Breed risicomanagement is belangrijk voor de weerbaarheid van het bedrijfsleven

De afgelopen jaren namen politieke en sociale spanningen in binnen- en buitenland, geopolitieke risico’s en klimaatverandering toe (zie onder meer European Policy Centre, 2024, World Economic Forum, 2024). Bedrijven staan voor een grote uitdaging om de risico’s die daarmee gepaard gaan in te schatten en deze eventueel af te dekken. Als ondernemingen niet weerbaar zijn voor veranderingen, crises en onverwachte uitdagingen dan kan dit de bedrijfsvoering verstoren met potentieel gevolgen voor de toekomstbestendigheid van ondernemingen. Kortom, risicomanagement is belangrijk om als bedrijf weerbaar te zijn.

Inzicht in de risico’s en weerbaarheid van het Nederlandse bedrijfsleven is belangrijk voor zowel bedrijven zelf als voor de economie als geheel. Ondernemingen zijn weerbaar als zij bewust omgaan met risico’s en zo maatregelen kunnen nemen om de impact van grote risico’s te beperken. Dit betekent dat ondernemingen die weerbaar zijn dus minder gevoelig zijn voor onverwachte gebeurtenissen (Grossman et al., 2023 en Elliott et al., 2022). Weerbaarheid is voor een bedrijf niet alleen van belang om te kunnen overleven in moeilijke tijden, maar ook om concurrentievoordeel te behalen door zich sneller en effectiever aan te passen dan zijn concurrenten. Als veel bedrijven niet weerbaar zijn dan kunnen bij onverwachte gebeurtenissen die de hele economie raken belangrijke producten en diensten niet worden geleverd. Daarnaast investeren ondernemingen of sectoren die een hoge mate van (geopolitiek) risico ervaren, minder op de korte termijn én op de middellange termijn (Caldara en Iacioviello, 2022). Een hoger geopolitiek risico hangt niet alleen samen met lagere investeringen op macro-economisch niveau, maar ook met lagere werkgelegenheid, hogere inflatie en hogere economische en politieke onzekerheid (Caldara en Iacioviello, 2022, Jawadi et al., 2024).

In een enquête hebben we een representatieve groep van ruim 1.200 ondernemingen gevraagd naar de potentiële impact van risico’s op hun bedrijf en welke maatregelen zij hebben getroffen om deze af te dekken. We bestuderen in dit onderzoek de risico’s die Nederlandse ondernemingen ervaren voor wat betreft de geopolitieke situatie, klimaat, cybermisdaad en sociale cohesie.

Ongeveer de helft van de Nederlandse ondernemingen verwacht dat deze risico’s, als ze zich voordoen, grote gevolgen kunnen hebben voor hun bedrijfsvoering. De mate waarin de verschillende typen risico’s invloed hebben op bedrijven verschilt. Zo geven veel bedrijven (66%) aan dat cybermisdaad van grote invloed kan zijn op hun onderneming. Meer dan de helft van de bedrijven geeft ook aan dat vier of meer risico’s (van de acht) tegelijkertijd relevant zijn voor hun bedrijf. Omdat veel verschillende risico’s als zeer impactvol worden ingeschat is een breed risicomanagement voor bedrijven belangrijk om weerbaar te zijn. Kleinere ondernemingen (met minder dan vijftig werknemers) geven daarbij minder vaak aan dat bepaalde risico’s van invloed zijn op hun bedrijfsvoering dan grote ondernemingen. Ook zijn er sectorale verschillen in risicoperceptie.

Bedrijven zijn vaak actief bezig om risico’s af te dekken en daarmee hun weerbaarheid te vergroten: 82% van de ondernemingen heeft één of meer additionele[1] maatregelen genomen om risico’s af te dekken. Bovendien heeft bijna 30% van de bedrijven minimaal de helft van de genoemde maatregelen getroffen. Bedrijven nemen met name maatregelen om de digitale veiligheid te vergroten en de afhankelijkheid van individuele leveranciers en klanten te verkleinen.

Tot slot is ongeveer 20% van de ondernemingen actief bezig de strategische afhankelijkheid van handelspartners binnen en buiten de Europese Unie (EU) te verkleinen door bijvoorbeeld de import van goederen of diensten te verminderen of bepaalde faciliteiten naar Nederland te verplaatsen (dataopslag, callcenters et cetera).

