Wegwijzer Risicomanagement - Foederer DFK

Tweede herziene druk
ACCOUNTANTS & CONSULTANTS
Wegwijzer
Risicomanagement
Verbeter de continuïteit en waarde van uw onderneming!
Ondernemen betekent risico nemen, maar niet ongelimiteerd en tegen elke prijs.
Weten waar de risico’s liggen is belangrijk. Goed inzicht in de risico’s leidt ertoe
dat u weloverwogen keuzes kunt maken: welke risico’s zijn voor u aanvaardbaar
en welke niet? En welke maatregelen passen dan het best bij de risico’s die u niet
aanvaardbaar acht? Goed risicomanagement vereist een systematische aanpak.
Lees verder hoe u dit kunt doen, en hoe u deze bedreigingen vervolgens op een
goede manier beheerst. Zodat u uw bedrijfsdoelstellingen haalt en straks niet
voor onverwachte verrassingen komt te staan!
- 1 -

Wegwijzer Risicomanagement
Waarom risicomanagement?
Veel ondernemers staan niet graag stil bij mogelijke risico’s voor hun bedrijf. Het is aantrekkelijker
om te denken in kansen dan in bedreigingen. Toch ontkomt u er niet aan: risicomanagement
is fundamenteel voor uw ondernemingsresultaat op lange termijn en de waarde van uw onderneming
in zijn geheel. Bovendien zijn kansen en risico’s nauw met elkaar verbonden. Het aangaan
van een partnership kan bijvoorbeeld een grote kans zijn, maar misschien een nog groter
risico. En als u dit risico toch wilt nemen, is de vraag welke maatregelen u kunt nemen om uzelf
zoveel mogelijk in te dekken. Een nauwkeurige afweging is belangrijk; het liefst op een systematische
manier voor al uw bedrijfsprocessen. Dan pas is sprake van risicomanagement.
Risicopositie bepalend voor waardering en krediet
Voor de bank is goed risicomanagement een belangrijk criterium bij het verstrekken van krediet.
Vanaf 2008 is het nieuwe kapitaalakkoord Basel 2 voor alle Nederlandse banken van toepassing.
Uw onderneming wordt op grond van de risicopositie gewaardeerd. Bij een hoge risicopositie zal
de bank de rente over kredieten en leningen verhogen. Door goed risicomanagement verbeteren
uw kansen op een betere rating, krijgt u meer grip op de kosten en continuïteit van uw bedrijfsfinancieringen
en creëert u ruimte voor onderhandeling met de bank voor een lagere rente.
Risico en prijs
Vaak wordt er bij het bepalen van de verkoopprijs een standaardopslag voor winst en risico
gehanteerd. Goed inzicht in de risico’s leidt ertoe dat u een weloverwogen keuze kunt maken
ten aanzien van de in rekening te brengen opslag voor winst en risico. Wanneer uw concurrenten
een vaste opslag rekenen en u een reële inschatting kunt maken van het risico, kunt u bij
projecten waarvan u het risico laag inschat gefundeerd een betere prijs neerleggen. Bij projecten
waarvan u het risico hoog inschat kunt u overwegen om een hogere prijs in rekening te brengen.
Voordelen
De belangrijkste voordelen van risicomanagement zijn samengevat:
• verbeteren van uw concurrentiepositie, hogere marges;
• beter managen van bestaande processen;
• verbeteren van de continuïteit van uw onderneming, verminderen van onprettige
verrassingen;
• vergroten van de ondernemingswaarde en vertrouwen in de onderneming;
• het verzekerbaar houden van risico’s;
• versterken van uw onderhandelingspositie bij de bank (vanwege Basel 2).
Welke risico’s zijn er?
Een risico is de kans op het optreden van een gebeurtenis of omstandigheid die ertoe kan leiden
dat een doelstelling niet gehaald wordt. Veel risico’s zijn algemeen en van toepassing op bijna
alle ondernemingen, zoals bijvoorbeeld het verliezen van goede klanten, het niet kredietwaardigheid
blijken van afnemers, het niet kunnen werven of behouden van gekwalificeerd personeel,
falende interne processen of systemen en het nemen van de verkeerde beslissingen als gevolg van
onbetrouwbare informatie over de gang van zaken. Andere risico’s zijn specifiek voor uw onderneming,
zoals de branche of de markt waarin u actief bent.
Factoren
Veel interne en externe factoren kunnen invloed hebben op de resultaten, continuïteit en waarde
van uw onderneming. Denk aan:
- 2 -

