Beheersen van externe risico’s

Robert Bood; Theo Postma

doi:10.5117/mab.92.25761

Robert Bood^‡, Theo Postma^§

‡ TIAS, FairSights, 's-Hertogenbosch, Netherlands

§ Rijksuniversiteit Groningen, Emmen, Netherlands

Corresponding author: Robert Bood ( bood@fairsights.com )

Academic editor: Chris Knoops

This is an open access article distributed under the terms of the Creative Commons Attribution License (CC BY-NC-ND 4.0), which permits to copy and distribute the article for non-commercial purposes, provided that the article is not altered or modified and the original author and source are credited.

Citation: Bood R, Postma T (2018) Beheersen van externe risico’s. Maandblad Voor Accountancy en Bedrijfseconomie 92(5/6): 177-186. https://doi.org/10.5117/mab.92.25761

Samenvatting

Als externe risico’s zich manifesteren, kunnen ze de winstgevendheid en levensvatbaarheid van ondernemingen hard treffen. Op basis van onderzoek naar de rapportage van externe risico’s in de jaarverslagen van alle in Nederland beursgenoteerde ondernemingen, concluderen we dat het risicomanagement op dit gebied nog onvoldoende ontwikkeld is. Dit artikel analyseert mogelijke oorzaken en beschrijft een gefaseerde aanpak om met verschillende externe risico’s om te gaan. Omdat ze in de regel voortkomen uit ambigue, complexe omstandigheden en hun oorsprong vaak buiten de eigen bedrijfstak vinden, vormt het identificeren van externe risico’s een bijzondere uitdaging. Het vereist een organisatiecultuur waarin het breed scannen van omgevingsveranderingen en het doordenken van mogelijke implicaties gemeengoed is.

Relevantie voor de praktijk

Voorbereiden op externe veranderingen is essentieel voor ondernemingen omdat ze zowel strategische risico’s als aantrekkelijke kansen met zich meebrengen. Dit artikel beschrijft wat ondernemingen kunnen doen om externe risico’s tijdig te identificeren, evalueren en managen en voorspelbare verrassingen die tot strategisch falen kunnen leiden te voorkomen. Het helpt hen om de langetermijnwaardecreatie, die de Nederlandse Governance Code benadrukt, te vergroten.

1. Inleiding

Sinds Kodak in januari 2012 faillissement aanvroeg veranderde ‘een Kodak-moment’ op slag van betekenis. De onderneming die de digitale camera uitvond, vertraagde zelf de transitie naar de digitale toekomst om de winst uit de verkoop van fotorolletjes zo lang mogelijk te behouden. Polaroid was Kodak al in 2001 voorgegaan. Omdat de directie dacht dat jongeren altijd nog wel papieren foto’s wilden, maakte de onderneming nooit de volledige overstap naar digitale camera’s (Nagy Smith 2009). Ondanks forse investeringen won digitale fotografie het binnen Polaroid nooit van de overheersende voorkeur voor film en chemie.

Kodak en Polaroid waren niet de eersten en zullen zeker niet de laatsten zijn die ten onder gingen aan ‘voorspelbare verrassingen’ (Watkins and Bazerman 2003) of ondenkbare ‘black swans’ (Taleb 2007). Zoals veel andere ondernemingen ook hebben ervaren, vereist het voorkómen van strategische catastrofes meer dan het herkennen van de risico’s die eraan ten grondslag liggen. Waren het eerst vooral reiswinkels en elektronicazaken, de laatste jaren sneuvelt een steeds bredere variëteit van algemene en gespecialiseerde retailketens. V&D, Halfords, Macintosh, Perry Sport, McGregor, Witteveen en de Marskramer vormen slechts een kleine greep uit een nog steeds groeiende lijst van winkelketens die in de afgelopen jaren alleen al in Nederland ten onder gingen.

De maatschappelijke impact en financiële gevolgen zijn groot: duizenden werknemers verliezen hun baan, leveranciers krijgen niet betaald en stadscentra lopen leeg. Directies wijzen steevast met een beschuldigende vinger naar factoren die buiten hun invloed liggen, zoals de groei van online verkopen. Hun verklaringen vertellen meestal maar de helft van het verhaal. Want terwijl sommige ketens omvallen, breiden succesvolle concurrenten het aantal vestigingen juist uit en kondigen internetspelers als Amazon aan honderden fysieke winkels te willen openen. Waar de winnaars de kansen benutten die externe veranderingen met zich meebrengen, blijken het voor de verliezers risicovolle omstandigheden waar ze niet op voorbereid waren. De ontwikkelingen in de retail staan niet op zich. Ook in andere bedrijfstakken krijgen ondernemingen rake klappen als ze zich laten verrassen door externe veranderingen en nieuwe spelers. Taxi-ondernemingen, hotelketens, autofabrikanten en banken merken de invloed van nieuwe spelers als Uber, AirBnB, Tesla en Adyen al volop. Geen bedrijfstak lijkt veilig ondanks de overtuiging van bestaande ondernemingen dat het hen niet zal overkomen.

Het is voor het voortbestaan van ondernemingen cruciaal dat besturen belangrijke risico’s die verbonden zijn aan strategieën zorgvuldig in kaart brengen en zich er tijdig op voorbereiden. Niet alleen om te voorkomen dat de onderneming ten onder gaat, ook om financiële verliezen en het afbrokkelen van marktaandeel door nadelige externe ontwikkelingen te minimaliseren. Ondernemingen zijn volgens de wet (art. 2:391, lid 2 BW) overigens ook verplicht de voornaamste risico’s en onzekerheden te benoemen waarmee ze worden geconfronteerd. De Nederlandse Corporate Governance Code (Monitoring Commissie Corporate Governance Code 2016) vraagt ondernemingen deze risico’s te specificeren én aan te geven hoe ze hiermee omgaan. Strategische risico’s kunnen zowel interne als externe oorzaken hebben (Frigo and Anderson 2011). Slywotzky and Drzik (2005, p. 78) benadrukken de laatste en spreken van strategische risico’s als “de verzameling van externe gebeurtenissen en trends die het groeipad van een onderneming en aandeelhouderswaarde kan vernietigen”. Vanaf de eerste Code (2003) hebben de Nederlandse Corporate Governance Codes gewezen op het belang van externe risico’s.

Dit artikel onderzoekt hoe ondernemingen zich goed kunnen voorbereiden op externe risico’s die van buiten op de onderneming afkomen en de strategie en financiële resultaten direct en indirect kunnen beïnvloeden. We inventariseren daarvoor eerst wat de huidige praktijk in Nederland is (paragraaf 2) en welke eisen de Nederlandse Corporate Governance Code aan het managen van belangrijke risico’s stelt (paragraaf 3). Vervolgens bespreken we de uitdagingen bij het opsporen van externe risico’s (paragraaf 4) en bepalen we de eisen die aan het risicomanagement moeten worden gesteld om externe risico’s voldoende te beheersen (paragraaf 5). We stellen een gefaseerde aanpak voor die een gedegen inhoudelijke analyse van externe risico’s combineert met een gestructureerd proces van risicomanagement en een gedisciplineerde risicocultuur (paragraaf 6). Adequaat management van externe risico’s moet ervoor zorgen dat ondernemingen belangrijke risico’s enerzijds niet onderschatten om onverwachte tegenvallers te voorkomen en anderzijds kleine risico’s niet overschatten waardoor ze mooie strategische kansen laten liggen.

