Beter sturen op ketenrisico’s

Risicomanagement neemt een steeds belangrijkere positie in binnen bedrijven. Verschillende risico’s, zoals het risico dat een leverancier of klant failliet gaat, maar ook compliance- en reputatierisico’s, hangen allemaal met elkaar samen. Bovendien is het ketenlandschap door de globalisatie met name voor grote corporates steeds complexer geworden. Organisaties willen desalniettemin goed zicht houden op deze risico’s, want een gebrek aan zicht kan schade en daarmee kosten met zich meebrengen. Het niet voldoen aan belastingwetgeving bijvoorbeeld, kan een naheffing of boete tot gevolg hebben. Of het zaken doen met een persoon die op een sanctielijst staat, zoals Philips onlangs overkwam in Rusland. Dit leidt ook tot reputatierisico’s en cashflowrisico’s. De CFO kan hierop sturen en er maatregelen tegen nemen. Hiervoor heeft hij echter wel de juiste data nodig, die op het juiste moment aangeboden worden voor het maken van de juiste beslissingen. Geen abstracte risico’s meerCompliance als ketenrisico staat op de agenda, waardoor de behoefte is gestegen dit onderdeel goed te managen. Alleen al het nieuws over compliance-kwesties maakt het stijgende belang voor het risico duidelijk. Neem recentelijk bijvoorbeeld de problemen die Imtech hiermee ervoer, doordat een directeur van een dochterbedrijf zich niet aan de regels hield. Of Philips, dat zaken deed met een persoon waar sancties tegen waren geheven. Bedrijven merken sterker de gevolgen van compliance-overtredingen, waardoor zij vaker open staan voor oplossingen. Compliance is immers geen abstract risico meer; er zijn heldere cases waarin zeer duidelijk is dat bedrijven er veel schade door lopen. Om risico’s onder controle te brengen, is er behoefte aan standaardisatie in processen, wat leidt tot optimalisatie. Vanuit kostenperspectief is dat interessant, maar ook vanuit risicoperspectief. Duidelijk binnen de organisatie geïmplementeerd, valt er altijd naar een bedrijfsrisicobeleid te verwijzen en is de naleving ervan eenvoudiger te monitoren. Informatieproducten spelen bij monitoring een belangrijke rol. Het gaat dan vaak om deeloplossingen die helpen risico’s als supply chain risk, credit risk en compliance risk in kaart te brengen. Al deze producten vertalen informatie naar een geïntegreerd dashboard, waar een CFO op kan sturen. Neem bijvoorbeeld credit risk. Stel, een bedrijf heeft 50.000 klanten en een omzet van 20 miljard euro. Het wil dan weten welk risico het loopt als een klant op een gegeven moment zijn facturen niet meer kan betalen. Periodiek kan het de gezondheid van klanten analyseren. Met kennis uit eigen systemen, maar ook ingekochte Business Intelligence uit systemen van specialisten, met daarin markt- en bedrijfsinformatie. Al deze informatiestromen worden samengebracht in een dashboard, waarop in een oogopslag te zien is hoe risico’s in een portefeuille zijn verdeeld. ComplianceCompliance is een zeer breed begrip. Het kan bijvoorbeeld gaan om AML (Anti Money Laundering), het zaken doen met bedrijven die op sanctielijsten staan of om mensen die Politically Exposed Persons (PEP’s) zijn. Dat laatste is in het kader van strenge anti-omkoopwetgeving in landen als de VS en Groot-Brittannië zeer relevant. Hierop zijn controlemechanismen in te stellen, waardoor bijvoorbeeld extra goed opgelet kan worden wanneer er, direct of indirect, zaken gedaan wordt met iemand in het publieke domein. Het is mogelijk vaste controles in te voeren op bedrijven waarmee een organisatie zaken doet en op basis daarvan zijn risico’s in te schatten. Kanttekening is wel dat deze risico’s lastig te kwantificeren zijn, want de hoogte van boetes varieert en de effecten van reputatierisico’s zijn niet eenduidig meetbaar. Het beter inzichtelijk maken van kredietrisico’s is tevens iets waar veel bedrijven mee bezig zijn. Dit heeft uiteraard te maken met het voorkomen van schadeposten door niet betalende klanten, maar ook willen deze organisaties minder afhankelijk zijn van kredietverzekeraars, die de laatste jaren hun limieten hebben aangescherpt. Het in eigen huis halen van het credit risk-proces, maakt het daarnaast ook mogelijk betere relaties met klanten aan te gaan, doordat het bedrijf het proces van risicobeoordeling transparant kan maken. Iets wat ruimte schept voor een dialoog met de klant, bijvoorbeeld over voorwaarden voor levering en het samen bewaken van continuïteit in de relatie. Ook vanuit een