Ondernemen is risico nemen. Maar gelukkig biedt risicomanagement de ondernemer goede mogelijkheden om ook die kant van zijn bedrijf zoveel mogelijk onder controle te krijgen. Risicomanagement is de relatief nieuwe en daardoor minder bekende discipline die dit aspect van de bedrijfsvoering professionaliseert. Wat houdt risicomanagement ?eigenlijk precies in, voor wie is het interessant en wat draagt het bij aan de bedrijfsvoering? Coaching sprak met Ernst Stoelhorst, manager bij Ernst & Young Advisory.
Risicomanagement heeft als doel om - gestructureerd en geïntegreerd - noodzakelijke maatregelen te nemen, gericht op het voorkomen van risico’s of het beperken van de schade in gevallen waar het mis gaat. Ernst Stoelhorst: ‘Stel dat een bedrijf door ziekte van een aantal medewerkers tijdelijk niet in staat is om alle openstaande orders te leveren. Het gevolg kan een substantiële omzetdaling zijn. Ziekte van het personeel heeft een bedrijf meestal niet, of niet helemaal, in de hand. Net zomin als ?bijvoorbeeld een afgebrand pand, een failliete leverancier of een financiële recessie. Maar dat wil niet zeggen dat je er niet op voorbereid kunt zijn. Dat is precies waar het bij risicomanagement om gaat: hoe structureer je bedrijfsprocessen op een zodanige wijze, dat je altijd rekening houdt met het optreden van risico’s?’

Verschillende niveaus
Bedrijfsvoering kent verschillende soorten risico’s, die op verschillende niveaus van de organisatie spelen. Globaal onderscheiden we vier soorten: strategische, operationele en financiële risico’s, en risico’s die het gevolg zijn van het niet voldoen aan gestelde normen, beter bekend als compliance. ‘Traditioneel gezien is er veel aandacht voor risico’s op financieel en compliancegebied. Maar uit onderzoek blijkt dat de grootste risico’s zich op strategisch en operationeel gebied bevinden’, vertelt Ernst Stoelhorst.

Waarde toevoegen
Strategische risico’s hangen samen met de keuzes die een bedrijf op het hoogste niveau maakt. Daarbij spelen vragen als: Richten we ons wel op de juiste activiteiten? Hebben we de juiste doelgroepen voor ogen? Pakken we het op de juiste manier aan? Laten we geen kansen liggen? Stoelhorst illustreert dit met een voorbeeld: ‘Tijdens de risicoanalyse bij een staalproducent bleek dat er gedurende het productieproces veel energie vrijkwam, waar niets mee werd gedaan. Dit werd als kans opgemerkt. Zo ontstond het idee om de processen verder te optimaliseren en de energie terug te verkopen aan de stroomleverancier. Bij risicomanagement op strategisch niveau gaat het niet primair om het voorkomen of beperken van schade, maar om de vraag of – en zo ja hoe – de bedrijfsvoering beter kan. Risicomanagement identificeert tekortkomingen en kansen, stimuleert vervolgens de optimalisatie van de bedrijfsvoering en kan daarmee dus ook waarde toevoegen aan het bedrijf.’

Reduceren van fouten
Operationeel risicomanagement gaat over de risico’s die een bedrijf loopt in de operationele processen. Houdt iedereen zich goed aan de afgesproken protocollen? Zijn belangrijke computerprogramma’s afdoende beveiligd? Hoe te handelen bij de constatering dat een leverancier niet voldoet aan de kwaliteit, zoals afgesproken? Dit zijn enkele voorbeelden uit de operationele praktijk binnen een organisatie, waar risico’s mee gemoeid kunnen zijn. In het voorkomen van of beschermen tegen deze risico’s gaat het vaak om het reduceren van fouten door menselijk handelen. Daarnaast gaat het om het doen van investeringen in beheersmatige of beveiligingsinstrumenten, bijvoorbeeld beveiligingssoftware.
Bij financiële risico’s gaat het om zaken die het bedrijf geld kunnen kosten op het moment dat het misloopt. Hoe ga je bijvoorbeeld als verzekeraar om met het risico dat een cliënt met grote leningen arbeidsongeschikt kan worden? Ten slotte zijn er risico’s die te maken hebben met compliance. Dit is een specifieke vorm van een financieel risico dat samenhangt met het niet naleven van wet- en regelgeving of het niet voldoen aan industriële standaarden of gedragscodes. De gevolgen hiervan kunnen groot zijn; niet alleen door boetes of het mislopen van orders, maar ook dooraantasting van de reputatie van het bedrijf.