2. Strategisch risicomanagement in de praktijk

In welke mate monitoren, managen en rapporteren ondernemingen belangrijke risico’s die de strategie en financiële resultaten kunnen raken? Onderzoek onder Nederlandse ondernemingen is kritisch over de huidige praktijk. Een analyse van de jaarverslagen over 2012 van aan de AEX genoteerde ondernemingen door Deloitte (2013) concludeert dat in de risicoparagraaf de aansluiting met de strategie grotendeels mist. Strategische risico’s vormen weliswaar met 45% de grootste groep van gerapporteerde risico’s, maar ondernemingen benadrukken daarbij met name de negatieve aspecten. Ze besteden aanzienlijk minder aandacht aan “de risico’s die ze bewust nemen om kansen te verzilveren of kansen die ze mogelijk laten lopen” (Deloitte 2013, p. 3) en benoemen daarbij de effecten van deze risico’s vaak niet. Het onderzoek constateert daarbij dat de aandacht voor strategische risico’s met een externe oorzaak ten opzichte van eerdere onderzoeken duidelijk afneemt terwijl die voor bijvoorbeeld operationele risico’s toeneemt.

Van Daelen and De Groot (2014) onderzochten de jaarverslagen over 2013 van 50 AEX- en Midcap-fondsen. Zij concluderen dat slechts 20% van deze ondernemingen in meer of mindere mate een expliciete link legt tussen individuele risico’s en strategische doelen. Een ruime meerderheid (62%) geeft niet expliciet aan wat de belangrijkste risico’s voor de onderneming zijn en noemt 12 of meer risico’s. Kwantificering van risico’s, in sommige gevallen lastig, gebeurt zeer selectief en meestal alleen bij financiële risico’s. Opvallend is dat 90% van de ondernemingen per risico een risicoresponse aangeeft. Meer dan twee derde (72%) verwijst naar reputatieschade die bepaalde risico’s met zich mee kunnen brengen. Risico’s die de continuïteit van de onderneming kunnen bedreigen worden daarentegen zelden genoemd. Dit hoeft overigens niet te betekenen dat ondernemingen deze risico’s niet in kaart brengen en monitoren. Een verklaring kan ook zijn dat ze hun strategische intenties en opties niet willen onthullen en slechts symbolisch willen voldoen aan governance compliance (Westphal and Zajac 2013).

Het Tweede Nationaal Onderzoek Risicomanagement in Nederland (NBA et al. 2014, p. 13) concludeert dat het risicomanagement in Nederland sinds de financiële crisis “niet structureel of significant is verbeterd”. Op basis van hun analyse geven de onderzoekers het risicomanagement in de ruim 700 onderzochte ondernemingen en non-profit organisaties een lage gemiddelde score van 4,6 op een schaal van 10 (NBA et al. 2014, p. 23). Meer dan twee derde geeft aan maar één keer per jaar te inventariseren wat relevante risico’s zijn. Eenzelfde percentage voert geen gerichte risico-inventarisatie en -analyse uit bij het nemen van strategische beslissingen. Opvallend is ook de lage score bij het beoordelen van (de voortgang van) businessplannen: slechts 26% van de ondernemingen geeft aan hierbij risico’s in kaart te brengen (NBA et al. 2014, p. 38). De onderzoekers concluderen daarbij dat risicomanagement “sterk compliance-gedreven” is onder druk van recente schandalen, externe accountants, toezichthouders en governance codes (NBA et al. 2014, p. 15). Het is dan ook niet verwonderlijk dat de financiële sector in dit opzicht het hoogst scoort. Financiële en operationele risico’s worden het meest in kaart gebracht, op de voet gevolgd door strategische risico’s, waarbij het onderzoek overigens niet definieert wat hieronder wordt verstaan.

Postma and Bood (2014; zie ook Bood and Postma 2014) onderzochten op welke wijze alle in Nederland aan de beurs genoteerde ondernemingen in hun jaarverslagen over 2012 rapporteren over externe risico’s en hoe ze met deze risico’s omgaan. Ze onderscheiden daarbij 11 soorten externe risico’s, samen onderverdeeld in 48 subcategorieën (zie tabel 1 voor een overzicht van de belangrijkste risico’s). Over het algemeen blijken ondernemingen zeer terughoudend in het rapporteren over specifieke risico’s en hoe ze zich hierop voorbereiden. Bovendien stellen ze externe risico’s meestal gelijk aan externe onzekerheden, waarover ze slechts in algemene termen rapporteren. Bij risico’s kan een waarschijnlijkheidsverdeling van mogelijke gevolgen voor de strategie van een onderneming worden opgesteld (Knight 1921). Onzekerheden zijn mogelijke gebeurtenissen en ontwikkelingen waarvan onvoorspelbaar is welke invloed deze hebben op de strategie van een onderneming. Het onvoorspelbare karakter kan wel verklaren waarom mitigatie-tactieken grotendeels ontbreken of in zeer algemene bewoordingen zijn geformuleerd. Het vervolgonderzoek dat de auteurs uitvoerden voor de jaarverslagen over 2014 onderschrijft deze conclusies (zie Box 1).

Table 1.Download as CSV

Selectie van gerapporteerde externe risico’s.

Strategisch (sub)risico	2012	2014
Macro-economische veranderingen	99%	92%
– structureel nadelige veranderingen in wisselkoersen	68%	72%
– langdurig nadelige interestpercentages	36%	66%
– economisch recessie	80%	64%
Structurele marktveranderingen	74%	74%
– falende integratie fusies en acquisities	15%	36%
– druk op prijzen en marge	27%	29%
– entree van nieuwe concurrenten	30%	15%
– introductie van nieuwe businessmodellen	8%	4%
Beschikbaarheid van grondstoffen	54%	53%
Technologische verandering	61%	43%
Beschikbaarheid van gekwalificeerd personeel	65%	71%
Wild cards	64%	70%
– natuurrampen	20%	28%
– reputatieschade	18%	28%
– criminaliteit	16%	20%
– marktincidenten	24%	4%
Veranderende consumentenvoorkeuren en -eisen	27%	42%
– afnemende loyaliteit van klanten	16%	32%
Cybercrime	23%	37%

Box 1.Download as CSV

Rapportage van externe risico’s.

