CFO’s onderschatten vaak de risico’s van internationaal zakendoen

Geopolitieke onzekerheden, toenemende cybercriminaliteit, haperende aanvoerketens: er zijn genoeg redenen voor bedrijven om volop aandacht te besteden aan risicomanagement. Maar het risicobewustzijn is bij veel bedrijven beperkt, zeggen Naida Redzic en Martin Weltje, Manager International Desk en Directeur Risk van risicomanager VLC & Partners.

Bij ondernemen horen risico’s, dat is altijd zo geweest. Maar de aard en omvang van de risico's verschillen van tijd tot tijd en – voor internationaal opererende bedrijven – van land tot land. Die risico's nemen bovendien toe. Ga maar na: naarmate de digitalisering voortschrijdt stijgt het aantal cyberrisico's. Er komen allerlei ESG-risico's bij: toezichthouders (en andere belanghebbenden) kijken steeds vaker of bedrijven klimaatafspraken wel nakomen en klagen hen aan als ze in gebreke blijven ('ESG-litigation'). Bedrijven zijn of worden verplicht klanten en toeleveranciers te controleren op schendingen van mensenrechten en andere ESG-aspecten. Internationaal zakendoen is door alle geopolitieke spanningen en door de haperende aanvoerketens met meer risico's omkleed dan enkele jaren geleden.

Idealiter zouden bedrijven risicomanagement dus hoger dan ooit op de agenda moeten zetten, de CFO – die tenslotte verantwoordelijk is voor risicomanagement – voorop. Wat je kunt doen: extra inspanningen verrichten om inzicht te krijgen in alle ondernemingsrisico's en in de financiële consequenties daarvan. Binnen VLC noemen we dit “verkennen”. Daarnaast is het ook mogeljk extra maatregelen te nemen om al die risico's te voorkomen. Of, indien dat niet mogelijk is, die risico's elders onder te brengen. Lees: zich tegen die risico's indekken door een verzekering af te sluiten.

Operationele risico´s onbekend terrein

De praktijk is anders, zeggen Naida Redzic en Martin Weltje, respectievelijk Manager International Desk/Accountmanagement Risk en Directeur Risk van risicomanager en verzekeringsadviseur VLC & Partners. De gangbare houding van bedrijven, de CFO voorop, is er nogal eens eentje van 'business as usual'. Het risicobewustzijn is zeer beperkt", zegt Weltje. CFO's vertrouwen er nogal eens op dat de maatregelen die ze kunnen nemen om die risico's te beperken afdoende zijn. En dat de risico's verder geen verregaande gevolgen hoeven te hebben voor de dagelijkse bedrijfsvoering. "CFO's hebben het ook druk, vaak te druk om zich intensief met risicomanagement bezig te houden hoewel ze daar wel verantwoordelijk voor zijn. En zeker in het midden- en kleinbedrijf is iedereen, de CFO incluis, sterk ondernemend ingesteld, en meer gericht op kansen dan op risico's. En als er wel wordt gekeken naar risico's, dan vooral naar zuiver financiële risico's, zoals het risico op wanbetaling, valutarisico's en renterisico's. Logisch, want daar zijn CFO's van huis uit mee vertrouwd. Operationele risico's zijn voor hen een relatief onbekend terrein."

Integrale aanpak vereist

En dan zijn veel bedrijven ook nog eens sterk in silo's georganiseerd, terwijl de risico's om een integrale aanpak vragen. "Neem cyberrisico's. De urgentie om als CFO die sleutelrol in de strijd tegen criminaliteit te pakken, neemt bovendien met de dag toe. Niet alleen vanwege de steeds grotere risico's, en de steeds hogere premies die verzekeraars vragen, maar ook omdat de wet- en regelgeving die bedrijven aanzet om maatregelen te nemen tegen cybercriminaliteit, steeds strenger wordt."

Sinds de invoering van de Algemene verordening gegevensbescherming in 2018 (AVG oftewel GDPR) kan een bedrijf dat steken heeft laten vallen bij het aanleggen van een verdedigingslinie tegen cyberaanvallen al tegen een boete oplopen. Straks kunnen daar nog extra boetes bijkomen. In mei 2022 accordeerde het Europese parlement de nieuwe NIS2-richtlijn, die (bijna) alle bedrijven vanaf 2023 gaat verplichten om de nodige cybersecurity-maatregelen te nemen. Ook veel mkb-bedrijven: grootte speelt geen rol, de aard van de activiteiten wel.

