RISKMANAGEMENT PRAKTISCHE LEIDRAAD BIJ EEN DUURZAAM RISICOBELEID
MET DE MEDEWERKING VAN
NOVEMBER 2015
VERANTWOORDELIJKE UITGEVER Stefan Maes, Ravensteinstraat 4,
1000 Brussel PUBLICATIEVERANTWOORDELIJKE Stefan Maes REDACTIE Morgane Haid, Werner Lapage, Annemie Nolf, Dirk Vandendaele, Johan Van Praet MET DANK AAN Steven Cauwenberghs, Koen Claessens, Christine Darville, Laurent De Coster, Simon Duerinckx, Bart Eekhaut, Linda Janssens, Kristof Luycx, Anne Michiels, Frédéric Motte, Olivier Vanden Borre, Stephan Vandewiele en Frédéric Wauters VORMGEVING EN PRE-PRESS Landmarks DRUK Graphius Group WETTELIJK DEPOT D/0140/2015/5 Cette brochure est également disponible en français.
De inhoud van deze brochure vindt u eveneens op www.vbo.be (Publicaties > Publicaties - gratis) De informatie in deze brochure is met uiterste zorg samengesteld door de experts van BDO en ING. Noch BDO en ING, noch het VBO kunnen op eender welke wijze aansprakelijk worden gesteld voor ontbrekende of foutieve informatie in deze brochure. In geen geval kunnen noch het VBO, noch BDO en ING aansprakelijk worden gesteld voor enige directe, indirecte, incidentele, economische of gevolgschade als gevolg van het gebruik van de informatie of gegevens uit deze publicatie. Niets uit deze uitgave mag door elektronische of andere middelen, met inbegrip van automatische informatiesystemen, gereproduceerd en/of openbaar gemaakt worden zonder voorafgaande schriftelijke toestemming van de uitgever. Uitgezonderd zijn korte fragmenten, die uitsluitend ten behoeve van recensies geciteerd mogen worden.
RISKMANAGEMENT PRAKTISCHE LEIDRAAD BIJ EEN DUURZAAM RISICOBELEID
LATEN WE VAN HET RISICO EEN KANS MAKEN! Spreken van risico’s bij ondernemingen is toegeven dat niet alles in de business altijd even gemakkelijk en voorspelbaar verloopt. Dat is ook eigen aan zakendoen. Wat ze ook doet, een onderneming krijgt altijd af te rekenen met bepaalde risico’s. Maar wie de risico’s voor zijn onderneming bij naam kan noemen, heeft ook de plicht ze maximaal te beperken en ze op een proactieve manier te beheersen. Sterker nog, een ondernemer moet ze kunnen ombuigen tot een voordeel of opportuniteit. Bedrijfsrisico’s evolueren voortdurend, als gevolg van de technologische vooruitgang, van de intensere en almaar snellere betrekkingen met de rest van de wereld (handelsverkeer, contacten, communicatie, delen van kennis), van de groeiende diversificatie binnen de businessomgeving – klanten, partners, instrumenten zijn vandaag de dag veel gevarieerder dan in het verleden. Sommige risico’s die enkele decennia geleden onoverkomelijk leken, zijn inmiddels verdwenen. Terwijl in de huidige economische wereld nieuwe risico’s zijn opgedoken. Denk maar aan de groeiende dreiging en impact van de cybercriminaliteit, zowel voor de bedrijven die nieuwe businessplatforms of -modellen ontwikkelen als voor de ondernemingen die digitale tools gebruiken of ontwikkelen om efficiënter te worden of nieuwe klanten en leveranciers te bereiken. België weet zich vrij goed aan te passen aan die ontwikkelingen op het vlak van internationalisering, scherpere concurrentie en versnelling van de technologische vooruitgang. Onder druk van de hoge loonkosten – ook dat is een risico – moesten onze ondernemers meer dan hun buitenlandse collega’s heel snel inspelen op de marktevoluties en inzetten op andere competitieve troeven, zoals nieuwe technologie en geavanceerde processen, diensten en producten. Die doelgerichte zoektocht naar opportuniteiten binnen de risico’s is trouwens een neverending story. Technologie en de manier van zakendoen staan nooit stil, de concurrentie blijft aanscherpen… dus moeten onze bedrijven voortdurend nieuwe (berekende en beheersbare) risico’s nemen om niet uit de markt te verdwijnen. Maar de risico’s beheersen of beheersbaar maken is de verantwoordelijkheid van meerdere actoren. Zo is het aan de overheid om de biotoop waarbinnen ondernemingen moeten werken, te faciliteren inzake risicobeheersing. Administratieve
2
RISKMANAGEMENT
vereenvoudiging, preventiemaatregelen en informatie kunnen een belangrijke steun betekenen voor bedrijven om beter te kunnen anticiperen op risico’s. Transparante, eenvoudige en rechtszekere regelgeving stelt hen in staat om met meer vertrouwen naar de toekomst te kijken. In ons land, waar de faalangst erg groot is, vormen zekerheid en eenvoud belangrijke factoren om het ondernemerschap te stimuleren. Op hun beurt is het de taak van de bedrijven om hun risico’s goed te doorgronden en te beheersen. De medewerkers informeren, controleprocessen invoeren, risicobeheerprocedures, expertise inroepen van externe deskundigen… het zijn maar enkele voorbeelden van oplossingen die het risicobeheer vergemakkelijken. Winston Churchill zei ooit: “Een pessimist ziet een probleem in elke opportuniteit, een optimist een opportuniteit in elk probleem”. Zijn oneliner vormt de invalshoek van deze brochure: laten we risico’s niet uitsluitend vereenzelvigen met moeilijkheden en problemen, maar ook op zoek gaan naar de mogelijkheden die ze bieden in ons voordeel. Op de volgende pagina’s lichten experts de meest voorkomende risico’s toe waarmee een onderneming in aanraking komt. En stellen ze oplossingen voor om de ‘problemen’ te herkennen en beheersbaar te maken. Of reiken ze pistes aan om erop te anticiperen en ze tot kansen om te buigen. Dwars doorheen de brochure getuigen zeven ondernemers (van klein tot heel groot) over hun praktijkervaring met riskmanagement. We hopen dat ze uw aanpak of strategie zullen inspireren.
Pieter Timmermans Gedelegeerd bestuurder VBO
Rik Vandenberghe CEO ING Belgïe
Hans Wilmots CEO BDO
RISKMANAGEMENT
3
INHOUD WOORD VOORAF: LATEN WE VAN HET RISICO EEN KANS MAKEN!
2
NIEUWE WERELDTRENDS, NIEUWE UITDAGINGEN, NIEUWE RISICO’S
6
HOE IS DEZE BROCHURE OPGEBOUWD?
11
01
Het abc van risicobeheer
12
1. Wat is een risico? 2. Categorieën van risico’s 3. Wat is risicobeheer? 4. Hoe risicobeheer opzetten?
14 14 15 16
Risico’s beheersen
20
02
1. Het risicoplan 2. Interne controle en risicobeheer 3. Impact IT op interne controle en risicobeheer CASE Cockerill Maintenance & Ingénierie No risk, no business 4. Normen en standaarden – COSO ERM 5. Rollen en verantwoordelijkheden
03
Typologie van de risico’s 1
2
WELKE RISICO’S EN HOE ZE BEHEERSEN? EXTERNE EN STRATEGISCHE RISICO’S 1. Externe risico’s: acuut of sluipend 2. Strategische risico’s: bewust en doelgericht CASE FNG Group In elk risico schuilt een kans FINANCIËLE RISICO’S 1. Strategische financiering CASE Jan De Nul Group Risicoaversie zit in de genen 2. Operationele financiering CASE Soltech Van lokale naar internationale markt
21 22 23 24 27 28 30 31 32 32 34 38 40 40 42 45 46
3
4
5 6
04
BESLUIT
COMPLIANCE-RISICO’S 1. Context 2. Oorsprong en betekenis ‘compliance’ 3. Toezichthoudende instanties 4. Grote draagwijdte voor elk bedrijf 5. Centraal compliance-toezicht JURIDISCHE RISICO’S 1. Definitie juridische risico’s 2. Juridisch relevante risico’s 3. Grondige en up-to-date kennis regelgeving 4. Evolutie van de regels, dito risico’s 5. Juridische expertise CASE Studio 100 Rechten en veiligheid 6. Contractmanagement 7. Corporate governance 8. Bestuurdersaansprakelijkheid 9. Aansprakelijkheid verzekeren OPERATIONELE RISICO’S CASE NHV Helikopters Cijfers zijn niet heilig IT- EN CYBERCRIMERISICO’S CASE Proximus Van slachtoffer tot topexpert
53 53 54 54 55 56 59 59 60 60 61 61 62 64 64 64 65 66 70 72 80
Wat bij een incident?
82
1. Crisis readiness 2. Aanpak en principes crisismanagement 3. Naar een succesvolle crisisbeheersing
83 86 87 91
5
NIEUWE WERELDTRENDS, NIEUWE UITDAGINGEN, NIEUWE RISICO’S De wereld is voortdurend in verandering. Trends evolueren en daarmee ook de economie en de relaties tussen verschillende landen. Het handelsverkeer bijvoorbeeld kende met de crisis van 2008 een dieptepunt, maar trekt de voorbije jaren wereldwijd opnieuw sterk aan. Ook het aantal deelnemers aan de buitenlandse handel nam toe, onder meer als gevolg van de opkomende economieën die een plaats op deze markt innemen. De marktaandelen op de exportmarkt van de BRIC-landen (Brazilië, Rusland, India en China) namen het sterkst toe tussen 2003 en 2013, met respectievelijk 37%, 58%, 102% en 122%. Ondanks de forse groei van de opkomende landen blijft de Europese Unie een belangrijke economie. Zo leverde de EU in 2013 met 23,44% de grootste bijdrage aan het bruto wereldproduct, gevolgd door de Verenigde Staten (22,5%) en China (12,7%). Ook de samenstelling van de economie is geëvolueerd en verschilt overal in de wereld. De Verenigde Staten, Canada en de EU zijn voortaan sterk op de diensten gerichte economieën. Meer dan 70% van het bbp van de EU komt van de dienstensector, terwijl de industriële productie nog altijd niet opnieuw haar niveau van vóór de crisis bereikte. In China, Indonesië, Zuid-Korea en Saoedi-Arabië daarentegen tekent de industrie voor meer dan 30% van het bbp. We zijn ook getuige van een technologische en digitale revolutie. De digitalisering van de economie wordt trouwens beschouwd als een cruciale hefboom voor economische groei. Hoe langer hoe meer wordt digitaal de norm voor administratieve formaliteiten, communicatie, informatie of betalingen. Die digitale evolutie realiseert schaalvoordelen, verhoogt de efficiëntie en versnelt het tempo waarmee diensten kunnen worden geleverd of gegevens uitgewisseld. De wereld is voortaan één groot netwerk met een groeiende interactie (waaronder de handel). Deze nieuwe trends hebben allemaal een invloed op de bedrijfswereld, zij het via de actoren, de betrokken diensten en goederen, de interne en externe omgeving of de manier van zakendoen. Dat leidt tot nieuwe uitdagingen, maar ook tot nieuwe opportuniteiten. Aan de ene kant is de concurrentie veel harder geworden. De markt beperkt zich niet langer tot de thuisbasis of tot de buurlanden. Nieuwe technologie, met name op het vlak van communicatie en logistiek, vergemakkelijkt de handelsstromen en 6
RISKMANAGEMENT
maakt het mogelijk om diensten te leveren tot aan de andere kant van de wereld. En dat alles veel sneller dan vroeger. Ter illustratie: vandaag worden dagelijks wereldwijd zo’n 180 miljard e-mails verstuurd en voert België elke dag goederen en diensten uit voor een waarde van bijna 916 miljoen euro. Wil ons land deze evoluties volgen, dan moet het dringend actie ondernemen om de concurrentiekracht te vrijwaren en goederen en diensten te kunnen blijven aanbieden die aansluiten op de hedendaagse marktbehoeften en die technologisch hoogstaand zijn. Aan de andere kant genereert het toegenomen handelsverkeer ook nieuwe kansen. Het aantal handelspartners neemt toe en de export wordt geografisch almaar gediversifieerder. Bovendien stellen we een sterkere specialisering vast in nieuwe processen die de productiviteit nog verbeteren en in nieuwe diensten en producten die inspelen op specifieke behoeften. Kortom, de mondialisering en de technologische evolutie beïnvloeden behalve de snelheid, de intensiteit en de geografische spreiding van het zakendoen, ook het concurrentiespeelveld en de businessopportuniteiten.
Evolutie van de Belgische economie België ontsnapt niet aan die wereldwijde trends. Ons land blijft een heel open economie voor de buitenlandse handel en de uitvoer van goederen en diensten blijft toenemen. Net als zo’n tien jaar geleden zijn de Europese lidstaten nog altijd onze bevoorrechte partners. Tegelijk voert België steeds meer goederen en diensten uit naar landen buiten de Unie. In 2014 vertrok 33% van onze export naar niet-EU-landen, tegenover 24% in 2004. De digitalisering van de economie is in België politiek een actueel onderwerp, met onder meer de lancering van een globaal actieplan op federaal niveau. Ons land doet het lang niet slecht in specifieke domeinen, zoals connectiviteit en de toegang tot netwerken. De technologie evolueert echter dermate snel dat België vandaag al werk moet maken van de ontwikkeling van nog snellere technologieën (snel en ultrasnel breedbandinternet bijvoorbeeld). Onze economie kan de digitale ontwikkeling nog efficiënter inzetten. Zonder verdere innovaties kunnen we onze huidige positie immers niet behouden. RISKMANAGEMENT
7
Onze economie schuift op naar de tertiaire sector. Dat blijkt uit haar toegevoegde waarde die sinds 2008 met 6% is afgenomen in de industrie en met 5,2% is toegenomen in de diensten aan ondernemingen. Die verschuiving vertaalt zich ook in onze handel. Goederen waren begin 2000 goed voor meer dan 80% van onze export, vandaag is dat nog 75%. De rest zijn diensten. Bovendien groeit onze export van diensten sneller dan die van goederen. Op wereldschaal bleef ons marktaandeel in de dienstenexport vrij stabiel, terwijl ons aandeel in de goederenexport daalde. Dat is onder meer te wijten aan de concurrentiehandicap van de Belgische ondernemingen. Dankzij de mondialisering, de innovatie en de onstuitbare digitale ontwikkeling konden de Belgische ondernemingen gespecialiseerde en gedifferentieerde producten en diensten aanbieden in de rest van de wereld. Toch zijn er nog heel wat inspanningen nodig om competitief te kunnen blijven, ondanks de positieve signalen (krimpend handelsdeficit en de licht toegenomen marktaandelen). Aan onze ondernemers en overheden om de opportuniteiten te grijpen vooraleer ze bedreigingen worden. En erover te waken dat we onze goederen en diensten aan gunstige voorwaarden kunnen blijven aanbieden.
Evolutie van de risico’s Al die trends en hun impact op de bedrijfswereld veranderden ook het risicopatroon en de risicoappetijt van de ondernemingen. Uit onze peiling bij enkele honderden bedrijven blijkt dat grote ondernemingen doorgaans het meest met risico’s worden geconfronteerd. Met uitzondering van de financieringsrisico’s (strategisch en operationeel) die vaker een impact hebben op de middelgrote ondernemingen. Gevraagd naar de belangrijkste risicocategorie zet meer dan 65% van de ondernemingen (tot 83% van de grote ondernemingen) de operationele risico’s (productie, logistiek, kwaliteit, namaak…) op één. Dat lijkt logisch gezien de wereldwijde economische ontwikkelingen en de groeiende intensiteit van de handelsactiviteiten tussen de landen. Zo maakten technologische ontwikkelingen imitatie en namaak makkelijker. Door de grotere verscheidenheid van de handelspartners wordt ook de logistiek een stuk complexer. En omdat een klant in een vingerknip van leverancier kan wisselen, is het onontbeerlijk om hem op elk niveau van de keten een kwaliteitsvolle en snelle service te verlenen tegen een competitieve prijs. Dat zet extra druk op de productie om te anticiperen en een efficiënte operationele werking uit te rollen. Door de snelheid van de technologische evoluties ontstaat bovendien een nieuw risico, dat van de disruptieve technologische veranderingen (‘disruptive technological changes’). Die gooien de markt volledig om waardoor een dienst of product op korte tijd voorbijgestreefd kan zijn. Zo gebeurt het almaar vaker dat een 8
RISKMANAGEMENT
technologische innovatie (product, proces,…) efficiënter is of een extra functionaliteit biedt waardoor een bestaande dominante technologie van de markt wordt verdrongen. Meer dan 65% van de bevraagde ondernemingen komt in aanraking met strategische en externe risico’s. Het hoeft niet te verbazen dat de externe (geo)politieke en economische situatie grote risico’s kan inhouden. Het is trouwens deze risicocategorie die voor een groot aantal ondernemingen is toegenomen (43%, los van de schaalgrootte van de onderneming). We kunnen niet ontkennen dat de situatie in Oekraïne en Rusland en – in mindere mate – in het Midden-Oosten gevolgen heeft voor ons handelsverkeer met die gebieden. Ook het Grexit-risico is nog altijd niet helemaal afgewend en kan de markten nog uit evenwicht brengen, zelfs al wordt het merendeel van de leningen verstrekt door instellingen zoals het IMF en de ECB en niet door de reguliere financiële instellingen of andere marktpartijen. Daarnaast is de economische groei bij sommige partnerlanden nog niet helemaal duidelijk. Een plotse terugval zou ook de bedrijvigheid bij ons negatief kunnen beïnvloeden. Ten slotte bestaat er nog altijd het risico dat nieuwe sociale onrust (betogingen, stakingen…) het prille vertrouwensherstel bij gezinnen en ondernemingen in ons land fnuikt en het herstel afremt. Meer dan één op twee ondernemingen heeft te maken met juridische risico’s. Dat bevestigt een probleem dat de werkgevers al vaker hebben aangestipt: de administratieve lasten op de ondernemingen zijn de voorbije jaren fors toegenomen. Bovendien vinden veel ondernemingen dat het aantal regels almaar stijgt en complexer (moeilijker te begrijpen) wordt. Naast de juridische risico’s neemt ook de dreiging van cybercriminaliteit toe. Minstens één onderneming op drie geeft aan meer risico’s inzake cybercriminaliteit (phishing, gegevensfraude…) te lopen dan voorheen. Ruim 70% van de grote ondernemingen zegt te kampen te krijgen met het probleem, tegenover 50% van de kleine of middelgrote ondernemingen. Ieder jaar raken in ons land honderdduizenden computers besmet, en dat aantal neemt nog toe. Naar schatting kost cybercriminaliteit ons land 3,5 miljard euro, of meer dan 1% van het bbp. Als algemeen besluit van onze peiling kunnen we stellen dat meer dan één op de drie ondernemingen vindt dat de risico’s waarmee ze wordt geconfronteerd, zijn toegenomen. Nog eens 10% stelt dat ze die risico’s minder goed beheerst dan vroeger. Vandaar het doel van deze brochure om best practices en oplossingen voor risicobeheer aan te reiken.
Risico’s beheersen is kansen creëren Het ontstaan van nieuwe risico’s en de groeiende impact van andere sporen de ondernemingen aan anders te reageren. Die reflex genereert tegelijk tal van kansen voor innoverende en creatieve ondernemingen die de situatie ombuigen RISKMANAGEMENT
9
tot een opportuniteit en nieuwe markten kunnen bereiken. Een voorbeeld: met de opkomst van e-commerce werd het mogelijk nichemarkten aan te boren dankzij de toegang tot een grotere markt en meer klanten. Maar dat vergde wel een snelle aanpassing van de traditionele handelsprocedures, alsook flink wat innovatie om zich binnen die nieuwe niches te ontplooien. Nieuwe subsectoren als webdesign, 3D-printing en e-marketing zagen zo het licht. Met zijn clusters en andere samenwerkingsvormen (tussen ondernemingen, maar ook met academische en andere instellingen) om onderzoek en innovatie te promoten, heeft België een troef in handen om van de evoluties te profiteren en de risico’s om te buigen tot opportuniteiten. Die vormen van samenwerking dragen bij tot een betere verspreiding van de kennis en innovatie, wat op zijn beurt de ondernemingen in staat stelt om meer gesofisticeerde activiteiten en producten te genereren – die ook moeilijker door andere te kopiëren zijn. Dankzij efficiënte clusters kan een nieuw product of service ook sneller naar de markt worden gebracht (het versnellen van de zgn. ‘speed to market’). Een tweede voorbeeld van een innoverende oplossing die het licht zag onder impuls van een risico is crowdfunding (crowdfunding is een concept waarbij vele kleine investeerders of belanghebbenden bereid zijn om kleine bedragen te investeren of te doneren in projecten waarmee ze zich betrokken voelen). Crowdfunding vergemakkelijkt de financiering van ondernemingen en maakt het voor de investeerders mogelijk de risico’s beter te spreiden. Ten slotte vroegen we de bedrijven wat ze ondernemen om hun risico’s te beperken. In eerste instantie lichten ze hun medewerkers in over de risico’s en doen ze aan preventie, bijvoorbeeld door het invoeren van interne controleregels. Voor hun juridische en cyberrisico’s doen veel bedrijven een beroep op externe experts, maar dat geeft dan weer aanleiding tot extra kosten. Uit alle voorstellen en oplossingen van de ondernemingen kunnen we samenvatten dat nog veel moet gebeuren om risico’s op een efficiënte, kostenvriendelijke manier te beheersen. De overheid kan hiertoe bijdragen door het ondernemingskader te faciliteren. Volgens de bevraagde ondernemingen moet de regering zich toespitsen op drie prioriteiten om het aantal risico’s te verminderen: 1. administratieve vereenvoudiging; 2. informatie en preventie; 3. en, in mindere mate, de richtlijnen inzake corporate governance concreet maken.
10
RISKMANAGEMENT
HOE IS DEZE BROCHURE OPGEBOUWD? Risico’s zijn inherent aan ondernemen en nauw verbonden met waardecreatie. Elke activiteit creëert dus een risico, maar even zo goed een potentieel of een kans. Risico’s nemen en de beheersing ervan behelsen tal van facetten in diverse domeinen. Met deze brochure bieden wij u in vier hoofdstukken een overzicht en een houvast in deze brandend actuele en toch wel complexe materie. De theoretische principes verduidelijken we aan de hand van uiteenlopende praktijkvoorbeelden, met getuigenissen van bedrijfsleiders die de strategische impact verbonden aan de risico’s eigen aan hun bedrijf, duiden.
Het abc van risicobeheersing belichten we in een eerste hoofdstuk. Iedereen weet wat een risico is, maar toch is een eenduidige definitie niet vanzelfsprekend. We gaan dieper in op het belang van begrippen als impact en waarschijnlijkheid. Vervolgens kaderen we risicobeheer. Termen als risico-identificatie, -analyse en -beoordeling zijn cruciaal om een efficiënt risicobeheer op te zetten en uit te rollen.
Dat is het centrale thema van het tweede hoofdstuk. Daarbij ligt de nadruk op interne controleprocessen en de impact en de rol van IT binnen die context. U maakt ook kennis met ‘COSO’ als internationale leidraad voor riskmanagement. Doel? Enerzijds voldoende risico nemen om kansen te kunnen benutten. Anderzijds voldoende controles inbouwen om niet uit de bocht te gaan.
Risico’s identificeren is één zaak, ze op een efficiënte manier beheersen, is minstens even belangrijk.
We sluiten dit hoofdstuk af met een beschrijving van de rol en verantwoordelijkheden in het risicobeheer.
Risico’s kunnen op verschillende manieren worden ingedeeld. In hoofdstuk 3 delen we de risico’s onder in zes brede domeinen, rekening houdend met de meest gangbare risicotypes: extern en strategisch, financieel, compliance, juridisch, operationeel. Ook de risico’s verbonden aan IT kunnen onmogelijk in dit lijstje ontbreken en duiden we aan de hand van een rondetafelgesprek met vier experts. Voor elk type risico reiken we telkens een aantal concrete oplossingen aan. De risico’s op het vlak van veiligheid, gezondheid, welzijn en milieu vallen niet binnen de scoop van deze brochure. Crisissen zijn uitdagingen, maar hoe (snel en accuraat) reageert uw bedrijf ingeval van een incident? Hoe staat het met andere woorden met de ‘crisis-readiness’ van uw bedrijf of organisatie? Hoe communiceert u en hoe vermijdt u reputatieschade? Een goede aanpak vereist kennis van de basisprincipes inzake risicomanagement. In hoofdstuk 4 brengen we u een aantal basisbeginselen bij om tot een succesvol risicomanagement te komen. En gaan we stapsgewijs dieper in op het belang van Business Continuity Planning.