Postma and Bood (2014, zie ook Bood and Postma 2014) onderzochten de jaarverslagen over 2012 van alle in Nederland beursgenoteerde ondernemingen en herhaalden hun onderzoek voor de jaarverslagen over 2014 met dezelfde onderzoeksopzet en steekproef. Ten opzichte van 2012 hadden in 2014 13 ondernemingen geen beursnotering meer en 14 ondernemingen een beursnotering gekregen. In beide jaren rapporteren nagenoeg alle ondernemingen het meest over onzekerheden die samenhangen met macro-economische veranderingen. Terwijl de aandacht voor langdurig lage interestpercentages in 2014 bijna is verdubbeld ten opzichte van 2012 (genoemd in 66% respectievelijk 36% van alle jaarverslagen), wordt het mogelijk opbreken van de Eurozone alleen nog incidenteel genoemd (van 26% naar 3%). Opvallend is de sterk afgenomen aandacht voor technologische veranderingen (van 61% naar 43%), het niet tijdig inspelen op nieuwe technologische trends (van 43% naar 12%) en de mogelijke entree van nieuwe spelers (van 30% naar 16%).

Terwijl nieuwe businessmodellen de ene na de andere bedrijfstak op de kop zetten en de nieuwste Nederlandse Corporate Governance Code ze expliciet als risico benoemt, maken ondernemingen zich er in hun jaarverslagen bijzonder weinig zorgen over dat het hen zal overkomen (van 6% naar 3%). En waar in 2012 nog 24% van de jaarverslagen business-disruptie als risico benoemde, deed nog maar 4% dat in 2014. De onderzochte ondernemingen maken zich wel meer zorgen over veranderende wensen en eisen van consumenten (van 27% naar 42%), in het bijzonder de mogelijkheden om de relatie met hun huidige consumenten te verliezen (van 16% naar 32%).

Zowel in de jaarverslagen van 2012 als in die van 2014 valt op dat mogelijke plotselinge schokken in verhouding veel aandacht krijgen. Ongeveer twee derde van de jaarverslagen (van 64% naar 70%) noemt een of meer van deze zogenaamde ‘wild cards’ of ‘black swans’, die niet vaak optreden maar als ze zich voordoen een onderneming hard kunnen raken. Het bevestigt de prospect-theorie van Tversky and Kahneman (1992) die stelt dat mensen lage waarschijnlijkheden overschatten terwijl ze gemiddelde en hoge waarschijnlijkheden onderschatten. Het verklaart waarom over ‘wild cards’ veel meer wordt gerapporteerd dan bijvoorbeeld over cybercrime, al is de aandacht voor het laatste van 2012 naar 2014 wel aanmerkelijk gestegen (van 23% naar 37%).

3. De Nederlandse Corporate Governance Code

De hiervoor genoemde onderzoeken bevestigen naar onze mening de conclusie van Frigo and Anderson (2011) dat de rol van risicomanagement bij het omgaan met externe risico’s en onzekerheden ook in Nederland nog beperkt is en onvolwassen oogt. Gelet op de nadruk die de Nederlandse Corporate Governance Codes er al vanaf het begin aan geven, is dat even opmerkelijk als verontrustend. De eerste Code van de commissie Tabaksblat (2003) wijst al op het belang van het zorgvuldig beoordelen van externe risico’s. Best Practice bepaling III.1.6 geeft aan dat “het bestuur in het jaarverslag rapporteert over de gevoeligheid van de resultaten van de vennootschap ten aanzien van externe omstandigheden en variabelen” (Monitoring Commissie Corporate Governance Code 2003, p. 16). De Corporate Governance Code 2008 neemt deze bepaling onveranderd over en voegt eraan toe dat het bestuur een beschrijving geeft van “de voornaamste risico’s gerelateerd aan de strategie van de onderneming” (Monitoring Commissie Corporate Governance Code 2008, p. 12). Ondernemingen hoeven daarbij niet alle mogelijke risico’s te noemen maar kunnen zich beperken tot de belangrijkste risico’s waar ze mee te maken hebben. De Code sluit hiermee aan bij artikel 2:391, lid 2 van het Burgerlijk Wetboek en de beschrijving in het bestuursverslag van wezenlijke risico’s in het kader van artikel 5:25c van de Wet op het financieel toezicht (Wft).

De nieuwste Corporate Governance Code uit 2016 neemt meer dan de voorgaande Codes een strategisch perspectief door “een te grote focus op kortetermijnwinstgevendheid” om te buigen naar ??waardecreatie op lange termijn” (Van Manen 2017, p. 124). De voorzitter van de commissie benadrukt het belang hiervan: “We leven in een tijd waarin bestaande ondernemingen in hun voortbestaan worden bedreigd door revolutionaire ontwikkelingen in de techniek. Die gaan gepaard met revolutionaire ontwikkelingen in businessmodellen. Nieuwe spelers zorgen voor ontwrichting” (Van Manen 2017, p. 124). De nieuwste Code geeft daarbij specifiek aan als het gaat om externe risico’s “te anticiperen op ontwikkelingen in nieuwe technologieën en veranderingen in businessmodellen” (Monitoring Commissie Corporate Governance Code 2016, p. 43).

Het is enerzijds opmerkelijk te constateren dat volgens het onderzoek van Postma en Bood (zie Box 1) deze thema’s significant minder aandacht kregen in de jaarverslagen van 2014 ten opzichte van 2012, anderzijds geeft het ook het belang aan om juist deze risico’s specifieker te benoemen en nauwkeuriger te volgen. De Corporate Governance Code 2016 benadrukt dat het bestuur verantwoordelijk is voor het identificeren en beheersen van de risico’s verbonden aan de strategie en activiteiten van de vennootschap (Monitoring Commissie Corporate Governance Code 2016, Principe 1.2) en voegt daar in de toelichting aan toe dat hieronder zowel interne als externe risico’s vallen. Het bestuur bespreekt volgens dit principe regelmatig de belangrijkste risico’s die verbonden zijn aan de strategie van de onderneming met de Raad van Commissarissen. Juist wanneer commissarissen uit andere ondernemingen, bedrijfstakken of landen komen, kunnen ze een belangrijke rol spelen bij het identificeren en interpreteren van externe risico’s en het uitdagen van dominante strategische denkbeelden (Rindova 1999; Postma and Bood 2014). Dit draagt direct bij aan het verbeteren van de rapportage over “de gevoeligheid van de resultaten van de vennootschap voor materiële wijzigingen in externe omstandigheden” (Monitoring Commissie Corporate Governance Code 2016, Principe 1.4.2.iv, p. 15).

