Michiel Van den Keybus Michiel Van den Keybus
Tekst
Peter Ooms
Beeld
Wouter Van Vaerenbergh

Risicomanagement aligneren met strategie

30 April 2019
Durf transparant communiceren over risico’s
Het is belangrijk dat bedrijven het beheer van hun risico’s aligneren met hun strategie. Welke incidenten kunnen het behalen van de strategische doelstellingen in de weg staan? Daarop moet je werken, vinden de gesprekspartners aan de rondetafel.

Wat zijn de belangrijkste risico’s in uw organisatie?

Gwendolyne Verstraelen: Tom, jij bent een kredietmanager. Is het kredietrisico dan ook het toprisico in jullie organisatie?
Tom Vantyghem: Ja en dat zie je ook in de manier waarop Sioen het aanpakt. De kredietafdeling is goed uitgebouwd, heeft een strak plan van aanpak en een eigen systeem om de risico’s te analyseren. De andere risico’s in het bedrijf worden in een aparte cel beheerd. We hebben daarvoor iemand die verantwoordelijk is voor verzekeringen. Natuurlijk komen andere risico’s ook ter sprake op de raad van bestuur en in het auditcomité. Dat valt echter buiten mijn verantwoordelijkheid.
Marie Gemma Dequae: In mijn ervaring beschouwen de leden van de raad van bestuur het kredietrisico als een van de belangrijkste risico’s. Voor een risicomanager is het een hele stap vooruit om ook dat in portefeuille te hebben. Dan krijg je veel meer aandacht van de raad van bestuur. Het is ook belangrijk omdat je meer voeling met de klanten krijgt. Op die manier heb je een beter zicht op de belangrijkste processen in de organisatie. Bij Bekaert, waar ik mijn carrière als risicomanager begon, bouwde ik eerst de verzekeringsafdeling uit. Via de financiële risico’s kreeg ik ook impact op zaken als kwaliteit en transport.
Gwendolyne Verstraelen: Bij Elia is het kredietrisico niet het grootste risico. Wij beheren het hoogspanningsnetwerk in België en in een gedeelte van Duitsland via onze dochter 50Hertz. Onze operaties zijn grotendeels gereguleerd. De CREG (Commissie voor de Regulering van de Elektriciteit en het Gas) bepaalt de tarieven en dus ook onze marge. Als klanten niet zouden betalen, dan kan de regelgever tussenkomen om de kosten te laten vergoeden. Onze toprisico’s zijn deze die ertoe leiden dat we geen stroom kunnen leveren, met andere woorden risico’s die een black-out kunnen veroorzaken. Al deze risico’s worden ondergebracht in een overkoepelende bepaling, namelijk business continuity disruption. Denk hierbij aan natuurrampen, cyberaanvallen, terrorisme …

Hoe past het risicomanagement in de organisatie van het bedrijf? Aan wie rapporteert een risicomanager?

