Voor het identificeren van financiële en operationele risico’s bestaan allerlei methodieken. Minder bekend is hoe je voor een organisatie de strategische risico’s gestructureerd in kaart kan brengen. Aan de hand van drie strategie modellen, PESTEL, 5 Forces en het 7-S model, laat ik met een aantal voorbeelden zien hoe je dat op een eenvoudige manier kan doen.

Misverstand

Voordat ik de drie modellen introduceer wil ik eerst nog een misverstand uit de wereld helpen, namelijk dat strategische risico’s alleen te maken zouden hebben met externe ontwikkelingen of gebeurtenissen. Dit externe perspectief wordt gevoed door een kleine groep academici (Bromley et al, 2014), maar vaker door bestuurders die de interne strategische risico’s liever niet met de buitenwereld willen delen (Theo Postma, 2014).

De Nederlandse corporate governance code (2016) is in dat opzicht echter duidelijk: “Het bestuur is verantwoordelijk voor het identificeren en beheersen van de risico’s verbonden aan de strategie (principe 1.2). Onder de in het kader van Principe 1.2 te identificeren en te beheersen risico’s vallen zowel interne als externe risico’s, waaronder ook de beloningsstructuur van bestuurders en werknemers.

Ook in de literatuur wordt over het algemeen onder strategische risico’s zowel interne als externe risico’s verstaan (zie bijvoorbeeld “What Is Strategic Risk Management?”, Frigo en Anderson, 2012).

Voordelen gebruik strategische modellen

Er zijn een aantal voordelen voor het gebruik van deze drie modellen bij het in kaart brengen van strategische risico’s:

• De modellen geven (risk) managers een gestructureerd referentiekader;

• Bestuurders zijn vaak gewend aan het gebruik van deze modellen, bijvoorbeeld voor het opstellen van een SWOT analyse. Dat maakt het gemakkelijker voor de risk functie om aan te sluiten bij het strategisch planningsproces en de strategische risico’s daarin consistent te integreren (denk aan de “weaknesses” en “threats” in de SWOT analyse);

• Door dezelfde strategische modellen te gebruiken zijn er minder discussies over de validiteit en relevantie van de aangedragen strategische risico’s;

• Door uit te gaan van dezelfde modellen wordt een samenwerking met andere stafafdelingen eenvoudiger. Denk daarbij aan afdelingen zoals corporate strategy of business development. Door gezamenlijk op te trekken verminder je de kans dat de risk functie buitengesloten wordt en dat de bestuurlijke aandacht voor de strategische risico’s in het plannings- of besluitvormingsproces onvoldoende is.

En dan nu de drie modellen.

1. De PESTEL analyse

De PESTEL analyse is ontstaan met het boek “Scanning The Business Environment” (1967) van Francis Aguilar, een professor verbonden aan de Harvard Business School. Hij bracht voor de strategie van organisaties vier relevante externe aspecten in beeld, afgekort als EPTS. Door de tijd heen zijn er uiteindelijk zes dimensies in deze analyse opgenomen: Political, Economical, Social, Technological, Environmental en Legal.

Door deze dimensies gestructureerd in kaart te brengen kan een organisatie tijdig eventuele strategische risico’s onderkennen. Soms wordt aan dit model nog een letter toegevoegd namelijk de R van Regulatory (toezicht).

Hieronder volgt een korte uitleg bij de verschillende elementen van de PESTEL analyse met voorbeelden van gerelateerde risico’s.

Political

De (internationale) politiek c.q. wijzigingen in het overheidsbeleid kunnen resulteren in grote strategische risico’s voor organisaties. Brexit staat wat dat betreft nog in ieders geheugen gegrift. Een ander voorbeeld, waar ik zelf mee te maken had als bestuurder in 2015, is de omslag in het politieke (en maatschappelijk) denken over de positie van Nederland als “draaipunt” voor fiscale constructies. Dit gebeurde mede onder invloed van de toenemende media aandacht voor “belastingontwijking” (denk aan de Starbucks affaire, de Panama papers, etc.). Deze omslag leverde voor de trustsector in Nederland belangrijke strategische risico’s op. Deze werden meer concreet toen de wet toezicht trustkantoren op een aantal punten werd aangepast en De Nederlandsche Bank (DNB) haar toezicht intensiveerde. Recent werd zelfs het voortbestaan van de sector ter discussie gesteld door de Minister van Financiën.

Bij politieke risico’s moet je overigens ook denken aan de mogelijke consequenties van geopolitieke spanningen (China, Rusland, USA en EU), het opschorten van verdragen, marktbescherming, oorlogen, rellen en andere vormen van onrust. Een voorbeeld van dat laatste is de regelmatig terugkerende dreiging van een burgeroorlog in Ethiopië. Dat levert bijvoorbeeld een strategisch risico op voor de (Nederlandse) productie en handel in rozen.

