Het is tijd om riskmanagement – bedrijfsrisico’s beheren en hierop anticiperen – naar een hoger niveau te tillen. Riskmanagement kan namelijk toegevoegde waarde creëren voor een organisatie, haar strategische positionering en de bedrijfsprocessen.
Dossier aangeboden door KPMG.

KORT

  • Riskmanagement is een strategische functie die helpt interne en externe risico’s te identificeren en beheersen
  • Door riskmanagement te integreren in de bedrijfsvoering, kun je betere beslissingen nemen
  • Door risico’s niet louter als iets negatiefs te beschouwen, ontstaan heel wat opportuniteiten
  • Risicobeheersing, zowel op niveau van de organisatie als de processen, moet dus deel uitmaken van het dagelijks goed bestuur binnen een bedrijf

Strategisch organiseren
Els Hostyn is partner bij Risk Consulting en Business Leader van de afdeling Internal Audit, Risk & Compliance Services en Forensic van KPMG Advisory. Meteen heel wat termen die enige verduidelijking kunnen gebruiken. Wat is riskmanagement en wat is de rol van de afdeling interne audit? Els Hostyn: “Riskmanagement komt erop neer dat organisaties risico’s identificeren en evalueren op alle domeinen van de bedrijfsvoering. Dit is de verantwoordelijkheid van zowel de raad van bestuur als het management. Het gaat dan niet alleen over interne risico’s zoals procedures, personeel, financiën … maar ook over externe risico’s: hoe evolueert de regelgeving, wat doet de concurrentie, hoe zit het met mijn afhankelijkheid van toeleveranciers? Met andere woorden: hoe moet ik me als bedrijf strategisch organiseren en anticiperen vanuit een risico-oogpunt?”

Interne audit werkt ten behoeve van de raad van bestuur, het auditcomité en het management. Het is een onafhankelijke (al dan niet uitbestede) functie binnen een organisatie die via de evaluatie en het testen van interne controles analyseert en evalueert of de risico’s genoeg beheerst worden. Deze afdeling maakt analyses en formuleert aanbevelingen. Zo kan het risicomanagementsysteem op zich ook door interne audit als proces geëvalueerd worden.

Risico als opportuniteit
In tijden van verandering en digitale disruptie is riskmanagement een vitale functie in een organisatie, die echter vaak niet ten volle wordt benut en nog onvoldoende op strategisch niveau in het management is ingebed, stelt Els Hostyn. “In de praktijk stellen we vast dat riskmanagement wel goed is voor een pagina in het jaarverslag omdat het nu eenmaal moet, maar veel te weinig wordt aangewend als een strategisch instrument. Bedrijven zijn zich doorgaans wel bewust van risico’s in een veranderende omgeving met toenemende concurrentie, maar vaak benaderen ze riskmanagement onvolledig en onvoldoende gestructureerd. Vandaag moet je veel ruimer kijken dan de bekende horizonten, omdat er ook concurrentie uit onverwachte hoek kan opduiken. Er kunnen andere spelers op de markt opduiken die een bedrijf overbodig maken, een wijziging van businessmodel vereisen of innovatie opdringen. Evengoed kunnen er nieuwe opportuniteiten ontstaan. Denk bijvoorbeeld aan Uber, de evolutie naar zelfrijdende auto’s, 3D-printing, big data, robotics  of blockchain. Als je goed weet wat de strategische risico’s zijn, kun je op opportuniteiten inpikken en betere beslissingen nemen rond de oriëntatie en organisatie van het bedrijf. Om dat te bewerkstelligen, is het belangrijk dat riskmanagement geen apart maar een geïntegreerd proces is.”

Heat map
Risico’s in kaart brengen en strategisch inzetten: hoe begin je daaraan als bedrijf? Els Hostyn: “In de praktijk begeleiden we bedrijven om een gestructureerd riskmanagementproces op te zetten. Vanuit gesprekken met de raad van bestuur, het auditcomité en managers uit alle geledingen van het bedrijf wordt een eerste ‘heat map’ gedistilleerd.

Zo’n heat map toont in één oogopslag de belangrijkste risico’s op het gebied van strategie, positionering van het bedrijf, concurrentie, klanten, businessmodel, productportfolio, regelgeving, HR, finance en andere deelgebieden. Vervolgens bepalen we prioriteiten in functie van de impact en de waarschijnlijkheid dat deze risico’s zich voordoen. Deze informatie wordt als input gebruikt voor workshops, waaruit de nodige acties voortvloeien.”

