met de ontwikkeling van de weerstandsagenda. Er is kennelijk nog veel te doen op het gebied van risicobeheer, beveiliging en preventie. Immers, als die op orde zijn stijgt de organisational resilience.

Het is zeker niet zo dat een organisatie geen weerstandsvermogen zou hebben zonder kennis te hebben van ISO 22316. Maar toch, de nieuwe norm is niet zonder betekenis. Wanneer een derde deel van de geënquêteerden (33%) heeft verklaard hem te zullen toepassen moet hij van grotere waarde zijn dan de thans gehanteerde systemen.

Toegewijd risicobeheer houdt vooraf al rekening met de eventualiteit van incidenten. De strekking van risicobeheer is die te voorkomen. Je kunt veel effecten verminderen en te boven komen door vooraf al te verdedigingen tegen mogelijk ontwrichtende incidenten. Men heeft dan al veel weerstand ingebouwd. Gewoon risicobeheer bedrijven met intelligent inzicht en ethische verantwoordelijkheid als ingenieur. Het symposium van Bouw & Waterbouw en RisicoBeheer & Techniek met de TUDelft is eind maart. Daar wordt resilience diepgravend aan de orde gesteld.

Het rapport is te lezen op https://www.controlrisks.com/en/services/security-risk/the-state-of-enterprise-resilience-survey-2016-2017

Mr. Ing. John van der Puil ©
Bestuurslid Afdeling RBT van het KIVI
Portefeuille Analyse & Ontwikkeling

Op persoonlijke titel.

 

 

 


[1] .         Risk Control, The State of Enterprise Resilience, survey 2016/2017.

[2] .         ISO 22316, Security and Resilience – Guidelines for Organisational Resilience, 2017.

Laat hier je reactie achter