Het in kaart brengen van de relevante (internationale) politieke ontwikkelingen is dus belangrijk, ook omdat deze later vaak kunnen uitmonden in (beperkende) wet- en regelgeving.

Economical

Economische ontwikkelingen kunnen ook strategische risico’s opleveren voor een organisatie. Heel actueel is de stijgende (prijs)inflatie die op haar beurt weer kan leiden tot een hogere rente, hogere loonkosten, kostenbesparingen en minder koopkracht.

Voor ondernemingen die minder goed in staat zijn om deze hogere kosten door te berekenen, of te compenseren met lagere (overhead) kosten, zal een hoge inflatie niet alleen resulteren in structureel lagere winsten, maar bijvoorbeeld ook kunnen leiden tot het vertrek van medewerkers die elders betere arbeidsvoorwaarden krijgen aangeboden.

Ondernemingen met veel personeel (hogere loonkosten) die concurrenten hebben met een hogere mate van automatisering zullen in deze situatie in een strategisch moeilijker positie terechtkomen. Ook kunnen ondernemingen, afhankelijk van het soort goederen of diensten dat ze verkopen, zich geconfronteerd zien met minder afzetmogelijkheden.

Social

Het sociale element in de PESTEL analyse gaat met name over de risico’s die kunnen ontstaan als gevolg van sociaal maatschappelijke veranderingen. Deze veranderingen kunnen zich op drie terreinen voordoen: sociaal culturele factoren, demografische factoren en, als derde, overtuigingen en geloof (Mark Dunn, 2019).

Een voorbeeld van een sociaal culturele factor die een strategisch risico kan opleveren is een verandering in het (koop)gedrag van consumenten. Versterkt door de Corona crisis en de technologische ontwikkelingen is het (online) koopgedrag van consumenten inmiddels structureel veranderd. Overigens werd al jaren geleden bij de opkomst van het online winkelen het debat gevoerd over de strategische implicaties daarvan voor het (groot)winkelbedrijf.

Een bekend voorbeeld van een strategisch risico dat voortvloeit uit demografische ontwikkelingen is de vergrijzing van de bevolking. Veel organisaties zullen hier op allerlei manieren de gevolgen van ondervinden, bijvoorbeeld bij het vinden van voldoende personeel.

Een risico als gevolg van veranderingen in geloof of opvattingen kan bijvoorbeeld ontstaan als mensen steeds minder bereid zijn zich te houden aan de toenemende en steeds complexere wet en regelgeving, bijvoorbeeld uit onvrede over het politieke beleid of de toenemende ongelijkheid binnen de samenleving. Dit is een belangrijk strategisch risico voor bijvoorbeeld de Belastingdienst, die haar toezichtstrategie en bedrijfsvoering nadrukkelijk baseert op het door belastingplichtigen vrijwillig naleven van fiscale regels.

Legal

Dit betreft de strategische risico’s die ontstaan als gevolg van wet- en regelgeving of door rechterlijke uitspraken. Er zijn talloze voorbeelden van hoe aanpassingen in (internationale) wet- en regelgeving, soms vergaande, strategische implicaties hebben voor organisaties. Denk bijvoorbeeld aan de impact van de aangescherpte wetgeving op het gebied van internationale sancties en anti-corruptie die het zakendoen in bepaalde landen c.q. werelddelen een stuk lastiger maken. Maar ook een rechterlijke uitspraak kan vergaande consequenties hebben: zie de Urgenda uitspraak en het vonnis in de milieuzaak tegen Shell.

Vaak wordt onder het kopje “legal” ook aandacht besteed aan de strategische risico’s die voortvloeien uit ontwikkelingen op het gebied van toezicht (“regulatory risk”). Een recent voorbeeld daarvan zijn de aangescherpte eisen van DNB voor cryptohandelaren in Nederland.

Environment

Als we aan het milieu denken in het kader van mogelijke strategische risico’s dan is het meest voor de hand liggende voorbeeld natuurlijk het veranderende klimaat. Voor sommige activiteiten betekent dit bijvoorbeeld dat deze als gevolg van de hogere temperaturen en toenemende droogte in bepaalde gebieden niet meer mogelijk zijn. Toenemende waterschaarste begint ook een groot probleem te worden voor veel ondernemingen.

Zoals je ziet helpt het PESTEL model om op een simpele maar effectieve manier allerlei relevante, externe, ontwikkelingen in kaart te brengen die van invloed kunnen zijn op het strategische risicoprofiel van de organisatie. Wat hierbij echter ontbreekt zijn de risico’s die ontstaan als gevolg van andere spelers die in de markt actief zijn. Daarvoor gebruik ik het vijf krachten model van Porter.

2. Porter’s Five Forces

Dit model werd ontwikkeld door Michael Porter, een professor aan de Harvard Business School. Alhoewel de eerste publicatie in 1979 was, is het model nog steeds zeer invloedrijk. Het model beschrijft de krachten die van invloed zijn op de concurrentiepositie van een organisatie en hoe attractief een markt (potentieel) is. Het model kan daarmee ook gebruikt worden om eventuele (markt) bedreigingen in kaart te brengen.