Ondernemingen die de Nederlandse Corporate Governance Code volgen, nemen de verantwoordelijkheid op zich om externe risico’s zorgvuldig te inventariseren, mogelijke implicaties terdege te doordenken en “alle risico’s en onzekerheden die relevant zijn voor de continuïteit in de komende twaalf maanden” te vermelden in het bestuursverslag (Monitoring Commissie Corporate Governance Code 2016, p. 44). De in paragraaf 2 behandelde onderzoeken naar de rapportage over strategische en externe risico’s geven aan dat ze hiervoor nog flinke stappen moeten maken. De relatie tussen risico’s en strategie wordt nog onvoldoende gelegd, gunstige gevolgen blijven onderbelicht en externe risico’s worden niet gespecificeerd dan wel verward met algemene externe onzekerheden. Omdat de Code niet aangeeft wat het criterium is voor een “voornaam” risico of hoe diepgaand de “beschrijving” moet zijn (Emanuels 2017, p. 148) zijn ondernemingen zelf verantwoordelijk om belangrijke risico’s te definiëren. Ze bepalen eveneens zelf of hun risicobeheersingssystemen toereikend zijn, geven de opzet en werking ervan aan en rapporteren “eventuele belangrijke tekortkomingen” als dit niet het geval is (Monitoring Commissie Corporate Governance Code 2016, p. 15). Het bestuur inventariseert en analyseert daarbij “de risico’s die verbonden zijn aan de strategie” die ze hebben uitgestippeld, stellen zowel de risicobereidheid vast als de maatregelen die ze tegenover belangrijke risico’s zetten (Monitoring Commissie Corporate Governance Code 2016, p. 14).

4. Uitdagingen bij het opsporen van externe risico’s

Terwijl de Nederlandse Corporate Governance Code ondernemingen voorschrijft om belangrijke externe risico’s en onzekerheden zorgvuldig te identificeren en te doordenken (paragraaf 3), zijn recente onderzoeken kritisch over de praktijk binnen Nederlandse ondernemingen (paragraaf 2). Met name de aard en oorsprong van externe risico’s verklaren waarom het voor ondernemingen zo lastig is om deze risico’s tijdig te onderkennen en er adequaat op te reageren. Externe risico’s zijn zeer divers van aard, komen in de regel voort uit diffuse externe onzekerheden en vinden hun oorsprong vaak buiten de eigen bedrijfstak om de onderneming hard te raken op een zwakke plek. Zo zijn de gevolgen van macro-economische ontwikkelingen vaak niet gemakkelijk te duiden, kunnen technologische ontwikkelingen zich plotseling versnellen en blijken nieuwe spelers met andere businessmodellen onverwacht succesvol.

Postma and Bood (2014) constateren dat ondernemingen in hun jaarverslag in plaats van concrete risico’s vooral bredere externe onzekerheden benoemen en deze in relatief algemene termen beschrijven. Bij externe onzekerheden ontbreekt niet alleen inzicht in de kansen dat risico’s zich materialiseren maar ook in de specifieke gevolgen die ze voor strategische opties hebben (Knight 1921; Hopkins and Nightingale 2006). Door hun ambigue oorsprong en complexe karakter zijn externe onzekerheden gevoelig voor zowel onderschatting als overschatting van waarschijnlijkheid van optreden en mogelijke impact. Dit kan verklaren waarom een aanzienlijk hoger percentage van de ondernemingen in het onderzoek van Postma and Bood (2014 en Box 1) betrekkelijk zeldzame ‘wild cards’ noemt (64% in 2012 en 70% in 2014) dan het veel vaker optredende gevaar van bijvoorbeeld cybercrime (23% in 2012 en 37% in 2014). Het opsporen van specifieke externe risico’s uit bredere externe omgevingsonzekerheden vormt een bijzondere inhoudelijke uitdaging in extern risicomanagement.

Onderzoek binnen het vakgebied van behavioral strategy levert waardevolle inzichten op in de wijze waarop ondernemingen in de praktijk risico’s percipiëren en verkeerd inschatten (Powell et al. 2011). Behavioral strategy gaat uit van realistische veronderstellingen over menselijke cognitie, emoties en sociaal gedrag in organisaties. Hoe complexer omstandigheden en uitdagingen zijn, hoe sterker gedragsmatige factoren een rol spelen. Cognitieve, organisatorische en politieke biases verstoren strategische besluitvormingsprocessen (Watkins and Bazerman 2003) en zorgen er ook voor dat ondernemingen externe factoren en ontwikkelingen onderschatten of zelfs volledig over het hoofd zien (Lovallo and Sibony 2010). In een onderzoek van McKinsey (2009) onder ruim 2.200 executives geeft 60% van hen aan dat ze door die biases net zoveel goede als verkeerde beslissingen nemen. Bekende cognitieve biases zijn het sterker vertrouwen op informatie die al beschikbaar is, zoeken naar gegevens die voorkeuren en aannames bevestigen en bewijs dat dit tegenspreekt minder zwaar meewegen. Door niet alle informatie mee te nemen om tot een nauwkeurige risico-inschatting te komen, overschatten mensen hun vermogen om de toekomst te voorspellen en te beïnvloeden en zijn ze al snel te optimistisch over de kansen die ze zien. Volgens Ariely (2008) denken mensen ten onrechte dat ze altijd in de ‘driver’s seat’ zitten en maximale controle hebben over de besluiten die ze nemen.

Als teams met veel onzekerheid te maken hebben terwijl tegelijkertijd het bereiken van overeenstemming domineert, neemt het gevaar van ‘groupthink’ toe (Maharaj 2008). De samen geconstrueerde werkelijkheid en de overtuigingen die daarbinnen gaandeweg groeien, vergroten het geloof in gemaakte keuzes (Westphal and Frederickson 2001; Westphal and Zajac 2013). Een gevoelde urgentie om ‘eindelijk’ met de implementatie te beginnen en een actiegerichte ‘can do’-cultuur maken het voor degenen die nog niet zijn aangehaakt moeilijk om voldoende tegengas te geven. Kaplan and Mikes (2012) geven aan dat door afwijkingen te normaliseren, ondernemingen risico’s steeds vaker accepteren in plaats van ze te mitigeren waardoor geen alarmbellen gaan rinkelen als signalen van falen sterker worden. Ze voegen eraan toe dat bestuurders van organisaties de neiging hebben “to discount the future” waardoor ze terughoudend zijn om veel tijd en geld te besteden aan het vermijden van onzekere toekomstige problemen (Kaplan and Mikes 2012, p. 60).

De opdeling van ondernemingen in functionele ‘silos’ creëert bovendien organisatorische barrières door informatie en verantwoordelijkheden over belangrijke risico’s te verspreiden over verschillende afdelingen van de onderneming waardoor een totaaloverzicht ontbreekt (Watkins and Bazerman 2003). Afhankelijk van de aard van beslissingen, wegen inzichten uit onderdelen die daar niet of slechts zijdelings bij betrokken zijn al snel minder zwaar mee. Als er sprake is van een structureel machtsonevenwicht in een onderneming kunnen sommige functies langdurig domineren ten koste van andere onderdelen bij het nemen van strategische besluiten. Van Ees et al. (2009) geven aan dat omdat ondernemingen bestaan uit verschillende partijen met mogelijk tegengestelde belangen, strategische besluitvorming een sterk gepolitiseerd proces kan zijn waarin coalities voortdurend onderhandelen om conflicten op te lossen. Zelfs als bepaalde externe risico’s binnen een onderneming breed worden onderkend en duidelijk is dat actie noodzakelijk is, kunnen gevestigde belangen dit voorkomen en nieuwe strategische initiatieven blokkeren. Zo wisten de chemietakken binnen Kodak en Polaroid keer op keer de groei van digitale fotografie te belemmeren. Dat het uiteindelijk tot de ondergang van een onderneming kan leiden illustreert de kracht van een langdurig machtsonevenwicht. Veel vaker nog zijn politieke invloeden minder zichtbaar in organisaties. Managers en specialisten op lagere managementniveaus kunnen zich bijvoorbeeld stilhouden om te voorkomen dat ze (‘weer’) als lastpost of waarschuwer worden beschouwd.