[1] Het gaat hier om ‘additionele’ maatregelen, die in de afgelopen twee jaar zijn genomen bovenop al eerder genomen maatregelen. Het gaat hier dus niet om het vervangen van bijvoorbeeld een beveiligingscamera die is afgeschreven.

De helft van alle Nederlandse ondernemingen geeft aan dat minimaal vier van de genoemde risico’s op het gebied van klimaat, sociale cohesie, cybermisdaad of extreme financiële omstandigheden zorgen voor grote impact op de onderneming, zie figuur 1. Dit betekent ook dat een meerderheid van de ondernemingen gebaat is bij breed risicomanagement waarin de kansen dat deze gebeurtenissen zich voordoen en de impact van deze verschillende risico’s worden ingeschat en afgewogen tegen de kosten van eventuele maatregelen om deze risico’s te mitigeren.

Voor wat betreft het karakter van de risico’s geven de meeste Nederlandse bedrijven aan dat cybermisdaad grote negatieve invloed zou hebben op hun onderneming. Ongeveer 66% van de bedrijven geeft aan dat cybermisdaad, als deze zich voordoet, grote negatieve invloed heeft op hun onderneming (zie figuur 2). Ook elektriciteitstekorten (55%) en extreme financiële risico’s (53%) beschouwt meer dan de helft van de ondernemers als risico’s met grote negatieve impact. Geo-economische maatregelen zoals invoerheffingen en economische sancties zouden ook grote invloed hebben, vindt ongeveer de helft van de ondernemingen (49%). Daarnaast valt op dat 38% van de ondernemers aangeeft dat vermindering van maatschappelijke betrokkenheid negatieve gevolgen zou hebben.

De geschatte impact als deze risico’s zich voordoen verschilt aanzienlijk tussen ondernemingen. Deze verschillen hangen samen met de bedrijfsgrootte en sector. Grote ondernemingen verwachten vaker negatieve gevolgen voor de bedrijfsvoering voor alle genoemde risico’s in figuur 3 dan kleine ondernemingen. In de landbouwsector zijn het vooral extreme weersomstandigheden, geo-economische maatregelen, milieuvervuiling en watertekorten die grote impact zouden hebben. Dit zijn risico’s die direct het bedrijfsproces van landbouwbedrijven raken. De industrie vreest vooral de gevolgen van geo-economische maatregelen en extreme financiële risico’s. Het gaat immers om een sector die over het algemeen veel exporteert en importeert en daardoor gevoeliger is voor geo-economische maatregelen zoals invoerheffingen of economische sancties. De export en import maakt deze ondernemingen ook gevoeliger voor renteschommelingen en valutabewegingen (extreme financiële risico’s). De dienstensector voelt de dreiging van cybermisdaad aangezien veel dienstverleners leunen op digitale systemen voor hun bedrijfsvoering. Maar de verschillen tussen sectoren zijn soms gering. In vervolgonderzoek zullen wij deze verschillen tussen sectoren, bedrijfsgrootte en andere bedrijfskenmerken nader bestuderen.

Toelichting bij figuur 3a: de landbouw (primaire sector) omvat landbouw, bosbouw en visserij; de industrie is de secundaire sector; de diensten (tertiaire sector) omvat bouw, handel, logistiek, horeca, zakelijke dienstverlening, financiële dienstverlening en ICT; en de (semi-)overheid (quartaire sector) omvat overheid, onderwijs, zorg, vrijetijdssector en nutsbedrijven. Zie ook: Overzicht Standaard Bedrijfsindeling (SBI-codes) voor activiteiten | KVK.

We hebben ondernemers de open vraag gesteld welk risico volgens hen de komende tien jaar voor de grootste problemen in de Nederlandse economie zal zorgen. Zij geven aan dat personeelstekorten de aankomende jaren voor de grootste problemen zullen zorgen. Aanvullend noemen veel ondernemers ook onvoorspelbaar van het overheidsbeleid, oorlog, cybercriminaliteit en tekorten in de energietoevoer als problematisch en waarschijnlijk.

Een groot gedeelte van het Nederlandse bedrijfsleven, te weten 82% van de ondernemingen, heeft één of meer maatregelen[2] genomen om deze risico’s af te dekken (zie figuur 3). En 7% van de bedrijven heeft zelfs alle genoemde veiligheidsmaatregelen geïmplementeerd.