financieringsperspectief is het ‘in control’ zijn over kredietrisico’s interessant. Zo zien banken bijvoorbeeld graag dat een bedrijf controle heeft over zijn debiteurenproces, wat positief is voor het bedrijf in onderhandelingen over financieringsvoorwaarden.Afhankelijkheden en groepsstructurenInkooprisico, of procurement risk, kent net als de eerdergenoemde risico’s verschillende facetten. Uiteraard wil een bedrijf zeker weten dat een leverancier niet failliet gaat (of wanneer die kans er wel is, hoe groot die kans precies is), maar het wil ook inzage in afhankelijkheden en groepsstructuren. Het is belangrijk te weten dat het bedrijf dat als enige aanbieder een cruciaal onderdeel maakt, dit over vijf jaar nog altijd doet. Afhankelijkheden bij de leverancier zijn eveneens van belang. In sommige landen geldt bijvoorbeeld een bepaling dat een afnemer verantwoordelijk is voor de gezondheid van een bedrijf wanneer het zorgt voor meer dan 50 procent van de omzet. Inzage in risk brengt afhankelijkheden ook beter in kaart. Een bedrijf kan zich bijvoorbeeld veilig wanen bij het idee dat het drie leveranciers heeft voor een bepaald product, maar wanneer al deze leveranciers bij dezelfde groep horen, loopt het in feite hetzelfde risico als wanneer het één partner gehad zou hebben. En hetzelfde geldt voor het scenario waarin alle leveranciers op hun beurt weer afhankelijk zijn van dezelfde leverancier een schakel verderop in de keten. Wanneer informatieproducten eenmaal geïmplementeerd zijn in de processen van een organisatie, is een dashboard nodig dat het management stuurinformatie geeft en ook medewerkers die betrokken zijn bij de processen duidelijke signalen geeft (bijvoorbeeld niet leveren of bestellen). Integratie in ERP-systemen is een wens die veel bedrijven hebben, maar dit blijkt in de praktijk toch lastig. Deze systemen moeten bijvoorbeeld eerst nog zelf geharmoniseerd worden, doordat zij een complexe IT-infrastructuur hebben die het gevolg is van acquisities. Het gaat dan om meerjarige trajecten en al die tijd mist een organisatie de mogelijkheid te sturen op risico’s. Tegelijk zijn veel ERP-systemen ontworpen als transactiesystemen en daardoor niet goed ingericht voor het verwerken van geaggregeerde analyses. Hoewel men vaak huiverig is softwaresystemen buiten hun ERP-systemen (en daarmee buiten het bestaande proces) te gebruiken, kan een standalone Business Intelligence-oplossing wel een uitkomst bieden. Zeker omdat de IT-impact ervan te overzien is en de implementatie ervan kleinschalig kan beginnen. Gemiste kansCorporates monitoren trends bij voorkeur over een langere periode, in een tijdsreeks. Zeker nu de financiële crisis van 2008-2009 nog zo kort achter ons ligt, speelt in veel organisaties de wens om in de toekomst eerder te kunnen anticiperen op zo’n scenario. Het vroegtijdig herkennen van signalen waar zij kunnen acteren is wat zij nodig hebben. Zeker over een volledige set van informatie over markten en relaties zijn trends te herleiden. Overigens is dit iets waarin banken al veel verder zijn dan andere organisaties. Logisch ook, want risico-analyses zijn onderdeel van de ‘core business’ van financiële instellingen. Zij meten daarbij doorgaans over verschillende periodes, te weten twee, vijf en zeven jaar. Corporates doen dit nog nauwelijks, wat een gemiste kans is. Debiteuren vormen doorgaans ongeveer 35 procent van hun balans en het risico dat bedrijven over deze 35 procent lopen, heeft zijn weerslag op de cashflow.Het beter kunnen inschatten van risico’s voorkomt niet alleen kosten en draagt bij aan de continuïteit van de business, maar vergroot ook de bedrijfswaarde. Zeker nu in veel bedrijven sprake is van een rol voor private equity-investeerders, is het van belang dat de bedrijfswaarde juist wordt weergegeven. Want hoe groter het risico is, hoe groter doorgaans ook de ‘discount’ op de waarde die zij over het bedrijf berekenen. Wanneer het bedrijf beter kan aantonen naar stakeholders dat het risico’s onder controle heeft, is de discount automatisch ook kleiner en hoeft er geen hogere ‘risk return’ berekend te worden. Alleen op risico dat bekend is, valt een passend prijskaartje te plakken. Bovendien kan er dan ook een voorziening voor genomen worden, waardoor het bedrijf meer vermogen vrijmaakt. Mark Wessels is Country Manager Nederland bij Bureau van Dijk. Bureau van Dijk levert internationale bedrijfsinformatie, business intelligence en risk managementoplossingen.