In zijn boek Predictably Irrational stelt Ariely (2008) dat mensen zich niet alleen irrationeel gedragen maar dat steeds op dezelfde, voorspelbare manieren doen. Zijn onderzoek, in de traditie van Cyert and March (1963) en Kahneman and Tversky (1979), is een aaneenschakeling van deels onthutsende, deels hilarische voorbeelden. Hij concludeert dat als mensen en de ondernemingen waarin ze werken systematisch fouten maken in hun besluitvorming, nieuwe aanpakken en methoden moeten worden ontwikkeld om structureel betere beslissingen te nemen. Als we weten wanneer en op welke wijze we de fout ingaan bij het nemen van beslissingen kunnen we maatregelen nemen, procedures ontwerpen en methoden gebruiken om dit te voorkomen. De vraag is hoe een gestructureerde aanpak voor het omgaan met externe risico’s binnen ondernemingen eruit moet zien.

5. Eisen aan extern risicomanagement

Frigo and Anderson (2011, p. 22) definiëren strategisch risicomanagement als het proces van identificeren, evalueren en managen van risico’s en onzekerheden die de strategie van een onderneming en het behalen van strategische doelstellingen kunnen belemmeren. Externe risico’s vormen een bijzondere categorie binnen het strategisch risicomanagement van ondernemingen omdat ze, vaak op unieke wijze, voortkomen uit ambigue omgevingsonzekerheden (Postma and Bood 2014). Zowel het detecteren als het inschatten van mogelijke consequenties en de waarschijnlijkheid dat ze zich materialiseren is daardoor in de praktijk problematisch. De inzichten uit behavioral strategy geven aan dat het niet alleen om een inhoudelijke uitdaging gaat maar dat gedragsmatige factoren ook het proces van strategisch risicomanagement en besluitvorming verstoren (Hickson et al. 1986; McKinsey 2009).

5.1 Inhoudelijke eisen

De Nederlandse Corporate Governance Code schrijft voor dat ondernemingen in het bestuursverslag “de voornaamste risico’s waarvoor de vennootschap zich geplaatst ziet” benoemen en rapporteren over “de gevoeligheid van de resultaten van de vennootschap voor materiële wijzigingen in externe omstandigheden” (Monitoring Commissie Corporate Governance Code 2016, p. 15). Van Daelen en De Groot (2014, p. 546) merken op dat ondernemingen het begrip ‘voornaamste’ vrij ruim opvatten en pleiten ervoor dat ze aangeven wat de echte toprisico’s zijn die een dermate hoge impact hebben dat ze de continuïteit van de onderneming kunnen treffen. Ze constateren in hun onderzoek dat het vermelden van dergelijke risico’s nog zeldzaam is. De Nederlandse Corporate Governance Code schrijft voor dat ondernemingen hun verwachtingen aangeven ten aanzien van “de continuïteit van de vennootschap voor een periode van twaalf maanden” (Monitoring Commissie Corporate Governance Code 2016, p. 15).

In lijn met de Nederlandse Corporate Governance Code pleiten Van Daelen en De Groot (2014) er ook voor om een expliciete relatie te leggen tussen individuele risico’s, strategische doelen en waardecreatie. Het ontbreken van deze link lijkt een belangrijk hiaat te vormen in de praktijk van het strategisch risicomanagement in Nederland. In het onderzoek Van Daelen en De Groot (2014) geeft slechts 20% van de ondernemingen aan dit al te doen. Minder dan een derde van de organisaties in het Tweede Nationaal Onderzoek Risicomanagement in Nederland voert een afzonderlijke risico-inventarisatie en -analyse uit bij het nemen van strategische beslissingen (NBA et al. 2014, p. 23) of het bespreken van de voortgang van businessplannen (p. 38). Om de gevoeligheid voor de continuïteit, strategie en resultaten van de onderneming te bepalen is het belangrijk om mogelijke implicaties te benoemen en doordenken in het geval externe risico’s zich manifesteren (Deloitte 2013). Ondernemingen kunnen in de regel niet de waarschijnlijkheden beïnvloeden dat nadelige externe gebeurtenissen en ontwikkelingen zich voordoen maar ze kunnen door tijdig te reageren, preventieve maatregelen te nemen en het ontwikkelen van contingentieplannen wel de impact ervan verminderen als ze zich manifesteren (Klinke and Renn 2003).

5.2 Eisen aan het proces

Inzichten uit behavioral strategy geven aan dat een gedegen inhoudelijke analyse in de praktijk niet voldoende is om tot een goede inschatting te komen van externe risico’s en onzekerheden (paragraaf 4). Cognitieve biases op individueel en groepsniveau, organisatorische barrières en politieke machtsverschillen binnen een onderneming verstoren een evenwichtig proces van strategisch risicomanagement. Zo moet de variëteit aan mogelijke cognitieve biases die een rol kunnen spelen worden opgespoord en geneutraliseerd (McKinsey 2009). Dit kan bijvoorbeeld door het testen van bestaande aannames, het opsporen van blinde vlekken, het vertragen of juist versnellen van nieuwe initiatieven en het expliciet maken en uitdagen van gevestigde belangen.

Het betrekken van meer managementlagen, organisatiefuncties en externe perspectieven bij het inventariseren en analyseren van externe risico’s beperkt de structurele invloed van dominante opvattingen bij het nemen van strategische beslissingen (Russo and Schoemaker 1989). Wat dit betreft is er overigens nog een lange weg te gaan: in het Tweede Nationaal Onderzoek Risicomanagement in Nederland geeft 75% van de organisaties aan dat alleen de Raad van Bestuur of Directie en de directe managementlaag daaronder betrokken zijn (NBA et al. 2014, p. 33). De Nederlandse Corporate Governance Code pleit voor een organisatiecultuur gericht op langetermijnwaardecreatie waarin samenspanning ten behoeve van kortetermijngewin of specifieke belangen wordt voorkomen (Monitoring Commissie Corporate Governance Code 2016; Van Manen 2017). Het bespreken met de Raad van Commissarissen van externe risico’s en de wijze waarop de onderneming met deze risico’s omgaat speelt hierin een belangrijke rol. Door hun onafhankelijke positie te benutten zijn commissarissen als geen ander in staat om eenzijdige strategische keuzes van de onderneming en daarmee verbonden risico’s ter discussie te stellen (Rindova 1999; Postma and Bood 2014).