Vragen die aan bod komen tijdens dergelijke workshops zijn bijvoorbeeld: hoe gedragen uw concurrenten zich in de markt? Hebt u daar voldoende zicht op? Hoe is uw productportfolio samengesteld en voldoet hij aan de wensen van de markt? Bent u als bedrijf voldoende gediversifieerd op het vlak van producten, regio’s en klanten? Met welke wijzigingen op het gebied van wet- en regelgeving zal u geconfronteerd worden, volgt u deze evolutie op en hoe reageert het bedrijf hierop? Hoe zit het met uw afhankelijkheid van leveranciers?

Dat zijn veel vragen en dus onvermijdelijk ook heel wat to do’s, maar opnieuw ook veel opportuniteiten om een bedrijf te differentiëren in de markt. Els Hostyn: “Taking care of risk is part of doing business. Risicobeheersing moet daarom deel uitmaken van het dagelijks goed bestuur binnen een organisatie. Riskmanagement kan input geven voor de strategie en/of inzicht geven rond de risico’s die het behalen van uw strategie kunnen beïnvloeden.”

“Om een concreet voorbeeld te geven: bij een metaalproductiebedrijf toonde de heat map na een screening van alle leveranciers dat een bepaald productonderdeel elementair was. Zonder dit onderdeel zou de volledige productie stilvallen. Maar het onderdeel was afkomstig van een leverancier uit het noorden, bovendien de enige bestaande leverancier. Dat brengt een aantal risico’s met zich mee, die mits goede planning en organisatie beheerst kunnen worden. Wat als de vulkaan Eyjafjallajökull nog eens uitbarst en de leveringen uit het noorden stilvallen? Kan er geen alternatieve leverancier gevonden worden in een andere regio om het onderdeel te produceren? Of is er geen designoplossing denkbaar om de productieketen minder afhankelijk te maken van dat ene cruciale onderdeel? Een riskmanagementoefening kan inzicht geven in en de aandacht vestigen op deze pijnpunten en opportuniteiten tot wijziging in de strategie.”

Riskmanagement op procesniveau
Adequate interne controles helpen om risico’s op procesniveau te beheersen. De interne auditfunctie evalueert deze processen, maar het management is in eerste instantie verantwoordelijk om de interne controle in de processen goed uit te bouwen en op te volgen.

Interne controle is ook belangrijk om fraude te vermijden en detecteren. Els Hostyn: “Bedrijven weten dat fraude gepleegd kan worden, maar verwachten dat niet in eigen huis. Dat is helaas een illusie, net zoals het onmogelijk is om fraude helemaal uit te sluiten. Maar je kunt wel systemen en controles opzetten om fraude zo snel en zo efficiënt mogelijk op te sporen. Een open cultuur kan ertoe leiden dat signalen sneller worden gerapporteerd.”

Een ander gebied waarop bedrijven soms kansen laten liggen omdat ze ertegen opkijken, is compliance: in orde zijn met de interne procedures en externe wet- en regelgeving. Els Hostyn: “Het is weinig nuttig om negatief te kijken naar alweer nieuwe regels rond bijvoorbeeld douane of milieu. Het is beter om er zo snel mogelijk op in te spelen, zodat het bedrijf tijdig en beter georganiseerd is dan de concurrentie, ermee kan uitpakken en zo meer klanten kan aantrekken. Non-compliance leidt uiteindelijk ook tot meer kosten, denk aan boetes of reputatieschade. Het is beter nieuwe regelgeving zo snel mogelijk te integreren in de processen. De cultuur binnen een bedrijf is hier ook belangrijk: hoe kunnen we personeelsleden namelijk stimuleren de regels te volgen?”

Mindset
Risicoanalyse illustreert dat de antwoorden voor een belangrijk deel al in de organisatie aanwezig zijn, maar dat een externe consulent kan helpen door een framework aan te bieden om te leren focussen op risico’s, er een overzicht van te krijgen, de organisatie uit te dagen op het vlak van strategie en acties te bepalen om de juiste mindset te ontwikkelen. Els Hostyn besluit: “Een goede risicoanalyse kan een belangrijk concurrentieel en strategisch voordeel bieden. Want door niet langer negatief naar risico te kijken, maar juist goed voorbereid te zijn, ontstaan heel wat opportuniteiten.”