RISKMANAGEMENT
11
Het abc van risicobeheer
Risico’s zijn inherent aan ondernemen en nauw verbonden met waardecreatie. Wanneer een bedrijf immers een nieuw product of service in de markt wil zetten, komen er ongekende parameters en onzekerheden in het spel. Elke activiteit creëert dus een risico, maar even zo goed een potentieel of een kans. Er zijn echter ook risico’s die niet aan waardecreatie worden gekoppeld. Denk aan boetes of alles wat te maken heeft met veiligheid. Voor dat soort risico’s geldt slechts één goed advies: maximaal beperken!
Weinig opportuniteiten houden geen risico in. Het draait bij risicobeheer of riskmanagement niet zozeer om het elimineren van risico’s, dan wel om het onderkennen ervan (risico-identificatie en -analyse) en het zoeken naar gepaste methodes om het risico beheersbaar te maken. Belangrijker dan gedetailleerde risicoanalyses of complexe mathematische modellen is de integratie van het risicodenken in de besluitvormingsprocessen, zowel strategisch als operationeel. Daar ligt de echte toegevoegde waarde van risicobeheer. De risicoreflex moet gebakken zitten in de cultuur van de onderneming: de ‘tone at the top’ moet inspireren en stimuleren om risico’s bespreekbaar te maken veeleer dan onzekerheden of signalen van falen onder de mat te vegen. Dat betekent dat er een speciale rol is weggelegd voor de raad van bestuur die ervoor moet zorgen dat de onderneming een gepaste risicocultuur ontwikkelt en stilstaat bij de bepaling van de risicoappetijt van de onderneming.
Alles wat je doet houdt risico’s in. Wie voorzichtig is, ontwijkt de risico’s niet (dat is onmogelijk) maar handelt berekend en beslist. Liever fouten maken door ambitie dan door gebrek aan initiatief. Word sterk in durven, niet in ondergaan Niccolò Machiavelli, Il Principe, 1532 Het auditcomité biedt op dat vlak belangrijke ondersteuning aan de voltallige raad van bestuur en fungeert als klankbord voor de riskmanager en het directieteam bij de risicoanalyse en het bepalen van de beste risicobeheersstrategie. Behalve het auditcomité vormen ook de interne controle, de interne audit en de externe auditor belangrijke steunpilaren. Corporate governance nam de laatste jaren een hoge vlucht en daarbij kregen sommige aspecten meer dan evenredige aandacht, zoals risicobeheer en -controle. Oorzaken van die toegenomen aandacht voor risicobeheer zijn uiteraard de financiële crisis, maar ook de groeiende bewustwording van de toenemende risico’s, zowel bedrijfsmatig als maatschappelijk. Wie vandaag de dag risicobeheer zegt, moet trouwens verder kijken dan de klassieke operationele of financiële risico’s. En ook de grotere strategische uitdagingen die gepaard gaan met nieuwe technologie, volatiele markten en globalisering, in ogenschouw nemen.
RISKMANAGEMENT
13
Onder druk van de groeiende onzekerheid stellen zowel de corporate governance-codes als de wetgeving almaar hogere eisen aan de raden van bestuur en het management. Aan de bestuurders, daarbij ondersteund door het management en de hele onderneming, om zorg te dragen voor het professioneel risicobeheer en de risicocontrole. Voor (externe) aandeelhouders in beursgenoteerde ondernemingen geeft de verhoogde transparantie over de ondernemingsrisico’s en de systemen en processen om ze te beheren, meer en beter inzicht in de gezondheid van de onderneming. Dat laat hen toe om hun investeringsbeslissingen beter te funderen en hun rol als actieve aandeelhouder efficiënter in te vullen.
1 WAT IS EEN RISICO? Iedereen weet wat risico betekent en toch is een eenduidige definitie niet zo vanzelfsprekend. Vaak wordt een risico omschreven als een onzekere, toekomstige gebeurtenis die een negatieve invloed kan hebben op het behalen van de bedrijfsdoelstellingen. Het is zeker niet dé definitie, maar ze omvat wel de essentie: onzekerheid en de mogelijke negatieve of beperkende gevolgen.
Binnen het vakgebied risicomanagement definiëren de specialisten het risico als een combinatie van impact en waarschijnlijkheid van een bedreiging. Hierbij is een bedreiging een gebeurtenis die de onderneming of organisatie kan belemmeren in het bereiken van haar doelstellingen. Een voorbeeld: een brand in de productiehal vormt een bedreiging. De impact bepalen we door de financiele en operationele gevolgen van een brand onder de loep te nemen. De waarschijnlijkheid schatten we in op basis van historische gegevens en de eventuele ontvlambaarheid van de opgeslagen producten of de brandgevoeligheid van de productiehal (in welke mate is ze uit brandbare materialen opgetrokken?). Het risico vormt de combinatie van de mogelijke gevolgen van een brand (‘impact’) met de kans dat de brand ook daadwerkelijk uitbreekt (‘waarschijnlijkheid’). RISICO = IMPACT x WAARSCHIJNLIJKHEID
2 CATEGORIEËN VAN RISICO’S Door de risico’s wiskundig te benaderen, kunnen ze ook tegenover elkaar worden afgewogen en vergeleken. Met als grote voordeel dat je ze kunt prioriteren. Een bedrijf focust daarbij het best op de grootste risico’s. De risico’s waarmee een organisatie wordt geconfronteerd kunnen het gevolg zijn van zowel externe als interne factoren. Dat onderscheid is uitermate belangrijk voor de manier waarop plannen en acties worden uitgestippeld om de risico’s af te dekken. Dreigingen van buitenaf zijn immers moeilijker te beperken of te beheersen dan wanneer de oorzaak binnen de eigen organisatie ligt.
14
RISKMANAGEMENT
Zoveel verschillende definities er bestaan voor het woord risico, zoveel zijn er ook voor het begrip riskmanagement of risicobeheer en alles wat daarmee samenhangt. Instanties als de International Organization for Standardization (ISO), het Committee of Sponsoring Organizations of the Treadway Commission (COSO) en het Institute of Risk Management (IRM) werkten een aantal internationale standaarden uit. Die standaarden vormen een waardevol hulpmiddel omdat ze een algemeen kader schetsen en een duidelijk onderscheid maken tussen het proces van risicomanagement en de inbedding daarvan in de organisatie. Onderstaand schema toont het proces van risicobeheer volgens de ISO-standaard.
RISKMANAGEMENT PROCES*
Vaststellen van de context
RISICOBEOORDELING
Risico-identificatie
Risico-analyse
Monitoring en beoordeling
De bovenstaande lijst is niet exhaustief en kan afhankelijk van de specifieke situatie aangevuld of aangepast worden. Andere mogelijke categorieën zijn bijvoorbeeld milieu, veiligheid, kwaliteit, waardeketen, enz.
3 WAT IS RISICOBEHEER?
Communicatie en overleg
Naast de eerste onderverdeling (intern versus extern) kunnen de risico’s ook worden gegroepeerd per domein. Vaak gebruikte categorieën zijn: strategische risico’s – Ze houden verband met de strategische keuzes of net met het ontbreken van een duidelijke strategie; financiële risico’s – Dat zijn alle risico’s gelieerd met de financiële aspecten van de organisatie, inclusief frauderisico’s; operationele risico’s – Die risico’s houden rechtstreeks verband met de eigenlijke bedrijfsvoering of de waardeketen (productie, aankoop, logistiek…). Ze kunnen verder worden onderverdeeld in functie van de aard van de bedrijfsvoering; IT-risico’s – Ze vloeien voort uit de werking van de ICT-omgeving, inclusief de IT-assets, -organisatie en -processen; compliance en juridische risico’s – Die risico’s houden verband met het naleven en opvolgen van wetgeving, contracten en andere specifieke verplichtingen, regels en normen waaraan een bedrijf of organisatie moet voldoen; reputatierisico’s – Ze bedreigen de naam en faam van het bedrijf of zijn producten en diensten. Een sterke naam opbouwen kan jaren duren. In de andere richting kan het daarentegen bijzonder snel bergaf gaan.
Risico-evaluatie
Risicobehandeling
* Gebaseerd op de standaard ISO 31000:2009
RISKMANAGEMENT
15
Risicobeheer is het proces waarmee organisaties de risico’s verbonden aan hun activiteiten methodisch aanpakken met de bedoeling om binnen elke activiteit en over de totale portefeuille van activiteiten een duurzaam voordeel te bereiken. Risicobeheer is met andere woorden een continu proces dat hand in hand gaat met ondernemen en er integraal deel van moet vormen. Een eenmalige denkoefening over de risico’s kan misschien wel enkele nieuwe inzichten opleveren, maar als er verder niets mee gebeurt, zal de meerwaarde heel gering blijken. Riskmanagement is bovendien een continu en evolutief proces dat wordt weerspiegeld in zowel de strategie van de organisatie als in de uitvoering van die strategie. Het moet systematisch alle risico’s beheren die verband houden met de activiteiten van de organisaties uit het verleden, het heden en vooral de toekomst. Zoals hierboven al vermeld, moet het risicobeheer integraal deel zijn van de cultuur van de organisatie en worden gedragen en gesteund door het topmanagement (‘tone at the top’). Efficiënt risicobeheer vertaalt de strategie in tactische en operationele doelstellingen die dwars door de organisatie verantwoordelijkheden toewijzen en waarbij elke leidinggevende en werknemer verantwoordelijk is voor het risicobeheer als onderdeel van zijn of haar functieomschrijving. Kortom, riskmanagement is een taak en de verantwoordelijkheid van iedereen in de organisatie. Ten slotte spitst goed risicobeheer zich toe op de identificatie en de behandeling van de risico’s. Het ordent het inzicht in de potentiële positieve en negatieve aspecten van alle factoren die de organisatie kunnen beïnvloeden. Het vergroot de kans op succes en verkleint 16
RISKMANAGEMENT
zowel de kans op falen als de onzekerheid rond het al dan niet behalen van de algemene doelstellingen van de organisatie.
4 HOE RISICOBEHEER OPZETTEN? Zoals het schema op p. 15 toont, is de eerste stap om een risicobeheer op te zetten, het uitvoeren van een ‘risicoassessment’. Dat wordt door de ISO/IEC Guide 73 omschreven als het overkoepelende proces van risico-identificatie, risicoanalyse en risicobeoordeling. Hieronder gaan we dieper in op de drie stappen.
Stap 1: risico-identificatie Om de eerste stap van risico-identificatie tot een goed einde te brengen, is een grondige kennis vereist van de organisatie en haar activiteiten. Daarbij is het handig om eerst en vooral de verschillende risicocategorieen die voor de organisatie van toepassing lijken, in kaart te brengen. Samen vormen die verschillende risicocategorieën het risico-universum van de organisatie. Om dat risico-universum op te stellen, kunt u vertrekken van een lijst van risicocategorieën zoals hoger vermeld. Die categorieën kunt u grafisch weergeven om de discussie rond risicobeheer en risico-identificatie in het bijzonder, te ondersteunen. In de figuur op p. 17 geven we een voorbeeld van wat het risico-universum zou kunnen zijn voor een doorsnee productieonderneming.
RISICO-UNIVERSUM VOORBEELD PRODUCTIE Externe factoren Economische omstandigheden
Aansturing en Governance
Ondersteunende processen Financieel
Aansturing
Governance
Visie en missie
Directiestructuur
Boekhouding
Operationeel
Orders
Juridisch
IT
Aanwerving
Contractmanagement
Beschikbaarheid
Wetgeving
Change management
Interne controle Privacy en dataprotectie
Competitie
Strategie
Transparantie
Liquiditeit
Voorraad
Loonadministratie
Intellectual property
Calamiteit
Bedrijfscultuur
Monitoring en auditing
Prijszetting
Planning
Training
Vakbonden en regelgeving
Informatiebeveiliging
Budgettering
Kwaliteit
Prestatiebeheer
Fraude
Infrastructuur
Facturatie en opvolging
Levering/plaatsing
Eindgebruikers
Regelgeving en Compliance
HR
Bron: BDO
Stap 2: risicoanalyse Wie iets wil sturen, moet het kunnen meten. Daarom is het bij risicobeheer van belang dat u de risico’s een waarde of score toekent. Zoals hierboven vermeld, kunnen we een risico wegen in functie van de impact van een bepaalde gebeurtenis en de waarschijnlijkheid dat die gebeurtenis zal plaatsvinden. Risicoanalyse betekent dus die impact en waarschijnlijkheid concretiseren. Bepaalde elementen zullen hierbij gekend zijn, andere moeten zo correct mogelijk worden ingeschat. Op basis van alle beschikbare informatie krijgt elk risico een zo getrouw mogelijke score. Bij onzekerheden is een exacte inschatting onmogelijk. Daarom worden vaak klassen gebruikt om de impact en waarschijnlijkheid in te schatten, bijvoorbeeld van klasse 1 (zeer klein) tot klasse 5 (zeer groot). Om de raming maximaal te objectiveren, ontleden we de impact in dimensies, bijvoorbeeld de financiële. In lijn met de specifieke situatie van het bedrijf wordt op die manier bepaald vanaf welk bedrag een eventueel verlies (impact) een score van 1 tot 5 krijgt (zie tabel hiernaast).
VOORBEELD FINANCIËLE DIMENSIE RISICO-IMPACT Onder 2.500 EUR
Score 1 (impact: zeer klein)
Tussen 2.500 en 5.000 EUR
Score 2 (klein)
Tussen 5.000 en 10.000 EUR
Score 3 (matig)
Tussen 10.000 en 25.000 EUR
Score 4 (groot)
Boven 25.000 EUR
Score 5 (zeer groot)
Behalve de financiële dimensie kunt u dimensies als ‘imagoschade’, ‘kwaliteitsverlies’ of ‘operationele vertraging’ gebruiken. Hierbij is het belangrijk niet meer dan drie of vier dimensies in te schatten. Want wordt de lijst te lang, dan vormt ieder risico op één van de dimensies wel een belangrijk risico. En dat helpt natuurlijk niet bij het leggen van prioriteiten. Kies dus heel bewust wat de belangrijkste risico’s zijn die u wilt voorkomen en schat hun impact en waarschijnlijkheid zo correct mogelijk in.
RISKMANAGEMENT
17
Stap 3: risicobeoordeling
Het resultaat van de risicoanalyse kunt u gebruiken om een risicoprofiel op te stellen, waarbij u elk risico een gewicht toekent en volgens die score ordent. Op die manier rangschikt u elk geïdentificeerd risico en ontstaat een beeld van het relatieve belang. Dankzij dit proces kunt u de gebieden aangeven binnen de organisatie waarvoor het niveau van risicobeheer verhoogd, verlaagd of herverdeeld kan worden.
Potential impact
Omdat het onmogelijk noch wenselijk is om alle risico’s te beheersen, is het belangrijk ze te prioriteren. Op basis van de risicoanalyse beslist u immers over toekomstige acties. Die beslissing kan zijn om aanvullende analyses uit te voeren, om acties te ondernemen om het risico te verkleinen of om helemaal niets te doen (bijvoorbeeld omdat het heel onwaarschijnlijk is dat het risico zich zal voordoen), zij het altijd op een geïnformeerde en doordachte manier.
RISICO ‘HEAT MAP’ Extreme
15
19
22
24
25
High
10
14
18
21
23
Medium
6
9
13
17
20
Low
3
5
8
12
16
Negligible
1
2
4
7
11
Remote
Unlikely
Possible
Likely
Probable
0-10%
> 10-25%
> 50-90%
> 90-100%
Likelyhood % ranges
> 25-50%
Bron: BDO
Grafisch worden de ingeschatte risico’s weergegeven in een matrix of ‘heat map’, waarbij de impact en de waarschijnlijkheid van de risico’s worden weergegeven op de X- en Y-as van de grafiek (zie het voorbeeld van de ‘heat map’ op p. 19).
RISICOBEHEER IN HET JAARVERSLAG Volgens artikel 95 van het Wetboek van Vennootschappen moeten de bestuurders of zaakvoerders van vennootschappen een verslag (het zgn. jaarverslag) opstellen waarin zij rekenschap geven van hun beleid. Dat jaarverslag van het bestuursorgaan moet minstens de punten behandelen die een getrouw overzicht geven van de ontwikkeling en de resultaten van het bedrijf en van de positie van de vennootschap. Het beschrijft bovendien de belangrijkste risico’s en onzekerheden waarmee de vennootschap wordt geconfronteerd.
De commissaris of bedrijfsrevisor ziet toe dat de beschrijving van de belangrijkste kenmerken van de interne controle- en risicobeheerssystemen in verband met het financiële verslaggevingsproces wordt vermeld in de verklaring inzake deugdelijk bestuur. Hij controleert ook of de beschrijving overeenstemt met de jaarrekening en dat het jaarverslag – met inbegrip van de verklaring inzake deugdelijk bestuur – geen van materieel belang zijnde inconsistenties bevat ten aanzien van de informatie waarover hij beschikt in het kader van zijn opdracht.
18
RISKMANAGEMENT
VOORBEELD ‘HEAT MAP’ PRODUCTIE OMGEVING Externe factoren Economische omstandigheden
Aansturing en Governance
Ondersteunende processen Financieel
Aansturing
Governance
Visie en missie
Directiestructuur
Operationeel
Boekhouding
Orders
Juridisch
IT
Aanwerving
Contractmanagement
Beschikbaarheid
Wetgeving
Change management
Interne controle Privacy en dataprotectie
Competitie
Strategie
Transparantie
Liquiditeit
Voorraad
Loonadministratie
Intellectual property
Calamiteit
Bedrijfscultuur
Monitoring en auditing
Prijszetting
Planning
Training
Vakbonden en regelgeving
Informatiebeveiliging
Budgettering
Kwaliteit
Prestatiebeheer
Fraude
Infrastructuur
Facturatie en opvolging
Levering/plaatsing
Eindgebruikers
Regelgeving en Compliance
HR
Bron: BDO
Een andere vorm om het resultaat van de risicoanalyse grafisch voor te stellen, is het eerder besproken risico-universum. Daarbij gebruikt u een kleurcode om het risicogewicht (bijvoorbeeld relatief beperkt risico of verhoogd risico) van de verschillende domeinen aan te duiden. Deze grafische voorstelling wordt vaak als visuele tool gebruikt om verdere discussies over risicobeheer te ondersteunen, bijvoorbeeld in het auditcomité.
De stappen hierboven leiden tot een lijst van prioritaire risico’s. Op basis van die lijst kan het bedrijf of de organisatie vervolgens een concreet actieplan uitstippelen. Dat risicoplan heeft als doel om voor de prioritaire risico’s maatregelen te treffen zodat het risico binnen de aanvaardbare grenzen (de zgn. ‘risk appetite’) van de onderneming valt. Meer daarover leest u in het hoofdstuk ‘Risico’s beheersen’ (p. 20).
RISKMANAGEMENT
19
Risico’s beheersen
In het vorige hoofdstuk werd een risico-assessment uitgevoerd met als resultaat een lijst met risico’s die prioritair aandacht moeten krijgen. De manier waarop wordt bepaald in een concreet actieplan. Zo’n risicoplan bevat maatregelen die ervoor zorgen dat de risico’s de aanvaardbare grenzen van het bedrijf niet overschrijden.
1 HET RISICOPLAN Zoals in elk goed actieplan worden de taken, verantwoordelijkheden en opleveringstermijnen duidelijk vastgelegd en opgevolgd. Meestal wordt het risicoplan opgesteld voor een termijn van een jaar en loopt het samen met het boekjaar van de onderneming. Risico’s zijn immers geen statisch gegeven, maar evolueren in functie van de dynamiek van het bedrijf en zijn markten. Dat betekent dat ook het risicoplan telkens moet worden bijgestuurd.
Risico’s evolueren in functie van de dynamiek van het bedrijf en zijn markten De acties die u kunt nemen om risico’s te beheersen, zijn divers. In essentie kunnen we ze herleiden tot één van de volgende mogelijkheden: aanvaarden – Doorgaans worden kleinere risico’s aanvaard als ‘cost of doing business’ (dat hoort nu eenmaal bij ondernemen) en zal men tijd noch middelen investeren om ze proactief te vermijden. Doet zo’n klein risico
zich toch voor, dan wordt het in realtime opgelost; vermijden – Hierbij beslist het bedrijf of de organisatie om een bepaalde activiteit niet uit te voeren om zo ook het bijbehorende risico te ontlopen. Zo kan worden beslist een buitenlandse overname niet te doen vanwege economische of politieke instabiliteit, fraude, corruptie, enz.; transfereren – Het best bekende voorbeeld van een risicotransfer is de verzekering. In ruil voor een vergoeding schuift men het risico door naar een derde. Samenwerken met een factoringmaatschappij is een ander voorbeeld van risico’s transfereren; mitigeren – Hier probeert de onderneming actief het risico in te dijken (of te verzachten) via interne controles. Deze categorie vraagt de grootste aanpassing van het bedrijf. Bovendien moet de organisatie van de interne controles heel doordacht gebeuren waarbij met zo min mogelijk controles (kosten beperken!) zoveel mogelijk risico moet worden afgedekt. We gaan hier dieper op in onder punt 2 (Interne controle) van dit hoofdstuk.
Een bedrijf kan risico’s aanvaarden, vermijden, transfereren of mitigeren Belangrijk is dat beslissingen over risico’s bewust worden genomen, gebaseerd op een risicoanalyse en rekening houdend met alle relevante elementen: de grootte van het risico, de potentiële impact en de kosten van de beheersmaatregelen. In sommige gevallen maakt het bedrijf zelfs een businesscase inzake de vereiste investeringen. Sommige risico’s zijn aanvaardbaar, bijvoorbeeld wanneer het risico klein is (en zich weinig waarschijnlijk zal voordoen) of de RISKMANAGEMENT
21
kosten van eventuele beheersmaatregelen te hoog. Meestal bereidt het management de beslissingen over risicobeheersing voor en laat ze die valideren door de raad van bestuur. De raad is immers finaal verantwoordelijk en beslist welke risico’s aanvaardbaar zijn en welke niet. Belangrijk daarbij is dat de beslissingen grondig worden gedocumenteerd zodat de actoren er kunnen naar teruggrijpen wanneer zich daadwerkelijk een incident voordoet. Op dat moment kan dankzij de documentatie worden aangetoond dat alle beslissingen op een doordachte manier zijn genomen, rekening houdend met alle beschikbare relevante elementen.
2 INTERNE CONTROLE EN RISICOBEHEER Risico’s kunnen worden beperkt aan de hand van interne controlemaatregelen, ook beheersmaatregelen genoemd. Interne controle wordt omschreven als ‘een door het bestuursorgaan uitgewerkt systeem, dat onder zijn verantwoordelijkheid werd ingevoerd door het uitvoerend management, en dat bijdraagt tot het beheersen van de risico’s en de activiteiten van de vennootschap, tot haar doeltreffende werking en tot het efficiënt gebruik van haar middelen, de bescherming van haar activa en de voorkoming van fraude. Dat alles in functie van de doelstellingen, de omvang en de complexiteit van de activiteiten van de vennootschap’. In de meer enge zin worden beheersmaatregelen uitgewerkt en ingevoerd om risico’s te beperken. Voorbeelden van interne controlemaatregelen en hun gerelateerde risico’s zijn: kredietlimiet om het kredietrisico van klanten te beperken (financieel risico – daarover leest u meer in het gelijknamige hoofdstuk p. 40); 3-way match om leveranciersfacturen goed te keuren aan de hand van bestelbon, leveringsbon en factuur (financieel risico); een beroep doen op meerdere leveranciers en contractuele clausules om een ‘stock break’ of leveringsstop van grondstoffen te voorkomen (operationeel risico – daarover leest u meer in het gelijknamige hoofdstuk p. 66); preventief onderhoud van productiemachines (operationeel risico); toepassen van aanmaningsprocedures om inning van klantenfacturen op te volgen (financieel risico); de functies en verantwoordelijkheden in het aankoopproces opsplitsen of scheiden
22
RISKMANAGEMENT
(frauderisico – daarover leest u meer in het hoofdstuk ‘Financiële risico’s’ p. 40); noodgenerator om elektriciteitspannes op te vangen (operationeel risico); Business Continuity Plan (BCP) om de continuïteit van de business te verzekeren ingeval van grote incidenten (continuïteitsrisico); firewall als bescherming tegen aanvallen van de IT-systemen door hackers (IT-risico – daarover leest u meer in het gelijknamige hoofdstuk p. 72); …
bijvoorbeeld kunnen de volgende stappen worden ingebouwd: automatische kredietcheck bij de invoer van een verkooporder; door het systeem opgelegde verkoopprijzen te gebruiken; beheer van de prijslijsten door een geautoriseerde persoon; rapportering op gewijzigde verkoopprijzen en lage marges; automatische facturering na de levering van de goederen.