6. Een gefaseerde aanpak

In navolging van Frigo and Anderson (2011) onderscheiden we drie hoofdfasen in extern risicomanagement: identificeren, evalueren en managen van externe risico’s en onzekerheden. Deze fasen komen in essentie overeen met de stappen die het raamwerk van het Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004) onderscheidt. De eisen aan de inhoud en het proces geven daarbij richting aan het invullen van elk van deze fasen. In deze paragraaf geven we op basis van literatuuronderzoek enkele suggesties voor het vormgeven van elke fase. De drie fasen worden bij voorkeur zowel doorlopen als onderdeel van de jaarlijkse planning-en-controlcyclus als in de context van de ontwikkeling en evaluatie van nieuwe strategieën en businessplannen. Daarbij wordt expliciet een relatie gelegd tussen externe risico’s, specifieke strategische doelen en de langetermijnwaardecreatie.

6.1 Externe risico’s in kaart brengen

De eerste fase omvat het opsporen van externe risico’s en vormt direct een van de grootste uitdagingen. Waar het raamwerk van het Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004) begint met het identificeren van mogelijke gebeurtenissen die tot risico’s kunnen leiden, is dit voor een belangrijk deel van externe risico’s problematisch. Externe risico’s komen voort uit complexe, ambigue omgevingsonzekerheden en ontstaan vaak buiten het voor een onderneming bekende speelveld. Meestal is onduidelijk op welke wijze deze onzekerheden zich als risico’s manifesteren en welke invloed risico’s hebben op de resultaten van industrieën en ondernemingen. Algemene systemen en checklists kunnen daardoor op cruciale momenten tekortschieten als ze voortbouwen op gebeurtenissen en risico’s die zich in het verleden hebben voorgedaan. Het onbekende en ondenkbare kan gebeuren en de volgende crisis heeft meestal een andere oorzaak dan de voorgaande. Ook specialisten en industrie-experts lijken geen betrouwbare bron te zijn voor het goed inschatten van externe risico’s en onzekerheden.

Tetlock (2005) onderzocht over een periode van twintig jaar tienduizenden voorspellingen van honderden experts. Hij beoordeelde hoe goed ze waren in het schatten van waarschijnlijkheden en of ze in staat waren specifieke uitkomsten te voorspellen. De uitkomsten waren ronduit onthutsend maar bevestigen de conclusies van een groot aantal andere studies: de gemiddelde expert deed het niet veel beter dan een “dart-throwing chimp” die altijd op het statistisch gemiddelde uitkomt. Hoe gespecialiseerder en beroemder experts waren, hoe slechter ze bovendien bleken te presteren. Specialisatie vernauwt het blikveld en vergroot de kans op het vinden van meer bewijs en gelijkgestemden om bestaande overtuigingen en gedane voorspellingen te bevestigen. Experts vallen niet alleen ten prooi aan dezelfde cognitieve biases als ieder ander, ze blijken door het koesteren van hun bekendheid en reputatie nog gevoeliger voor het maken van verkeerde inschattingen. Als experts eenmaal in boeken, presentaties en interviews een stelling hebben ingenomen, geven ze die niet snel op. Dezelfde media verleiden hen tegelijkertijd om bijzondere, afwijkende posities in te nemen om hun aantrekkingskracht en entertainmentwaarde voor toekomstige optredens te vergroten.

Om alle externe risico’s te identificeren is het nodig om het voorstellingsvermogen op te rekken en zowel breder als vanuit verschillende perspectieven naar externe ontwikkelingen te kijken. Watkins and Bazerman (2003) en Kaplan and Mikes (2012) bevelen aan om scenarioplanning in te zetten bij het opsporen en doordenken van externe risico’s. Scenarioplanning is bij uitstek geschikt om met situaties van grote onzekerheid en ambiguïteit om te gaan en een reeks van externe factoren en ontwikkelingen, en de risico’s die ze met zich meebrengen, in onderlinge samenhang te analyseren. Het kan de basis vormen voor het vroegtijdig ontwerpen van preventieve maatregelen en strategische opties om ondernemingen voor te bereiden op de gevolgen van mogelijke nadelige gebeurtenissen en risico’s. Postma and Bood (2014) bespreken op welke wijze scenarioplanning de strategische besluitvorming van ondernemingsbesturen kan versterken en werken de waardevolle rol uit die commissarissen door het inbrengen van hun externe perspectieven kunnen spelen. In navolging van Van der Heijden (2000) benadrukken ze dat toekomstscenario’s voor commissarissen voor een veilige context zorgen om bestaande strategische paradigma’s ter discussie te stellen en op de dominantie van specifieke biases te wijzen. Het zorgt voor een nieuwe balans om de uitersten van zowel groepsdenken als vergaande onenigheid tegen te gaan en versterkt het strategisch leren.

6.2 Evalueren van externe risico’s

Na het in kaart brengen van relevante externe risico’s volgt het inschatten van de acute of toekomstige dreiging die er vanuit gaat. Dit omvat het bepalen van de waarschijnlijkheid dat risicovolle gebeurtenissen en veranderingen zich voordoen, het doordenken van de mogelijke impact ervan voor de onderneming en haar strategie en het monitoren van ‘early indicators’ om ze in een vroegtijdig stadium te signaleren en op tijd actie te ondernemen. Deze fase sluit aan het bepalen van risico’s in het raamwerk van het Committee of Sponsoring Organizations of the Treadway Commission (COSO 2004). Het doordenken van gevolgen kan gebeuren door gerichte cross- en trend-impactanalyses en in bredere scenario-exercities (Bishop et al. 2007). Het vervolgonderzoek dat Tetlock uitvoerde biedt belangrijke aanknopingspunten om kritieke veranderingen in een vroegtijdig stadium te signaleren (zie Tetlock and Gardner 2015). In een panel van duizenden vrijwilligers scoorde een kleine groep verbazingwekkend goed bij het voorspellen van honderden zeer uiteenlopende vragen over een periode van vier jaar. Tetlock and Gardner (2015) noemen hen ‘superforecasters’. Ze excelleren in een half jaar tot een jaar vooruit voorspellen. Opvallend is dat de meesten ‘gewone’ mensen zijn van alle leeftijden die zich onderscheiden door hun analytische aanpak en attitude. In tegenstelling tot experts passen ze hun voorspellingen wel regelmatig aan en gaan ze actief op zoek naar afwijkende informatie.

