84 MT MT 85

de beste bedrijven zijn in balans

Wie denkt dat de ‘best geleide bedrijven’ van Nederland op alle fronten excelleren, heeft het mis. ‘Soms is het zelfs inefficiënt te streven naar het hoogste niveau’, aldus Deloitte, dat elk jaar – kosteloos - talloze bedrijven doorlicht. Op zoek naar de optimale balans.

Joop Standaert (cfo Walraven): ‘Het hele Best Managed Companies-programma leidde tot goede gesprekken tussen mij en de ceo’

TekST Rob Hartgers

fOTOgrafie Marcel Bakker

best managed companies

86 MT MT 87

Bedrijven beter maken. Ook als ze niet ziek zijn. Dat is het doel van de Best Managed Companies-competitie, de verkiezing van de best geleide bedrijven van Nederland, die Deloitte nu al 9 jaar achter elkaar organiseert. Vanaf september tot aan de prijsuitreiking in januari zijn de coaches van het adviesbedrijf er maar druk mee. ‘We zijn begonnen met het benaderen van 457 bedrijven’, vertelt Ton van Abeelen, partner en registeraccountant bij Deloitte Breda, en inhoudelijk verantwoordelijk voor het programma. ‘Uiteindelijk willen we aan het eind van de rit 50 bedrijven overhouden die het predicaat Best Managed Company verdienen.’

Tweeledig opgezeTDenk echter niet dat het hier gaat om zomaar wéér een prijsuitreiking, zoals er jaarlijks zovele worden georganiseerd. Het BMC-programma is juist tweeledig opgezet. Dat wil zeggen: het selectieproces is minstens zo belangrijk als het resultaat. Bedrijven die meedoen hebben niet alleen uitzicht op een mooie onderscheiding als Best Managed Company, maar krijgen ook

allemaal – kosteloos – een uitgebreide scan van hun organisatie en een gedegen advies hoe het nog beter kan. ‘Deelname geeft dus inzicht in de eigen bedrijfsvoering, maar ook een kans om met andere succesvolle ondernemers in contact te komen’, aldus Van Abeelen.

Business MaTuriTy Model Bedrijven die daar oren naar hebben krijgen het advies dan misschien wel gratis, maar niet voor niets. Ze moeten er wel wat voor doen. Het hele avontuur begint met twee online scans, de ‘Market Scan’ en de ‘BMC Scan’, die bedrijven zelf moeten invullen. De eerste scan brengt het externe bedrijfsprofiel in kaart, aan de hand van omgevingsfactoren als duurzaamheid, imago en reputatie. De BMC-scan kijkt naar de financiële gegevens, strategie, commitment, innovatie en bekwaam-heid van het bedrijf. Deze prestaties worden afgezet tegen die van andere bedrijven. Dit jaar worden bedrijven ook ondervraagd over hun inspanningen op het gebied van Security & Cyber- security, thema van de huidige verkiezings-ronde.Op grond van al deze scans worden maximaal 100 bedrijven geselecteerd. De coaches van Deloitte gaan bij hen op bezoek en duiken dan dieper in de bedrijfsvoering aan de hand van het zogeheten Business Maturity Model, het model dat het advies-bedrijf samen ontwikkelde met wetenschappers van de Universiteit Utrecht. De adviseurs brengen daarvoor in kaart hoe de bedrijven presteren op zaken als strategie, innovatie, maatschappelijk

verantwoord ondernemen, ketensamenwerking, kennisoverdracht en het verandervermogen van de organisatie. De basis van het Business Maturity Model bestaat uit 5 pijlers. Iedere pijler is weer onderverdeeld in 4 ‘ontwikkelniveaus’ (zie kader volgende pagina). Overigens zitten in de praktijk maar weinig deelnemers op het pioniersniveau, zegt Van Abeelen. ‘Die zitten er maar weinig tussen. Gemiddeld scoren bedrijven op niveau 2 of 3.’