[2] Het gaat hier om ‘additionele’ maatregelen, zie enquêtevraag in de onderzoeksverantwoording.

Deze additionele maatregelen zouden de weerbaarheid van Nederlandse bedrijven moeten vergroten als het gaat om de risico’s uit figuur 1 en 2. Het Nederlandse bedrijfsleven neemt vooral digitale veiligheidsmaatregelen (51%) en vermindert de afhankelijkheid van individuele klanten of leveranciers (40%). Maatregelen zoals het aangaan van samenwerkingsverbanden in andere werelddelen (12%) en delen van de onderneming verplaatsen naar een ander land (9%) zijn minder in trek.

We zien hier dat het uitmaakt of het om grote of kleine ondernemingen gaat. Grote ondernemingen nemen gemiddeld twee keer zo vaak maatregelen dan kleine ondernemingen.[3] Vooral het verschil op de laatste twee maatregelen is groot: grote bedrijven gaan vaker samenwerkingsverbanden aan in andere werelddelen en verplaatsen vaker delen van de onderneming naar een ander land. Sectoraal zien we minder grote verschillen. Wel valt op dat industriebedrijven vaker grotere voorraden aanhouden en fysieke veiligheidsmaatregelen nemen. Bedrijven in de dienstensector richten zich vaker op digitale veiligheidsmaatregelen zoals cyberveiligheidsexperts inhuren en extra back-ups maken.

[3] Dit kan ermee te maken hebben dat grote ondernemingen meer middelen beschikbaar hebben om risico’s af te dekken, meer regelgeving wordt toegepast (denk hierbij ook aan accountantsverklaringen ten aanzien van bijvoorbeeld data) en ook de impact van de risico’s hiervoor groter is (meer klanten en/of werknemers worden geraakt).

In figuur 5 is zichtbaar dat 40% van de ondernemingen probeert de afhankelijkheid van individuele klanten of leveranciers te beperken. Additionele maatregelen om meer autonomie te bereiken worden ook niet geschuwd. Zo geeft een vijfde van de Nederlandse ondernemingen aan actief bezig te zijn om hun afhankelijkheid van andere bedrijven binnen of buiten de EU te verminderen. Dit kunnen bedrijven bijvoorbeeld doen door de import van goederen en diensten te beperken of door bepaalde activiteiten naar Nederland te verplaatsen (dataopslag, callcenters et cetera). Figuur 6 laat zien dat het vooral grote bedrijven zijn die actie ondernemen om hun strategische afhankelijkheid te verminderen, en dat het percentage bedrijven die minder afhankelijk willen worden van landen buiten de EU niet veel verschilt van het percentage ondernemingen die minder afhankelijk willen worden van landen binnen de EU.

Breed risicomanagement kenmerkt zich door een goede inschatting en afweging tussen enerzijds de kansen dat deze risico’s zich voordoen, de impact van deze verschillende risico’s en anderzijds de kosten van eventuele maatregelen om deze risico’s te mitigeren. Bovenstaand onderzoek biedt geen inzicht op welke wijze verschillende ondernemingen deze afweging maken en hoe dat samenhangt met bijvoorbeeld de financiële gezondheid van bedrijven. Beter inzicht in deze afwegingen en de impact op de bedrijfsvoering is een mooie opdracht voor vervolgonderzoek. Maar het is in ieder geval duidelijk dat een groot deel van de bedrijven alert is op de mogelijke impact van deze risico’s en vaak ook werkt aan hun weerbaarheid, hoewel er grote verschillen zijn in de hoeveelheid maatregelen die zij nemen.

Representativiteit

Ieder jaar zet onderzoeksbureau Ipsos I&O in opdracht van Rabobank een enquête uit onder een representatieve groep van 1.500 bedrijven in Nederland om de voortgang in maatschappelijk verantwoord ondernemen te meten. In deze enquête hebben 1.241 vertegenwoordigers van ondernemingen in november 2024 vragen beantwoord over de risico’s die zij ervaren. We hebben de data kruislings gewogen naar sector en grootteklasse (wegingsfactor 0,2-5). Alleen ondernemingen met meer dan één werknemer zijn meegenomen in het onderzoek. Onderstaande tabel geeft de representativiteit van de data weer ten opzichte van de CBS-data.