Bovendien maken we een onderscheid tussen preventieve en correctieve maatregelen: preventieve maatregelen voorkomen dat een bepaald risico effectief plaatsvindt. Denk aan functiescheiding, kredietlimieten…; correctieve maatregelen houden de impact van een risico wanneer het gebeurt, beperkt. Controlerapportering is een typisch voorbeeld van een correctieve maatregel om anomalieën op te sporen. Een BCP is een ander voorbeeld. Verzekeringen worden ook als een correctieve maatregel beschouwd.
Zodra die beheersmaatregelen correct zijn geïmplementeerd, worden ze consistent uitgevoerd door het ERP-systeem. Eventuele wijzigingen worden gecontroleerd beheerd waardoor de ingebouwde controles waardevol en in voege blijven. Daarnaast kunnen ingeval van fraude de logs van het ERP-systeem worden geraadpleegd om de acties en hun uitvoerders te traceren.
3 IMPACT IT OP INTERNE CONTROLE EN RISICOBEHEER Automatisering van de bedrijfsprocessen heeft een verregaande impact op risicobeheer en interne controle. Langs de ene kant kunnen risico’s beperkt worden door geautomatiseerde controles, langs de andere kant worden nieuwe risico’s geïntroduceerd door de verhoogde afhankelijkheid van IT. In een ERP-systeem (Enterprise Resource Planning) moet voldoende aandacht worden besteed aan interne controle om zo de risico’s significant te beperken. In de verkoopcyclus
Automatisering van de bedrijfsprocessen heeft grote impact op risicobeheer en interne controle De verhoogde afhankelijkheid van IT introduceert echter ook nieuwe risico’s. Zo kan de onbeschikbaarheid van de systemen (bij uitval bijvoorbeeld) een grote impact hebben op de continuïteit van bedrijfskritieke processen (de verzending van goederen bv.). Daarnaast moeten de systemen vertrouwelijke informatie goed beveiligen. Vooral klanten- en prijslijsten zijn waardevolle informatie voor de concurrenten. En binnen het kader van de privacywetgeving moeten ook persoonlijke data van werknemers en klanten beveiligd worden. RISKMANAGEMENT
23
CASE COCKERILL MAINTENANCE & INGÉNIERIE
NO RISK, NO BUSINESS De overname van een Indiaase beursbeursgenoteerde speler betekende een kwantumsprong voor het geïntegreerd risicobeheer binnen de hele Waalse engineeringgroep Cockerill Maintenance & Ingénierie (CMI). “Riskmanagement wordt in het Westen gedreven door corporate governance. In India is het wet, strenger nog dan in de VS”, VS”, weet CFO Yves Honhon. In zijn projectgedreprojectgedreven business zijn risico’s de motor tot innovatie. “We gaan ze niet uit de weg, maar maken ze beheersbaar dankzij een strategische en operationele omkadeomkadering van onder tot boven.”
© CMI
“Onze business steunt op een sterke risicoappetijt”, zegt Yves Honhon. Of CMI nu een revolutionaire boiler voor een zonne-energietoren moet ontwerpen, een hightech koepel voor een lichtgepantserd voertuig moet ontwikkelen of een innovatief afvalverwerkingssysteem moet bedenken, elk project genereert nieuwe risico’s op alle niveaus (juridisch, geopolitiek, financieel, performantie, intellectuele rechten…). “Het is de aard van ons metier. Risico’s op een doordachte
en verantwoorde manier overwinnen, houdt onze ontwerpers en projectmanagers scherp en onze groep in de spits van de vooruitgang. Dat noem ik geen risico’s nemen, maar met berekend lef ondernemen.” De bescherming van zijn knowhow is één van de meest kritieke risico’s voor CMI. “Want ze is mensgebonden en dus uitermate gevoelig”, legt interne auditor Christophe Quiévreux uit. Als een ingenieur een innovatieve oplossing bedenkt, is het zaak die unieke kennis en competentie zo gedetailleerd en zo gedocumenteerd mogelijk te delen met collega’s. “Kwestie dat ze niet verloren gaat als de ‘ontdekker’ vertrekt.” RISICOASSESSMENT-COMITÉ
Stel, een eerstelijnsmanager moet een bestek maken voor de bouw van een afvalverwerkingsinstallatie. Als hij de berg voorwaarden, normen, eisen… leest waaraan het project moet voldoen, bestaat de kans dat hij door zijn jonge ervaring de risico’s overschat en het project weigert. “Het is een gezonde reflex, maar niet de meest performante voor CMI”, gaat Yves Honhon voort. “Daarom omkaderen we onze mensen met samengestelde structuren en specialisten die hen helpen om de risico’s verbonden aan het project in het juiste perspectief te zetten en zelfs te verminderen. Bijvoorbeeld door in overleg met de klant contractuele termijnen bij te sturen.” Zo wordt elk project van meer dan twee miljoen euro en alle projecten met een zogenaamd ‘uitgesloten risico’ door een ‘Engagementcomité’ getoetst. Dat comité zal het projectteam ook
Yves Honhon, CFO CMI
24
RISKMANAGEMENT
verder begeleiden. Bij langetermijnprojecten krijgen operationele financieringsrisico’s (cashflow, wisselkoers, betalingsgaranties, fiscale compliance enz.) extra aandacht. Is het project uiterst risicogevoelig, denk aan nucleaire of militaire opdrachten, dan stelt CMI zelfs een speciaal riskmanagementteam samen.
“Riskmanagement laat je toe om verantwoord meer risico’s te nemen en zo je concurrentiepositie te versterken” Yves Honhon, CFO CMI Group “Doorstaat een project de toets niet, dan beslist de CEO of het project groen licht krijgt of niet. Kortom, risico’s worden niet vermeden, maar zo optimaal mogelijk geneutraliseerd waardoor we uiterst zelden een project weigeren. Cruciaal is dat iedereen doordrongen is van de idee dat risico’s nemen deel is van ons vak en dat ze daarbij worden geruggensteund tot op het hoogste niveau.” De graad of ernst van het risico berekent CMI op basis van vier parameters: de financiele impact op de winst- en verliesrekening, de businesscontinuïteit van de groep, haar reputatie en de conformiteit met de regelgeving.
FOCUS OP IMPACT, NIET OP PROBABILITEIT
Behalve het engagementcomité en de ‘dedicated’ risicoteams stelde CMI een riskmanager aan die zich uitsluitend toelegt op alle verzekerbare risico’s en rapporteert aan de CFO. En dan “is er nog het auditcomité dat behalve waakt over de financiële gezondheid, ook de risicobeheersstrategie stuurt. Dat comité controleert bovendien – aan de hand van een driejarenplan – de goede werking van de interne controle binnen alle 45 businessunits van de groep, daarbij gesteund door een intern auditteam”, vervolledigt
Christophe Quiévreux, interne auditor CMI
RISKMANAGEMENT
25
Christophe Quiévreux. “Na jaren van sensibiliseren en het aanreiken van riskmanagementtools en -omkadering, leeft er bij CMI een cultuur waarin iedereen bewust ‘hopes for the best and prepares for the worst’.” Waarmee hij bedoelt dat het interne risicobeheer van de groep focust op de impact van een risico en minder op de probabiliteit ervan. Een hoog risico met een lage waarschijnlijkheid wordt indien mogelijk opgevangen door een verzekering. “De meeste risico’s kun je immers verzekeren. Wat we uiteraard ook doen. Maar er bestaan natuurlijk nog andere oplossingen.” De meerwaarde van riskmanagement overstijgt het operationele. Het feit dat de groep van onder tot boven en omgekeerd op een transparante manier de risico’s op de voet volgt, versterkt het vertrouwen van alle stakeholders, intern en extern. Yves Honhon: “Een bank of een aandeelhouder die weet dat men tot en met het topmanagement bewust
26
RISKMANAGEMENT
is van de risicogevoeligheid van elk project, zal op beide oren slapen. Een goede raad: ken je risico’s. Maar beter nog, ken de risico’s die je niet wilt nemen.”
Cockerill Maintenance & Ingénierie Business: maintenance en engineering Markten: energie, defensie, industrie en services Hoofdkwartier: Seraing Medewerkers (2014): meer dan 4.600 Geconsolideerde omzet (doel boekjaar 2015): 1,4 miljard euro www.cmigroupe.com
4 NORMEN EN STANDAARDEN – COSO ERM Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) lanceerde in 2004 een leidraad voor risicobeheer die wereldwijd wordt toegepast door tal van organisaties die een riskmanagement opzetten. Het COSO-model geeft in kubusvorm (zie figuur 2) de relatie weer tussen: de doelstellingen van een organisatie; de beheersingscomponenten; en de entiteiten/eenheden waarvoor de interne beheersing nodig is. De achterliggende gedachte bij het COSO ERM-model (Enterprise Risk Management) is dat elke onderneming haar zogenaamde ‘sweet spot’ moet kunnen vinden (zie figuur 1). Dat betekent enerzijds voldoende risico nemen om kansen te kunnen benutten, en anderzijds voldoende controles inbouwen om niet volledig uit de bocht te gaan. Dat optimaal risiconiveau bereiken, moet het ultieme doel zijn van elk bedrijf, aldus het COSO. Het COSO ERM-model kan hierbij faciliteren.
FIGUUR 1: COSO ERM SWEET SPOT
Volgens het COSO bestaat risicobeheersing uit 8 met elkaar verbonden componenten: 1. interne omgeving: met interne omgeving wordt bedoeld de aard van een organisatie en de manier waarop risico’s worden benaderd en aangepakt door iedereen binnen de onderneming, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin de medewerkers opereren; 2. definiëren van doelstellingen: zonder doelstellingen kan het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen niet erkennen. Het management heeft een proces dat doelstellingen vastlegt, dat de gekozen doelstellingen op elkaar afstemt zodat ze de missie ondersteunen en consistent zijn met de risicoacceptatiegraad; 3. identificeren van gebeurtenissen: interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de onderneming moeten worden geïdentificeerd. Daarbij wordt een onderscheid gemaakt tussen risico’s en kansen. Kansen worden teruggekoppeld naar het proces waar strategie of doelstellingen worden geformuleerd; 4. risicobeoordeling: risico’s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact. Die analyse dient als basis om uit te werken hoe de risico’s moeten worden beheerst; 5. reactie op risico: het management selecteert wat de reacties zullen zijn op bepaalde risico’s: vermijden, aanvaarden, verminderen of delen van risico. Daarbij wordt een set acties ontwikkeld om de risico’s af te stemmen op de risicotolerantie en risicoacceptatiegraad; 6. beheersingsactiviteiten: het bedrijf formuleert en implementeert richtlijnen en procedures om te waarborgen dat de reacties op risico effectief worden uitgevoerd;
Bron: COSO ERM
RISKMANAGEMENT
27
7. informatie en communicatie: de onderneming identificeert, verzamelt en communiceert informatie in een vorm en tijdsbestek dat de medewerkers in staat stelt hun verantwoordelijkheden op te nemen. Effectieve communicatie vindt in ruime zin plaats: horizontaal, verticaal en bilateraal binnen de onderneming; 8. bewaking: de totaliteit van het risicomanagement binnen de onderneming wordt bewaakt en waar nodig bijgestuurd. Bewaking wordt mogelijk dankzij de voortdurende managementactiviteiten, afzonderlijke evaluaties of beide. FIGUUR 2: HET COSO-MODEL IN KUBUSVORM
ren en monitoren van die systemen wordt gedelegeerd aan het management. Aan de raad van bestuur om erover te waken dat het management de touwtjes ook daadwerkelijk in handen heeft en om er zich regelmatig van te vergewissen dat de significante risico’s waaraan de organisatie is blootgesteld, effectief in kaart worden gebracht. En dat het interne controlesysteem die risico’s ook daadwerkelijk terugschroeft tot een aanvaardbaar niveau. Kortom, het toezicht op de doeltreffendheid van de systemen is de verantwoordelijkheid van de raad van bestuur. De evaluatie van de doeltreffendheid van die systemen wordt daarentegen vaak gedelegeerd aan het auditcomité. Het auditcomité wordt opgericht door de raad van bestuur en heeft een louter adviserende rol. Vanuit juridisch oogpunt blijft alle beslissingsbevoegdheid immers collegiaal in handen van de raad van bestuur.
Bron: COSO
5 ROLLEN EN VERANTWOORDELIJKHEDEN De raad van bestuur draagt de eindverantwoordelijkheid voor het handhaven van doeltreffende systemen voor risicobeheer en interne controle. Het inrichten, uitvoe28
RISKMANAGEMENT
Het auditcomité heeft de volgende taken: monitoring van de financiële verslaggeving; monitoring van de doeltreffendheid van de systemen voor interne controle en risicobeheer van de vennootschap; als er een interne audit bestaat, monitoring van de interne audit en van zijn doeltreffendheid; monitoring van de wettelijke controle van de jaarrekening en de geconsolideerde jaarrekening, inclusief de opvolging van de vragen en aanbevelingen geformuleerd door de externe commissaris-revisor; beoordeling en monitoring van de onafhankelijkheid van de externe commissaris-revisor. Het inrichten, uitvoeren en monitoren van doeltreffende systemen voor risicobeheer en interne controle is dan weer de verantwoordelijkheid van het management. Dat moet ervoor
zorgen dat de risico’s binnen hun verantwoordelijkheidsdomein op een adequate wijze beheerd worden. En dat er interne controlemaatregelen worden geïmplementeerd waar dat nodig is om de risico’s te beheersen. Het management wordt vaak beschouwd als de eerstelijnsdefensie tegen risico’s.
Het management fungeert vaak als eerstelijnsdefensie tegen risico’s Steeds vaker vinden we binnen het managementteam ook een risicomanager. Hij of zij brengt de risico’s van de organisatie in kaart, zorgt voor een duidelijke afbakening van de verantwoordelijkheden voor het risicobeheer en ziet toe op de implementatie van een efficiente risicobeheersstrategie. In veel bedrijven of organisaties houdt de risicomanager een
risicoregister bij en moeten alle incidenten aan hem worden gerapporteerd. De risicomanager wordt vaak beschouwd als de tweedelijnsdefensie tegen risico’s. Ten slotte hebben sommige organisaties een interne auditor. Die onderzoekt en evalueert het passende karakter, de doeltreffendheid en de efficiëntie van het risicobeheer en de interne controle van de organisatie. Waar de risicomanager deel uitmaakt van het managementteam en het management ondersteunt inzake risicobeheer, ligt de nadruk van de interne auditfunctie op de onafhankelijke beoordeling van risico’s en de interne controleprocessen. Om zijn onafhankelijke positie te versterken, behoort hij of zij niet tot het managementteam en rapporteert hij rechtstreeks aan de raad van bestuur of het auditcomité. De interne audit wordt vaak beschouwd als de derdelijnsdefensie tegen risico’s.
RISKMANAGEMENT
29
Typologie van de risico’s
WELKE RISICO’S EN HOE ZE BEHEERSEN? Er zijn verschillende manieren om risico’s te catalogeren. Zo kun je risico’s indelen op basis van hun oorsprong en de gevolgen die ze hebben op de werking van de organisatie, een bedrijf of zelfs een bepaald systeem of proces. Of je kunt ze ordenen volgens de kans of waarschijnlijkheid dat een afwijking of incident zal gebeuren. Er bestaat echter geen zaligmakende manier om risico’s onder te verdelen. Iedere onderneming moet zelf bepalen hoe ze dat wil doen, waarom en op welk niveau of voor welk bedrijfsaspect. Onafhankelijk van de opdeling die uw bedrijf kiest, moeten de categorieën op een uniforme manier door de hele organisatie worden toegepast zodat ook de analyse, de inschatting en follow-up van alle risico’s op een consistente manier kunnen gebeuren. In dit hoofdstuk delen we de risico’s onder in zes brede domeinen, rekening houdend met de meest gangbare risicotypes: 1
2
3
4
EXTERNE EN STRATEGISCHE RISICO’S (politieke situatie, macro-economische ontwikkeling, demografische invloed, gebeurtenis die zich in de natuur voordoet…) FINANCIËLE RISICO’S (langetermijnen operationele financiering, valuta- en interestschommelingen, debiteurenbeheer…) COMPLIANCE RISICO’S (fiscale regels, facturering, boekhouding, administratie…) JURIDISCHE RISICO’S (contracten, sociale wetgeving, intellectuele eigendom…)
5
6
OPERATIONELE RISICO’S (productie, aankoop, transport, logistiek, milieu, namaak, energiebevoorrading, kwaliteit, supply chain…) IT-RISICO’S (data, privacy, continuïteit, cybercriminaliteit, phishing, fraude…)
De risico’s op het vlak van veiligheid, gezondheid, welzijn en milieu behandelen we niet of maar zijdelings in deze brochure. Denk daarbij concreet aan de veiligheid op het werk (vermijden van en beschermen tegen arbeidsongevallen, brand, ontploffing…), de bescherming van de gezondheid van de werknemer, de psychosociale belasting veroorzaakt door het werk (stress, pesten, arbeidstevredenheid…), de ergonomie (aanpassen van de arbeidsmiddelen en de werkpost aan de mogelijkheden van de werknemer), de arbeidshygiëne (verluchting, verlichting, temperatuur, schadelijke stoffen…), de verfraaiing van de werkplaatsen (sanitair, refter…), enz. Die risico’s vallen buiten de scope van deze brochure omdat ze het specifieke domein zijn van bijvoorbeeld het Comité voor Preventie en Bescherming op het Werk of de milieucoördinator.
Oplossingen Per domein of type risico reiken we oplossingen aan die uw bedrijf kan toepassen om zich tegen de risico’s te beschermen. Opnieuw met die nuance dat het pistes zijn en geen kant-en-klare oplossingen op maat, aangezien voor elk specifiek risico een specifieke oplossing kan worden uitgewerkt om het te beheersen. RISKMANAGEMENT
31
1
EXTERNE EN STRATEGISCHE RISICO’S
Externe en strategische risico’s vormen als het ware de buitenbeentjes in de typologie van de risico’s. Het grote verschil met pakweg financiële, juridische, operationele of compliance risico’s is dat strategische, en al zeker de externe risico’s, minder beheersbaar zijn. Anders gezegd, het is niet evident om ze te voorkomen omdat ze vaak buiten de invloedssfeer van de organisatie liggen en dus ook moeilijk onder controle te krijgen of te houden zijn via processen of regels. Maar moeilijk betekent niet onmogelijk.
1 EXTERNE RISICO’S: ACUUT OF SLUIPEND Externe risico’s zijn risico’s die van buiten het bedrijf komen en waarop de organisatie weinig of geen invloed kan uitoefenen. Denk aan natuurrampen, macro-economische, politieke (rechts(on)zekerheid, stakingen), wetgevende, demografische factoren, terrorisme, klimaatevolutie, groeiende concurrentie… Volgens managementgoeroe Robert Kaplan bestaan er twee soorten externe risico’s die zich van elkaar onderscheiden door het tempo 1
waarin ze gebeuren. De ‘Big Bang’ is een acuut en ernstig probleem. Ze worden ook wel ‘Zwarte Zwanen’1 genoemd of onvoorspelbare gebeurtenissen waar niemand op had gerekend, die amper iemand zag aankomen, maar met ingrijpende gevolgen. Voorbeelden zijn een beurscrash of de kernramp in Fukushima die wereldwijd het kernenergiebeleid in vraag heeft gesteld. Maar even zo goed kan ook ad hoc gedrag van stakeholders, politici of concurrenten aanleiding geven tot zo’n ‘burning platform’. De tweede groep externe risico’s zijn de zgn. ‘Slow Risk’-risico’s. De naam zegt het al: die risico’s zijn het gevolg van vaak jarenlang aanslepende situaties of gebeurtenissen binnen of buiten het bedrijf. Ze vormen een sluipende dreiging. Zo speelde de kredietcrisis bij de bancaire sector veel bedrijven parten bij hun investeringsbeleid. Of dwong de opkomst van digitale communicatie het postbedrijf om zijn businessmodel opnieuw uit te vinden.
Jarenlang aanslepende situaties kunnen uitmonden in acute dreiging
De term is een afgeleide van de financiële bestseller van Nassim Nicholas Taleb ‘Zwarte Zwaan: De impact van het hoogst onwaarschijnlijke’. De Zwarte Zwaan is de metafoor voor onvoorspelbare gebeurtenissen die een enorme impact hebben en achteraf aannemelijk en voorspelbaar worden gemaakt. De auteur is van mening dat Zwarte Zwanen steeds meer de geschiedenis bepalen door de toenemende complexiteit van de samenleving.
32
RISKMANAGEMENT
DE EXTERNE RISICO’S VAN EEN ZORGINSTELLING Onderstaande tabel is een mooi voorbeeld van hoe een zorginstelling haar belangrijkste externe risico’s in kaart heeft gebracht. ECONOMIE
MARKT
R Onvoldoende externe financieringsmogelijkheden R Stijging rentetarief
R Toename macht zorgverzekeraars R Toename concurrentie
POLITIEK
MAATSCHAPPIJ
R Besparingen overheid in relatie tot hogere eisen zorgverlening R Onvoorspelbare overheid
R Vergrijzing R Toename claimcultuur R Beeldvorming media
Lang geleden deed het management externe risico’s af als ‘overmacht’, iets waartegen ze niets konden beginnen. Of wat men in het jargon ‘Acts of God’ noemt. Vandaag de dag komt de bedrijfsleiding niet meer weg met zo’n reactieve houding. Ondanks het feit dat externe risico’s vaak onvoorspelbaar zijn of zich onder de radar ontwikkelen, kan een bedrijf of organisatie er zich steeds beter tegen wapenen. Hedendaagse technologische middelen vormen daarbij handige tools, maar zijn niet alleenzaligmakend. Omgaan met externe risico’s vereist immers een nieuwe manier van denken ‘in scenario’s’ dat het klassieke risicomanagement overstijgt. Een bedrijf kan zich wapenen door bijvoorbeeld: tijdig en proactief in te spelen op marktontwikkelingen. Zo kan één iemand worden aangesteld die verantwoordelijk is om alle (politieke, maatschappelijke) ontwikkelingen die invloed hebben op de bedrijfsstrategie, op de voet te volgen en te bewaken. En op basis van die kennis scenario’s te plannen;
een langetermijnpersoneelsbeleid te voeren waarbij rekening wordt gehouden met de toekomstige ontwikkelingen, zoals vergrijzing, overheidsbesparingen, flexibiliteit en mobiliteit, enz.; potentiële externe risico’s die relevant zijn voor het bedrijf te identificeren en te inventariseren. Het feit alleen al dat het bedrijf bewust is van de mogelijke risico’s is een belangrijke stap in het ondervangen ervan. Het evalueren van die risico’s aan de hand van bedrijfsspecifieke indicatoren is even belangrijk; het gewicht van die risico’s te bepalen, de samenhang met andere risico’s en de impact ervan op de organisatie (bijvoorbeeld door stresstests of ‘war gaming’). En daaraan gekoppeld het uittekenen van strategieën al dan niet in samenwerking met externe specialisten of partners; …
RISKMANAGEMENT
33
TRANSFERRISICO Ook het transferrisico valt onder externe risico’s. Het kan immers gebeuren dat uw handelspartner solvabel is en de betaling in lokale munt kan verrichten, maar dat de centrale bank van zijn land beslist om hem geen deviezen ter beschikking te stellen omdat er een schaarste is. Hoe kunt u zich beschermen? R Laat een documentair krediet openen dat door uw eigen bank wordt bevestigd. In dat geval verbindt uw bank er zich onherroepelijk toe – samen met de uitgevende bank – om het bedrag van het krediet te betalen na voorlegging van de vereiste documenten. Ze dekt het handelsrisico van de bank die het krediet opent, ook het politieke risico van het land en het in gebreke blijven van die bank. R Vraag de opening van een ‘Stand-By Letter of Credit’ die door uw bank wordt bevestigd. Die betalingswaarborg wordt afgeleverd door de bank van de koper. Die bank verbindt zich ertoe de exporteur onvoorwaardelijk te betalen wanneer die dat vraagt. R Vraag uw bank om een betalingsgarantie (die is onderworpen aan de ‘Uniform Rules for Demand Guarantees’) waar tegenover een garantie staat van de bankier van uw koper. R Sluit een kredietverzekering af.