Wegwijzer Risicomanagement
Externe factoren
• Technologische ontwikkelingen, zoals grotere beschikbaarheid van informatie, afname van
de kosten van infrastructuur en logistiek, toename van de vraag naar op technologie
gebaseerde producten en diensten.
• Natuurlijke oorzaken. Bijvoorbeeld: wateroverlast, storm, brand, een aardbeving of ziekte.
• Politieke omstandigheden; verkiezingen, nieuwe politieke agenda’s, nieuwe wet- en regelgeving
met als gevolg toename of beperking van import- of exportmogelijkheden, verlaging
of verhoging van de belastingen.
• Economische omstandigheden zoals; recessie, inflatie, verandering in besteedbaar inkomen,
koersval op de beurs, beschikbaarheid van kapitaal en krediet, lagere toetredingsdrempels
voor concurrenten.
• Maatschappelijke ontwikkelingen: wijzigingen in demografische opbouw, sociale gebruiken,
gezinssamenstelling, balans tussen werk en vrije tijd, agressie, vandalisme, terroristische
activiteiten.
Interne factoren
• Infrastructuur, denk aan: grote investeringen voor preventief onderhoud of verbeteren van
de klanttevredenheid.
• Personeel; ongelukken op de werkplek, fraude, afloop van contracten en CAO’s, stakingen.
• Processen; fouten in de uitvoering van het proces, inefficiency, klantontevredenheid, verlies
van vervolgopdrachten of boetes als gevolg van het overtreden van wet- en regelgeving.
• Technologie. Bijvoorbeeld: beveiligingsproblemen, niet beschikbaar zijn van systemen met
als gevolg achterstanden, fraude, onbetrouwbare informatie of discontinuïteit van de
onderneming.
Doelstellingen
Risicomanagement richt zich op vier categorieën van doelstellingen:
• Wet- en regelgeving: het naleven van voor de onderneming relevante wet- en regelgeving.
• Financieel: het verstrekken van betrouwbare informatie over de onderneming.
• Strategisch: globale doelstellingen afgeleid en ter ondersteuning van de missie van de
onderneming.
• Operationeel: efficiënte en effectieve inzet van de bedrijfsmiddelen.
Stappenplan
Goed risicomanagement bestaat uit vier stappen:
1. Inventariseren van de risico’s
2. Beoordelen van de risico’s
3. Bepalen van maatregelen
4. Volgen van de ontwikkelingen en bijsturen
Stap 1 Inventariseren van de risico’s
Goed risicomanagement begint met het bewust onderkennen van kansen en risico’s voor de
onderneming. Vanuit het perspectief van de ondernemingsdoelstellingen inventariseert u op een
gestructureerde en consistente wijze de belangrijkste risico’s.
Ter voorbereiding op de risico-inventarisatie is het van belang dat alle betrokkenen een duidelijk
beeld hebben van de doelen die de onderneming de komende periode wil realiseren, de specifieke
kenmerken van de business, de omgeving waarin u opereert en externe beperkingen zoals
wet- en regelgeving. Mogelijk maakt deze informatie al deel uit van uw ondernemingsplan.
De uitkomsten van de inventarisatie kunnen worden vastgelegd in een zogenaamd risicoregister:
een lijst met mogelijke risico’s. Kansen die tijdens het proces van risico-inventarisatie worden
geïdentificeerd neemt u op in het strategisch planningsproces en u houdt hiermee rekening bij
het bepalen van de doelstellingen voor de komende periode.
- 3 -