Beperking van cyberrisico's zou dus 'chefsache' moeten zijn, zegt Weltje. "Maar in de praktijk wordt dit nog wel eens gedelegeerd aan degene die verantwoordelijk is voor IT. Alleen is dat iemand die vooral verstand heeft van IT-vraagstukken en minder van de bedrijfsvoering. De CFO zou de regie moeten nemen, en met inbreng van de CIO en andere deskundigen moeten vaststellen hoe het met de cyber maturity binnen het bedrijf gesteld is en een goed beveiligingsplan moeten implementeren", zegt Redzic.

Extra risico's bij internationaal zakendoen

Bedrijven die internationaal zakendoen lopen nog eens extra risico. Bijvoorbeeld als het gaat om cybercriminaliteit. Een cyberaanval gaat vaak over de landsgrenzen en kan wereldwijd grote schade veroorzaken. 

Daarnaast krijgen internationaal actieve bedrijven met complicerende en risicoverhogende factoren te maken. "Neem een bedrijf dat verpakkingen levert aan alle dochterondernemingen van een multinational", zegt Weltje. "Onder het recht van welk land valt het contract dat die twee bedrijven daarvoor sluiten? En wordt dat in alle landen erkend? Grote klanten hebben vaak ook de macht om contractvoorwaarden te dicteren, waardoor toeleverende bedrijven allerlei ongebruikelijke risico's kunnen krijgen toegeschoven. Of er worden allerlei compromissen gesloten tussen partijen, die dan in een contract nader worden uitgewerkt door een jurist. Die kijkt met een juridische bril naar dat contract, maar niet vanuit het perspectief van risicomanagement. Bovendien is de communicatie tussen mensen binnen een onderneming ook een uitdaging."

Allemaal extra risico's, die allemaal extra aandacht behoeven. En daar komt nog eens bij dat niet alleen de risico's maar ook de risicobeperkende maatregelen per land kunnen verschillen. Verzekeren is bijvoorbeeld soms wel mogelijk vanuit Nederland (als er een zogeheten ' Freedom of service' geldt), maar soms moet de verzekering worden afgesloten in het land waar het risico wordt gelopen (in landen als Taiwan is een Nederlandse polis 'non-admitted')

'Inhouse broker'

VLC & Partners heeft alle kennis in huis om CFO’s te begeleiden om het onderwerp risicomanagement hoger op de agenda te krijgen, de urgentie te laden en kan zorgen dat zij met betrekkelijk geringe inspanningen hun risicomanagement toch op orde kunnen krijgen. "Wij treden als het ware op als 'inhouse broker'", zegt Redzic. "Dat wil zeggen: wij kunnen alle partijen binnen een bedrijf samenbrengen en de CFO ondersteunen om zijn rol als regisseur van het risicomanagement makkelijker te vervullen." Met behulp van een risicomodel brengen we in een paar uur de risico's in kaart en adviseren over de preventieve maatregelen die genomen kunnen worden.. Waarna VLC & Partners ook de meest geschikte verzekeringen kan vinden om de resterende risico's af te dekken. Ook als het gaat om risico's waarmee een internationaal opererend bedrijf mee te maken krijgt.

"Sterker nog: daar zijn wij als een van de weinige bedrijven toe in staat", zegt Weltje. "We zorgen voor een compleet internationaal verzekeringsprogramma vanuit Nederland. Dankzij de partnerbedrijven waarmee we een internationaal netwerk vormen en waarmee onze International Desk nauw contact onderhoudt zorgen we voor de aansluiting in het buitenland."

Wilt u meer informatie over internationaal zakendoen, de bijkomende risico’s voor u als bestuurder en welke verzekeringsaspecten daarbij komen kijken, registreert u zich dan voor het CFO Studio webinar “Internationaal ondernemen: met welke aansprakelijkheidsrisico's krijg je te maken” op 23 maart a.s. Gast: Leendert van Reeuwijk, die als CFO van Vlisco onlangs nog werd geïnterviewd door CFO.nl