Het model ziet er als volgt uit (bron: business-to-you.com).

Praktijkvoorbeelden van strategische risico’s op basis van deze 5 factoren:

• Nieuwe markt betreders: de opkomst van low-budget vliegmaatschappijen (easyJet, Ryannair) bracht grote risico’s met zich mee voor de gevestigde maatschappijen zoals KLM;

• Macht van afnemers: prijsoorlogen tussen supermarkten waarbij de leveranciers geconfronteerd werden met het feit dat de lagere prijzen op hen werden afgewenteld;

• Vervangende producten: denk aan de vervanging van de telex, eerst door de fax en later door email, of de productie van filmrolletjes die onder druk kwam te staan door digitale fototoestellen en later de smartphone;

• Macht van leveranciers: zie bijvoorbeeld de bijzondere positie van Post.nl of ASML en de impact die dat heeft op business partners of afnemers;

• Bestaande concurrentie: denk aan de groeiende concurrentie tussen aanbieders van passieve beleggingsfondsen (ETF’s) en de impact die dat nu ook heeft op actieve fondsen.

De laatste jaren wordt regelmatig de vraag gesteld of het model in deze tijd nog wel relevant is. Voor een prima analyse van deze vraag zie bijvoorbeeld Diane Isabelle et al, (2020), waarbij de toepassing van het model in de mijnindustrie (traditioneel, kapitaal intensief) wordt vergeleken met de IT sector (innovatief, kennis gedreven). Daarbij is de conclusie dat het model nog steeds waardevol is, maar zou moeten worden uitgebreid met vier additionele krachten: digitalisering, innovatie, globalisering en regulering. Laten dit nou net elementen zijn die ook uit de PESTEL analyse komen.

Door het combineren van de PESTEL analyse en Porter’s Five Forces kun je dus prima de externe (markt) ontwikkelingen in kaart brengen en de strategische risico’s (Threats) die daar eventueel uit voortvloeien. Voor de interne strategische risico’s heb je echter een andere insteek nodig en daarvoor gebruik ik het 7-S model van McKinsey.

3. Het 7-S model van McKinsey

Het 7-S model is in de jaren ’70 ontwikkelt door consultants van McKinsey. Het model kreeg met name bekendheid door het boek “In Search of Excellence” van Peters en Waterman (1982). Het model was vernieuwend omdat het naast de traditionele, rationele, aspecten van een organisatie, zoals structuur, strategie en systemen, ook nadrukkelijk aandacht schonk aan de “zachte” aspecten, zoals competenties, vaardigheden, stijl, cultuur en kernwaarden. Het model wordt tot op de dag van vandaag veel gebruikt, bijvoorbeeld bij het implementeren van strategische veranderingen.

Volgens McKinsey is het voor het realiseren van organisatiedoelstellingen belangrijk dat de harde en zachte aspecten goed op elkaar zijn afgestemd en in evenwicht zijn. Veel organisaties hebben in de praktijk echter de neiging om zich met name te concentreren op de rationele aspecten omdat die concreter en daardoor gemakkelijker aan te passen zijn. Hierdoor is de kans op succes echter een stuk minder.

Schematisch ziet het model er als volgt uit (bron: House of Control).

De 7 componenten staan voor (bron: McKinsey):

1. Strategy: de plannen en acties om de lange termijn doelstellingen te realiseren;

2. Skills: de benodigde competenties als organisatie;

3. Structure: betreft de governance, organogram, taken, bevoegdheden, etc.;

4. Shared values: aspecten als missie, visie en kernwaarden;

5. Staff: benodigde (kwaliteiten van) medewerkers;

6. Systems: in essentie alle processen zoals informatiemanagement, planning & control, beloningssystemen (functiehuizen), risicomanagement processen, etc.;

7. Style: de cultuur van een organisatie.

Door deze 7 aspecten gestructureerd na te lopen is mijn ervaring dat je een prima beeld krijgt van eventuele interne strategische risico’s (“weaknesses”). Voorbeelden van interne risico’s die ik vaak tegenkom bij organisaties met ambitieuze strategische doelstellingen zijn een ontoereikend project- of verandermanagement (systems), ontbrekende competenties (skills) en onvoldoende capaciteit (staff). Naast het identificeren van risico’s gebruik ik het model ook bij het formuleren van beheersmaatregelen voor strategische risico’s.

Aan de hand van praktische voorbeelden heb ik willen laten zien hoe je met de PESTEL analyse, Porter's Five Forces en het 7-S model van McKinsey op een gestructureerde manier strategische risico's in kaart kan brengen. Natuurlijk zijn er naast deze drie ook andere modellen die je eventueel kunt gebruiken. Laat je daarvoor inspireren op managementmodellensite.nl.