Cyclische activiteit
Risicomanagement begint met het inventariseren van de risico’s: de risicoanalyse. Wanneer een bedrijf hiermee start, moet intern consensus bestaan over de bedrijfsdoelstellingen en prioriteiten. ‘De consensus hierover is lang niet altijd aanwezig’, stelt Stoelhorst. ‘Vaak zien we een spanningsveld tussen de belangen van een inkoop- versus een verkoopafdeling, hoewel ze zich voor dezelfde doelstellingen inzetten. Wat de één als een risico ervaart, kan de ander juist als een kans interpreteren en wat voor de een heel belangrijk is, kan de ander ervaren als een bijzaak. De analyse kan hierdoor een vrij lastige exercitie worden, waarbij ondersteuning van een neutrale of externe partij handig kan zijn.’
Als er overeenstemming is over de bedrijfsdoelstellingen en de bedrijfsrisico’s, kan de risicostrategie worden uitgestippeld. ‘Essentieel hierin is de keuze die je maakt over het wel ?of niet bewust nemen van risico’s. Bij bewust ?genomen risico’s gaat het om de vraag hoe de impact te beperken op het moment dat het fout gaat. Maar je kunt ook kiezen voor een strategie gericht op het minimaliseren van ?risico’s. Hierbij komen regels kijken die je verwerkt in de procedures en vastlegt in protocollen en handboeken.’

Als de risicostrategie is vastgesteld, volgt de fase waarin het ‘managen’ van de risico’s echt begint. Stoelhorst: ‘In deze fase is het zaak om de gekozen maatregelen daadwerkelijk te integreren in de dagelijkse werkzaamheden. Zo zal een restaurant maatregelen willen treffen om brand te voorkomen en de impact van een eventuele brand te minimaliseren. Bijvoorbeeld door de installatie van een sprinkler-?installatie.’
In het verlengde van het ‘managen’ ligt de ?activiteit waarin je over de genomen maat-?regelen rapporteert en hun effectiviteit ?evalueert. Vervolgens begint de cyclus weer opnieuw, met het in kaart brengen van de ?risico’s, de strategiebepaling, enzovoort. ?Risicomanagement is, net als de meeste ?andere beheersinstrumenten, een cyclische ?activiteit, die je gestructureerd aanpakt en waar je continu mee bezig bent.’

Kleinere bedrijven
Hoe zit het met de kleinere onderneming waar een klein team alle activiteiten moet oppakken? Ernst Stoelhorst: ‘Iedere ondernemer, groot of klein, is gebaat bij risicomanagement. Sterker nog, risicomanagement maakt tegenwoordig in veel landen en wetgevingen onderdeel uit van de corporate governance voorschriften. Wat verschilt, is de manier waarop je het oppakt en in je bedrijfsvoering integreert. Sommige grote bedrijven, vooral banken en verzekeraars, hebben in de organisatie een speciale afdeling risicomanagement. Voor een kleinere onderneming is dit niet haalbaar. Daar wordt het vaak erbij gedaan. Uit ervaring blijkt dat de financiële afdeling een goede plek is om deze activiteit te beleggen, of in elk geval te initiëren, omdat daar vanuit financieel oogpunt al vaak een goed beeld is van de kwetsbare kanten van het bedrijf. Het is wel van belang om ook de andere bedrijfsdisciplines erbij te betrekken. Want risico’s kunnen zich binnen iedere afdeling voordoen. Interne audits zijn een goede werkwijze om het op te pakken, zeker in een kleinere organisatie, waar we vaak zien dat MT-leden dit proces trekken, al dan niet gefaciliteerd door een gespecialiseerd bedrijf.’

Sturing en beheersing
Stoelhorst is ervan overtuigd dat geen bedrijf zonder risicomanagement kan. ’Geen ondernemer wil nog zonder sturingsinformatie ?werken. Maar wat nog niet iedere ondernemer ziet, is dat beheersingsinformatie in de vorm van risicomanagement samen met sturingsinformatie leidt tot  value management van de organisatie. Value management beoogt aan de ene kant te behouden wat je hebt en aan de andere kant meer waarde genereren. Sturing en beheersing gaan samen – waarde vergroten doe je als manager door een gestructureerde en geïntegreerde benadering van alle aspecten van de bedrijfsvoering.’

Risicomanagement:  wat kunt u doen?

1. Werk vanuit het besef dat uw bedrijfsdoelstellingen, net als bij al uw andere activiteiten, ook voor uw risicomanagement leidend moeten zijn. Zorg dat u binnen het bedrijf op één lijn zit voor wat betreft de definitie van de kansen en bedreigingen. Pas dan heeft het zin om  een risicomanagementstrategie te ontwikkelen.
2. Breng risicomanagement regelmatig in als gespreksonderwerp binnen uw bedrijf. De controller of financiële afdeling is een goede plek om hiermee te beginnen omdat de betrokken employees over het algemeen vanuit financieel perspectief al een goede kijk hebben op de zwaktes en risico’s van het bedrijf. Zorg dat u het onderwerp daarna ook vanuit de andere disciplines in uw bedrijf behandelt. Want uit onderzoek blijkt immers dat de grootste risico’s lang niet altijd van financiële aard zijn.
3. Zorg dat u voldoende stilstaat bij de activiteiten die u reeds onderneemt op het gebied van risicomanagement. Wellicht vormen deze maatregelen al een goed fundament voor de uitbouw en integratie van risicomanagement binnen uw bedrijfsprocessen.
4. U kunt zich laten informeren door iemand van een gespecialiseerd adviesbureau. Een analyse van enkele uren, waar in elk geval uw controller of hoofd financiële zaken bij aanwezig is, kan soms al voldoende zijn om u goed op weg te helpen met de aanpak van risicomanagement binnen uw bedrijf.