2 STRATEGISCHE RISICO’S: BEWUST EN DOELGERICHT Strategische risico’s zijn verbonden met de strategie van het bedrijf en als dusdanig risico’s waar de ondernemer bewust voor kiest. Hij weegt het risico (de dreiging) af tegen het rendement (de opportuniteit). Kortom, strategische risico’s worden genomen met een doel voor ogen. Zo nemen banken het kredietrisico door geld uit te lenen. Of begeeft een bedrijf zich op een nieuwe markt om zijn omzet te vergroten. Sommige bedrijven nemen heel bewust strategische risico’s om zich te positioneren of te onderscheiden van de concurrentie – bijvoorbeeld wanneer ze een nieuw product ontwikkelen. Zo’n risiconemende bedrijven moeten ook een krachtige risicobeheersstrategie uitwerken willen ze niet het slachtoffer worden van hun eigen risicoappetijt. Strategische risico’s leiden bovendien geen eigen leven. Zowel de externe risico’s als de beheersbare risico’s (operationeel, financieel, juridisch, IT…) kunnen evolueren tot strategische risico’s. Zo kunnen operationele risico’s die zich opstapelen uitgroeien tot een strategische dreiging. Ook een extern risico kan strategisch worden. De overname van bedrijf X door bedrijf Y kan een impact hebben op de strategie van bedrijf Z (die geen grip heeft op de overname) uit dezelfde sector. Strategische risico’s zijn niet te beheersen met regels, procedures en systemen (het zgn. ‘rule-based model’). Het beheer van strategische risico’s moet vooral focussen op het minimaliseren van de mogelijke negatieve impact. Hoe kleiner de strategische dreiging, hoe meer nieuwe risico’s het bedrijf immers kan nemen. Vandaar het belang dat het
34
RISKMANAGEMENT
bedrijf continu waakt over de evolutie van zijn strategische risico’s en ze op de agenda houdt. Daarbij is het heel belangrijk dat de risico’s heel concreet en tastbaar worden gemaakt. Want om risico’s te beheersen, moet je ze eerst kennen. Is het voor iedereen duidelijk wat er met het risico wordt bedoeld? Want achter elk strategisch risico schuilen tal van andere risico’s.
Strategische risico’s zijn niet te beheersen met regels, procedures en systemen
In veel organisaties ligt de focus van het risicomanagement echter op ‘operatie’ en ‘compliance’. Strategische risico’s krijgen lang niet altijd de aandacht die ze verdienen. Uit onderzoek van Robert Kaplan en David Norton blijkt zelfs dat 85% van het senior management minder dan één uur per maand besteedt aan strategisch overleg. Nochtans start een goed riskmanagement met het begrijpen van de context en de strategie van de organisatie. Die kan de onderneming concreet maken aan de hand van een strategiekaart waarin de verbinding wordt gemaakt tussen strategie, operationele activiteiten en meetbare indicatoren.
RISICO-STRATEGIEKAART We leveren tijdig kwalitatief goede producten naar tevredenheid van onze klanten
Missie
Doelen
Onze producten zijn aantoonbaar kwalitatief
A. 10% van het budget voor innovatie
Financieel
13 6
Klanten
13
Mensen, Innovatie & leren
3
B. Concurrerend prijsbeleid
E. Klantpanels actief bij innovatie F. Klachtenmanagement
Interne processen
Klanttevredenheid minimaal een 8
6
J. Kwaliteitsmanagement
M. Actieve samenwerking met TU’s
10 2
5
G. Account management
Medewerkerstevredenheid minimaal een 8
9 2
C. Garantieregelingen
H. Praktijkcases 6 13
Solvabiliteit van 40%
4
11
K. CRM 5 11
N. Job rotation 4 8 9
8
2
O. POPbesprekingen
8
D. Reduceren overhead
I. Debiteurenbeheer
L. Risicoanalyse investeringen
P. Kostenbewustzijn vergroten
De gekleurde nummers staan voor risico’s die aan die activiteit gekoppeld zijn Bron: http://robertthart.risicomanagement.nl/2014/10/28/risico-strategiekaart-sturen-op-strategie-en-risicos/
RISKMANAGEMENT
35
De strategiekaart vormt de basis voor het identificeren en systematisch beheersen van de risico’s. En het concretiseert alle strategische doelen en hun onderlinge relaties. Het duidelijke overzicht biedt structuur en faciliteert het overleg en de dialoog waardoor risicomanagement een onderdeel van de cultuur van de organisatie wordt. Een efficiënte strategiekaart wijzigt trouwens geregeld omdat nieuwe activiteiten, nieuwe risico’s en nieuwe inzichten de focus van de strategie aanpassen.
Ten slotte biedt de strategiekaart houvast voor het strategisch risicomanagement om zich te concentreren op de risico’s die verbonden zijn aan de realisatie van de doelstellingen in de strategiekaart. Kortom, de strategiekaart biedt het natuurlijk raamwerk om risico’s te identificeren, ze te mitigeren en om ze systematisch te beheersen door een geïntegreerde aanpak.
REPUTATIEMANAGEMENT De waarde van een bedrijf steunt op drie elementen: zijn boekwaarde, zijn merkwaarde/ aandeelhouderswaarde en… zijn reputatie. De sterkte van de reputatie hangt af van de mate waarin woord en daad op elkaar aansluiten. Wie niet zegt wat hij doet en omgekeerd, zet zijn reputatie en dus ook zijn business op het spel.
Hoe wordt uw bedrijf gepercipieerd in het land waar u zakendoet? Dat is gebald de definitie van reputatie. Hoe positiever die perceptie, hoe beter voor het vertrouwen en dus voor uw business. Gelukkig bestaan er tal van (internationale) afspraken en regels waarop je als bedrijf kunt steunen en bouwen om een code van verantwoord ondernemen uit te werken. Denk aan thema’s zoals kinderarbeid, milieuveiligheid, arbeidsomstandigheden, sociale bescherming, corruptie, productof servicekwaliteit…
Al die thema’s betekenen een extra risico voor uw reputatie wanneer bijvoorbeeld buitenlandse normen en waarden botsen met die van uw thuisland. Kiezen voor de ‘hoogste’ norm (bijvoorbeeld de strenge milieunormen van het thuisland toepassen in een land waar nauwelijks normen gelden) brengt dan weer uw concurrentiepositie op die buitenlandse lokale markt in gevaar. Omgekeerd, wie in het buitenland te veel afwijkt van de binnenlandse normen en waarden, riskeert reputatieschade in zijn thuismarkt. Zaak is om een evenwicht te vinden tussen de boven- en ondergrens. Weet ten slotte dat het risico op reputatieschade sterk is toegenomen door de exponentiële groei van communicatiemiddelen en -technologie. Inzicht in de risico’s is daarom essentieel voor een succesvol reputatiemanagement.
36
RISKMANAGEMENT
CASE FNG GROUP
IN ELK RISICO SCHUILT EEN KANS Het Belgische modehuis boven merken als Fred & Ginger en Claudia Sträter nam in twaalf jaar tijd acht merken over. Vandaag worden dat vijf concepten. “Relevanter zijn dan de mainstreammainstreamspelers” vormt immers de beste garantie om competitief te blijven, dixit CEO Dieter Penninckx. “We verkopen een emotioneel product waarvan we de risico’s zo rationeel mogelijk proberen te managen.”
© FNG Group
FNG Group ontwerpt en verdeelt mode voor dames, kinderen en baby’s via eigen conceptstores op toplocaties in België en Nederland, en via een netwerk van multimerkenboetieks in binnen- en buitenland. Alle collecties komen uit het brein van de eigen creatievelingen. Valt een collectie minder in de smaak, dan kan FNG de schade niet op een derde verhalen. Dat zgn. collectierisico spreidt CEO Dieter Penninckx door het collectieaanbod sterk te differentiëren, tot 15 collecties per jaar per merk. “Mode is geen exacte wetenschap en is onderhevig aan trends en de grillen van de consument. Belangrijk is om het juiste product op het juiste moment op de juiste plaats in Dieter Penninckx , CEO FNG Group
38
RISKMANAGEMENT
de markt te zetten. Maar het design van die producten vraagt tijd, 8 tot 9 maanden van idee tot winkel. Vandaar het belang om je met professionals te omringen met een neus voor toekomstige stijlen, mensen die gevoelig zijn voor ‘weak signals’” (n.v.d.r.: metatags van de realiteit die betekenis geven aan een diepere werkelijkheid). Daarnaast moet je sterk zijn in het plannen van collecties. Want eenmaal de hype van een collectie voorbij, krijg je het saldo enkel nog verkocht dankzij de kortingknop. Ten slotte opereert FNG in een ‘open to buy’-context. Dat betekent dat het naast de ‘langetermijncollecties’ toch heel kort op de bal kan spelen met kleine collecties die het in een mum van tijd kan realiseren. De internationale aankooporganisatie speelt in die strategie een sleutelrol. “Zo’n strategie is enkel haalbaar als je de ERP (enterprise resource planning) als je broekzak kent en beheerst. Kijk, verkopen in retail lukt altijd. Verkopen met margeoptimalisatie is andere koek.” STERKE VERTICALE INTEGRATIE
Als internationaal bedrijf loopt FNG ook strategische risico’s aan de inkoopzijde. Leveranciers- en kwaliteitsrisico’s vangt FNG op via een uitgekiend aankoopbeleid dat continuïteit, snelheid, prijs en kwaliteit op een maatschappelijk verantwoorde manier in balans houdt. “Geopolitieke schommelingen hebben minder impact op de relatie met onze productie- en confectieateliers dan de wisselkoersrisico’s euro/dollar.” De stijging van de dollar ten opzichte van de euro is een probleem voor een modebedrijf dat zijn kleren laat maken in de aan de dollar
gelinkte Aziatische landen. “Wij kunnen snel productie verschuiven naar Turkije. Zo brengen we tegelijk een stuk interne competitie in onze organisatie.” Door spreiding alleen cijfer je echter niet alle risico’s weg. Sterke verticale integratie helpt even zo goed. “Tot letterlijk op de vloer van de leverancier waar eigen lokale mensen de processen en activiteiten monitoren. Evenwel zonder zelf filialen op te zetten. Zo vermijden we het lokale ondernemingsrisico.”
dat nergens anders te koop is. We werken er samen met kunstenaars, designers. Er is een wand waar je boeken of planten kunt ruilen. Iedereen mag tokkelen op de vleugelpiano.
Kwaliteit beschouwt Dieter Penninckx als een ‘mini-max’-risico. Elk kantoor van de FNG-aankooporganisatie (Istanbul, New Delhi en Hongkong) beheert zo’n twintig leveranciers. “Veel meer mogen er dat niet zijn willen we greep houden op de 7 tot 8 miljoen stuks die we jaarlijks op de markt brengen. We minimaliseren het aantal leveranciers met wie we een beheersbare langetermijnrelatie uitbouwen. En die groep spreiden we maximaal.” Door tussenschakels eruit te halen, biedt FNG zijn leveranciers bovendien een correcte prijs en blijft het toch competitief.
“Alle elementen versterken elkaar en mikken op de early adopters. Van hen kunnen we leren, inspiratie opdoen.” Bottomline: risico’s managen zonder diepgaand inzicht in de leefwereld en beweegredenen van de markt is strategische onzin. “Sterker nog, in elk risico schuilt een kans. Voor wie de opportuniteiten zoekt in een bedreiging, kunnen risico’s een zegen zijn.”
EXPERIMENT LEIDT TOT INZICHT
De modegroep profileert zich bewust niet als prijsbreker, maar biedt meer relevantie. “Blijvend innoveren vermindert het risico dat je door prijsspelers uit de markt wordt gewipt. Daarom zetten we een concept met een verhaal in de markt, niet een product.” De nieuwe conceptstore in Antwerpen, F.R.E.D., is zo’n experiment. Penninckx verkoopt er eigen merken, maar ook creaties van opkomend talent
“Mode is als fruit. Op het einde van het seizoen is het rot en nauwelijks nog iets waard. DoorloopDoorlooptijden efficiënt plannen is cruciaal”
FNG Group Business: mode Markten: 300 eigen winkels in de Benelux en collectie in 1.800 multimerkenwinkels Hoofdkwartier: Mechelen Medewerkers (jaarverslag 2014): om en bij 1.800 Buitenland: 80% van de omzet (32% in Europa) Omzet (doel boekjaar 2015): 225 miljoen euro www.fng.eu
RISKMANAGEMENT
39
2
FINANCIËLE RISICO’S Langetermijninvesteringen Om te groeien moet een onderneming investeren, hetzij met eigen vermogen, hetzij met vreemde middelen. Zo’n investering kan veel vormen aannemen. Als uitrustingsgoederen met een bepaalde levensduur bijvoorbeeld. Of als een nieuw project dat voorgefinancierd moet worden. Welke vorm ook, investeringen lopen normaliter op lange termijn en ze houden financiële risico’s in die een strategisch antwoord vereisen. Maar niet alleen investeringen genereren risico’s. Ook de dagdagelijkse werking, het voorfinancieren van gerealiseerde verkopen en het optimaal beheer van het bedrijfskapitaal… doen dat. Het goede nieuws is dat voor elk financieel risico een oplossing bestaat.
1 STRATEGISCHE FINANCIERING Of het nu gaat om de financiering van hun langetermijninvesteringen dan wel van hun handelscontracten op lange termijn, het is belangrijk dat bedrijven de risico’s kennen waaraan ze zich blootstellen en zich hiertegen gepast verzekeren.
40
RISKMANAGEMENT
Er bestaan verschillende formules om het risico verbonden aan langetermijnfinancieringen te verzekeren. En u kunt kiezen voor een vaste of variabele rente. Een vaste rente voor de volledige duur van het contract Een vaste rente voor de volledige duur van het contract biedt uiteraard veel zekerheid omdat de onderneming gedurende de volledige periode van de financiering – doorgaans 5 tot 15 jaar – beschermd is tegen renteschommelingen. Maar aan die zekerheid hangt een prijskaartje: de lening vroegtijdig terugbetalen betekent voor kmo’s een wederbeleggingsvergoeding betalen van zes maanden (voor contracten tot een miljoen euro) of een ‘funding loss’ (voor contracten van meer dan een miljoen euro). Bij dat laatste betaalt het bedrijf de kosten terug die de bank heeft gemaakt om een vast tarief te garanderen. Een variabel tarief met een renteswap De formule van een variabel tarief met renteswap verzekert renteschommelingen door middel van een swap. Het bedrijf sluit twee afzonderlijke contracten: een lening tegen een variabele rente, doorgaans op basis van een referentierentevoet op korte termijn (Euribor voor leningen in euro); en een renteswap die eventuele schommelingen dekt van de referentierentevoet voor de volledige duur van de lening.
Die formule kost het bedrijf evenveel als bij een terugbetaling van de lening over de volledige looptijd van het contract. Maar de opsplitsing tussen krediet en swap biedt meer flexibiliteit als u de lening vroegtijdig wilt stopzetten. Het bedrijf kan de lening namelijk stoppen tegen een beter tarief en de swap behouden om een nieuwe lening te dekken. Bovendien kan de onderneming afzien van de swap wanneer de marktvoorwaarden interessanter blijken dan verwacht. Herzienbare variabele rente Een derde optie is een variabele rente die om de zoveel tijd herzien kan worden waarbij het bedrijf de rentevoet kan ‘vastleggen’ op het moment dat de rentetarieven ongunstig dreigen te worden. Beslissen welke formule best aansluit bij het risicoappetijt van uw onderneming vereist uiteraard een goede kennis van de financiële markten. Raadpleeg daarom een deskundige (uw bankier bijvoorbeeld) om de risico’s goed in te schatten.
enerzijds is er het politieke risico, zoals een fragiel en – naar onze standaarden – ongewoon wettelijk en administratief kader, politieke instabiliteit…; anderzijds, het commerciële risico. Is de lokale partner betrouwbaar? Zal die op tijd betalen? Enz.
Welke verzekering best aansluit bij het risicoappetijt van uw onderneming vereist een goede kennis van de financiële markten Bij contracten over toerusting (materiaal, machineonderdelen, machines voor graafwerken…) of infrastructuurwerken (baggerwerken, waterzuiveringsinstallaties, de installatie van machines…) blijven die risico’s bovendien bestaan zolang het contract loopt. En dat kan gemakkelijk tien jaar of langer zijn.
Handelscontracten op lange termijn De risico’s die bedrijven lopen bij het sluiten van handelscontracten op lange termijn zijn vanzelfsprekend niet nieuw:
Net als bij langetermijnfinancieringen bestaan er ook hier verschillende oplossingen om uw bedrijf in te dekken tegen die risico’s.
WELKE MUNTEENHEID KIEZEN VOOR DE FINANCIERING De beste manier om zich te wapenen tegen de risico’s van valutaschommelingen – op lange termijn nog meer dan op korte termijn – is kiezen voor een financiering in de munteenheid van de inkomsten die de gefinancierde investering genereert. Een voorbeeld: als het moederbedrijf een investering financiert in zijn Britse filiaal, en als dat filiaal voornamelijk inkomsten genereert in Britse pond, is het aangewezen om een lening aan te gaan in pond. De kostprijs van een dekking met valutaswaps kan immers hoger liggen dan de eventuele winst op rentevoeten die het bedrijf kan maken bij een financiering in euro in plaats van in pond.
RISKMANAGEMENT
41
CASE JAN DE NUL GROUP
RISICOAVERSIE ZIT IN DE GENEN Zo typisch is het ‘hit and run’-businessrun’-businessmodel van baggerwerkenspecialist Jan De Nul Group, zo atypisch is haar risicobeheer. Geen formele, encyclopeencyclopedische riskmanagementplannen, maar gedocumenteerde checklists die de decennialange praktijkervaring bundebundelen. Risicoaversie en -beheer zitten bij Jan De Nul in de genen. “Alles wat we vooraf kunnen afdekken, wordt ook ververzekerd”,, beklemtoont CFO Paul Lievens. zekerd” “Zo moeten we ons eens het project wordt uitgerold vooral concentreren op de echt onbekenden.”
© Jan De Nul Group
De baggerwerkenspecialist strijkt neer waar het werk zich bevindt en vertrekt na gemiddeld twee tot drie jaar. Elk project is anders en heeft een eigen leercurve. “En zijn specifieke risico’s”, weet Paul Lievens. Geopolitiek hangt de omzet af van de wereldconjunctuur (als de Chinese economie sputtert, is er minder grondstoffenaanvoer, minder havenuitbouw en dus minder maritiem en baggerwerk) en van het politieke klimaat (denk aan wat gebeurt in Rusland of Iran). Compliance-risico’s zijn dan weer
sterk cultuurgebonden (Australië is zwaar gereglementeerd, India uiterst bureaucratisch, in Afrika zijn de financiële risico’s dan weer groot). “Daarom hanteren we zoveel mogelijk de internationale Engelse contractprincipes. Maar onze grootste risico’s zijn operationeel van aard. Onze activiteiten zijn immers heel tastbaar en gebonden aan schepen, technologie, mankracht… Een incident loopt al snel op tot enkele miljoenen euro’s kosten en reputatierisico’s. Daarom wordt elk project gerund door onze expats die de cultuur van het moederhuis kennen, en organiseren we de logistieke ondersteuning (ook het procurement, tot en met het toiletpapier) en het financiële plaatje volledig centraal.” De contracten probeert Jan De Nul altijd in euro te onderhandelen. Worden het alsnog andere valuta, dan dekt de groep de Forex-risico’s systematisch in. “Idem dito voor de brandstofprijs. In onze internationale projectbusiness worden we immers met zoveel onvoorziene zaken geconfronteerd dat we vooraf geen marge laten voor beheersbare risico’s, laat staan speculatieve posities.” EIGEN MIDDELEN EERST
De voorbije acht jaar investeerde de groep om en bij 2,7 miljard euro in nieuwe schepen, gebouwd in Spanje, Kroatië, Korea, China... Dat zijn langlopende projecten met een zware financiële impact, gaande van 25 tot 250 miljoen euro per schip. “Wij lopen in de boeken continu gemiddeld zo’n 900 miljoen euro scheepsbouwrisico. De kunst is te investeren in de juiste tuigen op het juiste moment. Dat
Paul Lievens, CFO Jan De Nul Group
42
RISKMANAGEMENT
vast actief van twee miljard. “Dat betekent dus dat we twee miljard aan vaste activa – lees schepen – op de balans hebben staan die we a rato van ongeveer 300 miljoen per jaar vernieuwen. In mensentaal: de cultuur bij Jan De Nul is dat we onze langetermijninvesteringen proberen te financieren met eigen middelen.” Pas bij een investeringspiek klopt de groep bij zijn bankiers aan voor een langetermijnkrediet. Dat het daarna zo snel als mogelijk afbouwt. “Zo willen we vermijden dat we in een kredietspiraal verzeilen en te afhankelijk worden van vreemde middelen.” betekent op middellange termijn de markt correct inschatten en investeren in ‘toekomstveilige’ technologie.”
“Zakendoen betekent permanent mitigeren van slechte ervaringen” Dat is financieel helemaal niet evident in één van de meest cyclische sectoren ter wereld. “Zo’n operatie vergt dus een complexe onderbouw van financiële garanties, zoals ‘refund garanties’. Bovendien bouwen we nooit op baggergespecialiseerde scheepswerven zodat we zelf meester blijven van het design én de productie van onze specifieke baggertechnologie. Om de risico’s te spreiden en de prijsconcurrentie scherp te houden, bouwen we meestal zelfs op vier, vijf werven tegelijk.” Financieel-strategisch vat Paul Lievens de groep samen in drie cijfers: twee miljard euro omzet, twee miljard eigen vermogen en een
TENDER RISK ASSESSMENT
Of het nu gaat om de financiering van hun langetermijninvesteringen dan wel van hun handelscontracten op lange termijn, het is belangrijk dat bedrijven de risico’s kennen waaraan ze zich blootstellen en zich hiertegen gepast verzekeren. “Elke project-lead waar ook ter wereld laten we vooraf screenen door een interne jurist die met ondersteuning van de diverse afdelingen alle risicogevoelige facetten (financieel, fiscaal, juridisch, verzekeringstechnisch…) in kaart brengt. Die TRA of ‘tender risk assessment’ wordt de leidraad voor alle verdere stappen in het proces, tot en met de commerciële onderhandelingen.” Risicobeheersing is deel van het DNA van groep Jan De Nul. “We hebben geen formele riskmanager, noch een formeel risico- of auditcomité. Internationaal zakendoen betekent permanent opbouwen van ervaring en leren uit slechte ervaringen. Dat is een keiharde, maar uiterst verrijkende leerschool. Die kennis zit in de genen van onze medewerkers
RISKMANAGEMENT
43
Het risico overdragen naar de bank Een aangepaste financiering kan beide partijen de zekerheid geven die ze zoeken. Die oplossing kan zowel worden toegepast voor de financiering als voor het genomen risico. De structuur werkt als volgt: de Belgische bank van de exporteur verleent in naam van die klant een krediet aan de buitenlandse koper (de importeur). De exporteur ontvangt bij levering of uitvoering van de werken het bedrag van de transactie, en de koper betaalt de bank terug volgens het afgesproken aflossingsschema. Dit is dubbel interessant voor het exporterende bedrijf: enerzijds omdat het snel over de nodige middelen beschikt. Anderzijds neemt de bank het politieke en commerciële risico op de buitenlandse koper voor haar rekening. en wordt formeel gedocumenteerd met exhaustieve checklijsten.” Dat is tegelijk de raad die Paul Lievens zijn collega’s wil meegeven: “Houd je kennis in huis. Op losse adviezen van externe experts alleen kun je niet kapitaliseren. Zeker niet bij een recurrente internationale business”.
