AON: ‘COVID-19 flinke wake-up call voor risicomanagement’

Voor de uitbraak van de corona-crisis kwam een pandemie of een grote gezondheidscrisis bij 82% van de organisaties wereldwijd niet eens voor in de top tien belangrijkste risico’s. Daarnaast had 73% van de respondenten in de EMEA-regio geen plan klaarliggen voor een dergelijke situatie. De uitbraak van COVID-19 is voor veel organisaties een flinke wake-up call. Ook als het gaat ops hun beleid rond ICT en datacenters.

Dat blijkt uit het onderzoek ‘Reprioritizing Risk and Resilience For a Post-COVID-19 Future’ van Aon, een dienstverlener op het gebied van onder andere risicoverzekeringen. Eind 2020 werd hiervoor aan ruim 500 risicomanagers, CFO’s en CRO’s uit 41 landen en verschillende sectoren gevraagd hoe zij de corona-crisis hebben gemanaged, of zij hun zakelijke prioriteiten opnieuw hebben ingedeeld en wat de impact op risicomanagement was binnen hun organisatie.

Toe aan herziening

Dat een pandemie of grote gezondheidscrisis laag op het risicoregister stond van veel organisaties, bleek eerder al uit Aon’s Global Risk Management Survey 2019, waarin dit risico op plaats zestig stond van in totaal 69 geïdentificeerde risico’s. Het is dan ook geen verrassing dat de risico-infrastructuur van veel organisaties niet goed voorbereid was op een dergelijke crisis en dat veel organisaties aanvankelijk niet goed wisten wat te doen toen COVID-19 toesloeg.

Uit het nieuwe onderzoek blijkt dat er grote regionale verschillen zijn in de mate waarop organisaties voorbereid waren en een plan hadden klaarliggen voor een pandemie. In de APAC-regio was dit voor 52% van de respondenten het geval, tegenover 31% voor Noord-Amerika en slechts 27% in de EMEA-regio en 21% in Latijns-Amerika. Een verklaring hiervoor is de eerdere ervaring die de Aziatische landen hadden met pandemieën zoals SARS of de varkensgriep.

Risico- en crisismanagement

Volgens Alex van den Doel, managing director bij Aon’s Global Risk Consulting, is door de huidige crisis een grondige evaluatie van de inrichting van risico-, continuïteits- en crisismanagement noodzakelijk: “We staan slechts aan het begin van een langetermijnevolutie in risico- en crisismanagement. Resilience van bedrijven wordt een onderscheidende factor.”

Organisaties kunnen leren van de manier waarop landen in de APAC-regio na eerdere pandemieën plannen maakten voor een nieuwe gezondheidscrisis. Tegelijkertijd is er meer nodig, omdat de coronacrisis ook zorgt voor nieuwe risico’s of een toenemende dreiging van bestaande risico’s. Doordat veel mensen thuis werken, is er bijvoorbeeld een grotere dreiging van cyberincidenten doordat de afhankelijkheid van digitale platformen is toegenomen. “Organisaties moeten echt aan de slag met een grondige herziening van hun risicomanagementstrategie. Corona is de wake-upcall, maar organisaties moeten echt met een breder perspectief kijken naar alle bestaande risico’s met grote impact, zoals cyber, geopolitiek, leveranciersketen, klimaatverandering en zogenoemde longtailrisico’s; nieuwe risico’s met een kleine kans, maar met een grote impact”, legt Van den Doel uit.

Om voorbereid te zijn op toekomstige crises zoals door de huidige pandemie is ontstaan, is volgens Aon een breder perspectief nodig op risicomanagement waarbij samenhang tussen alle onderdelen van een organisatie cruciaal is. Van den Doel: “Dan gaat het om zaken die tachtig% van de respondenten uit het onderzoek ook aangeven, zoals HR, IT, compliance en finance. Het anticiperen op nieuwe risico’s vergt creativiteit vanuit meerdere disciplines. Betrek deze dan ook bij risico-, continuïteits- en crisismanagement omdat ze vroeg of laat geraakt zullen worden door verwachte en onverwachte risico’s en ook onderling afhankelijk zijn.”