Wegwijzer Risicomanagement
Er zijn veel verschillende methoden om risico’s te identificeren. Twee in de praktijk veel gebruikte
methoden zijn hieronder kort toegelicht.
Checklists
Een risico-inventarisatiechecklist is een meer of minder lange lijst van aandachtspunten en
vragen over mogelijk aanwezige risico’s. Aan de hand van deze lijst stelt u een overzicht samen.
Wees bij het formuleren van de risico’s zo specifiek mogelijk. Beschrijf zo duidelijk mogelijk de
gebeurtenis of omstandigheden en de mogelijke gevolgen. Dit maakt de uitkomsten waardevoller
en de beoordeling van de risico’s bij de hiernavolgende stap een stuk eenvoudiger. U kunt
dergelijke checklists zelf samenstellen of gebruik maken van standaardlijsten en deze waar nodig
aanvullen en bedrijfsspecifiek maken. Kijk bijvoorbeeld op: www.rie.nl.of op de site van MKB
Nederland (www.arbo.mkb.nl/RIE).
Brainstorm/ workshop
Het kan ook heel nuttig zijn om een bijeenkomst te organiseren, om zo veel mogelijk risico’s op
een gestructureerde manier in kaart te brengen. Hierbij zijn verschillende werkwijzen mogelijk
met elk voor- en nadelen. Een combinatie van methoden zal veelal het beste resultaat opleveren.
Stap 2 Beoordelen van de risico’s
Deze stap bestaat uit het analyseren van de geïdentificeerde risico’s, weging en prioriteitsstelling
ten aanzien van te nemen maatregelen. Bij het beoordelen van risico’s staan twee vragen centraal:
- Hoe groot is de kans dat een risico tot schade leidt?
- Als het risico schade tot gevolg heeft, hoe groot kan die schade dan maximaal zijn?
De kans en het gevolg kunt u weergeven in een risicoprofiel. In het risicoprofiel positioneert u
risico’s met als doel te bepalen welke risico’s primair uw aandacht verdienen. Hieronder ziet u
een voorbeeld van een risicoprofiel.
Risicoprofiel
Kritisch
Gevolg
Laag Gemiddeld Hoog
2
1
3
4
5
Laag Gemiddeld Hoog
Kans
U kunt het risicoprofiel intuïtief samenstellen en de kans en gevolgen kwalitatief uitdrukken, bijvoorbeeld
in laag, gemiddeld en hoog. De definities van laag, gemiddeld en hoog zullen variëren,
afhankelijk van de omvang van uw onderneming en de aard en omvang van de doelstellingen.
- 4 -

Wegwijzer Risicomanagement
De vraag is of dit voor u voldoende waarde heeft. Voor sommige risico’s kan het nodig zijn
meer gedetailleerde of kwantitatieve inschattingen te maken, waarbij gebruik wordt gemaakt
van actuele en historische gegevens en statistieken. Hiervoor zijn een veelheid aan geavanceerde
methoden en technieken beschikbaar.
Stap 3 Bepalen van maatregelen
Met het risicoprofiel heeft u inzichtelijk waar uw prioriteiten in te treffen maatregelen liggen. Per
significant risico stelt u vervolgens vast op welke wijze(n) dat risico momenteel beheerst wordt en
welke verbeteringen daarin gewenst zijn. Hierbij is het van belang een bij uw onderneming passende
combinatie van maatregelen te vinden aan de hand van een van de volgende strategieën:
• Accepteren van het risico, dus: het risico’s bewust nemen.
• Vermijden van de risicovolle activiteiten
• Delen met of overdragen van het risico aan derden die beter het risico kunnen dragen.
• Reduceren van het risico, het implementeren van maatregelen in de interne organisatie om
de risico’s te verkleinen.
Maatregelen neemt u om de gevolgen van risico’s of de kans dat het risico zich voordoet te beperken.
Hieronder volgen per strategie een aantal voorbeelden:
Vermijden
- afstoten van een bedrijfsonderdeel, productlijn of geografisch segment
- beslissen geen nieuwe initiatieven of activiteiten te ontwikkelen die bepaalde risico
met zich meebrengen.
Delen of overdragen
- verzekeren van grote onverwachte verliezen
- gebruik maken van leasing en factoring
- aangaan van een joint venture/partnership
- uitbesteden van bedrijfsprocessen (outsourcing)
Reduceren
- verscheidenheid aanbrengen in het productaanbod
- beveiligingsmaatregelen bijvoorbeeld permanente bewaking, beschermhekken rond
het gebouw
- aantrekken van nieuwe mensen, instructie en opleiding
- versterken van de maatregelen van interne controle, bijvoorbeeld vaststellen van
limieten, richtlijnen voor klantacceptatie, scheiden van kritische functies, invoercontroles
of data-integriteitscontroles.
Accepteren
- accepteren van het risico omdat het binnen de risicotolerantie valt
- vertrouwen op natuurlijk evenwicht binnen de portefeuille
Welke maatregelen u kiest ten aanzien van een gegeven risico is geen eenvoudige beslissing. Uw
keuze zal bijvoorbeeld afhangen van de aard en omvang van de risico’s die u als ondernemer
wilt nemen en een kosten- en batenafweging.
Ter afronding deze stap kunt u een overzicht samenstellen waarin per bedrijfsdoelstelling de
uitkomsten van de initiële risicoanalyse, de maatregelen en het restrisico worden gepresenteerd
zoals opgenomen in het volgende voorbeeld.
Op basis van informatie over de resterende risico’s kunt u beslissen of dit per doelstelling en in
totaal voor uw onderneming acceptabel is. Zo niet, dan zijn andere of aanvullende maatregelen
nodig om het resterende risico verder terug te dringen.
- 5 -