goed in BalansDe filosofie achter het Business Maturity Model is dat een bedrijf pas echt succesvol en volwassen kan worden als het ‘in balans’ is. Het onderlinge evenwicht tussen de pijlers is belangrijker dan het niveau waarop een bedrijf opereert. Soms is het niet eens nodig om te streven naar het hoogste niveau, zegt Van Abeelen: ‘Als het bedrijf bijvoorbeeld actief is in een markt die niet heel competitief is, kunnen de investeringen die nodig zijn om een niveau op te schuiven onvoldoende rendement opleveren.’Veel belangrijker nog is dat organisaties die in balans zijn, geen hinder ondervinden van zwakke schakels die onnodig veel energie kosten. Eerder onderzoek van Deloitte en de Utrechtse universi-teit in de maakindustrie liet zien dat bedrijven in balans tot wel 30 procent beter presteren dan de markt waarin ze opereren. Met andere woorden: goed in balans zijn leidt tot een betere balans.

nuTTige gesprekkenHet succes van de Best Managed Companies-verkiezing is deels te verklaren doordat deelname gesprekken op gang brengt die anders niet altijd gevoerd worden. ‘De scans worden altijd door meerdere personen uit de directie ingevuld’, legt Van Abeelen uit. ‘We vragen niet alleen naar de bestaande situatie, maar ook naar de gewenste. Dat leidt tot nuttige discussies. Soms ontdekken directieleden daardoor dat ze niet op één lijn zitten, of thema’s anders invullen. Het is goed om dat soort verschillen van inzicht helder te krijgen.’ Het thema van dit jaar is bijzonder actueel. Werd (data-)beveiliging een paar jaar geleden nog gezien als een issue voor het grootbedrijf, inmiddels staat dit thema ook bij het mkb hoog op de agenda. Volgens onderzoek van NHL Hogeschool en de >

best managed companies

B Wat doen jullie?‘Walraven Group is een inter-nationaal opererend bedrijf. We hebben drie productlijnen: bevestigingssystemen, brand-werende systemen en sanitair-systemen. Binnenkort komt er een nieuwe productgroep bij: pluggen en ankers. Wij verkopen deze producten in 16 landen. We produceren in Mijdrecht, waar ook het hoofdkantoor staat, en ook in Tsjechië, China, India. We hebben 3 jaar geleden een ambitieuze nieuwe groeistrategie ontwikkeld, die vooral buiten Europa moet plaatsvinden. Zo willen we uitbreiden in het Midden-Oosten en China. We zien onszelf als een zogeheten “mini- national”. We zijn heel internationaal en hebben daar-door te maken met complexe organisatievraagstukken, maar in vergelijking met echte multi-nationals zijn wij van bescheiden omvang. Het voordeel is dat wij snel kunnen schakelen en in korte tijd nieuwe, slimme producten kunnen ontwikkelen. Tegelijkertijd staan we nog heel dicht bij onze eindgebruikers: die man hoog op een ladder met een pijp op zijn schouder. Het is zíjn leven dat we zo makkelijk mogelijk willen maken.’

Waarom doen jullie mee aan dit programma?‘Het is voor ons de tweede keer dat we deelnemen. We vinden het interessant, met vragen die zijn toegesneden op ons bedrijf. Vorig jaar scoorden we vooral hoog op ‘mensen en cultuur’. Logisch ook: we zijn een echt familiebedrijf. De pijlers ‘besturing en beheersing’ en IT waren iets minder ontwik-keld, daar zijn we aan gaan werken. Het hele programma was aanleiding voor goede gesprekken tussen mij en de ceo. Gelukkig dachten we over de meeste onderwerpen hetzelfde. Maar het is wel prettig om dat helder te hebben.’

Is (cyber)security belangrijk voor jullie?‘Zeker. Vorig jaar hebben we onze hard- en software vernieuwd. Dit jaar hebben we opnieuw kritisch gekeken naar onze informatie-beveiliging. Ook is het heel belang-rijk dat onze medewerkers alert blijven. Zij hebben allemaal veilig-heidsrichtlijnen ontvangen, zodat zij bijvoorbeeld een phishing-mail herkennen. Ik krijg zelf af en toe ook dat soort mails — zogenaamd van de ceo, of ik even 88.000 euro wil overmaken. Die mails stuur ik altijd de organisatie in, zodat ieder-een zich bewust is van de risico’s.’

wie Mogen er Meedoen?