Jan De Nul Group Business: baggerwerken, gespecialiseerde mariene diensten voor de offshore-industrie van olie, gas en hernieuwbare energie, civiele bouwkunde, milieudiensten en ‘brownfield’-ontwikkeling Markten: actief in 25 landen overal in de wereld Hoofdkwartier: Capellen, Luxemburg Medewerkers (2014): 5.990 Omzet (2014): 2,04 miljard euro www.jandenul.com
44
RISKMANAGEMENT
Om zo’n structuur efficiënt op te zetten, moet de bank uiteraard aanwezig zijn bij de onderhandelingen voorafgaand aan het contract. Concreet betekent dat: een voorafgaande risicoanalyse over het land van bestemming en de sector. De bank baseert zich hierbij zowel op haar eigen expertise als op risicoanalyses uitgevoerd door Delcredere (zie kader op p. 45); een analyse van de handelspartner: de naam, juridische structuur van de groep waartoe de partner hoort, de financiële gegevens van de voorbije twee jaar. Tegelijk doet Delcredere dezelfde controles; een analyse van de financiële aspecten van het contract waarop de bank zich zal baseren om haar klant te adviseren, vermits de bank daarna voor de financiering zal instaan. Het kan bijvoorbeeld gebeuren dat de bank voorstelt om een contract in verschillende fases op te splitsen om zo het risico verbonden aan het krediet te verkleinen.
Letter of interest: belangrijke troef bij de onderhandelingen Wanneer de bank van de exporteur ruim voldoende op voorhand wordt gecontacteerd, kan ze een voorafgaand onderzoek uitvoeren en op basis daarvan een ‘letter of interest’ opmaken. Dat is een officieel document, ondertekend door de bank, maar nog geen echte verbintenis dat het krediet effectief zal worden toegekend. Toch is zo’n ‘letter of interest’ een troef bij onderhandelingen of marktprocedures. Want, wie met zekerheid kan aantonen dat hij niet alleen het materiaal of de infrastructuur kan leveren, maar ook een financiering van het contract kan aanbieden, heeft zeker een streepje voor bij de onderhandelingen.
DELCREDERE: POLITIEKE RISICO’S INSCHATTEN EN VERZEKEREN Delcredere, de Belgische openbare exportkredietverzekeraar, is een bijzondere kredietverzekeraar. Delcredere verzekert niet alleen commerciële risico’s, maar ook politieke risico’s overal ter wereld. Op zijn website (www.delcredereducroire.be) schat Delcredere het politieke en commerciële risico in van meer dan 200 landen, zowel op het vlak van export als voor directe investeringen. Op verzoek wordt die analyse uitgebreid met een gedetailleerde analyse per sector en per debiteur. De analyse zal bovendien aantonen welke dekkingen mogelijk zijn en tegen welke kostprijs. Bedrijven kunnen Delcredere rechtstreeks contacteren of via hun financiële instelling.
Een ‘letter of interest’ vormt een troef bij de commerciële onderhandelingen
2 OPERATIONELE FINANCIERING Goederen verkopen houdt een zeker risico in. Met een aangepaste financiering en verzekering kunt u het risico verbonden aan verkoopscontracten echter beperken tot een aanvaardbaar niveau. Zelfs op internationaal vlak. Welke oplossing uw bedrijf kiest voor welk risico hangt af van tal van factoren.
Commercial finance Commercial finance – het vroegere factoring – kan een oplossing bieden om bedrijven bijkomend te beschermen tegen commerciële risico’s. Daarbij verkoopt een onderneming haar facturen of handelsvorderingen aan de financiële instelling. In ruil voor een korting op de factuurbedragen ontvangt de onderneming direct liquide middelen (een voorschot op de te ontvangen factuurbedragen) die kunnen worden ingezet als werkkapitaal. Door alles of een deel van de commerciële schuldvorderingen te transfereren: houdt het bedrijf dankzij de regeling die de bank treft, wanbetalingen beter onder controle; kan het bedrijf zich eventueel deels of bijkomend verzekeren tegen insolventie van zijn klanten; is het bedrijf beter beschermd zowel op het vlak van nationale als internationale (in Europa en daarbuiten) verkoopsovereenkomsten. Grotere kmo’s en grote bedrijven gebruiken commercial finance ook als techniek voor risicobeheersing. Hun doelstelling is dan vooral hun risico’s te spreiden om tegemoet te komen aan hun interne prudentiële richtlijnen. Deze richtlijnen verbieden bedrijven te veel risico’s – lees: te veel schuldvorderingen – op een individueel debiteur te nemen, zelfs al RISKMANAGEMENT
45
CASE SOLTECH
VAN LOKALE NAAR INTERNATIONALE MARKT Soltech, gespecialiseerd in hoogwaardige fotovoltaïsche systemen, richt zijn pijlen sinds kort op de internationale markt. Momenteel legt gedelegeerd bestuurder Michel Callerami de laatste hand aan de installatie van een zonne-energiecentrale van 20 megawatt in Azerbeidzjan. De financiële ‘verzekering’ krijgt daarbij bijbijzondere aandacht. Want de kans op een fifinancieel incident is omgekeerd evenredig met de efficiëntie van de voorbereiding.
© Soltech
Gepokt en gemazeld in internationaal zakendoen, nam Michel Callerami in september 2014 het beheer van Soltech over. Soltech is een nichespecialist van fotovoltaïsche systemen die op maat van een gebouw worden geïntegreerd, zowel esthetisch als functioneel. Denk bijvoorbeeld aan zonnecellen verwerkt in kleidakpannen, of zo goed als onzichtbaar geïntegreerd in glazen buitengevels. Of nog: fotovoltaïsche dakrandbeveiliging. Alle R&D gebeurt trouwens in huis. Daarnaast ontwerpt en bouwt Soltech zelf zonne-energiecentrales. Begin 2015 nog tekende de kmo een contract voor de studie, levering
en installatie van een 20 megawatt-centrale in Azerbeidzjan. “Onze groeifocus ligt op Rusland, het Midden-Oosten, de Centraal-Aziatische landen en Afrika. In tegenstelling tot wat je zou denken, zijn de commerciële (niet-betaling) en politieke risico’s (transferrisico’s, labiele rechtszekerheid, bankvertrouwen…) er niet groter dan in westerse markten. Het is de manier waarop je de markt benadert die verschilt en belangrijk is voor de risicogevoeligheid.” Cruciaal voor een risicoarm businessdevelopment is de kracht van het lokale netwerk. “Lokale mensen die je kunt vertrouwen vormen het fundament. En op financieel vlak verschillen minder de risico’s dan wel de financieringstechnieken. Je doet best geen handel zonder een sterke, ervaren bankpartner en zonder documentair krediet.”
“Dankzij het documentair krediet werd tot nu toe elk project betaald. Zelfs bij stopzetting” Dankzij zo’n krediet krijgt Soltech het engagement van de bank van de invoerder die de operatie steunt en het engagement van zijn Belgische bankier die de politieke risico’s dekt van dat land en van de lokale bank. Dankzij die onherroepbare garantie kan de uitvoerder met een gerust hart zijn project uitrollen. “Afhankelijk van de complexiteit of risicogevoeligheid van een project doen we bijkomend een beroep op exportkredietverzekering van Delcredere. Voor
Michel Callerami, gedelegeerd bestuurder Soltech
46
RISKMANAGEMENT
heel ander, nog complexer traject met heel eigen risico’s. Maar niet onmogelijk.” VEILIG OPEREREN
de centrale in Azerbeidzjan bijvoorbeeld onderhandelden we gewaarborgde voorschotten en documentaire kredieten met de opdrachtgever, maar ook met onze eigen leveranciers.” ERVAREN, COMPETENTE BANKPARTNERS
De complexiteit van dergelijke financiële technieken en de ongewone commerciële en politieke risico’s in de specifieke regio’s beheers je niet zonder de steun van ervaren en competente bankpartners zowel in het thuis- als in het buitenland. “Die je bovendien moet overtuigen van je eigen solvabiliteit en knowhow, van de commerciële waarde van je project en de betrouwbaarheid van je handelspartner. Ik kan me trouwens voorstellen dat een Belgische grootbank niet staat te springen om een kredietbrief te aanvaarden van een bank in een risicovol land met een gespannen politiek klimaat. Een andere optie om zaken te doen in een politiek stabiel land, maar dat zelf niet over financieringsmogelijkheden beschikt, is het project met eigen middelen (of van derde investeerders) financieren. Dat verdien je dan terug door de centrale zelf te exploiteren. Maar dat is weer een
Tijdens economische of diplomatieke missies verkiest Soltech zijn eigen netwerk ter plaatse waarmee het zonder omwegen de haalbaarheid van businessopportuniteiten kan aftoetsen. Daarbij respecteert Callerami vier fundamentele regels: “Blijf bij je corebusiness op markten die je kent (om die reden doe ik bv. geen zaken met de VS of Canada), vermijd risicolanden (genre Libië, Iran, Irak), handel nooit zonder betalingsgarantie en wees ethisch (ik wil zakendoen, niet in de gevangenis belanden).” Een tip? Callerami geeft er twee: “Weiger contracten in lokale munt. Altijd in euro. Geen enkele bank zal immers het wisselkoersrisico van exotische valuta dekken. Twee: houd het documentair krediet zo eenvoudig mogelijk. Hoe minder clausules, hoe minder kans op afwijkingen wanneer de documenten worden voorgelegd.”
Soltech Business: zonne-energie Markten: Europa, Midden-Oosten, Rusland, Centraal-Azië en Afrika Hoofdkwartier: Tienen Medewerkers (2015): 10 Omzet (2015): 35 miljoen euro www.soltech.be
RISKMANAGEMENT
47
gaat het om een betrouwbare debiteur. Zo kunnen schuldvorderingen op de btw-administratie van een ander land het voorwerp uitmaken van dergelijk contract.
Grondstoffen, wisselkoers en rentevoet Drie risico’s zijn inherent aan de activiteiten van elk bedrijf: de prijs van de grondstoffen, de wisselkoersrisico’s en de renterisico’s. Voor elk van die drie bestaan specifieke oplossingen om het risico te beperken. Grondstoffen. Binnen de financiële instelling kunnen ‘commodity specialisten’1 zorgen voor de best geschikte dekking tegen de prijsschommelingen. Dat kan door middel van bijvoorbeeld ‘forward contracten’2, opties, warrants, swaps. De keuze hangt af van het risico, maar ook van de duurtijd van de dekking. Wisselkoersrisico. Heel veel internationale transacties vinden tegenwoordig plaats in euro, dollar, of in mindere mate in renminbi (de officiële valuta van de Volksrepubliek China). Als een bedrijf een aankoop- of verkoopscontract sluit in een andere munteenheid, kan het zich blootstellen aan grote schommelingen. Hoe langer het contract loopt, hoe groter het risico. Renterisico. Dankzij de verschillende indekkingsmogelijkheden kunnen bedrijven zowel de prijzen van hun grondstoffen ‘vastleggen’ als de rentetarieven waartegen ze zich financieren en de wisselkoersen van de munteenheden waarin ze importeren en exporteren.
Trade finance: de export verzekeren Elke exporttransactie houdt een zeker risico in, zowel voor het exporterende bedrijf als voor zijn klant in het buitenland. Dat risico is verbonden aan het feit dat de goederen meerdere dagen tot weken onderweg zijn van het ene land naar het andere. Documentair incasso en documentair krediet bieden een oplossing voor die specifieke uitvoerrisico’s. Documentair incasso is de eenvoudigste manier en is aangewezen als beide partijen elkaar al wat langer kennen, of bij niet al te hoge bedragen. Het exporterende bedrijf voert de goederen uit, maar de klant kan die pas in ontvangst nemen nadat hij een aantal vooraf bepaalde documenten kan voorleggen waarmee zijn identiteit wordt bevestigd en waaruit blijkt dat hij de factuur heeft betaald of de schuld formeel heeft aanvaard. Documentair krediet is wat ingewikkelder, maar biedt meer zekerheid wanneer de partijen elkaar niet kennen of wanneer het bedrag in kwestie hoog is. Bij documentair krediet worden de goederen pas verzonden nadat de uitvoerder via zijn bank het bewijs krijgt dat de handelspartner het kredietcontract heeft aanvaard. De betaling wordt pas uitgevoerd nadat de uitvoerder bewezen heeft – via vooraf bepaalde documenten die conform moeten zijn aan wat de partijen hebben overeengekomen – dat de bestelde goederen wel degelijk zijn verzonden. De invoerder van zijn kant krijgt pas toegang
Commodity specialisten: specialisten in de evolutie van de grondstoffenprijzen. Ze analyseren de specifieke blootstelling van elk bedrijf aan schommelingen in de grondstoffenprijzen om te bepalen welke hedgingstrategie op maat mogelijk is. Met hedging wordt geprobeerd om een financieel risico van een investering (geheel of gedeeltelijk) af te dekken door middel van een andere investering. 2 Forward contracten: contracten waarmee een bedrijf zich kan indekken tegen de waardevermeerdering of -vermindering van een valuta ten opzichte van een andere. Zo’n contract stelt een bedrijf in staat om de prijs te bepalen waartegen het op een toekomstige datum een bepaald volume van een munt in ruil voor een andere munt zal kunnen verkopen of kopen. 1
48
RISKMANAGEMENT
tot de goederen nadat zijn bank de nodige documenten overhandigt die de betaling of aanvaarding van de schuld bewijzen. Dankzij het mechanisme van de bevestiging of confirmatie kan de uitvoerder een bijkomende zekerheid bekomen om het politieke en commerciële risico te beperken. Confirmatie betekent dat de betaling definitief is, wat er nadien ook gebeurt (fout van de bank, faillissement van de tegenpartij, schipbreuk, inbeslagname door de autoriteiten, revolutie…).
Voordat de bank van de uitvoerder het krediet bevestigt, zal die uiteraard eerst het risico van het land, de sector, de handelspartner en zijn bank analyseren. De kostprijs voor zo’n confirmatie hangt af van het geschatte risico van de operatie. Een bevestiging is niet alleen nuttig om het risico te beperken, het kan het uitvoerende bedrijf ook helpen om financiering te bekomen door de bevestigde kredietbrief ter discontering (ten gelde te laten maken) aan te bieden aan zijn financiële instelling.
Dankzij het mechanisme van de confirmatie kan de uitvoerder bijkomend het politieke en commerciële risico beperken WAAROM ZICH VERZEKEREN? De beslissing om zich al dan niet te verzekeren tegen om het even welk risico, hangt voor bedrijven af van factoren die eigen zijn aan de sector waarbinnen het bedrijf actief is. Hoe groter de kans dat een risico zich voordoet, hoe belangrijker het is zich hiertegen te verzekeren. Tot voor kort was het wisselkoersrisico, en dan meer bepaald de risico’s verbonden aan de schommelingen van de koers van de euro tegenover de dollar, vrij beperkt. Als gevolg van Quantitative Easing (QE) 1 aan beide kanten van de Atlantische Oceaan gingen de koersen meer schommelen. Hoe meer mogelijkheid het bedrijf heeft om de bijkomende kosten door te rekenen aan zijn klanten, hoe minder het noodzakelijk is om zich te verzekeren tegen deze risico’s. Hoe kleiner de winstmarge van het bedrijf, hoe groter de kans dat het bedrijf verlies zal lijden bij problemen. En dus hoe belangrijker een verzekering wordt. Grotere winstmarges kunnen daarentegen als vangnet dienen. Elke situatie is echter uniek: de aard en het belang van de dekkingen hangen af van uiteenlopende factoren. Doe daarom een beroep op een deskundige of de knowhow van uw financiële instelling om die keuzes te maken die best aansluiten bij de behoeften van uw bedrijf en de aard van uw businessactiviteiten. 1
Quantitative Easing: kwantitatieve versoepeling, of vrijer vertaald kwantitatieve geldverruiming betekent dat de centrale bank de geldvoorraad vergroot door effecten zoals staatsobligaties aan te kopen.
RISKMANAGEMENT
49
RISICOBEHEER VAN DEBITEUREN: OPTIMALISEER UW WERKKAPITAAL …in de praktijk Vóór het uitbreken van de financiële crisis in 2008 was het risicobeheer van debiteuren in veel bedrijven een storend element. Omzetmaximalisatie was het devies, met weinig tot geen aandacht voor de kredietwaardigheid en het onderhouden van de klantenrelatie. Vandaag de dag hanteren veel bedrijven creditmanagementprocedures om de risico’s met het klantenbeheer in te perken.
Efficiënt debiteurenbeheer… Met creditmanagement minimaliseert een bedrijf zijn kredietrisico’s en maximaliseert het de cashflow. De belangrijkste bouwstenen van een efficiënt debiteurenbeleid zijn (1) het inschatten van het debiteurenrisico, (2) de beoordeling van de kredietwaardigheid van een potentiële klant, (3) de tijdige inning van uitstaande vorderingen en (4) het onderhouden van de klantenrelatie op lange termijn. Belangrijk is dat het debiteurenbeleid wordt gedragen door de volledige organisatie. Een goede verstandhouding met de verkoop- en operations-afdelingen is cruciaal, net als de integratie met de overkoepelende doelstellingen en strategie van de onderneming. Een klant die wordt geweigerd, betekent immers een verlies aan omzet en winst. Een klant die zijn facturen niet kan betalen, vormt op zijn beurt een bedreiging voor de winstgevendheid van het bedrijf.
50
RISKMANAGEMENT
Een efficiënt debiteurenbeheer stoelt op de uitwerking en handhaving van duidelijke procedures rond de vier bovenvermelde bouwstenen.
1 Inschatten debiteurenrisico Een goede mensenkennis, empathisch vermogen en een assertieve vasthoudendheid zijn in dit eerste stadium onontbeerlijk. Een goede verkoper of ‘credit controller’ (financieel directeur) kan uit de verkennende gesprekken met de potentiële klant zijn financiële situatie doorgronden. Hij of zij hoort of er effectief problemen zijn, of wanneer de potentiële klant probeert ‘gratis’ krediet te verkrijgen door zijn DSO (Days Sales Outstanding of aantal dagen klantenkrediet) te onderhandelen. Het segmenteren van de klantenportefeuille kan deel zijn van een efficiënt klantenacceptatiebeleid. Per segment werkt het bedrijf een afzonderlijke aanpak uit. Zo kan het op basis van ervaring beslissen om een bepaald segment niet te (willen) bedienen/leveren. Of voor een ander segment het risico hoger in te schatten en in functie daarvan de verkoopvoorwaarden of zekerheidsstellingen aan te passen. Een onderneming zou bijvoorbeeld een proces kunnen inbouwen dat bij buitenlandse klanten standaard een kredietverzekering moet worden gesloten.
2 Beoordeling kredietwaardigheid Het samenstellen (of opvragen bij een gespecialiseerde dienstverlener) van een financieel rapport is het logische vervolg op de inschatting van het debiteurenrisico. Zo’n
rapport geeft onder andere een zicht op het betaalgedrag en de betalingsachterstand van een onderneming en een meer betrouwbaar beeld van de potentiële klant. Op basis van dat rapport kan het bedrijf op een objectieve manier en in samenspraak met de verkoopafdeling, de verkoopvoorwaarden vastleggen. Bijvoorbeeld een betalingstermijn toestaan of daarentegen een contante betaling vereisen. Of nog: beslissen wat de aanvaardbare budgetlimiet is voor de leveringen aan die klant.
3 Tijdige inning openstaande vorderingen Uit steekproeven blijkt dat één op de drie facturen niet op tijd wordt betaald. Het goed monitoren van het betaalgedrag is dus cruciaal. Correct betaalgedrag vereist enerzijds goede en systematische afspraken over de betalingsvoorwaarden van bij de opstart van de klantenrelatie, en anderzijds duidelijke procedures voor het factureringsproces. Houdt de klant zich niet aan de gemaakte afspraken en volgen daar – ook volgens afspraak – kosten en interesten op of zelfs de stopzetting van de samenwerking, dan moet u die afspraken ook consequent toepassen. Daarnaast is het van belang dat geleverde prestaties zo snel als mogelijk worden gefactureerd. Elk uitstel betekent in de regel al een verlenging van de betaaltermijn. Veel bedrijven factureren hun diensten slechts na verloop van de maand. Het werken met voorschotfacturen kan hier een oplossing bieden.
aan een incassobureau of een advocaat. Veel grote bedrijven focussen daarbij op hun topklanten en maken gebruik van specifieke creditmanagementsoftware voor de opvolging van de bulk aan kleinere klanten. Andere bedrijven verkiezen dan weer om het proces uit te besteden aan een factoringbedrijf.
4 Maximaliseren klantenrelatie De gemiddelde credit controller heeft bijna dagelijks contact met de klanten. Maar daarbij ligt de nadruk vooral op het betaald krijgen van facturen, meer dan op het versterken van de klantenrelatie. Toch is het bewezen dat een goede klantenrelatie bijdraagt tot de klantentevredenheid en een lagere DSO. Ook de klachtenbehandeling is sterk verbonden met het debiteurenbeheer. Door het consistent in kaart brengen en het vermijden van klachten kan een bedrijf zijn prestaties structureel verbeteren en tegelijk de klanttevredenheid verhogen. En hoe beter de klantentevredenheid, hoe lager de DSO.
… creëert extra werkkapitaal Dankzij een efficiënt debiteurenbeheer en -opvolging zal een bedrijf vrij snel extra werkkapitaal genereren. Een voorbeeld: als een bedrijf met een jaaromzet van 50 miljoen euro zijn DSO met vijf dagen terugdringt, levert dit liefst 694.000 euro extra werkkapitaal op.
Ook voor het eigenlijke inningsproces moet het bedrijf achterstalligheids- en incassoprocedures uitwerken. Leg vast dat er herinneringsbrieven moeten worden uitgestuurd, of een aanmaning, en bepaal op welk moment een vordering uit handen wordt gegeven RISKMANAGEMENT
51
3
COMPLIANCERISICO’S
Compliance is afkomstig van het Engelse werkwoord ‘to comply’ en betekent ‘naleving’. Het betekent dat een persoon, organisatie of bedrijf werkt in overeenstemming met de geldende wet- en regelgeving. Anders gezegd, wie compliant is, komt normen en afspraken na. En kent en volgt regels en wetten. Wie dat niet doet, loopt een risico.
1 CONTEXT Risico’s zijn van alle tijden, maar de (vaak internationale) dimensie ervan en de impact op het functioneren van bedrijven en organisaties, en dus op het economisch bindweefsel van een land, zijn vandaag van een andere grootorde. Denk maar aan de financiële en kredietcrisis in het zog van de val van enkele systeembanken, de boekhoudschandalen na de val van Enron (Amerikaans energiebedrijf), de reputatieschade door vervuiling, de cyberaanvallen op bedrijven en grote organisaties. Of heel recent nog de softwaremanipulatie in de automobielsector. Risicobeheersing mag dan wel geen gloednieuw thema zijn, het is wel brandend actueel en staat hoog op de economische (en politieke) agenda.
De bewustwording van de groeiende risico’s, zowel bedrijfsmatig als maatschappelijk, heeft de roep naar meer aandacht voor risicobeheer aangevuurd. De druk op de ondernemingen om het riskmanagement ernstig te nemen en een adequaat stelsel van beheersmaatregelen uit te werken en te onderhouden, nam fors toe. Het geschonden vertrouwen van de maatschappij – en in het bijzonder de financiële wereld – moet immers worden herwonnen. De bedrijfswereld staat hierin niet alleen. Het krijgt steun en stimuli door (soms ook overladen met) nieuwe of aangepaste wetten en regels op zowel nationaal als internationaal vlak. Dankzij de globalisering wordt de wereld voor elk bedrijf een potentiële markt. Tegelijk wijzigen de evoluties in het product- en dienstenaanbod razendsnel. En parallel daarmee ook het wet- en regelgevend kader waarbinnen de bedrijven nationaal en internationaal moeten opereren. Het Belgisch Staatsblad alleen al publiceert jaarlijks meer dan 100.000 pagina’s gewijzigde of nieuwe Belgische wetgeving. En iedere Belg hoort de wet te kennen… Een onmogelijke opdracht. Wie op de hoogte wil blijven van alle regulering, moet zich focussen en organiseren. Want zonder grondige kennis is het onmogelijk om alle regels en wetten ook correct na te leven of ‘compliant’ te zijn. Wie dat niet doet, loopt grote risico’s.
