Diane Biersteker en Martin Weltje (VLC & Partners): “Goed risicomanagement kan eenvoudig starten.”
Veel bedrijven onderkennen het belang van risicomanagement, maar hebben moeite om hier praktisch invulling aan te geven. Te complex, te veel gedoe. Maar er is een laagdrempelige en toch krachtige methode om het risicomanagement aan te pakken, zeggen Martin Weltje en Diane Biersteker, Directeur Risk en Commercieel Directeur Risk van risicomanager VLC & Partners: door met het Business Model Canvas risico’s in kaart te brengen.
• Het belang van goed risicomanagement neemt toe
• Veel ondernemingen worstelen met praktische invulling van risicomanagement
• Als alternatieve methode voor uitgebreide riskmodellen zoals het COSO-model of iso kunnen ze het Business Model Canvas gebruiken
• Het risicobewustzijn kan toenemen en het risicomanagement verbeteren. Het helpt de CFO om risicomanagent op de agenda te krijgen, zonder zaken af te remmen
Goed risicomanagement is belangrijker dan ooit. De risico’s nemen in de afgelopen jaren immers toe; denk alleen al aan alle risico’s die de coronacrisis opleverde en die de huidige energiecrisis, inflatie en de oorlog in Oekraïne meebrengen. Of denk aan de toenemende cyberrisico’s. Of aan het risico dat je als bedrijf niet voldoet aan nieuwe ESG-wetten. “De wereld wordt onzekerder”, zoals Martin Weltje en Diane Biersteker zeggen, Directeur Risk en Commercieel Directeur Risk van risicomanager VLC & Partners. “Dus is er meer en meer reden om die risico’s goed te beheren.”
Zaak is alleen wel om dit risicomanagement evenwichtig op te zetten en een balans te vinden tussen kansen en risico’s. Zonder te veel onnodige risico’s te lopen. Maar ook zonder het bedrijf te ‘verlammen’, zoals Biersteker het uitdrukt, zonder een overmaat aan maatregelen waardoor een bedrijf allerlei kansen misloopt omdat het te voorzichtig is. Deze balans kan uiteraard het beste worden gevonden door die risico’s op een goede manier te identificeren en te analyseren. Vervolgens kan het beheer van die risico’s goed worden afgestemd op de kans dat ze zich voordoen en op hun mogelijke impact. Dat is misschien een open deur – hoe zou het ook anders moeten? – maar in de praktijk blijkt maar al te vaak dat veel bedrijven het niet zo aanpakken. Waardoor ze het risicomanagement niet effectief bij kansen inzetten.
Veel bedrijven worstelen om goed inzicht te krijgen in de risico’s waaraan ze bloot staan, constateren Weltje en Biersteker. Grote, beursgenoteerde maken verplicht gebruik van het COSO-model of een vergelijkbaar model. “Dat biedt een mooi framework, met goede richtlijnen om strategische, operationele en financiële risico’s te bepalen en erover te rapporteren”, zegt Weltje.
“Het is wereldwijd de standaard, en als je rapporteert conform de COSO-methodiek en vergelijkbare modellen, zullen toezichthouders, banken en accountants dat accepteren. Maar het is ook een ingewikkeld model; om het te begrijpen moet je er zeker een paar boeken over hebben gelezen. Zeker voor middelgrote en kleine bedrijven zonder eigen risicomanager is het te complex. Ze erkennen het belang van risicomanagement vaak wel, maar hebben moeite om hier praktisch invulling aan te geven. Daar komt bij dat ze ook niet zo uitgebreid hoeven te rapporteren; risicomanagement is voor hen meer een interne aangelegenheid.”
Alternatief model
Voor middelgrote ondernemingen is er evenwel een goed alternatief voor de uitgebreide en complexe riskmodellen, gebaseerd op het bekende Business Model Canvas (BMC) van Alex Osterwalder. Het BMC is een hulpmiddel voor bedrijven om hun bedrijfsmodel visueel in kaart te brengen – wat ze doen, voor wie en dergelijke; in totaal gaat het om negen ‘bouwstenen’ die alle aspecten de bedrijfsvoering weergeven. Het BMC kijkt dus naar bedrijfsactiviteiten, niet naar risico’s. “Het BMC is ook geen risicomodel. Maar het kan wel als zodanig worden gebruikt”, zegt Weltje. “Het biedt een fantastisch overzicht van alle bedrijfsactiviteiten. En als je al die activiteiten in beeld hebt, dan kun je daarna eens nadenken over de risico’s die ze opleveren.” Waardoor, zegt Biersteker, “ook bedrijven risicomanagement kunnen inzetten om hun doelen beter bereiken en hun prestaties verbeteren.”
