Veel mkb-bedrijven doen niet aan formeel risicomanagement. De verschillende risicomanagementraamwerken zijn veelal gericht op grote organisaties en risicomanagement wordt vaak onnodig omslachtig beschreven. Toch is risicomanagement ook voor mkb-bedrijven van belang. Cm: geeft handvatten hoe u dit kunt oppakken.
Mkb-bedrijven kunnen evenveel, of zelfs meer, belang hebben bij het toepassen van risicomanagement als grote organisaties. Voor mkb-bedrijven zijn de gevolgen van bepaalde risico’s qua omvang al snel relatief groot en daarnaast hebben zij veelal een groter aandeel van eigen geld in de onderneming. Oftewel, zij hebben skin in the game. Deze term, die voor het eerst door Warren Buffet werd gebruikt, verwijst naar de situatie waarin iemand binnen een bedrijf zelf geld investeert en dus een bepaald belang van continuïteit en slagen hierbij heeft.
Grotere kans op realisatie doelstellingen
Uit onderzoek blijkt dat veel mkb-bedrijven niet doen aan een adequate toepassing van risicomanagement, omdat de middelen hiervoor ontbreken. Zij zetten de beschikbare middelen liever in voor activiteiten waarmee direct geld kan worden verdiend, in plaats van op de toepassing van risicomanagement. Hiermee lijkt echter aan het belangrijkste doel van risicomanagement te worden voorbijgegaan, namelijk het vergroten van de kans op het realiseren van de organisatiedoelstellingen.
Lees ook: Alles wat u wilt weten over risicomanagement bij mkb-bedrijven
Risico is niet alleen een feestje van de controller
Als mkb-bedrijven al iets aan risicomanagement doen, komt dit in veel gevallen op het bord van de controller aangezien het qua werkzaamheden en scope ‘wel past bij diens takenpakket’. Helaas blijft het in veel van deze gevallen een ‘dingetje’ van de controller. Eén van de redenen is het motief om aan risicomanagement te doen: het moet van de accountant, de regelgever, de toezichthouder.
Om te zorgen dat risicomanagement breder in de organisatie wordt opgepakt, is de wijze waarop intern vanuit de leiding wordt gecommuniceerd én gehandeld erg bepalend (tone at the top). Door het zonder ondersteuning bij de controller neer te leggen, straal je als leidinggevende namelijk niet uit hier enorm belang aan te hechten. Risicomanagement kan dan overkomen als een ‘moetje’ in plaats van als noodzakelijk. Daarbij komt in enkele gevallen ook nog dat veel controllers van huis uit gewend zijn om vooral terug te kijken in de tijd, terwijl risico’s zich in de toekomst bevinden.
Valkuilen
Wanneer wel een poging wordt gedaan om formeel risicomanagement te implementeren, is het vaak niet succesvol. Als reden worden verschillende factoren genoemd. Genoemde factoren zijn gebrek aan kennis en vatbaarheid voor cognitieve biases (valkuilen). Denk daarbij aan de beschikbaarheidsvalkuil en de valkuil van verankering. Deze valkuilen gelden voor mensen in het algemeen bij het maken van keuzes onder onzekerheid. Tversky en Kahneman (1974) toonden het gebruik van deze vuistregels en valkuilen reeds aan. Een andere, genoemde valkuil is overconfidence. Overconfidence ontstaat doordat mensen blind zijn voor hun eigen blindheid (Kahneman, 2011). Daardoor ontstaat een onterecht zelfvertrouwen en een onderschatting van de situatie. Bij dergelijke valkuilen is het bewustzijn van valkuilen al een belangrijk winstpunt. De vervolgstap is jezelf en collega’s te behoeden tegen deze valkuilen. Dit kan bijvoorbeeld door je te baseren op statistieken en feiten, maar ook door niet op basis van kleine steekproeven of emoties te acteren.