De aanpak en attitude van superforcasters levert belangrijke inzichten op voor het inschatten van de waarschijnlijkheid dat externe gebeurtenissen, risico’s en onzekerheden zich manifesteren. Superforecasters delen ambigue onzekerheden op in deelproblemen, oriënteren zich breed om achterliggende krachten te identificeren, zoeken naar tegenkrachten en analyseren hun onderlinge interactie. Ze zijn daarbij “open-minded, careful, curious, and – above all – self-critical” (Tetlock and Gardner 2015, p. 20). Ze baseren hun eerste risicoberekening dat een bepaalde gebeurtenis of ontwikkeling zich wel of niet voor zal doen op een nauwkeurige inschatting van de achterliggende, drijvende krachten. Vervolgens monitoren ze voortdurend veranderingen in deze krachten om hun voorspellingen bij te stellen als zich daarin belangrijke wijzigingen voordoen. In tegenstelling tot experts doen ze dat regelmatig en blijven ze niet hangen bij hun eerste inschatting. De chimpansee heeft inmiddels plaatsgemaakt voor de jongste medewerker van het bedrijfsrestaurant die in zijn vrije tijd beter blijkt te voorspellen dan de goed opgeleide analisten die hij door de week bedient.

6.3 Managen van externe risico’s

Idealiter neemt een dwarsdoorsnede van de organisatie deel aan het opsporen en doordenken van externe risico’s zodat zich een breed “memory of the future” binnen de organisatie ontwikkelt waarin meer mensen de omgeving scannen om vroegtijdig relevante veranderingen op te sporen (Ingvar 1985, p. 128). Het uitnodigen van dwarsdenkers van binnen en buiten de onderneming helpt ook om cruciale aannames en cognitieve biases ter discussie te stellen (Van der Heijden 2000). Zoals Watkins and Bazerman (2003) aangeven, vereist het voorkómen van onaangename verrassingen meer dan alleen het breed herkennen ervan in een onderneming. Het voorbereiden op belangrijke ontwikkelingen moet vervolgens ook voldoende prioriteit krijgen en hoog op de strategische agenda komen te staan. Zowel het betrekken van de organisatie als de Raad van Commissarissen bij het opsporen van externe risico’s als het doordenken van mogelijke implicaties, vergroot de kans dat belangrijke externe risico’s en onzekerheden een hoge prioriteit en adequate opvolging krijgen. Het maakt het bovendien gemakkelijker om vervolgens alles te mobiliseren wat nodig is om tijdig preventieve maatregelen te nemen of het roer om te gooien om strategische debacles te voorkomen.

Het raamwerk van het Committee of Sponsoring Organizations of the Treadway Commission duidt deze fase aan als risicorespons (COSO 2004). Ondernemingen kunnen externe risico’s accepteren, mitigeren of zich er met contingentieplannen op voorbereiden. Accepteren kan als de gevolgen van gebeurtenissen of ontwikkelingen klein zijn, met andere kunnen worden gedeeld of worden gecompenseerd door voordelige effecten die gelijktijdig optreden. Ook kunnen latere voordelen initiële risico’s overtreffen. Het betreden van nieuwe groeimarkten of het introduceren van nieuwe businessmodellen kan op korte termijn weliswaar risicovoller zijn dan het voortbouwen op bestaande marktposities maar op langere termijn nodig zijn om te overleven. Het inzetten op onlineverkopen en het sluiten van vestigingen kan eerst tot verlies van klanten leiden maar onvermijdelijk zijn om de continuïteit later te garanderen. Als ondernemingen risico’s niet wensen te accepteren dan moeten ze deze mitigeren indien risico’s substantiële impact hebben op de onderneming als ze zich daadwerkelijk manifesteren. Bekende mitigatiestrategieën die ondernemingen hanteren zijn hedgingstrategieën, het inzetten van flexibele arbeidskrachten, het verkopen of leasen van risicovolle assets en diversificatie naar andere industrieën of geografische gebieden (Postma and Bood 2014).

Als mitigatie niet volledig mogelijk, te duur of niet gewenst is, kunnen ondernemingen ervoor kiezen om contingentieplannen op te stellen die in werking treden op het moment dat nadelige gebeurtenissen en ontwikkelingen zich voordoen (Andersen and Schröder 2010). Een van de bekendste voorbeelden hiervan is de contingentieplanning van Cantor Fitzgerald, een financiële dienstverlener, die bij de terroristische aanslag op het World Trade Center in 2001 twee derde van al haar werknemers in New York verloor en binnen een week weer volledig operationeel was (Lutnick and Barbash 2003). Weick and Sutcliffe (2001) waarschuwen er daarbij voor dat contingentieplannen niet voldoende zijn omdat ze alleen voorbereiden op mogelijk nadelige gebeurtenissen en ontwikkelingen die zijn voorzien. Ze voegen eraan toe dat het maken van plannen zelfs disfunctioneel kan zijn als daardoor de alertheid voor onbekende externe risico’s afneemt.

7. Conclusies

Onderzoek naar de praktijk van risicomanagement in Nederland geeft aan dat ondernemingen nog veel kunnen en moeten doen om externe risico’s te beheersen. De Nederlandse Corporate Governance Code 2016 benadrukt het belang van externe risico’s en wijst specifiek op het tijdig opsporen van technologische veranderingen en nieuwe businessmodellen. Het vergt bijzondere inspanningen om met cognitieve biases, organisatorische barrières en politieke machtsverschillen om te gaan. Wij stellen in dit artikel een gefaseerde aanpak voor waarin een brede dwarsdoorsnede van de onderneming betrokken is bij het opsporen en doordenken van externe risico’s. Het combineert het oprekken van het voorstellingsvermogen met het analyseren en monitoren van drijvende krachten om externe risico’s af te leiden uit omgevingsonzekerheden. Niet alle externe gebeurtenissen zijn te voorzien maar ondernemingen kunnen veel onaangename verrassingen voorkomen door het opzetten van een gestructureerd risicomanagementsysteem. Het moet ervoor zorgen dat ondernemingen externe risico’s juist waarderen en niet onderschatten of overschatten. Een bijkomend voordeel is dat het beter begrijpen van externe veranderingen ook inzicht in nieuwe kansen oplevert.

Dr. Robert P. Bood is managing partner van adviesbureau FairSights, senior lecturer aan TIAS, School for Business and Society, in Tilburg en international faculty member of The Iclif Leadership and Governance Centre in Kuala Lumpur, Malaysia.

Dr. Theo J.B.M. Postma is als freelance onderzoeker verbonden aan de Faculteit Economie en Bedrijfskunde van de Rijksuniversiteit Groningen en publiceert als zodanig op het gebied van strategie en governance..

Dankwoord

De auteurs bedanken Roel Nagy, ten tijde van het onderzoek student aan de Universiteit van Tilburg, voor zijn bijdrage bij het verzamelen en analyseren van empirische data over externe risico’s in de jaarverslagen van in Nederland beursgenoteerde ondernemingen over 2014.

Literatuur

Andersen TJ, Schröder PW (2010) Strategic risk management practice: How to deal effectively with major corporate exposure. Cambridge University Press (Cambridge).

Ariely D (2008) Predictably irrational: The hidden forces that shape our decisions. Harper Collins Publishers (London).