Voor deelname aan het Best Managed Companies-programma gelden de volgende voorwaarden:

• Een jaaromzet van minimaal 25 miljoen euro

• Nederlands management• Niet beursgenoteerd• Een gezonde financiële positie

Aan deelname zijn geen kosten verbonden. Deloitte organiseert de competitie dit jaar voor het negende achtereenvolgende jaar. Dit keer gebeurt dat in samenwerking met investerings maatschappij Bencis Capital.

‘We zien onszelf als een mini-national’

wie: Joop Standaert wat: cfo Walraven group omzet: 120

miljoen euro Medewerkers: 1.000 fte locatie: Hoofdkantoor

in Mijdrecht, vestigingen in 16 landen klanten: groothandels,

installatiebedrijven in de bouw Best Managed Company:

voor de tweede keer

‘Het advies komt gratis, maar niet voor niets’

88 MT MT 89

best managed companies

Politieacademie viel bijvoorbeeld ruim 1 op de 4 mkb’ers en zzp’ers tussen 2014 en 2015 ten prooi aan een vorm van cybercriminaliteit. Van Abeelen: ‘Tot voor kort dachten veel mkb-bedrijven: waarom zouden ze mij willen hacken? Maar daarmee onderschatten ze het probleem schromelijk. Ook veel kleinere bedrijven zijn slachtoffer geworden van hacks, identiteitsfraude en phishing.’ Een onafhankelijke jury met vertegenwoordigers van politie en justitie beoordeelt dit jaar welke deelnemers zich het beste hebben gewapend tegen (cyber)criminaliteit. Deze bedrijven krijgen een speciale vermelding. Ook andere vormen van veiligheid (patenten, veiligheid van medewerkers en materialen) krijgen dit jaar speciale aandacht.

heT is nooiT afEen flink aantal bedrijven draait al meerdere jaren mee in het Best Managed Companies-programma. Een klein aantal is zelfs al vanaf het begin van de partij. Uit eerdere jaargangen is gebleken dat ondernemingen die op herhaling gaan, steeds beter scoren op de pijlers van het Business Maturity Model, vertelt Van Abeelen: ‘Die bedrijven zijn beter in balans en functioneren gemiddeld op een hoger niveau.’Maar, zegt hij er meteen bij: het werk is ook nooit af. ‘Er blijft altijd ruimte om te leren.’ ■

Wat doen jullie?‘Wij zijn importeur van producten op het gebied van industrie, elek-trotechniek, verlichting en connectivity. Onze eindgebruikers zijn installateurs, maar we willen met onze marketing de hele keten beïnvloeden, van de architect tot de woningbouw vereniging. Wij vertegenwoordigen al 65 jaar op exclusieve basis buitenlandse merken op de Nederlandse markt. Er zijn maar weinig bedrijven die zo’n breed aanbod van producten voor de elektrotechniek voeren, en voor eigen rekening en risico zo’n voorraad aanhouden. Dankzij onze jarenlange ervaring kennen we de markt door en door, zowel de leveranciers als de eindgebruikers. Door over de producten veel informatie te geven voegen wij waarde toe.’

Waarom doen jullie mee aan dit programma?‘Best Managed Companies houdt ons scherp. Ieder jaar leggen we onze onderneming weer langs de meetlat: waar zijn we goed in? Waarin kunnen we nog beter worden? We proberen balans aan te brengen in de vijf pijlers van het Business Maturity Model en op al die gebieden op een hoger plan te komen. We waren altijd sterk in de pijler ‘mensen en

cultuur’. De laatste tijd staken we veel tijd en energie in strategie en beleidsvorming. Ons bedrijf is onderverdeeld in clusters met ieder een eigen productmanager. Voor ieder cluster maken we een eigen plan, dat een doorvertaling is van het ondernemingsplan. Ook de persoonlijke ontwikke-lingsplannen van medewerkers sluiten daarop aan. Deze drie plannen - het ondernemingsplan, clusterplan en de persoonlijke ontwikkelingsplannen - zijn door een denkbeeldige satéprikker met elkaar verbonden. Zo hebben we samenhang gecreëerd in ons beleid, op alle niveaus.’