Gebrek aan kennis
Naast de valkuilen is ook het ontbreken van de kennis van risicomanagement een reden van falen. Binnen mkb-bedrijven is kennis over risicomanagement veelal alleen informeel aanwezig. De aanwezige kennis zit in de hoofden van één of enkele personen, maar is niet geborgd in de organisatie. Door het ontbreken van middelen en kennis ontstaat de mogelijkheid voor externe adviseurs om deze rol in te vullen. Voorbeelden hiervan zijn trusted advisors als de accountant en de verzekerings- of risicomanagementadviseur. Je zou als bedrijf jezelf kunnen afvragen of en in welke mate je dat moet willen. Dergelijke adviseurs kosten de organisatie geld (zekere verliezen) en de afhankelijkheid van dergelijke derden wordt hierdoor alsmaar groter. Daarbij bestaat tevens de kans dat risicomanagement eveneens als complex wordt voorgeschoteld. Een prima alternatief is om dit intern laagdrempelig handen en voeten te geven.
Alternatieve toepassing van risicomanagement
Gelukkig is het niet zo dat mkb-bedrijven totaal niets aan risicomanagement doen. De perceptie van hoe risicomanagement zou moeten worden gedaan, wijkt alleen af van hetgeen binnen raamwerken wordt beschreven en als formeel risicomanagement wordt gezien. Uiteraard heeft iedere ondernemer te maken met risico’s. De vraag is hoe bewust en formeel hiermee wordt omgegaan. De omschrijving ‘ondernemen is risico nemen’ klopt, maar hierbij hoeft niet direct sprake te zijn van formeel risicomanagement. Ook een opmerking als ‘ik probeer continu kansen te benutten’ is te begrijpen, maar ook hierbij is niet direct sprake van formeel risicomanagement.
Het risicomanagementproces
Mkb-bedrijven voeren zo nu en dan delen van het risicomanagementproces (figuur 1) uit. Vrijwel alle bedrijven hebben voor zichzelf helder welke doelstellingen zij nastreven. Dit klinkt logisch en basaal, maar dit vormt binnen het proces wel de noodzakelijke beginschakel. De vervolgstappen zijn het identificeren van risico’s, het inschatten van de waarschijnlijkheid en het gevolg van de risico’s en het beoordelen wat voor effect de risico’s hebben op de organisatiedoelstelling.
Figuur 1. Visualisering van het risicomanagementproces (Van der Waal, 2019)
Positief is dat vanuit onderzoek blijkt dat ondernemers veelal in staat zijn om risico’s te herkennen, waaraan de onderneming direct wordt blootgesteld. Het is lastiger om indirecte risico’s op de ondernemersactiviteiten en de relatie tussen de risico’s te herkennen. Ander onderzoek toont aan dat er onwetendheid is rondom de interne en externe risico’s, die ook afkomstig zijn vanuit de ondernemende acties van de organisatie. Ondernemers opereren in zowel een macro-, meso- als micro-omgeving en deze omgevingen veranderen continu. Het is van belang om bewust te zijn van veranderingen in deze omgevingen om de organisatiestrategie toekomstbestendig te houden. Dit toont het belang aan om bewuster en formeler aan risicomanagement te doen.
De eerste stappen: bewustwording
Om deze eerste stappen van het risicomanagementproces uit te breiden, kunnen mkb-ondernemers beginnen met simpele stappen toe te passen. Denk bijvoorbeeld regelmatig(er) na over wat zou kunnen gebeuren wanneer bepaalde (externe) zaken zich voordoen. Houd het nieuws bij en vraag uzelf met regelmaat af ‘wat betekent dit voor mijn bedrijf?’ Dit vergroot het risicobewustzijn en kan zorgen dat u tijdig handelt.
Identificeren van risico’s
Door het vergroten van het bewustzijn over welke risico’s de doelstelling kunnen beïnvloeden, is het identificeren van risico’s al in gang gezet. Maak daarnaast ook direct een koppeling met de omvang van de risico’s door te kijken wat voor effect een eventueel risico heeft op het behalen van de doelstelling. Het is over het algemeen lastig om de waarschijnlijkheid van externe risico’s in te schatten. Wellicht zou je vanuit een mkb-bedrijf hier ook niet te lang bij stil moeten staan. Kijk wel goed naar de kans van optreden van interne risico’s.