Bishop P, Hines A, Collins T (2007) The current state of scenario development: an overview of techniques. Futures 9(1): 5–25. https://doi.org/10.1108/14636680710727516

Bood RP, Postma TJBM (2014) Behavioral corporate governance: De rol van scenariodenken bij strategische onzekerheid. Goed Bestuur & Toezicht 10(3): 38–45.

Committee of Sponsoring Organizations of the Treadway Commission (2004) Enterprise risk management: Integrated framework. https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf

Cyert RM, March JG (1963) A behavioral theory of the firm. Prentice-Hal (Englewood Cliffs, NJ).

Daelen MMA van, Groot JI de (2014) Risicoverslaggeving in het directieverslag in beweging. Maandblad voor Accountancy en Bedrijfseconomie 88(12): 543–555.

Deloitte (2013) Risicoparagraaf mist aansluiting met strategie: Ontwikkeling risicoparagrafen 2012. https://www2.deloitte.com/content/dam/Deloitte/nl/Documents/about-deloitte/deloitte-nl-ontwikkeling-risicoparagrafen-2012.pdf

Ees H van, Gabrielsson J, Huse M (2009) Toward a behavioral theory of boards and corporate governance. Corporate Governance: An International Review 17(3): 307–319. https://doi.org/10.111/j.1467-8683.2009.00741.x

Emanuels J (2017) Het “in control statement”. Maandblad voor Accountancy en Bedrijfseconomie 91(05/06): 146–153. https://doi.org/10.5117/mab.91.24034

Frigo ML, Anderson RJ (2011) What is strategic risk management? Strategic Finance 61(April): 21–22.

Heijden K van der (2000) Scenarios and forecasting: Two perspectives. Technological Forecasting and Social Change 65(1): 31–36. https://doi.org/10.1016/S0040-1625(99)00121-3

Hickson DJ, Butler RJ, Cray D, Mallory GR, Wilson DC (1986) Top decisions: Strategic decision-making in organizations. Basil Blackwell (Oxford).

Hopkins MM, Nightingale P (2006) Strategic risk management using complementary assets: Organizational capabilities and the commercialization of human genetic testing in the UK. Research Policy 35(3): 355–374. https://doi.org/10.1016/j.respol.2005.12.003

Ingvar DH (1985) “Memory of the future”: An essay on the temporal organization of conscious awareness. Human Neurobiology 4(3): 127–136.

Kahneman D, Tversky A (1979) Prospect theory: An analysis of decision under risk. Econometrica 47(2): 263–291. https://doi.org/10.2307/1914185

Kaplan RS, Mikes A (2012) Managing risks: A new framework. Harvard Business Review 90(6): 48–60.

Klinke A, Renn O (2003) A new approach to risk evaluation and management: Risk-based, precaution-based and discourse-based strategies. Risk Analysis 22(6): 1071–1094. https://doi.org/10.1111/1539-6924.00274

Knight FH (1921) Risk, uncertainty and profit. Houghton Mifflin (Boston).

Lovallo D, Sibony O (2010) The case for behavioral strategy. McKinsey Quarterly 2010(2): 30–43.

Lutnick H, Barbash T (2003) On top of the world: The remarkable story of how Cantor Fitzgerald recovered from the twin tower attack. Harper Collins Publishers (New York).

Maharaj R (2008) Corporate governance, groupthink and bullies in the boardroom. International Journal of Disclosure and Governance 5(1): 68–92. https://doi.org/10.1057/palgrave.jdg.2050074

Manen J van (2017) De corporate governance code 2016. Maandblad voor Accountancy en Bedrijfseconomie 91(05/06): 124–125. https://doi.org/10.5117/mab91.24031

McKinsey (2009) Flaws in strategic decision making: McKinsey global survey results. McKinsey Quarterly January. https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/flaws-in-strategic-decision-making-mckinsey-global-survey-results

Monitoring Commissie Corporate Governance Code (2003) De Nederlandse corporate governance code – Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den Haag. https://www.mccg.nl/code-tabaksblat

Monitoring Commissie Corporate Governance Code (2008) De Nederlandse corporate governance code – Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den Haag. https://www.mccg.nl/download/?id=609

Monitoring Commissie Corporate Governance Code (2016) De Nederlandse corporate governance code. Den Haag. https://www.mccg.nl/download/?id=3364

Nagy Smith A (2009) What was Polaroid Thinking? Yale Insights. https://insights.som.yale.edu/insights/what-was-polaroid-thinking

NBA, Nyenrode, Rijksuniversiteit Groningen, PWC (2014) Hoeveel zijn we opgeschoten na de crisis? Tweede nationaal onderzoek risicomanagement in Nederland 2014. https://www.pwc.nl/nl/assets/documents/hoeveel-zijn-we-opgeschoten-na-de-crisis.pdf

Postma TJBM, Bood RP (2014) Behavioral governance: The role of scenario thinking in dealing with strategic uncertainty. In: Das TK (ed.) , The practice of behavioral strategy. Information Age Publishing (Charlotte), 41–75.

Powell TC, Lovallo D, Fox CR (2011) Behavioral strategy. Strategic Management Journal 32(13): 1369–1386. https://doi.org/10.1002/smj.968

Rindova VP (1999) What corporate boards have to do with strategy: A cognitive perspective. Journal of Management Studies, 36(7): 953–975. https://doi.org/10.1111/1467-6486.00165

Russo JE, Schoemaker PJH (1989) Decision traps: The ten barriers to decision-making and how to overcome them. Simon & Schuster (New York).

Slywotzky AJ, Drzik J (2005) Countering the biggest risk of all. Harvard Business Review 83(4): 78–88.

Taleb NN (2007) Black Swans: The impact of the highly improbable. Random House (New York).

Tetlock PE (2005) Expert political judgment: How good is it? How can we know? Princeton University Press (Princeton).

Tetlock PE, Gardner D (2015) Superforecasting: The art and science of prediction. Random House Books (London).

Tversky A, Kahneman D (1992) Advances in prospect theory: Cumulative representation and uncertainty. Journal of Risk and Uncertainty 5(4): 297–323. https://doi.org/10.1007/BF00122574

Watkins MD, Bazerman MH (2003) Predictable surprises: The disasters you should have seen coming. Harvard Business Review 81(3): 72–80.

Weick KE, Sutcliffe KM (2001) . Managing the unexpected - Assuring high performance in an age of complexity. Jossey-Bass (San Francisco, CA, USA).

Westphal JD, Fredrickson JW (2001) Who directs strategic change? Director experience, the selection of new CEOs, and change in corporate strategy. Strategic Management Journal 22(12): 1113–1137. https://doi.org/10.1002/smj.205

Westphal JD, Zajac EJ (2013) A behavioral theory of corporate governance: Explicating the mechanisms of socially situated and socially constituted agency. The Academy of Management Annals 7(1): 607–661. https://doi.org/10.1080/19416520.2013.783669