Is (cyber)security belangrijk voor jullie?‘In de zomer ging het een keer mis. Een magazijnmedewerker opende een besmette mail. We hebben toen het hele systeem een halve dag offline moeten halen om het virus op te sporen. We kijken nu met een externe partner hoe we het probleem beheersbaar kunnen maken. Daarbij kijken we niet alleen naar software-oplossingen, maar willen ook helder de risico’s naar medewerkers communiceren. We hebben nu een protocol waarin precies staat hoe mensen moeten handelen als het misgaat.’

‘Ieder jaar leggen we ons weer langs de meetlat’

‘We hebben veel tijd en energie gestoken in strategie en beleid’

wie: John Pannen wat: directeur Hemmink Business:

elektrotechniek omzet: 50 miljoen euro Medewerkers:

100 locatie: Zwolle, Vorden, Oud-Beijerland klanten:

groothandels Best Managed Company: voor de achtste keer

5 pijlers Het Business Maturity Model kent 5 pijlers:01 Strategie- & Beleidsvorming 02 Organisatie & Processen 03 Besturing & Beheersing 04 Informatietechnologie 05 Mensen & Cultuur

4 onTwikkelniveausHet model is onderverdeeld in 4 ontwikkelniveaus:01 Pioniersniveau 02 Procesniveau 03 Systeemniveau 04 Netwerkniveau

90 MT MT 91

best managed companies

Cyberrisico als kans schreef. ‘Cyberdreiging kan ook waardecreatie door informatietechnologie mogelijk maken. Bedrijven die hun risico’s goed kunnen managen, kunnen ook sneller innoveren, hun data beter te gelde maken, en meer empowerment in hun organisatie brengen.’Denk aan online betaalsysteem PayPal. Van Rijsewijk: ‘Om iets te kopen hoef je bij hen maar twee dingen in te vullen: je gebruikersnaam en je wachtwoord. Dat is een vrij zwakke beveiligings-maatregel. PayPal dekt dat risico af door veel te investeren in zogeheten security analytics. Het bedrijf is als geen ander in staat om verdachte transacties te detecteren en te stoppen vóórdat ze plaatsvinden. Natuurlijk glipt er wel eens wat doorheen, maar PayPal weet dat verlies op een acceptabel niveau te houden. Bovendien levert elke aanval weer nieuwe informatie op.’ Cyberdreiging kan zo fungeren als katalysator voor een lerende organisatie, zegt Philips. ‘Je kunt je energie inzetten op probleembestrijding, maar ons advies is: steek die energie liever in de ontwikkeling van je bedrijf, en wel zo dat je de vernieuwing omarmt en omzet in kracht.’

oefenen in vredesTijdDe eerste stap is: accepteren dat 100 procent veiligheid niet bestaat. Van Rijsewijk: ‘Iedereen kan doelwit worden van een cyberaanval, en dat hoeft helemaal niet erg te zijn. Je moest juist denken in termen van weerbaarheid. Vergelijk het met het menselijk lichaam. Om gezond te blijven, kun je besluiten altijd thuis te blijven zitten. Daarmee dwing je jezelf echter in een isolement. De truc is je beveiliging zo in te richten dat het geen belemme-ring vormt voor de functionaliteit en het gebruikers-

gemak. En dat je erop kunt vertrouwen dat áls er een virus binnenkomt, je immuunsysteem het tijdig kan ontdekken, isoleren en opruimen.’Aanvallen simuleren is effectief om dat reactie-vermogen te vergroten, stelt Van Rijsewijk. ‘Je kunt in een oorlog wachten tot het eerste schot gelost is, om erachter te komen dat je niet was voorbereid, maar daarmee heb je de belangrijkste slag al verloren. Slimme leiders oefenen juist in vredestijd.’Daarbij is het wel van belang om veiligheid in een breder kader te zien dan technologie alleen. ‘Elke cyberdreiging heeft een sociale en steeds vaker ook een fysieke component’, aldus Van Rijsewijk. ‘Het Stuxnet-virus, dat in 2010 een Iraanse kerncentrale besmette en daarna wereldwijd op 50.000 computers is aangetroffen, kwam bijvoor-beeld binnen via een simpele usb-stick. Dat kan jouw bedrijf ook gebeuren.’Cyberveiligheid moet daarom gekoppeld worden aan een verantwoord personeelsbeleid, zegt Philips: ‘Als je kroonjuwelen te beschermen hebt, kijk dan kritisch naar wie je binnenhaalt. Wie heeft toegang tot welke data, en wie komt binnen in welke gebouwen?’ Middelgrote bedrijven moeten daarnaast hun werknemers regelmatig informeren over de cybergevaren en hen wijzen op hun eigen vermogen iets daaraan te doen. Lanceer bijvoor-beeld een phishing awareness-campagne en stuur nep-phishing-mails naar medewerkers, adviseert Van Rijsewijk: ‘Bedrijven zijn vaak verbijsterd als soms tot wel 60 procent van hun werknemers een geïnfecteerde link aanklikt, en dat 20 procent zelfs persoonlijke informatie achterlaat. Maar als je deze campagnes vaak genoeg herhaalt, kun je het risico reduceren tot een acceptabel niveau.’ ■