RISKMANAGEMENT
53
2 OORSPRONG EN 3 TOEZICHTHOUDENDE BETEKENIS ‘COMPLIANCE’ INSTANTIES Het begrip compliance duidt aan dat een persoon, organisatie of bedrijf werkt in overeenstemming met de geldende wet- en regelgeving. De term is afkomstig van het Engelse werkwoord ‘to comply’ en betekent ‘naleving’. Het handelt over het ‘nakomen’ van normen of het ‘zich er naar schikken’. De bakermat van compliance ligt in het Angelsaksische recht en heel specifiek in de VS, waar de overheid in de jaren 30 van de 20e eeuw overtuigd was van de noodzaak van een verregaande regulering van onder andere de financiële sector (toen al!). Het begrip is vooral actueel geworden na de grote financiële schandalen, zoals Ahold, Enron en Worldcom. Het uiteindelijke doel van compliance is voorkomen dat een organisatie de weten regelgeving overtreedt, hierdoor claims riskeert en boetes oploopt en daarmee publiekelijk in opspraak raakt. Compliance is dus het vakgebied van mensen die bij een organisatie verantwoordelijk zijn voor de naleving van alle geldende wet- en regelgeving, voor de vertaling van die wet- en regelgeving in goede procedures en afspraken. Datzelfde team ziet toe dat er wordt gewerkt volgens de door de organisatie zelf opgestelde normen en regels en het bewaakt de integriteit van de organisatie of het bedrijf.
54
RISKMANAGEMENT
Sommige compliance-taken staan ook onder prudentieel toezicht. Diverse Belgische toezichthouders kijken toe op de correcte en integere naleving van bepaalde wetgeving, vooral in de sectoren financiën, energie, communicatie, media en voeding. Denk aan: de Nationale Bank van België (NBB); de Autoriteit voor Financiële Diensten en Markten (FSMA, voorheen CBFA); de Commissie voor de Regulering van de Elektriciteit en het Gas (CREG); het Belgisch Instituut voor Postdiensten en Telecommunicatiediensten (BIPT); het Federaal Agentschap voor de Veiligheid van de Voedselketen (FAVV); … De Autoriteit voor Financiële Diensten en Markten bijvoorbeeld staat permanent in voor het toezicht op de financiële markten en beursgenoteerde ondernemingen, de erkenning van en het toezicht op bepaalde categorieën financiële instellingen, de naleving van gedragsregels door de financiële bemiddelaars en de commercialisatie van de beleggingsproducten voor het grote publiek en het zgn. sociaal toezicht op de aanvullende pensioenen. Voor bepaalde sectoren (bv. energie) bestaan regionale toezichthouders. En ook op Europees niveau zijn verschillende toezichthouders actief, zoals de Europese Gemeenschap voor Atoomenergie (EURATOM), de Europese Centrale Bank (ECB) en de European Food Safety Authority (EFSA).
4 GROTE DRAAGWIJDTE VOOR ELK BEDRIJF De concrete invulling van compliance verschilt per sector en zelfs per vennootschap (ongeacht of ze nationaal dan wel internationaal opereert, groot dan wel klein is). Beursgenoteerde bedrijven en financiële instellingen werken in een strikter regelgevend kader dan pakweg een lokale kmo. Het zal u niet verwonderen dat compliance vooral in de financiële sector cruciaal is wegens haar rol in het internationale financiële verkeer. De gedragsregels die de rechten van de ‘financiële consument’ beschermen, staan hierbij voorop. Bovendien staat de sector, na de financiële en kredietcrisis, voor grote uitdagingen. De sector moet zich aan complexe en veeleisende internationaal opgelegde regelgeving conformeren. Zo moet hij voldoen aan de kapitaaleisen van de Europese wetgeving van Basel III (voor financiële instellingen) en Solvency II (voor verzekeraars) die vanaf 1 januari 2016 in werking treden. Daarbovenop kwam de FATCA1, die financiële instellingen wereldwijd verplicht om Amerikaanse belastingplichtigen te rapporteren. Behalve grote (internationale) bedrijven moet ook de lokale kmo compliant zijn. Voor elk bedrijf, ongeacht zijn schaal of actieterrein, geldt een veelheid wetten en regels: lokaal, regionaal, nationaal, Europees en globaal. Het brede spectrum vindt zijn oorsprong in de diverse functies en taken binnen de onderneming die meestal met elkaar en met andere stakeholders samenwerken. Denk hierbij aan de departementen HR, Finance, Tax, ICT, Health, Security, Environment, Legal, Sales, enz. 1
De complexiteit van de wetgeving heeft in tal van bedrijven tot gevolg dat niet alle kennis en ervaring (in voldoende mate) in de onderneming aanwezig is om alle regels accuraat na te leven. Daarom doen veel bedrijven vaak een beroep op externen (via interim, outsourcing, externe specialisten…). Typische voorbeelden zijn de sociale secretariaten die het administratieve luik van het personeelsbeleid voor hun rekening nemen. Of de assistentie die accountants en belastingconsulenten bieden bij het voeren van de boekhouding, de opmaak van de jaarrekening en de btw/ vennootschapsbelastingverplichtingen en -formaliteiten. Hoe langer hoe meer komt ook het ICT-departement in de kijker van het compliance-verhaal. Met de beveiligingsrisico’s in het achterhoofd (cyberaanvallen treffen 10% van de bedrijven, lees het hoofdstuk ‘IT- en cybercrimerisico’s’ op p. 72) is ICT-kennis (intern of extern) onontbeerlijk geworden, ook met een strategische blik naar de verdere digitalisering van de processen en formaliteiten. Andere, compliance-gevoelige domeinen situeren zich rond thema’s als milieu, subsidies en veiligheid. Gezondheids-, veiligheids- en milieuzaken (Health, Security & Environment of HSE) zijn van groot belang voor elk bedrijf, ongeacht de sector. Om (internationaal) zaken te doen, is het noodzakelijk dat de gezondheids-, veiligheids- en milieuregels nauwgezet en correct worden opgevolgd en geïmplementeerd. Dat is geen eenvoudige opdracht en vergt doorgedreven kennis en expertise. De afwezigheid van de noodzakelijke vergunningen kan immers de werking en continuïteit van een onderneming blokkeren of geplande investeringen terugschroeven.
De Foreign Account Tax Compliance Act (FATCA) is een Amerikaanse wet die voorziet in de jaarlijkse rapportering aan de Amerikaanse belastingdienst (IRS) van rekeningen aangehouden door Amerikaanse belastingplichtigen buiten de Verenigde Staten.
RISKMANAGEMENT
55
5 CENTRAAL COMPLIANCETOEZICHT Het is uitermate belangrijk dat niet alleen elk departement ‘compliant’ is voor zijn activiteiten en verantwoordelijkheden, maar dat de onderneming in haar totaliteit alle regels en normen naleeft. Compliance is geen vrijblijvende oefening (non-compliance vormt immers een ernstig risico) en moet bijgevolg worden gestructureerd, gecoördineerd en gerespecteerd in alle geledingen van het bedrijf. Steeds meer bedrijven stellen een riskmanager aan om de compliance-oefening in goede banen te leiden. Financiële instellingen zijn bovendien verplicht om een onafhankelijke Compliance Officer aan te stellen. Andere bedrijven doen dat vrijwillig of integreren die functie in het globale riskmanagementbeleid. De Compliance Officer wordt meestal door het hoogste bestuursorgaan van het bedrijf (raad van bestuur of hoofddirectie) aangesteld. Hij werkt in volstrekte onafhankelijkheid en geniet een hoge mate van rechtsbescherming.
Steeds meer bedrijven stellen een riskmanager aan om de complianceoefening in goede banen te leiden De opdracht van de Compliance Officer is soms heel divers: adviseren over aanpassingen aan de interne bedrijfsvoering; versterken van de compliance-awareness door middel van communicatie en training; signaleren, identificeren en beoordelen van compliance-risico’s; proactief adviseren over compliance-risico’s; 56
RISKMANAGEMENT
opstellen en invoeren van risicobeheersende maatregelen; monitoren van de transacties van werknemers; oplossen van compliance-incidenten; onderhouden van contact met toezichthouders. In de huidige economische context (van globalisering, complexe regelgeving, digitalisering, constante evolutie) moeten bedrijven compliance integreren in de dagelijkse bedrijfsvoering. De ‘tone at the top’ en bedrijfscultuur zijn hierbij van cruciaal belang. Een risicobeleid (en dus ook compliance) is uiteindelijk de eindverantwoordelijkheid van de raad van bestuur, het uitvoerend comité en de andere comités actief in het risicobeleid (bv. auditcomité). Er is gelukkig een toegenomen bewustwording op dit vlak in de bestuurskamers. De grotere aansprakelijkheid, de vaak torenhoge boetes, de reputatieschade, de toegenomen mediatisering en de perceptie bij het publiek leiden vanzelf tot grotere waakzaamheid.
TAX RISKMANAGEMENT Het Engelse vierletterwoord BEPS, de afkorting voor Base Erosion and Profit Shifting, staat momenteel hoog op de politieke agenda en haalt bijna dagelijks de (wereld)pers. Met de strijd tegen BEPS willen overheden tax planningstrategieën (die juridisch volledig compliant zijn) bannen die erop gericht zijn winsten te verschuiven van hoogbelaste jurisdicties naar laagbelaste. Het huidige fiscale arsenaal aan wapens (bv. dubbelbelastingverdragen) is niet meer aangepast aan de nieuwste trends rond globalisering en digitale economie. In de publieke opinie heerst bovendien de perceptie dat multinationale ondernemingen hun ‘fair share’ van de belastingen niet betalen door gebruik te maken van incoherenties in de belastingwetgeving. Om die situatie recht te trekken, stelde de OESO, met steun van de G20, 15 actiepunten op die ze aan de wereld voorstelde op 5 oktober laatstleden. Dat actieplan wordt beschouwd als één van de grootste omwentelingen in de internationale fiscale wereld in de voorbije 50 jaar – op voorwaarde dat het ook wereldwijd door landen wordt geïmplementeerd. Aan de formele voorstelling ging een consultatieronde vooraf die finaal uitmondde in rapporten van meer dan 1.000 bladzijden dik. COHERENCE
SUBSTANCE
TRANSPARENCY
Hybrid mismatch arrangements (2)
Preventive tax treaty abuse (6)
Methodologies and data analysis (11)
Interest deductions (4)
Avoidance of PE status (7)
Disclosure rules (12)
CFR rules (3)
TP aspects of intangibles (8)
TP documentation (13)
Harmful tax practices (5)
TP/Risk and Capital (9)
Dispute resolution (14)
TP/High risk transactions (10)
Digital economy (1) Multilateral instrument (15)
Bron: OESO, www.oecd.org/ctp/beps.htm
De illustratie toont schematisch de 15 actiepunten van BEPS. Het zou ons in deze brochure te ver leiden om elk punt toe te lichten. In essentie worden de acties gegroepeerd rond drie centrale thema’s.
1. Coherentie Wanneer een kost aftrekbaar is in land 1 zou de overeenkomstige opbrengst in land 2 belastbaar moeten zijn (bv. een aftrekbare interest in land 1 mag niet meer worden beschouwd als een vrijgesteld dividend in land 2). Fiscaal (te) gunstige tax stelsels kunnen de coherentie verstoren.
RISKMANAGEMENT
57
2. Substantie Verrekenprijzen tussen ondernemingen moeten gebeuren in overeenstemming met de waardecreatie (het aantal transfer pricing1-controles in België groeit nu al substantieel). Substantie en economische onderbouw zijn noodzakelijk, en niet louter de juridische vorm (o.a. ook om misbruik van dubbelbelastingverdragen te vermijden).
3. Transparantie Transfer pricing-documentatie en -onderbouw worden veel belangrijker (o.a. via Country-by-Country rapportering2). Internationale informatie-uitwisseling over fiscale structuren en tax rulings (zo is er o.a. al uitwisseling met Luxemburg in het kader van de LuxLeaks). Deze fiscale (r)evolutie focust in eerste instantie op de grotere internationaal opererende spelers. Maar ook de Belgische kmo met internationale activiteiten komt in het vizier. De nieuwe maatregelen zullen ongetwijfeld aanleiding geven tot bijkomende compliance-vereisten (en tot hogere compliancekosten) voor de bedrijven. Ondernemingen en hun adviseurs moeten dan ook anticiperen op deze omwenteling door: de huidige fiscale structuren opnieuw onder de loep te nemen; rekening te houden met de BEPS-acties bij het opzetten van nieuwe structuren; op de hoogte te zijn van de komende stortvloed aan nieuwe fiscale wetgeving als gevolg van BEPS, zowel in België als in andere landen waar het bedrijf actief is of actief wil zijn in de toekomst; transacties tussen ondernemingen uitermate goed te onderbouwen en te documenteren.
Transfer pricing: heeft betrekking op alle soorten verrichtingen tussen vestigingen in verschillende landen die behoren tot dezelfde groep of holding. Bij financiële en andere transacties tussen de verbonden ondernemingen bestaat het gevaar dat de prijszetting op al die stromen niet marktconform gebeurt en bijgevolg niet zal worden aanvaard door verschillende belastingadministraties. Het feit dat sommige bedrijven transfer pricing wel eens durfden te gebruiken of te misbruiken om winst te verschuiven naar de landen met een lagere belastingvoet, leidde in heel veel landen tot een transfer pricing-wetgeving. De fiscus probeert op die manier de belastinginkomsten te vrijwaren. 2 ‘Country-by-Country’-rapportering: één van de 15 BEPS-maatregelen voorziet dat elke multinational een rapportering moet opstellen die per land een overzicht geeft van activa, tewerkstelling, winstgevendheid enz. Het moederbedrijf zal dat overzicht jaarlijks moeten opstellen en indienen bij zijn eigen fiscale administratie. Alle landen zullen die rapporten spontaan met elkaar delen. 1
58
RISKMANAGEMENT
4
JURIDISCHE RISICO’S
Ondernemingen moeten bij de uitvoering van hun activiteiten rekening houden met een uitgebreid arsenaal wettelijke regelingen en voorschriften. De mondialisering van het bedrijfsleven en in het kielzog daarvan de groeiende juridische complexiteit stellen bedrijven onophoudelijk voor nieuwe juridische uitdagingen – én risico’s.
Bedrijven moeten zowel rekening houden met nationaal, Europees als internationaal recht. De regulering die op het bedrijf en zijn activiteiten toepasselijk is, bepaalt het juridische speelveld waarbinnen u moet opereren. Wie de grenzen van dat juridische speelveld overschrijdt, wordt op uiteenlopende manieren gesanctioneerd, van burgerrechtelijke en strafrechtelijke aansprakelijkheid (boetes, schadevergoedingen) tot de intrekking van vergunningen en het verlies van rechten en activa. Die sancties, die het gevolg zijn van een overtreding van de juridische verplichtingen en normen, kunnen een grote impact hebben op de business en het voortbestaan van de onderneming rechtstreeks of onrechtstreeks in het gedrang brengen. Soms grijpen sancties zelfs in op de privélevens van de leidinggevenden, in het bijzonder ingeval van bestuurdersaansprakelijkheid.
1 DEFINITIE JURIDISCHE RISICO’S Algemeen worden juridische risico’s omschreven als de risico’s die verband houden met het naleven en opvolgen van wetgeving, contracten en andere specifieke verplichtingen en normen waaraan de onderneming moet voldoen. Met andere woorden, juridische risico’s vloeien voort uit de regelgeving die op uw bedrijf van toepassing is of uit de overeenkomsten die door uw onderneming worden aangegaan. Om grip te krijgen op die juridische risico’s, moet het bedrijf ze in eerste instantie identificeren, onderkennen en inschatten. Risico’s die u niet kunt duiden, kunt u immers ook niet beheren, laat staan beheersen. Het in kaart brengen van de bedrijfs- of organisatieprocessen is essentieel voor het identificeren van de risico’s die verbonden zijn met de bedrijfsvoering. Dat is uiteraard niet enkel zo voor juridische risico’s, maar ook voor de technologische risico’s (op het vlak van bedrijfsmiddelen en milieu), de sociale risico’s (inzake personeel), de economische risico’s (op de markten en in de organisatie zelf) en de financiële risico’s (inzake klanten, fraude, diefstal, enz.). Aan elk proces in het bedrijf kan een juridisch risico vasthangen. Denk aan verkeerde inkooptransacties en laattijdige leveringen RISKMANAGEMENT
59
van uw producten die leiden tot contractuele aansprakelijkheid. Of aan een laattijdige huuropzegging van een bedrijfsgebouw waardoor u zich (misschien ongewenst) verbindt aan een nieuwe huurtermijn. Kortom, een onderneming die haar juridische risico’s in kaart wil brengen, kan dat niet zonder grondige kennis van de concrete bedrijfsprocessen. Die kennis is een eerste noodzakelijke stap, maar zeker niet voldoende om de relevante juridische risico’s te detecteren, laat staan die juridische risico’s nuttig af te dekken.
Aan elk proces in het bedrijf kan een juridisch risico vasthangen
2 JURIDISCH RELEVANTE RISICO’S Om de relevante juridische risico’s te identificeren – niet alle juridische risico’s zijn even risicovol voor uw onderneming – moet de onderneming haar concrete bedrijfsactiviteiten kunnen situeren op het juridische speelveld. Ze moet anders gezegd de verschillende activiteiten en processen vertalen naar hun respectieve juridische relevantie. Ter verduidelijking: als het succes van uw onderneming in grote mate steunt op fysieke arbeid, loopt uw onderneming een groter risico op het vlak van arbeidsreglementering (bv. de risico’s van het werken met tijdelijke medewerkers en uitzendkrachten). In zo’n geval is het logisch dat een schending van die reglementering een grotere impact heeft dan wanneer uw business minder arbeidsintensief is. Hetzelfde geldt bijvoorbeeld op het vlak 60
RISKMANAGEMENT
van de regelgeving inzake intellectuele eigendom. Hoe meer IP-gedreven uw business, hoe groter de impact van een incident of overtreding.
3 GRONDIGE EN UP-TO-DATE KENNIS REGELGEVING Zoals gezegd, vloeien juridische risico’s voort uit de regelgeving die op uw onderneming toepasselijk is of uit de contracten die uw onderneming heeft gesloten. Als de juridische risico’s afhangen van de naleving van wettelijke (niet-contractuele) verplichtingen, kan uw bedrijf die risico’s, in theorie althans, vermijden door heel eenvoudig de regels na te leven. De echte uitdaging is echter om daadwerkelijk op de hoogte te blijven (of te worden gebracht) van alle regels die van toepassing zijn op de business – los van het feit dat de wetgever niet altijd even eenduidig is over het doel of de toepassing van de regels. De kennis en permanente opvolging van de toepasselijke wetgeving is niet evident. En al zeker niet voor juridisch-technische materies die vanwege hun aard weinig toegankelijk zijn. Hoe complexer de regelgeving, hoe groter het juridische risico omdat de kans groter is dat de regels niet correct worden nageleefd. Denk maar aan de heel ingewikkelde milieureglementering en de verplichtingen die gelden wanneer uw onderneming bijvoorbeeld haar bedrijfsactiviteiten zou wijzigen. Zo kan de uitbreiding van uw productiecapaciteit (bv. door de installatie van een bijkomende productielijn of een uitbreiding naar een 4- of 5-ploegenstelsel) wettelijk gezien een wijziging van
de exploitatievergunning vereisen. Zonder grondige kennis van de desbetreffende regelgeving kan dat onmogelijk accuraat en correct worden uitgevoerd. Zo gebeurt het nog te vaak dat ondernemingen niet (meer) over de geschikte exploitatievergunning beschikken of hun exploitatievergunning op verzoek van omwonenden (of andere belanghebbenden) vernietigd zien. Ze hadden dat kunnen vermijden door het vergunningsdossier voor te bereiden of op te volgen met kennis van de toepasselijke regelgeving en de daaraan verbonden juridische risico’s. Het hoeft geen betoog dat investeringen die nutteloos worden omdat een exploitatievergunning wordt ingetrokken, een ernstige impact hebben op het succes van uw onderneming.
De echte uitdaging is om op de hoogte te blijven van alle regels die van toepassing zijn op uw business 4 EVOLUTIE VAN DE REGELS, DITO RISICO’S De kennis opbouwen over en de constante opvolging van de toepasselijke wetgeving zijn niet vanzelfsprekend. Enerzijds door de snelheid waarmee bepaalde regelgeving evolueert. Anderzijds omdat de wetgeving vaak achter de realiteit aanholt en een onvoldoende duidelijk antwoord biedt op nieuwe technologie en moderne businessactiviteiten. Zo is het gebruik van sociale media door de bedrijven en hun medewerkers vandaag de dag nog altijd een juridisch kluwen, met alle bijbehorende risico’s die die complexiteit met zich meebrengt.
De bestaande regelgeving over e-commerce illustreert duidelijk hoe de snelle evolutie van wetgeving ook juridische risico’s genereert. Op basis van die regelgeving moet uw onderneming voldoen aan een arsenaal aan informatieplichten, cookie- en privacymeldingen, verplichte formulieren die moeten worden meegestuurd… ten aanzien van de klanten. Weet echter dat verplichtingen die een jaar geleden nog niet in voege waren, vandaag kunnen leiden tot sancties, zoals een verlengd herroepingsrecht voor de onlineafnemers. Met als gevolg dat die verkopen nog altijd kunnen worden teruggeschroefd. Gelukkig is er ook de andere zijde van de medaille. De naleving van de wettelijke verplichtingen biedt immers ook een duidelijke opportuniteit, met name de normconformiteit. Dat kunt u als een concurrentievoordeel of USP (unique selling point) uitspelen. Wie de wettelijke verplichtingen stipt naleeft, kan dat als argument gebruiken om het vertrouwen van prospects/toekomstige klanten te winnen.
5 JURIDISCHE EXPERTISE Bovenstaande voorbeelden maken duidelijk dat, minstens ingeval van beslissingen of investeringen die een significante invloed hebben op uw onderneming, de kostprijs van een interne of externe juridische expertise opweegt tegen de financiële impact van het risico. Beschikken over de nodige juridische expertise, intern of extern, is een belangrijke stap om de juridische risico’s beheersbaar te maken en te houden. Bovendien versterkt u daarmee het juridische risicobewustzijn binnen de onderneming. Ten slotte is de kennis van de RISKMANAGEMENT
61
CASE STUDIO 100
RECHTEN EN VEILIGHEID Risicobeheer bij Studio 100 begint bij respect voor de kernwaarden. “Als iederiedereen binnen de groep positief is ingesteld, open communiceert, resultaatgericht onderneemt… geef je risico’s veel minder kans”,, onderstreept Koen Peeters, CFO kans” van de Disney van de lage landen. Want, wat zijn regels en procedures waard als niemand er zich aan houdt?
© Studio 100
Het businessmodel van Studio 100, bij het grote publiek vooral bekend van zijn televisiereeksen, theatershows en themapretparken, staat onder druk van de toenemende digitalisering. “De audiovisuele inhoud die wij produceren, wordt anders geconsumeerd dan pakweg vijf jaar geleden”, legt Koen Peeters uit. “De traditionele ‘free to air’ televisiezender of dvd zijn niet langer alleenzaligmakende kanalen. Andere aanbieders, denk aan YouTube, challengen de markt.” Dat heeft een effect én op de manier waarop Studio 100 content moet aanbieden, én op de inkomstenstroom. “De advertentiekoek groeit niet, maar moet wel worden verdeeld over meer spelers.” Positief aan het verhaal is dat al die nieuwe distributiekanalen content zoeken. Dat biedt voor een producent als Studio 100 opportuniteiten,
zoals een directer contact met de doelgroep (kinderen) waarvan ook het smaakpatroon evolueert onder invloed van de andere ‘kijkvormen’. “Hoe beter we onze klanten kennen, hoe succesvoller we ons aanbod kunnen afstemmen op de vraag.” De risico’s verbonden aan het businessmodel van de pretparken zijn van een totaal andere orde. “Parken zijn heel kapitaalintensief en slorpen het gros van ons geïnvesteerd vermogen op. Maar eenmaal de investeringen achter de rug leveren ze een heel stabiele cashflow.” Minder beheersbare risico’s in dit segment zijn schommelingen in de reis- en toerismemarkt door seizoensgebonden omstandigheden, ongevallen en veiligheidsincidenten, enz.