Tom Vantyghem: Mijn directe overste is de CEO. Daarnaast vragen het auditcomité en de raad van bestuur me om een stand van zaken te geven over de belangrijkste kredietrisico’s.
Gwendolyne Verstraelen: Ik rapporteer rechtstreeks aan de CFO, maar ook via een ‘stippellijn’ aan de CEO. Tegelijk moet ik minstens drie keer per jaar verslag uitbrengen aan het auditcomité en één keer per jaar rechtstreeks aan de raad van bestuur. Daar laat ik niet na om de bestuursleden te wijzen op hun verantwoordelijkheid. Uiteindelijk zijn zij medeaansprakelijk wanneer het bedrijf de risico’s niet correct aanpakt.
Marie Gemma Dequae: Dat klopt. De bestuurders zijn en blijven uiteindelijk verantwoordelijk. Zij moeten het overzicht hebben en zorgen dat ze de juiste informatie krijgen vanuit de organisatie. Dat laat hen toe te evalueren of de risico’s goed onder controle zijn. Mijn observatie is dat bestuurders vaak niet erg geïnteresseerd zijn in risicobeheer. Ik heb al in meerdere raden van bestuur gezeteld én in de auditcomités die eraan verbonden zijn. Het valt me op dat bestuursleden in het algemeen snel tevreden zijn met de rapporten die ze voorgeschoteld krijgen. Heel zelden komen er kritische vragen. Zelfs als die verslagen amper één A4’tje groot zijn. Vaak is het niet de risicomanager die de meeste informatie geeft, maar de interne auditor. Ik ben ook een tijd bestuurder geweest in de financiële sector. In deze sector schrijft de financiële reglementering een apart risicomanagementcomité voor, naast een apart auditcomité.
Tom Vantyghem: Ik vraag me wel af of de hiërarchische band tussen de risicomanager en de CFO of CEO soms een goed beheer niet in de weg staat.
Marie Gemma Dequae: In mijn ervaring wordt een CEO meestal ook uitgenodigd in het auditcomité. Een CFO zetelt gewoonlijk niet in de raad van bestuur, maar wordt meestal gevraagd om te komen rapporteren.
Tom Vantyghem: Mijn punt is dat een CFO in de eerste plaats een heel goed zicht heeft op de financiële risico’s. Wanneer die zelf inschattingsfouten maakt en de risico’s niet goed onder controle heeft, dan kan die CFO dat vrij gemakkelijk maskeren in de rapportering. Ik vraag me dan af hoe kritisch de bestuursleden hiernaar kijken.
Gwendolyne Verstraelen: Ik beschouw het wel degelijk als mijn verantwoordelijkheid om in alle openheid over de mogelijke risico’s te spreken. Ook als er financiële risico’s zijn, zal ik die bij mijn verslag aan de raad van bestuur ter sprake brengen. Daarover laat ik mij niet onder druk zetten.