Een eerste voordeel van het gebruik van het BMC om risico’s in kaart te brengen is dat het een ‘compleetheidstoets’ biedt, zoals Weltje het uitdrukt: “Je weet zeker dat je niks mist.” Het is bovendien eenvoudiger en minder bewerkelijk dan de gangbare modellen. Daardoor kan het ook makkelijk worden ingezet om nieuwe activiteiten te toetsen. Zonder de vertragende werking die een uitgebreide risicoanalyse kan hebben: het maakt een snelle – maar niet overhaaste – risicoanalyse en besluitvorming mogelijk.
Omdat het zo laagdrempelig is, kan het BMC ook eenvoudig worden ingezet om het risicobewustzijn in de organisatie te vergroten en de ‘risicodialoog’ – het gesprek over risico’s – te stimuleren. Een uitkomst voor menige CFO, die vaak met een andere blik naar risico’s kijkt, zegt Weltje. “Dit biedt de CFO de mogelijkheid om samen met anderen inhoudelijk te kijken naar risico’s en om een draagvlak voor risicobeperkende maatregelen te creëren.”
Beter risicomanagement
Het zal de kwaliteit van het risicomanagement alleen maar ten goede komen, zegt Biersteker: “De combinatie van een CFO met een vakinhoudelijke blik die alle bedrijfsactiviteiten overziet en mensen uit de praktijk is heel sterk. Die mensen zijn een bron van kennis. Zij lopen dagelijks aan tegen allerlei zaken – ze weten dat die branddeur vaak open blijft, dat er veel bijna ongelukken gebeuren in een bepaald magazijn of dat er afval tegen het pand neergezet worden. Al die kennis moet alleen wel worden samengebracht. Dat kan door mensen uit de praktijk te betrekken bij de invulling van het BMC en hun te laten aangeven welke risico’s er zijn.”
Welke mensen bij een dergelijke sessie kunnen worden betrokken verschilt uiteraard. “Stel, je wilt een nieuwe fabriek openen in Oekraïne”, zegt Weltje. “Een riskante aangelegenheid. Om een goede indruk te krijgen van de precieze risico’s zou ik sowieso de IT-manager raadplegen, vanwege zijn inzicht in cyberrisico’s. Daarnaast waarschijnlijk de fabrieksdirecteur in de Oekraïne en de financieel directeur ter plekke of een financieel directeur vanuit Nederland. Dan heb je een goed, divers team.”
Brainstormsessie
VLC & Partners organiseert voor bedrijven op locatie brainstormsessies ter bevordering van deze samenwerking tussen verschillende functionarissen om tot een beter risicomanagement te komen. Tijdens zo’n sessie (duur 2 tot 4 uur, exclusief intake gesprek) vult de risk consultant van VLC & Partners samen met het managementteam en/of bestuurders het Business Model Canvas en de daarbij behorende bedrijfsrisico’s in. Vervolgens maakt de risk consultant een rapportage met een uitgewerkt canvas met een overzicht van de belangrijkste risico’s die het bedrijf loopt. Op grond van het risicoprofiel dat de consultant heeft opgesteld, worden ook enkele aanbevelingen gegeven. Uiteraard kan VLC & Partners ook worden ingeschakeld om daar een vervolg aan te geven.
De reacties zijn altijd positief, en de sessies leveren altijd nieuwe inzichten op. “Meestal leidt het tot een hoger risicobewustzijn in de organisatie en een groter inzicht in de belangrijkste risico’s. Dat is ook meestal precies de bedoeling: gedetailleerde berekeningen – hoe groot is het gevaar dat een fabriek afbrandt en wat kost dat – zijn een zaak voor later”, aldus Weltje.
VLC & Partners heeft als devies ‘verkennen, voorkomen, verzekeren’ en deze sessies vallen duidelijk in de categorie ’verkennen’ en ‘voorkomen’. “Wel komt het voor dat er meteen enkele acties worden opgesteld”, zegt Biersteker. “En vervolgens met een paar kleine, makkelijke te nemen ‘twists’ risicoverlagende maatregelen worden genomen.” In een later stadium kunnen deze ‘quick wins’ dan worden opgevolgd door aanvullende maatregelen. En hoe beter die zijn, hoe beter de dekking en de premie kan worden afgestemd op de werkelijke risico’s die het bedrijf loopt.