in september werd de wereld opgeschrikt door een van de zwaarste cyberaanvallen aller tijden. Het Franse hostingbedrijf OVH was doelwit van een zombienetwerk van meer dan 145.000

gehackte webcams en zogeheten cctv’s dat een kolossale DDoS-aanval uitvoerde. De gehackte computers bestookten de server gezamenlijk met maar liefst 1.100 gigabits per seconde. Ter vergelijking: de DDoS-aanval vorig jaar op Ziggo, waarbij 1,8 miljoen huishoudens zonder internet kwamen te zitten, had een kracht van rond de 4 gigabits per seconde.

sTeeds grover gesChuTHet incident laat zien dat internetcriminelen steeds grover geschut inzetten om hun doel te bereiken, zegt Inge Philips van Cyber Risk Services, een Deloitte-team van zo’n 180 profes-sionals en (voormalig) hackers dat (middel)grote bedrijven adviseert over cyberveiligheid en zelf op zijn beurt advies krijgt van onder meer voormalig Commandant der Strijdkrachten Dick Berlijn. ‘De complexiteit van de aanvallen en de rekenkracht erachter neemt toe’, aldus Philips. ‘Tegelijkertijd zie je dat de drempel voor nieuwe spelers lager wordt. Een botnet is online al voor een paar tientjes te koop.’Uit het recente Deloitte-rapport Cyber Value at Risk in the Netherlands blijkt dat dergelijke aanvallen de

BV Nederland jaarlijks zo’n 10 miljard euro kosten. Daarbij gaat het niet alleen om gestolen geld en intellectueel eigendom, maar ook om juridische kosten, omzetderving en reputatieverlies. Toch is een grote groep bedrijven in Nederland zich hier nog nauwelijks van bewust, stelt Philips: ‘Ze vinden het wel van belang, maar hebben het nog niet actief doorgevoerd in de bedrijfsvoering.’

evoluerende vijand‘Cyberrisico is een asymmetrisch gevecht’, vult Roel van Rijsewijk aan. ‘De verdedigende partij moet constant alle gaatjes dichthouden, terwijl de aanvaller er maar één keer doorheen hoeft te breken. Boven-dien is er sprake van intelligente vijanden die continu evolueren. Je kunt vandaag veilig zijn, morgen bedenken ze weer iets anders.’Toch is het toenemende gevaar niet alleen reden tot paniek, zegt de Deloitte-partner, die recent het boek

geen panIek, maar prestatIes

Cybercriminaliteit kost de BV Nederland elk jaar naar schatting 10 miljard euro, zo blijkt uit een recent Deloitte-rapport. reden tot paniek? Nee hoor. ‘Cyberrisico biedt ook kansen om je prestaties te verbeteren.’

TekST Jeroen Ansink

De kritieke informatie en bedrijfsprocessen beveiligen is cruciaal om de continuïteit te waarborgen op het moment dat er een incident of zelfs crisis uitbreekt. Security en Cyber Security is daarom het leidende

thema binnen het Best Managed Companies-programma van 2016. Deloitte stelt daarbij de ervaring die het opdeed bij grote beursgenoteerde bedrijven ter beschikking aan middelgrote ondernemingen.

seCuriTy en CyBerseCuriTy