Wegwijzer Risicomanagement
Stap 4 Volgen van de ontwikkelingen en bijsturen
Nadat een eerste risico-inventarisatie is uitgevoerd en maatregelen zijn bepaald, volgt u de
gebeurtenissen en omstandigheden die zich voordoen en kijkt u wat hiervan het effect is op de
realisatie van uw ondernemingsdoelstellingen. U evalueert het eerder opgestelde risicoprofiel en
stelt waar nodig de eerder gedane inschattingen en genomen maatregelen bij.
Veel ondernemingen gebruiken hiervoor een dashboard om de risico’s te monitoren. Een risicodashboard
kan de volgende vorm hebben:
Gevolg
Risicoprofiel
Laag Gemiddeld Hoog
4
Kritisch
Laag Gemiddeld Hoog
Kans
- 6 -

Wegwijzer Risicomanagement
Ieder kwartaal of halfjaar, bij het ondernemen van nieuwe activiteiten, bij belangrijke wijzigingen
in doelstellingen of de interne organisatie identificeert u nieuwe de risico’s en selecteert
hierbij benodigde maatregelen.
Tot slot
Er is een aantal belangrijke randvoorwaarden voor het goed functioneren van risicomanagement,
waaronder:
• Een adequate interne omgeving als basis voor risicomanagement. De cultuur en houding
ten aanzien van risico’s, integriteit, normen en waarden, de stijl van leidinggeven en de
wijze waarop beslissingsbevoegdheden en verantwoordelijkheden zijn verdeeld bepalen in
belangrijke mate hoe uw medewerkers tegen risico en risicobeheersing aankijken.
• De doelstellingen zullen moeten aansluiten bij de missie, visie van de onderneming en de
houding ten aanzien van risico.
• Periodiek of doorlopend evalueert u de goede werking van risicomanagement.
Waar nodig stelt u de aanpak bij.
Werkelijkheid niet altijd voorspelbaar
Alhoewel goed risicomanagement belangrijke voordelen biedt, kent het ook beperkingen. Het
zal u duidelijk zijn dat risico-inschattingen niet alles omvatten. Hoe goed we risico’s ook proberen
in te schatten, de werkelijkheid is veelal complexer dan we kunnen bevatten en schadepatronen
vertonen een grillig verloop. Vaak staan risico’s ook niet op zichzelf maar zijn een combinatie
van onverwachte gebeurtenissen. Ook kunnen er verkeerde beslissingen worden genomen,
maatregelen kunnen niet werken door menselijke fouten of vergissingen, of het management
legt genomen maatregelen naast zich neer.
Wat kan de FoedererDFK-Accountant voor u betekenen?
De FoedererDFK-Accountant kan u ondersteunen bij het opzetten, implementeren en evalueren
van risicomanagement, bijvoorbeeld bij:
• Het ontwerp van uw risicomanagementproces.
• Het inventariseren van risico’s verbonden aan de huidige activiteiten van uw onderneming.
• In kaart brengen van risico’s die gepaard gaan met nieuwe activiteiten die u wilt gaan
ontwikkelen.
• De beoordeling van de risico’s en de keuze van de maatregelen, die zicht geven op de relatie
tussen de risico’s, kosten en baten van de maatregelen.
• Het evalueren van de huidige wijze waarop binnen uw onderneming met risico wordt
omgegaan en het geven van advies ter verbetering.
- 7 -

Wegwijzer Risicomanagement
Bronnen
Claes, P.F. (2004). Risicomanagement. Wolters-Noordhoff bv Groningen/Houten.
Committee of Sponsoring Organisations of the Treadway Commission (COSO, 2004).
Enterprise Risk Management – Integrated Framework.
Davidson Frame, J. (2003). Managing Risk in Organizations, a Guide for Managers. Jossy-Bass,
San Fransisco.
Colofon
Auteur: drs. J,J. Kuiper RA
FoedererDFK
www.foedererDFK.com
2008, FoedererDFK
Niets uit deze uitgave mag worden vermenigvuldigd of gekopieerd zonder uitdrukkelijke toestemming
van de uitgever. De uitgever heeft bij de samenstelling naar uiterste betrouwbaarheid
en zorgvuldigheid gestreefd, maar kan niet aansprakelijk worden gesteld voor eventuele onjuistheden
en de gevolgen hiervan.
- 8 -