“Wie zich aan het wettelijke kader houdt en geen grengrenzen opzoekt, loopt weinig juridische risico’s” De seizoensgebonden risico’s – het zwaartepunt van de business ligt in de vakantieperiodes voor de pretparken en in het 4e kwartaal voor merchandising en shows – probeert Studio 100 uit te vlakken door het aanbod te diversifiëren. “Zo bieden we zowel out- als indoorparken, geografisch gespreid en per outdoorpark een uitgebreid aanbod van zowel overdekte als buitenactiviteiten voor b2cen b2b-doelgroepen. Daardoor kunnen we het seizoen verlengen en de klimaat- en seizoensgebonden risico’s beter spreiden.” INTELLECTUELE RECHTEN VALORISEREN
Het rendement van de groep is sterk afhankelijk
Koen Peeters, CFO Studio 100
62
RISKMANAGEMENT
van het bestaan en de exploitatie van de intellectuele-eigendomsrechten (IP) van haar producten en diensten. Twee dimensies zijn daarbij van belang, aldus Koen Peeters. “IP-rechten zijn beschermd door de toepasselijke wetgeving van de landen en gebieden. Veranderen die regels, dan heeft dat ook een impact – positief of negatief – op de inkomsten en de kosten. Anderzijds maakt nieuwe technologie namaak steeds gemakkelijker. Een hoger risico betekent dat Studio 100 meer energie en middelen moet investeren om zijn IP-rechten te beschermen, maximaal te valoriseren en het verlies aan inkomsten door niet-gelicentieerd gebruik tot een minimum te beperken. Dat vergt een belangrijke juridische knowhow.” Een team van zes specialisten legt zich daarom 100% toe op het beheer, de rendabilisering, de bescherming en de bewaking van de rechten en licenties van de groep. Om de eigen creaties behalve auteursrechtelijk te beschermen, wordt elk merk ook geregistreerd. En in zijn belangrijkste markten (Benelux en Duitsland) doet Studio 100 zelf proactief controles op potentieel misbruik. ETHIEK EN CORPORATE GOVERNANCE
Eigen aan de projectgedreven business van Studio 100 zijn de arbeidscontracten van bepaalde duur en freelancecontracten. “Zowel in België als voor onze animatiestudio’s in Frankrijk en Australië
gelden specifieke arbeidsrechtelijke statuten. Idem dito voor de seizoenmedewerkers voor onze pretparken of de kinderen die optreden in de shows. Wie zich aan het wettelijke kader houdt en geen grenzen opzoekt, loopt weinig juridische risico’s.” Bovendien respecteert en steunt Studio 100 de heersende ethische en corporate governance-codes en legt het diezelfde eisen op aan zijn leveranciers. “De financiering via een obligatielening verhoogt de (positieve) druk op onze corporate governance. Het leidt tot nog meer transparantie en stabiliteit.” GEEN PARDON
Meer nog dan de juridische of seizoensgebonden risico’s staat de veiligheid bovenaan elke agenda van de raad van bestuur. “Zeg nooit nooit. Ook al zijn we strenger dan de wettelijke normen, toch hadden we in 2014 een dodelijk ongeval in een themapark. Elk incident is er één te veel. Je mag dan als bedrijf worden vrijgesproken, de reputatieschade blijft groot. Risico’s nemen op veiligheid is not done!”
Studio 100 Business: entertainment en vrijetijdsbesteding Markten: België, Nederland en Duitsland Hoofdkwartier: Schelle Medewerkers (2014 - België): 160 op de loonlijst + tot 2.000 tijdelijke contracten/jaar Omzet (2014): 176,5 miljoen euro www.studio100.tv
RISKMANAGEMENT
63
toepasselijke wetgeving een must om het risicobeheer te vertalen naar interne beleidsmaatregelen of policy’s.
6 CONTRACTMANAGEMENT Hebben de risico’s te maken met naleving van de contractuele verplichtingen van de onderneming, dan kan het bedrijf die juridische risico’s beheersen dankzij het juiste contractmanagement. Gammele contracten en onduidelijke afspraken zijn een voedingsbodem voor wantrouwen en financiële schade. Ze kunnen in eerste instantie worden vermeden door pas met de contractbesprekingen te beginnen als u de relevante juridische risico’s voor uw onderneming kent en ze correct kunt inschatten. Eenmaal het contract gesloten, heeft een degelijk contractmanagement als tweede belangrijke doel: ‘getting what you agreed’. Anders gezegd, voorkom dat er waarde uit uw overeenkomsten weglekt door proactief toe te zien op de naleving en de verdere uitwerking van de overeenkomsten. Verlies daarbij uiteraard de goede relatie met de handelspartner (klant of leverancier) niet uit het oog.
7 CORPORATE GOVERNANCE Door de toenemende juridisering van de maatschappij, ondanks alle pogingen tot deregulering, wordt het meer dan ooit cruciaal om de identificatie en de beheersing van de juridische risico’s van uw onderneming als beleidspunt te integreren in uw bedrijfsstrategie. 64
RISKMANAGEMENT
Zowel de Corporate Governance Code (Code 2009, voor beursgenoteerde ondernemingen) als de Code Buysse 2 (voor niet-beursgenoteerde ondernemingen) stellen uitdrukkelijk voorop dat een deugdelijk leiderschap ervoor zorgt dat risico’s juist en volledig geïdentificeerd, ingeschat en gecontroleerd worden. Het bestuur moet er daarbij op toezien dat het management een degelijk systeem van interne controle uitbouwt, aangepast aan de omvang en de complexiteit van de vennootschap. Het is van groot belang dat de voornaamste risico’s, inclusief risico’s die verband houden met de naleving van bestaande wetgeving en regels, behoorlijk worden geïdentificeerd, beheerd en ter kennis gebracht van het bestuur.
8 BESTUURDERSAANSPRAKELIJKHEID Deugdelijk bestuur zorgt voor een afdoende identificatie en beheersing van de juridische risico’s die de onderneming loopt. Ondanks goede intenties moet het bestuur zich niettemin bewust zijn van zijn eigen risico’s in verband met de bestuurdersaansprakelijkheid. In het algemeen kan een bestuurder van een vennootschap op verschillende gronden aansprakelijk worden gesteld, meer bepaald wegens (1) gewone bestuursfout, (2) inbreuk op het Wetboek van Vennootschappen of de statuten, (3) onrechtmatig financieel voordeel, (4) onrechtmatige daad, (5) kennelijk grove fout die heeft bijgedragen tot het faillissement, (6) aansprakelijkheid voor fiscale- en socialezekerheidsschulden en (7) strafrechtelijke aansprakelijkheid.
Bij schending van de regels van het Wetboek van Vennootschappen kunnen bestuurders hoofdelijk aansprakelijk worden gesteld Ingeval van een schending van de statuten of van de regels van het Wetboek van Vennootschappen kunnen de bestuurders hoofdelijk (dus ieder afzonderlijk voor het geheel) aansprakelijk worden gesteld, zowel door de eigen onderneming als door alle derden, voor de integrale schade die het gevolg is van zo’n overtreding. Een bestuurder binnen een collegiaal orgaan, zoals de raad van bestuur, loopt het risico om aansprakelijk te worden gesteld voor wat hij kan aanvoelen als handelingen van een andere bestuurder. Bijvoorbeeld: stel dat de bestuurder tot de minderheid behoort die een besluit van de meerderheid moet aanvaarden. De collegiale aard van de beraadslagingen van de raad van bestuur heeft dan inderdaad tot gevolg dat, eens de beslissing
genomen, ze wordt beschouwd als een beslissing van de voltallige raad. Elk bestuurslid is dus aansprakelijk voor die beslissing als gevolg van de collegiale aansprakelijkheid die geldt.
9 AANSPRAKELIJKHEID VERZEKEREN Ondanks alle maatregelen om de risico’s te beperken en te beheersen, blijft het uiteraard aangewezen om, zowel voor de (belangrijkste) aansprakelijkheidsrisico’s van uw onderneming als voor de aansprakelijkheidsrisico’s van de bestuurders, toereikende verzekeringen te sluiten. Elk risico kan worden verzekerd, als u er maar voldoende voor betaalt. Dat is alvast nog een extra argument om eerst uw risico’s op een intelligente manier in kaart te brengen en ze dan op de meest kostenefficiënte manier te laten verzekeren.
RISKMANAGEMENT
65
5
OPERATIONELE RISICO’S
Nergens in de hele waardeketen komt de essentie van risicobeheer duidelijker in beeld dan bij de operationele uitvoering van de bedrijfsstrategie. Geen enkel bedrijf, groot of klein, ontsnapt aan operationele risico’s. Dit hoofdstuk beschrijft hoe die zich manifesteren en biedt een aantal vuistregels om ze als bedrijf op een efficiënte manier te kunnen beheersen.
Een operationeel risico is het risico van verlies als gevolg van inadequate of falende interne processen, mensen en systemen of als gevolg van externe gebeurtenissen. Het is op dat operationele niveau dat de essentie van risicobeheer heel sterk tot uiting komt. Net omdat die operationele uitvoering een aaneenschakeling is van acties van verschillende individuen of partijen (intern of extern), simultaan of op aaneensluitende ogenblikken, en met verschillende raakpunten waarop ‘input’ aan de ene kant afhankelijk is of beïnvloed wordt door ‘output’ van een andere partij.
DE OORZAKEN VAN OPERATIONELE RISICO’S KUNNEN WORDEN ONDERVERDEELD IN ZEVEN ‘SOORTEN’ 1. Interne fraude Dat is de fraude waarbij minimaal één persoon van de eigen onderneming of organisatie betrokken is. Denk aan belastingontduiking of omkoping.
2. Externe fraude Dat is fraude door personen extern aan het bedrijf of de organisatie, zoals diefstal van bedrijfsgeheimen.
3. Tewerkstellingspraktijken en veiligheid op de werkplaats Voorbeelden daarvan zijn discriminatie, pesten op het werk…
ten overstaan van klanten of die het gevolg zijn van de aard van een product. Voorbeelden zijn: schending van contracten, kartelvorming, witwaspraktijken…
5. Fysieke schade Voorbeelden zijn schade door terrorisme, natuurrampen…
6. Business- en systeemonderbrekingen Denk aan stroomstoringen e.d. …
7. Onvolledige of incorrecte procesuitvoering, levering van producten en diensten, en procesmanagement
4. Klanten, producten, businesspraktijken Dat zijn de risico’s die voortvloeien uit het niet nakomen van verantwoordelijkheden
66
RISKMANAGEMENT
Bron: Definitie en oorzaken volgens Basel Committee, www.bis.org
De correcte inschatting en beheersing van operationele risico’s is dan ook recht evenredig met het succes van de bedrijfsstrategie, het produceren van goederen, of het leveren van diensten. Een proces is echter slechts zo sterk als de zwakste schakel die de verschillende onderdelen met elkaar verbindt. Tegelijk is het duidelijk dat een adequate vorm van risicobeheersing aan de operationele zijde van de onderneming een enorme stimulans kan zijn voor een duurzame ontwikkeling en groei. Als de strategische visie van de onderneming en de mogelijkheid om die operationeel uit te voeren, naadloos op elkaar aansluiten, zijn alle elementen aanwezig voor een succesvolle rit. Dat betekent echter niet dat er in de loop van het proces helemaal niets verkeerd mag gaan.
De correcte inschatting en beheersing van operationele risico’s is recht evenredig met het succes van de bedrijfsstrategie Hieronder gaan we na hoe operationele risico’s ontstaan en hoe een onderneming ze op een efficiënte manier kan beheersen. We doen dat aan de hand van vier vuistregels.
REGEL 1: een goed inzicht in de bedrijfsprocessen betekent een goed inzicht in de risico’s die ermee gepaard gaan. Dat is ook logisch omdat, zoals eerder gezegd, risico’s integraal deel uitmaken van de bedrijfsvoering. En net zoals het voor een efficiënte bedrijfsvoering belangrijk is dat de verschillende bedrijfsprocessen accuraat en duidelijk be-
schreven zijn, is het belangrijk om de risico’s per proces mee in kaart te brengen. Daarbij mag u zich als ondernemer niet laten verleiden om te sterk te vertrouwen op de inherente kennis of de goede intenties en de creativiteit van de personen of afdelingen die belast zijn met het uitvoeren van de processen. Een goed procesmanagement mag immers niet afhankelijk zijn van de individuen die de processen bewaken. En mag het correct inschatten van de risico’s niet afhangen van de individuele affiniteit met het hele gebeuren. Op tijd risico’s beschrijven en aanpassen aan veranderende omstandigheden of behoeften is dus noodzakelijk. Voorbeeld: een bedrijf kan vlot orders aannemen via verschillende verkoopkanalen (direct sales, verkoop, online) en daarop aansluitend een strak georganiseerde backoffice hebben die de binnenkomende orders tijdig en accuraat verwerkt. Een kritiek punt in dit orderverwerkingsproces is uiteraard het snel, correct en volledig ontvangen van al die bestellingen. Wanneer ook maar één van die overdrachten niet, niet tijdig of onvolledig gebeurt, bestaat de kans dat zich op korte termijn storingen voordoen in de rest van de organisatie (in het voorraadbeheer, de dienst na verkoop, de marketing- en verkooporganisatie) die de ‘belofte’ van beschikbaarheid en betrouwbaarheid van het product aangetast ziet. Het operationele risico in dit voorbeeld heeft dus specifiek betrekking op de verwerking van de orders (door onvolledige of laattijdige informatie), maar met gevolgen voor de andere bedrijfsprocessen. Daarom moet het voor de backoffice glashelder zijn wanneer welke informatie uit de verkoopkanalen wordt ontvangen. En wanneer een signaal moet knipperen omwille van een onvolledige of laattijdige aanlevering. Het risicobeheer biedt hier een reuzekans voor de bedrijven die net van betrouwbaarRISKMANAGEMENT
67
heid en stipte levering hun handelsmerk maken. Zij kunnen zo – én tegen een verwaarloosbare extra kost – intrinsieke waarde aan hun product of dienst toevoegen.
REGEL 2: een bedrijf bevindt zich uiterst zelden in een geïsoleerde of stationaire positie. Operationele risico’s zullen evolueren en moeten dus regelmatig worden opgevolgd en aangepast. Wanneer een bedrijf op korte termijn sterk en snel groeit, neemt het aantal rollen en functies vaak ook organisch toe. Het is echter belangrijk om op geregelde tijdstippen een inschatting te maken van de verantwoordelijkheden en de functieprofielen binnen het bedrijf. Zo kan worden vastgesteld of er nog voldoende ervaring en kennis aanwezig is om de risico’s die inherent verbonden zijn aan het werken in een bredere externe omgeving (met meer derde partijen of partners en tegelijk met een grotere maatschappelijke relevantie en controle) te beheersen. Daarnaast zijn er de functieprofielen voor de interne processen. Hier blijft het uitermate belangrijk om geregeld te toetsen of de gebruikers met een bepaald profiel nog de correcte toegangs- en beslissingsbevoegdheden hebben. Deze processen zijn uiteraard ook gevoelig voor IT- of frauderisico’s, maar uit de praktijk blijkt dat de risico’s zich vooral voordoen in de operationele uitvoering van bedrijfsprocessen (zoals verwerken en goedkeuren van bestellingen, aankoopfacturen en betalingen).
Operationele risico’s evolueren en moeten dus regelmatig worden opgevolgd en aangepast 68
RISKMANAGEMENT
Voorbeeld: wanneer een bedrijf door een snelle groei van zijn medewerkers ook het aantal bedrijfsvoertuigen ziet toenemen, zijn in de regel bredere competenties vereist voor het beheer van die voertuigen dan bij een beperkt aantal auto’s. Mocht het bedrijf het fleetmanagement willen uitbesteden, dan mogen daarbij niet alleen bedrijfseconomische motieven spelen. Het beheer van het onderhoud, schade-afhandelingen… alsook de controle op het correct gebruik van bijvoorbeeld brandstofkaarten worden best eveneens vanuit het oogpunt risicobeheer benaderd en nauwkeurig omschreven.
REGEL 3: hoe gaan we in de praktijk concreet om met risico’s? Ook al wordt verwacht, zoals hierboven aangegeven, dat risicobeschrijving integraal deel uitmaakt van de algemene procesbeschrijving in het bedrijf, toch is het in de werkelijkheid vaak zo dat een incident (zelfs als gevolg van een gekend risico) gebeurt buiten de normale handelingen en activiteiten van de betrokken spelers. Daarom is het uiterst belangrijk een goed draaiboek te hebben dat duidelijk de vereiste respons omschrijft per betrokken partij. Er mag zo weinig mogelijk aan het toeval worden overgelaten. En het afwikkelen van de ‘crisissituatie’ moet zo voorspelbaar en zo traceerbaar mogelijk zijn (lees hierover meer in het hoofdstuk ‘Wat bij een incident’, p. 82). Voorbeeld: een productie-installatie raakt onklaar of een dienstenbedrijf wordt tijdelijk onbereikbaar door een storing in de telefooncentrale of de webserver. Hier moet heel snel worden ingeschat wat de storing veroorzaakt, hoe lang de problemen kunnen duren en welke acties de verschillende ‘verantwoordelijken’ moeten nemen om de onderbreking tot een minimum te beperken. In het heetst
van de strijd is het uiterst belangrijk dat die stappen snel, voorspelbaar en accuraat worden uitgerold. De beste garantie hiervoor is een duidelijk draaiboek waarin de rol, de verantwoordelijkheid, de autoriteit en de beslissingsbevoegdheid van elke deelnemer (en bij afwezigheid naar wie wordt gedelegeerd) eenduidig worden omschreven. Dankzij zo’n draaiboek zullen de leidinggevenden en de medewerkers met meer vertrouwen en dus veel effectiever het hoofd kunnen bieden aan onverwachte gebeurtenissen.
REGEL 4: een efficiënt risicobeheer, ook van operationele risico’s, staat of valt met de regelmatige evaluatie van de effectiviteit van de reactie erop en de betrokkenheid van de medewerkers en het management bij risicobeheersing. Het model van de ‘drie defensielijnen’ (meer daarover in het hoofdstuk ‘Risico’s beheersen’, p. 20) toepassen, betekent de facto dat iedereen in het bedrijf betrokken partij is. Regelmatig het risicoplan testen, evalueren en quoteren is de boodschap. Het management (of zij aan wie de follow-up van het risicobeheer werd gedelegeerd) neemt hierin voorzichtigheidshalve een ‘eerst zien en dan geloven’-houding aan. Dat betekent dat de verschillende divisies of afdelingen op geregelde tijdstippen verplicht de status moeten inschatten van de mate waarin ze de risico’s die hun processen kunnen bedreigen, begrijpen en beheersen. Ze moeten bovendien het bewijs leveren van de tests waarmee ze hun gelijk of mening onderbouwen. Alleen op zo’n manier kan een geobjectiveerd eindoordeel geveld worden over de staat van de risico’s op bedrijfsniveau en waarvoor de bedrijfsleider op het einde van de rit garant staat.
Het management neemt best een ‘eerst zien en dan geloven’-houding aan Voorbeeld: tijdens het kwartaaloverleg overloopt de afdelingsverantwoordelijke samen met zijn leidinggevende het overzicht van de tests voor de risico-evaluatie. Waar het overzicht bv. vermeldt dat de noodprocedure bij het uitvallen van de stroom met succes werd getest, kan de leidinggevende vragen naar de fysieke versie van het draaiboek (nodig als de computers uitvallen). Op basis daarvan kan hij de volledigheid en de correctheid van de informatie checken door bv. lukraak een aantal nood-contactnummers te bellen.
Tot besluit: operationele risico’s manifesteren zich in uiteenlopende vormen en op veel niveaus, het ene risico al ingrijpender dan het andere. Een duidelijk inzicht in het ‘gewicht’ van elk risico, een krachtdadig actieplan om erop te reageren als ze zich voordoen en de zekerheid dat alles op regelmatige basis geëvalueerd, getest en gedocumenteerd wordt, zijn van levensbelang voor een effectief riskmanagement. Zo kan het risicopeil van een situatie worden beheerst op een manier in het voordeel van zowel het bedrijf, de medewerkers als de klanten en andere stakeholders.
RISKMANAGEMENT
69
CASE NHV HELIKOPTERS
CIJFERS ZIJN NIET HEILIG De Oostendse leverancier van helikophelikopterdiensten NHV is actief op meer dan 20 basissen in 9 landen op 2 continenten. “Ondernemen is een risico, maar niets ondernemen even zo goed”, goed”, beklembeklemtoont CEO Eric Van Hal. Kern van de zaak is het vinden van het meest gezonde evenwicht. In casu tussen veiligheid, renrendement en personeelstevredenheid.
© NVH Helikopters
NHV is actief boven zee en aan land. Zo’n 75% van de omzet is het transport van bemanning en vracht van en naar boorplatformen of windmolenparken. Aan boord brengen van loodsmannen bij hevig weer maakt ook deel uit van offshoreactiviteiten, net als zoek- en reddingsoperaties. Op de onshoremarkt verzorgt NHV vooral dringende, medische transporten. Dagelijks hangen zo’n 60 toestellen in de lucht. Een heel CAPEX-intensieve business (investeringen in vernieuwingsprojecten) waar (heel) ver vooruitdenken levensnoodzakelijk is. “Onze wereld volgt een aparte groeidynamiek”, legt Eric Van Hal uit. “Eerst zijn er flinke investeringen nodig – een nieuwe helikopter kost 7 tot 25 miljoen euro –
die vervolgens pas jaren later renderen. En om natuurlijk te groeien, moet je eerst voor extra capaciteit zorgen door bijkomende toestellen en personeel.” Technologisch hoogopgeleide medewerkers, zoals piloten en onderhoudstechnici, lopen niet dik. Middenklassers kan de helikopterbusiness zich vanwege de uiterst strenge veiligheids- en kwaliteitsnormen niet veroorloven. “Om de instroom van topkwaliteit te verzekeren, richtten we een eigen, gecertificeerde technische school op en een vliegopleiding. En voor onze Afrikaanse markt (zo’n 40% van de omzet) leiden we sinds kort zelf lokale medewerkers op. We beschouwen het als een kennistransfer waardoor we tegelijk de expatkosten drukken.
“Wie zijn risico’s kan objectiveren, kan ze ook elimineren en… ombuigen tot opportuniteiten” Reken op 100.000 euro per piloot. Die investering proberen we tot vijf jaar ver te verzekeren via een uitvoeringsborgtocht, maar bovenal door de mensen groeikansen te bieden en werkcomfort.” RATIONALISEREN EN OBJECTIVEREN
Risico’s zijn berekenbaar. Maar cijfers zijn niet heilig. Niets ondernemen staat gelijk met een stille dood, dus moet je wel risico’s nemen. “Hoe beter je die kunt rationaliseren en objectiveren – lees becijferen – hoe beter je ze
Eric Van Hal, CEO NHV Helikopters
70
RISKMANAGEMENT
Een eenvoudig voorbeeld: oudere piloten zijn, in tegenstelling tot wat men denkt, risicogevoeliger vanwege het routinegevaar. Daarom vliegen ze samen met een jonge kracht die op zijn beurt bijleert van de meer ervaren collega.” DURF RISICO’S BENOEMEN
beheerst. Ze zijn belangrijk om tijdig operationeel of strategisch bij te sturen.” Zo vliegt NHV om veiligheidsredenen nog slechts uitzonderlijk met eenmotorige toestellen. Of doet het geen businessdevelopment in landen als Irak of Afghanistan. “Vergeet echter nooit: cijfers reveleren bovenal het gevolg van een actie. Niet de bron.” Data verhogen tegelijk de transparantie, een fundament voor corporate governance. Sinds de Franse investeringsmaatschappij Ardian eind 2013 75% van de aandelen overnam, besteedt NHV nog proactiever aandacht aan corporate governance. “Risicoanalyse en -beheersing dwars door alle niveaus in het bedrijf maken inherent deel uit van onze corebusiness. Wie zijn risico’s kan objectiveren, kan ze ook elimineren en... ombuigen tot opportuniteiten.
