Marie Gemma Dequae Marie Gemma Dequae
Tekst
Philip Verhaeghe

Ook kmo’s moeten risico’s beheren

1 november 2021
Risicobeheer moet integraal deel uitmaken van goed management
Grote ondernemingen zijn al langer overtuigd van de noodzaak van een breed risicobeheersingssysteem en hebben er zich op georganiseerd. De Belgische vereniging van riskmanagers, Belrim, vindt het nu hoog tijd om ook de kmo te overtuigen van een deugdelijk risicobeheer.

Grote ondernemingen zijn al langer overtuigd van de noodzaak van een breed risicobeheersingssysteem en hebben er zich op georganiseerd. De Belgische vereniging van riskmanagers, Belrim, vindt het nu hoog tijd om ook de kmo te overtuigen van een deugdelijk risicobeheer.

Naar een risicocultuur in de organisatie

Risicomanagement schrikt veel kmo-ondernemers af omdat ze het spontaan associëren met bureaucratische, dure en tijdrovende processen. Maar dat hoeft niet zo te zijn. Daarom lanceerde Belrim een laagdrempelige brochure die de kmo-ondernemer enkele praktische handvatten aanreikt.

Op een recente ledenbijeenkomst presenteerde Marie Gemma Dequae, gewezen voorzitter van Belrim en de Europese federatie Ferma, en nog steeds lid van Belrims wetenschappelijk comité, er een beknopte publicatie ‘Praktisch risicomanagement voor kmo’s’. Ze schreef de handleiding samen met een andere specialiste, Sonja Janicijevic van AON Nederland.

Risicobeheer start in de bestuurskamer

De recente aanbevelingen in de nieuwe Unizo-code van goed bestuur bevatten een hoofdstuk ‘Risico, inzicht en controle’, dat de verantwoordelijkheid voor de inrichting van het risicomanagement ondubbelzinnig bij de bedrijfsleiding en de raad van bestuur legt.

De algemene redenering luidt samengevat als volgt:

Voor goed bestuur is risicomanagement van cruciaal belang. De raad van bestuur is verantwoordelijk om het risicobeleid van de onderneming te bepalen. Dat begint bij een correcte identificatie van alle soorten risico’s en een selectie van de prioritaire risico’s. Vervolgens moet er een strategisch risicobeleidsplan met een preventieluik en een intern controlesysteem opgesteld worden. Om dan doordachte beslissingen te blijven nemen, hebben de bestuursniveaus regelmatig geactualiseerde ondernemingsinformatie over het risicobeleid nodig. Dat kan je realiseren via een boordtabel op maat, met financiële en commerciële indicatoren en informatie over de kwaliteit, het personeel en de medewerking van externe adviseurs.

Marie Dequae beschouwt die ene pagina over riskmanagement als een aansporing om deze aanbeveling verder te concretiseren in een handige praktijkgids. Meer nog, ze vindt dat de riskmanagers van Belrim in menige kmo-adviesraad of als coach of mentor een cruciale bijdrage kunnen leveren om effectief een degelijke risicobeheersing te helpen organiseren.

Naar een risicocultuur

Risicomanagement vergt een grote betrokkenheid en een monitoring vanuit de raad van bestuur. Het kan alleen maar slagen als die daar actief op stuurt. Het risicobeleid vertrekt vanuit de eigen missie en strategie. De raad identificeert eerst en vooral de risicobereidheid voor de diverse aspecten van de bedrijfsvoering. Hoeveel risico wil je tolereren per activiteit of categorie: wat vind je aanvaardbaar, wat is een kritisch risico en wat is een onaanvaardbaar risico? Houd bij deze classificatie rekening met de financiële gevolgen, het productieproces, de reputatie, de compliance, de veiligheid enzovoort. Door daar vaak en bewust mee bezig te zijn, en via overleg, creëer je op termijn een risicocultuur. Risicobeheer is in elk geval veel meer dan het sluiten van voldoende verzekeringspolissen.

Externe, operationele en strategische risico’s

Omdat er zoveel verschillende soorten risico’s zijn, is het belangrijk om ze te classificeren. De auteurs bevelen hiervoor het risico-identificatiemodel van Kaplan en Mikes aan. Zij onderscheiden drie soorten risico's:

a) De externe risico's waarop je geen directe invloed hebt, maar waarop je wel kan anticiperen (wetgeving, conjunctuur, geopolitiek, pandemie …)

b) Een hele reeks interne, operationele én vermijdbare risico's (personeel, brand, defecten, diefstal, cybercrime, debiteuren, valuta …)

c) De strategische risico's die de organisatie bewust aangaat om haar doelen te realiseren met nieuwe markten of nieuwe producten. Deze categorie is een onderschat en ondergewaardeerd concept in risicobeheer. Dergelijke risico’s moet je niet per se willen vermijden als onwenselijk, je moet ze juist omarmen. Een bedrijfsstrategie met een hoog verwacht rendement vereist doorgaans dat je grote risico’s durft te nemen en onverwachte kansen durft te grijpen. De al dan niet opportunistische beheersing van deze risico's is dan juist een belangrijke drijfveer om het bedrijf sneller te laten groeien.

Wie daarover meer wil lezen, raden we ‘Managing Risks: A New Framework’ van Robert S. Kaplan en Anette Mikes In Harvard Business Review aan.