Enquêtevragen

De navolgende enquêtevragen zijn gebruikt in het onderzoek.

1. Onderstaand worden risico’s weergegeven voor ondernemingen. Geef per risico aan in hoeverre u het eens bent met de volgende stelling. “Dit risico heeft, als het zich voordoet, een grote invloed op mijn onderneming.”

1. Extreme weersomstandigheden (bijvoorbeeld overstromingen, stormen, droogte, hitte)
2. Milieuvervuiling (bijvoorbeeld bodemvervuiling, grondwaterverontreiniging, luchtvervuiling)
3. Watertekorten
4. Elektriciteitstekorten (netcongestie)
5. Nieuwe technologieën (bijvoorbeeld nadelige gevolgen van kunstmatige intelligentie of 3d-printer)
6. Cybermisdaad, hackers-aanvallen en andere digitale onveiligheid
7. Geo-economische maatregelen (bijvoorbeeld invoerheffingen, economische sancties, protectionistische belastingen en subsidies, en als gevolg hiervan tekorten in grond- en brandstoffen)
8. Vermindering van maatschappelijke betrokkenheid van inwoners (bijvoorbeeld stakingen, protesten, opstanden, plunderingen)
9. Extreme financiële risico’s (bijvoorbeeld schommelingen rente centrale bank, instorten financiële markten, economische crisis)

Antwoordopties: a. helemaal mee oneens, b. mee oneens, c. enigszins mee oneens, d. niet mee oneens, niet mee eens, e. enigszins mee eens, f. mee eens, g. helemaal mee eens, h. weet ik niet/wil ik niet zeggen.

2. In hoeverre bent u het eens of oneens met de volgende stellingen over het nemen van additionele maatregelen om risico’s af te dekken? Het gaat hier om ‘additionele’ maatregelen, die in de afgelopen twee jaar zijn genomen bovenop al eerder genomen maatregelen.

1. Ons bedrijf heeft additionele fysieke veiligheidsmaatregelen genomen (bijvoorbeeld beveiliging, camera’s, toegangssystemen et cetera).
2. Ons bedrijf heeft additionele digitale veiligheidsmaatregelen genomen (bijvoorbeeld firewalls, standalone servers, cyberveiligheidsexperts ingehuurd, extra back-ups et cetera).
3. Wij hebben de verzekeringen aangepast om meer risico’s te dekken (denk hierbij ook aan financiële instrumenten om valutarisico’s af te dekken).
4. We hebben maatregelen genomen om minder afhankelijk te zijn van individuele klanten of leveranciers (dit kan door bewust met meerdere verschillende klanten of leveranciers te werken of door een deel van de productiemiddelen in-house te produceren).
5. Wij zijn samenwerkingsverbanden in andere werelddelen aangegaan (in de vorm van een deelneming, contractuele of financiële afhankelijkheid).
6. We hebben een gedeelte van de onderneming verplaatst naar een ander land (hoofdkantoor, productielijnen et cetera).
7. Wij houden grotere voorraden aan.

Antwoordopties: a. helemaal mee oneens, b. mee oneens, c. enigszins mee oneens, d. niet mee oneens, niet mee eens, e. enigszins mee eens, f. mee eens, g. helemaal mee eens, h. weet ik niet/wil ik niet zeggen.

3. In hoeverre bent u het eens of oneens met de volgende stellingen over het verminderen van strategische afhankelijkheid (denk bij het verminderen van strategische afhankelijk bijvoorbeeld aan het vervangen van geïmporteerde halffabricaten door halffabricaten uit Nederland of het verplaatsen van belangrijke data naar Nederlandse servers)?

a. Ons bedrijf werkt er aan om de strategische afhankelijkheid van landen buiten de Europese Unie te verminderen.

b.Ons bedrijf werkt er aan om de strategische afhankelijkheid van andere EU-landen te verminderen.

Antwoordopties: a. helemaal mee oneens, b. mee oneens, c. enigszins mee oneens, d. niet mee oneens, niet mee eens, e. enigszins mee eens, f. mee eens, g. helemaal mee eens, h. weet ik niet/wil ik niet zeggen.

Deze enquêtevragen zijn deels gebaseerd op de vragen uit het Global Risks Report van het World Economic Forum.