Plan van aanpak

Hoe worden de risico’s aangepakt in uw bedrijf?
Tom Vantyghem: Het beheer van het kredietrisico bij Sioen steunt op een doorgedreven analyse van de kredietwaardigheid van onze klanten. Daarvoor hebben we eigen algoritmes uitgewerkt op basis van financiële data uit jaarverslagen en andere rapporten. Dat vullen we aan met informatie vanop het terrein en met gegevens die we aankopen bij de leveranciers van handelsinformatie. Op die manier weten we zeer goed waar de risico’s zich situeren en kunnen we kort op de bal spelen wanneer de bedrijven uit onze groep zakendoen met die specifieke klanten. Onze aanpak wordt afgerond met een excess of loss-verzekering, die ons alleen beschermt tegen grote calamiteiten. De premie is wel veel lager dan bij een klassieke kredietverzekering, op voorwaarde dat we kunnen aantonen dat we onze eigen procedures strikt navolgen.
Marie Gemma Dequae: Zo’n aanpak staat of valt met de kwaliteit van de informatie. Kan je dat volledig met eigen medewerkers doen? Hoe zit het met de landen waar bedrijven hun financiële cijfers niet publiceren?
Tom Vantyghem: Binnen Europa, waar we het grootste deel van onze omzet realiseren, valt dat best mee. Lange tijd was Duitsland het lelijke eendje op dat vlak. Daar bestond geen publicatieplicht. Intussen is de rechtspraak er veranderd, wat bestuurders aansprakelijk stelt als hun gebrek aan communicatie de oorzaak is van schade bij andere bedrijven. Door die uitspraak begonnen alle bedrijven meteen hun cijfers te publiceren in het Unternehmensregister. Sindsdien hebben we goede informatie over Duitse klanten.
Bij Sioen hebben we onze aanpak rond handelsinformatie van bijvoorbeeld Dun & Bradstreet aangepast. Wij willen niet meer betalen voor algemene rapporten met vooral data die we zelf ook al hebben. Intussen kopen we alleen die gegevens waarover we niet beschikken, zoals bijvoorbeeld over het betaalgedrag. Die manier van cherry picking maakt dat ons budget voor die informatie haast gedecimeerd is op enkele jaren tijd.
De resultaten van die aanpak zijn zeer goed, met heel lage verliescijfers. Tegelijk zien we in dat onze aanpak sterk steunt op de strakke integratie van alle entiteiten in ons centraal ERP-systeem. Op die manier heeft de kredietafdeling een goed zicht op de geplande verkopen en kunnen we bepaalde contracten en leveringen tegenhouden. Het zwakke punt blijft dat bedrijven die recent zijn overgenomen nog niet werken met het centrale systeem. De verliezen die we toch hebben geboekt, waren meestal hieraan toe te schrijven. Sioen doet regelmatig acquisities en dus vraagt dit heel wat van onze aandacht.
Gwendolyne Verstraelen: Bij Elia is het omvattende risicobeheer van recente datum. Toen ik drie jaar geleden startte bij Elia is me gevraagd om de gecentraliseerde aanpak, die gesteund is op één uniform kader, zelf op te zetten. Daarbij ben ik uitgegaan van de strategische doelstellingen van het bedrijf. De belangrijkste risico’s zijn dan die incidenten die het behalen van die doelen in gevaar brengen. Zoals gezegd, staat bovenaan onze lijst: keep the lights on. Dat plaatst heel onze werking meteen in een maatschappelijk perspectief en het maakt ons anders dan de meeste commerciële bedrijven. De focus op de strategische doelstellingen houdt ook in dat we kleinere operationele risico’s minder aandacht geven. Die worden immers opgevangen door het effectieve controlesysteem. Elia heeft nu een lijst met een tiental belangrijke categorieën van strategische risico’s gemaakt. Business continuity disruption is veruit het belangrijkste. Daarvoor kijken we onder andere naar de veranderende weersomstandigheden. Zeer sterke wervelwinden zijn bijvoorbeeld een gevaar voor de pylonen van de hoogspanningslijnen.
Een ander risico is dat er technische fouten optreden in een bepaald onderdeel van ons netwerk. Wij kopen bijvoorbeeld zeer grote hoeveelheden kabel. Als daar een technische fout in zit, kan die op heel veel plaatsen in onze infrastructuur terugkomen. Zeker als de problemen gelijktijdig optreden, kan dat ernstige gevolgen hebben.
Tom Vantyghem: Maar om dat te beoordelen, moet je een technische achtergrond hebben, niet?
Gwendolyne Verstraelen: Ik ben zelf econoom van opleiding. Ik leer nu meer en meer van die technische zaken kennen, maar ik blijf het allemaal bekijken vanuit een vogelperspectief. Voor mij komt het er veel meer op aan om ervoor te zorgen dat de juiste mensen die risico’s ook goed monitoren. Binnen onze risicostructuur blijven de directeurs en de afdelingshoofden verantwoordelijk voor de risico’s binnen hun domein. Ik kijk erop toe dat zij daar ook aan werken. Daarbij vind ik het wel belangrijk dat er transversaal wordt gekeken en niet te eng binnen de departementen zelf. Er is dus ook veel samenwerking nodig tussen die afdelingen. Een andere uitdaging is het transparant durven communiceren over risico’s. Het is onnodig om je als persoon geviseerd te voelen als je over risico’s communiceert. Er is soms weerstand tegen deze transparante cultuur die deel uitmaakt van het risicobeheer. Ik wil die weerstand overwinnen en dat moet beginnen aan de top: bij de raad van bestuur.