Beheersmaatregelen
De logische vervolgstap is te kijken naar hoe om te gaan met beheersmaatregelen. Het is zeer zeker niet de bedoeling om voor alle risico’s maatregelen op te stellen of juist alle risico’s te vermijden. Het gaat erom dat risico’s verantwoord genomen worden. Onderzoek toont aan dat huidige technieken van risicomanagement die binnen mkb-bedrijven worden toegepast, voornamelijk gericht zijn op risicomijdende acties vanuit de organisatie zelf en in mindere mate op risico-overdracht, zoals verzekeren en factoring. In deze gevallen wordt wel iets aan maatregelen gedaan, maar veelal ter verkleining van het gevolg. Het lijkt erop dat weinig wordt geïnvesteerd in preventieve maatregelen, waarmee de waarschijnlijkheid of de oorzaak wordt verkleind (figuur 2). Dit valt te verklaren, want als je niet weet hoe groot de kans van optreden is, kun je hier ook lastig iets aan doen.
Figuur 2. Visualisering bow-tie (Hopkin, 2017) inclusief preventieve en repressieve maatregelen
Preventieve maatregelen
Mkb-bedrijven zouden zich dan ook meer kunnen richten op de preventieve maatregelen. Door het vergroten van het risicobewustzijn, kan de waarschijnlijkheid van risico’s al makkelijker worden verkleind. Het verkleinen van de waarschijnlijkheid van externe risico’s is lastiger dan bij interne risico’s het geval is. Ondanks dat kan bij externe risico’s afkomstig vanuit de meso-omgeving (bedrijfstak) wel de nodige invloed worden uitgeoefend, waardoor risico’s kunnen worden verkleind. Door als bedrijf bewust te zijn van het risicobeleid van bedrijven waarmee in de keten wordt samengewerkt, kunnen (strategische) keuzes gemaakt worden die de waarschijnlijkheid van een risico verkleinen. Denk hierbij aan het zoeken van andere partijen of waar mogelijk meerdere partijen (risicospreiding).
Monitoren
Het risicomanagementproces wordt gerond door het monitoren van de onderdelen. Er moet gekeken worden of de eerdere stappen nog actueel zijn en of ze nog werken. Hierbij gaat het zowel om de doelstelling, de risico’s als de maatregelen. Is de doelstelling nog aanvaardbaar en realistisch? Zijn de (cruciale) risico veranderd? Of zijn er risico’s bijgekomen of juist verdwenen? Zijn de getroffen maatregelen effectief en efficiënt? Moeten er nieuwe maatregelen worden opgesteld of moeten juist maatregelen verdwijnen?
Realiseer de organisatiedoelstellingen
Door deze stappen periodiek uit te voeren en vooral ook vast te leggen, is een verschuiving realiseerbaar van onbewust en/of informeel risicomanagement naar bewust en formeel risicomanagement. Door het op deze relatief luchtige manier te benaderen en ook uw GBV (Gezond Boeren Verstand) te gebruiken, hoeft risicomanagement echt niet onnodig ingewikkeld te zijn. Daarnaast hoeft het op deze wijze relatief weinig extra tijd te kosten, terwijl de doelstelling van risicomanagement dan wel wordt behaald. Risicomanagement gaat immers om het vergroten van de kans op het realiseren van de organisatiedoelstellingen.
Meer lezen
- Hopkin, P. (2017). Fundamentals of risk management: understanding, evaluating and implementing effective risk management. London: Kogan Page Publishers.
- Kahneman, D. (2011). Thinking, fast and slow. New York: Farrar, Straus and Giroux.
- Tversky, A. & Kahneman, D. (1974). Judgment under uncertainty: Heuristics and biases. Science, 185(4157), 1124-1131.
- Van der Waal, D. (2019). Inleiding risicomanagement. Bussum: Coutinho.
Auteur: Dennis van der Waal
Dennis van der Waal (MSc) is senior lecturer Risicomanagement en Gedragseconomie bij de opleiding Finance & Control en docentonderzoeker bij het lectoraat Risicomanagement & Gedrag van het Kenniscentrum Business Innovation van Hogeschool Rotterdam. Tevens is hij auteur van het boek Inleiding Risicomanagement.
Dit artikel is verschenen in cm: 2020, afl. 7