Risico’s inschatten

Door de omvang van al je risico’s preventief in te schatten, krijgt je organisatie al een beter beeld van de waarschijnlijkheid en de impact van een potentieel risico en van de totale risico-omvang. Deze inschattingen helpen bij het stellen van de prioriteiten. Om de risico’s vervolgens te verlagen, kun je zowel ingrijpen op de kans als op de impact. Tracht zoveel mogelijk experten op het gebied van dat risico bij deze tactische analyse te betrekken.

Marie Dequae stelt voor om alle risico’s overzichtelijk bijeen te brengen in een levende tabel die je regelmatig overloopt. Eerst kan je elk risico identificeren met een beschrijving, de oorzaken en de impact. Daarnaast komt de analyse, met de evaluatie van de impact en de waarschijnlijkheid waarvan de vermenigvuldiging een score oplevert. Ten derde beschrijf je de huidige beheersing en de acties die je aanvullend moet ondernemen. Per risico duid je een verantwoordelijke aan. Die zorgt dat de informatie actueel blijft en volgt de acties op.

Monitoring en opvolging

Omdat je de ontwikkelingen van nabij opvolgt, breng je mogelijk negatieve verrassingen goed in kaart, waardoor je ze sneller kan voorkomen of minimaliseren. Qua organisatie en proces pleiten de auteurs om de rollen en verantwoordelijkheden efficiënt toe te kennen en een jaarlijkse cyclus uit te werken voor de identificatie en monitoring. Idealiter is er een eindverantwoordelijke op bestuurs- of managementniveau en een coördinator voor alle processen en monitoring.

Als alle risico’s voor de onderneming goed geanalyseerd en geïdentificeerd zijn, geven de bestuurders aan welke risico’s de topprioriteiten zijn. Ook de financiële en operationele controle en opvolging van risico’s komt onder hun hoede.

Uiteindelijk integreer je het risicobeheer in je globale managementrapportering. Een boordtabel op maat van de onderneming biedt een leidraad en helpt de bedrijfsleider in het meten en opvolgen van resultaten, risico’s en kwalitatieve doelstellingen.

Vervolgens formuleer je je acties zo concreet mogelijk. Na verloop van tijd mag risicobeheer geen extra meetings meer vergen. Het moet integraal deel uitmaken van goed management. Verder is het ook interessant om de relatie met de interne en/of externe audit scherp te stellen.

Rol van de financieel directeur

Huidig Belrim-voorzitter Gaëtan Lefèvre is in het dagelijkse leven group risk, insurance & ethics manager bij de John Cockerill Group. Hij rapporteert rechtstreeks aan zijn cfo en linkt voor ons risicobeheer met financieel management. “In kmo’s laat de financieel directeur zich meestal ook in met de verzekeringsportefeuille. De praktijk om een risico pas te verzekeren nadat je het grondig in kaart hebt gebracht, is een eerste logische stap van risicomanagement. Zo geef je ook assurance aan je verzekeraar.”

Volgens Gaëtan Lefèvre is risicomanagement eerder een investering dan een kost. “Als je al je risico’s goed kent en maximaal beheerst, creëer je toegevoegde waarde. Wie niet wat tijd en middelen investeert in het in kaart brengen van mogelijke risico’s en het beperken van hun frequentie of impact, zal – als er zich een calamiteit voordoet – veel meer moeten betalen om de schade in te dijken.”

Cfo’s krijgen ook te maken met externe audits. “Dat is een vergelijkbare manier van denken als riskmanagement en dus ook een vorm van procesbeheersing. Riskmanagement komt steeds meer aan bod in de externe rapportering, de jaarverslagen en duurzaamheidsrapporten. Je kan daar natuurlijk maar transparant over zijn als je je huiswerk gemaakt hebt.”

Voor de voorzitter van Belrim is het duidelijk een no-brainer dat ook kleine bedrijven er alle baat bij hebben om een vorm van risicobeheer te ontwikkelen.

 

Group Casier: “Begin met een brainstormsessie per domein”

Sara Adam van Group Casier gaf een praktijkgetuigenis op het event. “Veel ondernemers ervaren riskmanagement nog te vaak als ‘zwaar’ en schrikken terug voor de dure en tijdrovende overheadkost. Veel kmo’s kunnen of willen geen tijd of middelen vrijmaken om er grondig over na te denken, het risicobeheer beter in kaart te brengen of bewuster met risico’s om te gaan.”

“Ik adviseer dergelijke bedrijven om eenvoudig te beginnen met een brainstormsessie per domein (brand, aansprakelijkheid, medewerkers, machines …) om dan alle mogelijke risico’s in kaart te brengen, ze te situeren naar belangrijkheid en van daaruit de beschermende oplossingen te kiezen. Er is gelukkig veel laaghangend fruit: als je van nul start, boek je al snel enkele mooie resultaten. Het is van levensbelang zich enkele wat-alsvragen te stellen om de evidente risico’s beter te beschermen. Een zaakvoerder die dat verzuimt, kan het voortbestaan van zijn onderneming in één oogwenk, letterlijk of figuurlijk, in rook zien opgaan. Het blijft natuurlijk maatwerk. Je kan niet alle kmo’s over dezelfde kam scheren. Ze verschillen te veel qua omvang en sector. De ene activiteit is veel complexer en risicovoller dan de andere.”

Gaëtan Lefèvre Gaëtan Lefèvre