Evolutie in risicotype

Marie Gemma Dequae: In de voorbereiding van dit gesprek heb ik een aantal recente rapporten doorgenomen. Een heel opvallende evolutie is de opkomst van het risico van de emotionele belasting van medewerkers. Dat is goed op weg om een toprisico te worden. Een ander fenomeen is de toename van de reglementeringen en verplichtingen. In Europa en ons land verschijnen jaarlijks zesduizend bladzijden nieuwe wetteksten. Daardoor stijgt de kans dat een onderneming op een of andere manier niet in orde is en zich zo blootstelt aan strafprocedures en rechtszaken.
Michiel Van den Keybus: Horen daar dan ook boeteclausules bij?
Gwendolyne Verstraelen: Dat speelt in ons geval zeker een belangrijke rol. We opereren immers in een gereguleerde markt. Er zijn heel wat reglementeringen en verplichtingen waaraan we moeten voldoen, zoals een publicatieverplichting voor bepaalde gegevens. Daaraan zijn ook financiële consequenties verbonden.
Michiel Van den Keybus: Er zijn toch ook fiscale risico’s, de hoge boetes voor inbreuken op de GDPR-regels enzovoort. Wie beheert die?
Gwendolyne Verstraelen: Bij ons is dat de juridische dienst en de compliance officer. Ik vergader regelmatig met hen om zeker te zijn dat die risico’s goed beheerd worden.
Tom Vantyghem: In de kredietverzekering zie ik een belangrijke verschuiving van de landenrisico’s. Een recent fenomeen is dat waarbij landen schijnbaar toch ‘failliet’ kunnen gaan, iets waar vroeger nooit bij stilgestaan werd. Een voorbeeld daarvan was Griekenland. Daarnaast heb ik ook een probleem met China, waar een kredietbubbel ontstaat. Individuele bedrijven hebben daar zeer hoge schulden en de betalingen verlopen almaar moeilijker. Als dit zou escaleren naar een fundamenteel macro-economisch probleem, zullen de gevolgen voelbaar zijn voor al onze klanten in dat land én ver daarbuiten. China is misschien het voorbeeld bij uitstek, maar ook Ierland, de andere Bric-landen (Brazilië, Rusland, India, China) en Turkije hebben we in de gaten gehouden.
Gwendolyne Verstraelen: Via onze klanten zijn wij minder in contact met de Chinese markt, maar als hier een fundamenteel macro-economisch probleem ontstaat, zullen wij dit wel voelen. Ik zit regelmatig met de medewerkers van de operationele afdelingen samen om al deze nieuwe, opkomende risico’s te identificeren. Daaruit leer ik veel. Er is heel veel expertise aanwezig in onze organisatie. Door het overleg over een bepaald risico krijg je meer inzicht in manieren om het aan te pakken.
Marie Gemma Dequae: Het is niet alleen intern dat de expertise aanwezig is en groeit. Ik heb nog meegemaakt dat productielijnen stilvielen door de toenemende frequentie en ernst van blikseminslagen die de computergestuurde machines verstoorden. Dat was een gevolg van de klimaatverandering. Daar zijn dan technische oplossingen voor gevonden, waardoor die inslagen beter werden opgevangen zodat de storingen niet meer optraden.
Gwendolyne Verstraelen: In onze sector is er zelfs overleg tussen verschillende internationale bedrijven om de evolutie van bestaande en nieuwe expertisedomeinen en de daarbij horende risico’s te bespreken. Het gaat dan vooral om de bedrijven die ook binnen de energiemarkt opereren. Zo merken we dat bepaalde Europese transmission system operators (TSO’s) een aparte expertise beheren. Netbedrijven uit Spanje hebben al veel ervaring met het effect van zonne-energie op het netwerk. Een bijkomende uitdaging voor ons zijn de offshorewerken, zoals de bouw van de Nemo-hoogspanningsverbinding tussen het Verenigd Koninkrijk en België. Die kabel werd door de zeebodem getrokken en daarbij hebben we een resem oude bommen moeten opruimen. De moeilijkheid was dat we die wel konden lokaliseren, maar dat ze dan weer van plaats veranderden. De zeebodem blijkt een heel dynamisch gegeven, met veel beweging onder invloed van de stroming.
Ik stel vast dat het belang van cyberrisico’s snel toeneemt. Uit onze analyses blijkt dat de impact van een dergelijke aanval heel groot kan zijn. We nemen dan ook veel mitigerende maatregelen om dat risico te beperken.

Tom Vantyghem, Gwendolyne Verstraelen, Michiel Van den Keybus, Marie Gemma Dequae Vlnr: Tom Vantyghem, Gwendolyne Verstraelen, Michiel Van den Keybus, Marie Gemma Dequae