“Steek je kop nooit in het zand”, adviseert Eric Van Hal. Durf de risico’s benoemen en zet ze om in functie van de opportuniteiten. “Wat doe je bijvoorbeeld wanneer een klant een langlopend contract met een vingerknip opzegt of 15% extra korting wil afdwingen? Lees het boek ‘Ons feilbare denken’ van Daniel Kahneman. Een aanrader. Volgens deze Israëlische psycholoog en Nobelprijswinnaar Economie gaan we bijna intuïtief uit van de beschikbare informatie. Er speelt echter veel meer waar we meestal geen rekening mee houden: de context, de drijfveren, het perspectief van een ander, de achtergrondinformatie… Spontaan denken we dat verlies zwaarder doorweegt dan winst. Dat is niet altijd waar.”
NHV Noordzeehelikopters Business: helikoptertransport Markten: Europa en Afrika Hoofdkwartier: Oostende Medewerkers (2014): 650, waarvan 360 bij NHV Omzet (2014): 210 miljoen euro www.nhv.be
RISKMANAGEMENT
71
6
IT- EN CYBERCRIMERISICO’S
Industriële spionage, gegevensdiefstal, identiteitsfraude, computers van de onderneming blokkeren: het zijn allemaal verschijnselen waarmee ondernemingen vandaag te kampen krijgen. De IT beveiligen is noodzakelijk, maar onvoldoende. Want uit een studie van Trends Micro (april 2015) blijkt dat 91% van de gerichte aanvallen tegen ondernemingen gebeurt via een gerichte e-mail. Een werknemer klikt op een link of opent een attachment en besmet zo de hele organisatie. De kosten kunnen enorm zijn. Nog afgezien van de geleden reputatieschade. Een rondetafel van vier experts legt uit waarom.
Georges Ataya Professor & Academic Director IT Management Education (Solvay Brussels School)
Christian Van Heurck Coördinator (CERT.be)
Alexandre Pluvinage Cybercrime Coordination Manager en hoofd Cybercrime Awareness Team (ING)
Dirk Beynaerts Security Business Leader BeNeLux (IBM) 72
RISKMANAGEMENT
Bedrijven hebben de mond vol van IT-risico’s. Maar wat valt wel of niet onder die noemer? Databescherming? Privacybescherming? Verzekeren van businesscontinuïteit? Fraude/ misleiding via IT-kanalen? Phishing? Industriele spionage? Georges Ataya (GA): “We moeten een onderscheid maken tussen informaticabeveiliging en informatiebeveiliging. Het ene doelt op de beveiliging van de technologie, de soft- en hardware en is vooral de taak van de informaticatechnici. Terwijl informatiebeveiliging de veiligheid van de bedrijfsdata in de meest ruime zin van het woord moet verzekeren en de verantwoordelijkheid is van de bedrijfsleiding. De informatica is een technologisch hulpmiddel om de informatie te beveiligen. De menselijke firewall versterken is een ander aspect.” Alexandre Pluvinage (AP): “Dat is uitermate belangrijk. De informaticasystemen beschermen is een noodzaak, maar je mag de werknemers niet uit het oog verliezen. Meestal raken cybercriminelen binnen via een e-mail aan een fysieke persoon en niet door de IT-beveiliging te kraken. Werknemers moeten een basisken-
nis hebben van de geldende goede praktijken inzake cybersecurity. Dat geldt zowel voor het versturen en ontvangen van e-mails, het gebruik van data op een usb-stick, als voor het gebruik van open wifi-netwerken. Een federale studie bracht aan het licht dat één Belg op drie hetzelfde paswoord gebruikt voor privéen professionele doeleinden. Dat toont aan dat er op het vlak van bewustmaking van de werknemers nog veel werk aan de winkel is.”
GA: “Het is een businessmodel geworden. De prijs wordt ingesteld zoals een schoenverkoper dat doet. Wie te hoog prijst, verkoopt niets.”
Christian Van Heurck (CVH): “Bovendien wordt vaak over het hoofd gezien dat cybercriminelen de IT-structuur van een bedrijf hacken om zo (bij) hun echte doelwit (binnen) te raken. Die zgn. watering hole attacks – leeuwinnen zitten op de loer bij een drinkplek en niet midden in de brousse waar nauwelijks wild passeert – buiten een kwetsbare plek van een tussenstation uit (menselijk of technisch) om anderen aan te vallen. Hoe meer tussenstappen worden gebruikt, hoe moeilijker om de origine van de aanval te traceren.”
CVH: “De motieven zijn bovendien niet altijd crimineel. Sommigen gebruiken afpersing als vorm van protestvoering. De activisten – denk aan Anonymous – vragen geen geld, maar eisen bijvoorbeeld dat een bedrijf of overheid zijn/haar strategie herziet.’
Dirk Beynaerts (DB): “Of ze gebruiken het systeem van een tussenpersoon omdat het altijd beschikbaar is, zoals bij financiële instellingen bijvoorbeeld. Als mijn persoonlijke pc geïnfecteerd is, zet ik die ’s avonds uit om te rebooten. De infrastructuur van een bank draait 24/7.” Een recenter fenomeen is onlineafpersing of -chantage? CVH: “Inderdaad. Betaalt u mij x bedrag niet, dan leg ik uw systeem plat of breng ik gehackte data naar buiten.”
AP: “De voorbije maanden zien we een opmars van ‘ransomwares’, malware die je computer of netwerk blokkeert en ‘losgeld’ vraagt in ruil voor de code waarmee je alles kunt deblokkeren. Ook hier is de schuldige vaak een geïnfecteerde e-mail.”
DB: “En omdat alles online, anoniem en op afstand kan, is het risico dat men wordt gesnapt minimaal. De kans dat je wordt opgepakt met een computervirus op zak is veel kleiner dan wanneer je 5 gram cocaïne bij hebt.”
Onlinechantage is een businessmodel geworden. De prijs wordt ingesteld zoals een schoenverkoper dat doet. Wie te hoog prijst, verkoopt niets Georges Ataya (Solvay Brussels School)
Welke factoren verhogen de IT-risico’s? AP: “De afpersingsprijzen zijn vaak zo scherp gesteld dat een slachtoffer bereid is om te betalen. Het bedrag is ‘haalbaar’ in functie van de schaalgrootte van het bedrijf en weegt net niet op tegen de kosten van de schade als er niet wordt betaald.”
AP: “Cybercriminelen die het informaticasysteem willen binnendringen, gaan op zoek naar de zwakke plek in je afweer. Is de verdediging te sterk, dan gaan ze op zoek naar een andere zwakke schakel. Een partneronderneming RISKMANAGEMENT
73
bv. die toegang heeft tot jouw netwerk. Een onderneming moet dus niet alleen waken over de beveiliging van haar eigen serverpark, maar ook over dat van haar toeleveranciers. Het is dus belangrijk om in een handelscontract ook de databeveiliging en security op te nemen.” GA: “Helemaal akkoord. Maar een sluitend akkoord onderhandelen tussen de verwachtingen van de klant en de garanties van de leverancier is een moeilijke en uiterst gevoelige oefening. Het draait allemaal om vertrouwen. Vragen aan een leverancier dat hij dezelfde controle- en auditnormen toepast, kan als een gebrek aan vertrouwen worden geïnterpreteerd. Of als een in twijfel trekken van de professionaliteit van de leverancier.” DB: “En dan is er nog altijd de eindverantwoordelijkheid. De eigenaar van de data is altijd verantwoordelijk en moet dat ook zo opnemen in de samenwerkingsovereenkomsten. Een bedrijf waarvan bijvoorbeeld klantengegevens worden gestolen, kan de hete aardappel niet doorschuiven naar zijn IT-leverancier. Het is zijn reputatie die in de kijker en op het spel staat, minder die van zijn leverancier.” Aanvallen worden bovendien almaar complexer en doelgerichter. Dus het risico op succes ook groter? DB: “Cybercriminelen nemen ook hun tijd om binnen te dringen bij hun doelwit. Gebruiken talloze omwegen en – dat is vrij nieuw – wissen hun sporen uit. Vroeger was het hit-andrun: ze walsten de voordeur plat met een bulldozer, graaiden mee wat er te pakken viel en verdwenen met de noorderzon. Nu wachten ze tot je op vakantie bent, komen ze binnen via de achterdeur, openen de kluis, ritsen de diamant weg en vervangen hem door een glazen exemplaar. Je vrouw zal er 74
RISKMANAGEMENT
als het ware jaren mee pronken vooraleer ze in de gaten krijgt dat het steentje vals is.” CVH: “Bij zgn. advanced persistents threats of langdurige doelgerichte cyberaanvallen is het net zo: de weg waarlangs men binnendringt, is lang niet zo hightech, maar meestal een zwakke plek waarvan men al jaren van het bestaan afweet. Maar eens de hacker binnen is, dan wordt het een ingenieus en uiterst complex verhaal.” AP: “Klopt. Bovendien zijn hackers zo flexibel dat ze nauwelijks te kloppen zijn in snelheid.” CVH: “Vergeten we ten slotte de interne dreiging niet door te zwaar te focussen op de externe cybercrimineel. Het zijn nog altijd mooie dagen voor de klassieke dief of spion die bedrijfsgeheimen op een stick downloadt en aan de hoogste bieder verkoopt. Fraude is van alle tijden.” AP: “Trouwens, data is veel meer in waarde gestegen dan vroeger. Enerzijds omdat data veel bedrijfskritieker zijn geworden, en anderzijds omdat de vraag gestegen is en er een markt is ontstaan (op het zgn. ‘dark web’) waar je die data kunt verhandelen.” GA: “En dan hebben we het nog niet gehad over het ‘star’-gehalte of de status van datadiefstal. Denk maar aan het succes van de klokkenluiderswebsite WikiLeaks, de LuxLeaks, Edward Snowden...” Moet een CEO daar wakker van liggen? Beter, hoe kan hij zich ertegen beschermen? AP: “Hij mag het niet negeren. De interconnectie van informaticasystemen opende niet alleen de deur voor cybercriminaliteit, ze maakte ook traditionele fraude eenvoudiger en efficiënter. Zo is CEO-fraude (identiteits-
zijn op een veiligheidsincident en in de kennis en middelen te voorzien om een inbreuk af te slaan of tegen te houden. En om in staat te zijn de beveiliging snel tot een hoger niveau op te tillen. Daartoe bestaan tal van hefbomen en methodes. Bewustmaking is er één. Maak de medewerkers bewust van de risico’s en hoe ze die proactief kunnen vermijden. Twee: wees geïnformeerd. Hoe beter het bedrijf op de hoogte is van de gevaren, hoe minder kans op een incident en hoe beter het een risico kan beheersen. Drie: bouw procedures en technologische muren (hard en soft) om het potentiële inbrekers extra moeilijk te maken. Alles samen minimaliseer je zo de probabiliteit op een incident.” fraude) aan een sterke opmars bezig in België. De verliezen lopen in de miljoenen euro. Factuurfraude is ook makkelijker geworden. Opnieuw biedt opleiding van de medewerkers de beste bescherming. Een voorbeeld: als de medewerkers van de boekhouding weten dat elk betaalverzoek van de CEO, CFO of CIO met het label ‘DRINGEND en VERTROUWELIJK’ discreet moet worden gevalideerd door een derde persoon binnen de onderneming, is de kans groot dat de medewerkers de fraude zullen ontmaskeren. Factuurfraude doorprik je gemakkelijk door een zogenaamd ‘nieuw rekeningnummer’ te checken met de leverancier. En bescherm facturen door ze op twee verschillende manieren te sturen (via e-mail én met de post). Een simpele check van de factuur vóór betaling en je bent ‘good to go’.” DB: “Op die manier leg je de verantwoordelijkheid bij de gebruiker. Wat als een fraudeur een tussenstation gebruikt en bijvoorbeeld het sociaal secretariaat hackt om betalingen af te leiden naar een vals rekeningnummer?” GA: “Hoe kan een bedrijf zijn beveiliging versterken, stabieler en persistenter maken? Dat is de centrale vraag. Door voorbereid te
Geen enkel bedrijf, groot of klein, kan zich 100% beschermen. Of zoals Fabrice Clément van Proximus het verwoordt: “De vraag luidt niet of uw bedrijf ooit gehackt of misbruikt zal worden. Wel wanneer en hoe u zal reageren wanneer het gebeurt” (lees ook de case op p. 80). CVH: “De kracht van de beveiliging valt of staat met het bewustzijn en de attitude van de individuele medewerker. Iedereen moet bewust zijn van het feit dat hij of zij op een of andere manier verbonden is met de buitenwereld en ge- of misbruikt kan worden als schakel. Ook de criminele markt wil zo kostenefficiënt mogelijk werken en zoekt de ingang met de minste weerstand, het laaghangend fruit. Waarom een geavanceerde, complexe hacking opzetten als een paswoord voor het rapen ligt bij de medewerker? Zo vormen de ‘false positives’ (de loze alarmen die het IT-systeem detecteert) een groot probleem zowel voor de ‘aanvaller’ als het ‘slachtoffer’. In de soms duizenden alerts en logs is het moeilijk om een ‘echte’ aanval van een loos alarm te onderscheiden. Voor de aanvaller vraagt het RISKMANAGEMENT
75
veel tijd en werk om mensen te overtuigen om een bedrag te storten. Ook voor hen is dat een investering in mensen en middelen. Ook zij proberen het aantal ‘false positives’ tot een minimum te beperken en zetten daarom in op technieken met de grootste slaagkans.”
De kracht van de beveiliging valt of staat met het bewustzijn en de attitude van de individuele medewerker Christian Van Heurck (CERT.be) Zijn bedrijven zich voldoende bewust van de gevaren van cyber(in)security? DB: “De awareness groeit, maar te traag en in verschillende snelheden. Traditioneel nemen de financiële instellingen de leiding. Door de aard en gevoeligheid van hun business zijn ze heel matuur, bewust en uitermate goed voorbereid, beschermd en georganiseerd. Andere sectoren worden aandachtiger, maar dan vooral op het niveau van de raad van bestuur. De individuele medewerker is en blijft nog altijd de zwakste schakel.” AP: “Cybersecurity is hot in alle domeinen en sectoren. Nu is het zaak om met concrete oplossingen voor de dag te komen, gericht op de verschillende sectoren. Zo bestaan er sinds kort cybercrimeverzekeringen geschoeid op de Belgische leest. Een expert kan het bedrijf op maat adviseren (SWOT-analyse) van wat het concreet kan ondernemen om zijn veiligheid te versterken en de risico’s af te dekken. Die nood is het grootst bij kmo’s, die niet over dezelfde middelen beschikken als pakweg een financiële instelling, telecomoperator of softwaregigant om zich tegen cybercriminaliteit te beschermen.”
76
RISKMANAGEMENT
CVH: “Vertrouwen is een sleutelfactor. Welke instelling of leverancier laat je toe om jouw cybersecurity op punt te stellen en hoe ga je om met een incident? Het valt op dat hoe meer bedrijven zich in de media ‘outen’ – denk aan de case van Proximus – hoe meer er volgen en hoe positiever het sensibiliseringseffect naar andere ondernemingen.” Is een meldingsplicht zinvol? CVH: “Wij hameren erop dat bedrijven een incident melden. Dat kan in alle vertrouwelijkheid bij CERT.be. We vellen geen oordeel, maar proberen het bedrijf in contact te brengen met de juiste experts (nationaal en internationaal) en te overtuigen om klacht neer te leggen. De meldingsplicht is belangrijk, maar bewustwording nog meer. Delen van ervaring kan voorkomen dat andere bedrijven in dezelfde val trappen. Een meldingsplicht is trouwens pas haalbaar als er ook garanties worden gegeven inzake confidentialiteit.” DB: “Elk bedrijf moet ervan uitgaan dat het ooit slachtoffer wordt. Voorbereid zijn, klaar zijn om te reageren is kritiek. En dat betekent niet alleen razendsnel de firewall versterken, maar ook weten hoe en wat je gaat communiceren. Stap je naar de politie of naar CERT.be? Heb je specialisten die je kunt inschakelen? Licht je je toeleveranciers of andere stakeholders in, de raad van bestuur…? Bij een bedrijfsbrand doe je ook veel meer dan de brandweer bellen, toch?” CVH: “De 80/20-regel is ook in security van toepassing. Een onderneming kan enorme stappen vooruit zetten met heel kleine, eenvoudige ingrepen. Amerikaanse bedrijven bijvoorbeeld staan al een stap verder omdat de overheid een bepaald maturiteitsmodel oplegt aan haar leveranciers. Ze moeten bijvoorbeeld hun systemen continu monitoren.
Dat is een stap verder dan enkel rapporteren. Die evolutie vergt tijd, want niemand kan in een vingerknip van 0 naar 100% beveiligen.”
Elk bedrijf wordt ooit slachtoffer. Voorbereid zijn, klaar om te reageren, is daarom kritiek Dirk Beynaerts (IBM)
Bieden IT-risico’s ook geen opportuniteiten? Cybersecurity als motor voor innovatie? GA: “Veel bedrijven hanteren hun hoge veiligheidsgraad als USP, als een verkoopargument voor nieuwe producten of diensten. De kracht en impact van het argument hangen af van sector tot sector.” AP: “Het kan ook een averechts effect hebben. Iemand die luid roept hoe beveiligd zijn bedrijf wel is, zal als eerste worden getest. Aan de andere kant kan veiligheid inderdaad een troef zijn. Een boekhoudkantoor kan bijvoorbeeld het verschil maken ten opzichte van de concurrentie als zijn werknemers de principes van antifraude beheersen. Hetzelfde geldt voor een werkzoekende die een basiscursus ‘cybersecurity’ heeft gevolgd.” CVH: “Veel hangt af van de waarde en effectiviteit van de beveiligingsmaatregelen die achter het verkooppraatje steken. En of die al dan niet gekoppeld zijn aan een cyberverzekering. Zit die combinatie goed, dan kan zo’n service inderdaad businessopportuniteiten bieden. Zo doen hostingbedrijven aan businessdevelopment met innovatieve beveiligingsoplossingen. Ze kloppen dan ook geregeld bij CERT.be aan om hun klanten te helpen sensibiliseren voor het belang van een sterke beveiliging. De boodschap van een overheidsinstelling is geloofwaardiger, want niet-commercieel.”
FRAUDERISICO’S Economische misdrijven tegen bedrijven en andere organisaties blijven wereldwijd toenemen. Volgens een recent onderzoek gaf 50% van de Belgische respondenten economische misdrijven of fraude aan. Daarmee behoort België tot de hogere categorie van fraudemelding en overschrijdt het ruim het wereldwijde gemiddelde van 37% en het West-Europese gemiddelde van 35%. De belangrijkste frauderisico’s uit het onderzoek zijn: diefstal van informatie. Niet uitsluitend documenten, maar steeds vaker informatie die op de computer is opgeslagen; fraude met jaarrekeningen. Komt vooral voor wanneer het bedrijf systemen hanteert waarbij een deel van de variabele verloning van bijvoorbeeld managers afhankelijk is van het resultaat. Ook bij overnames waaraan een premie is gekoppeld voor het management van de verkopende partij is dit schering en inslag; belangenvermenging en corruptie. Hoe vaak gebeurt het niet dat businesspartners voor een op het eerste gezicht onverklaarbare reden toch worden gekozen. Ook al dienden ze zeker niet het beste dossier in; parallelle circuits. Meestal gaat het om medewerkers die vennootschapsmiddelen gebruiken voor persoonlijke verrijking. Of om ondernemers zelf, die een deel van de verkopen niet in de boekhouding opnemen; diefstal en heling van goederen. Dat kan variëren van het (laten) indienen van vervalste (of aangepaste) facturen tot het doen verdwijnen van een deel van de productie in afval (die weggeboekt wordt); gesjoemel met onkosten en onkostennota’s; witwassen en btw-carrousels.
RISKMANAGEMENT
77
DB: “Enerzijds neemt het aanbod beveiligingsoplossingen toe. Anderzijds stijgt ook de vraag. Almaar meer (grote) bedrijven stellen specifieke beveiligingsvereisten aan hun leveranciers en vragen om aan te sluiten op hun security-omgeving en -operaties. Op die manier krijgen ze ook inzicht in wat aan de kant van de leverancier allemaal gebeurt en versterken ze elkaar.” CVH: “Indirect helpen de grote bedrijven zo de kleinere om hun beveiliging te versterken. Stellen ze hun oplossingen open voor anderen en delen ze hun kennis en ervaring.” Vandaar ook het belang van een platform als de Cyber Security Coalitie? (lees ook het kader op p. 79). AP: “Inderdaad. De uitwisseling van kennis en ervaring tussen de leden-bedrijven van de coalitie is één belangrijke pijler. De werk-
groep over opleiding en informatie binnen de coalitie bereidt opleidingspaketten voor op basis van de ervaring van meer doorwinterde leden. Die informatie stelt de werkgroep ter beschikking van alle coalitieleden om hun werknemers op te leiden. Opgepast: doel is niet om de medewerkers om te scholen tot securityspecialisten. Wel om ze de basis mee te geven hoe ze een risico kunnen herkennen en gepast reageren.”
Data is vandaag veel meer waard op de ‘criminele’ markt dan vroeger Alexandre Pluvinage (ING)
CVH: “Cybersecurity is de verantwoordelijkheid van iedereen, burgers, bedrijven, academici en overheid. De kracht van de coalitie
TIPS EN BEST PRACTICES Als slot vroegen we de vier experts naar één gouden advies of best practice. Georges Ataya (Solvay Brussels School): “Een verantwoordelijke CEO erkent de risico’s en uitdagingen. Hij of zij weet welke rampscenario’s moeten worden vermeden en welk prijskaartje daar aan vasthangt. Wie dat al beseft, heeft al de helft van het probleem opgelost.” (lees het artikel op www.regional-it. be/2014/12/19/le-dirigeant-face-a-la-cyber-securite-de-son-entreprise/). Christian Van Heurck (CERT.be): “Meld een incident aan CERT.be. In volle confidentialiteit. We kunnen niet toveren, maar wel helpen. Hoe meer incidenten we in kaart kunnen brengen, hoe meer middelen er vrijkomen om oplossingen uit te werken en te sensibiliseren. Uw medewerkers kunnen zich informeren over de risico’s die ze thuis lopen op www.safeonweb.be.” Dirk Beynaerts (IBM): “Ik kan alleen maar bevestigen en aanvullen: ‘prepare to respond’. Wees voorbereid. En intelligent. Twee sleutels voor een succesvolle strijd tegen cybercrime.” Alexandre Pluvinage (ING): “Gebruik uw gezond verstand. Raadpleeg bij de minste twijfel een specialist of CERT.be. Beter zeker spelen dan een risico lopen. Klik nooit op een verdachte boodschap. En zelfs al is er toch geklikt, laat het uw IT-team weten. Niets signaleren is de grootste fout die je kunt maken.”
78
RISKMANAGEMENT
schuilt in het vertrouwen tussen de leden onderling, de (gevoelige) kennis en ervaring die ze transparant delen en de geloofwaardigheid die ze als team van (ervarings)deskundigen uitstralen naar de buitenwereld. Het ultieme doel? Dat een ondernemer bij een crisis weet tot welke specialisten of raadgevers hij zich in alle vertrouwen kan wenden. Zo’n vertrouwen en dynamiek bereiken, is een werk van lange adem, of om het met een spreekwoord te zeggen: vertrouwen komt te voet en vertrekt te paard.” DB: “Als iedereen in zijn eigen hoekje blijft werken, komen we niet veel verder. Het is van cruciaal belang dat elk bedrijf beseft dat informatie over een crisis bij hem nuttig kan zijn voor een ander, en omgekeerd. Wat vandaag in de States of China gebeurt, kan
morgen voor ons belangrijk zijn. In een wereld van big data kan linken leggen tussen informatie kritiek zijn om aanvallen, ook lokaal, te voorkomen. Dat vergt inderdaad een groot vertrouwen. De coalitie biedt een platform waar in alle vertrouwen gevoelige en handson informatie kan worden gedeeld.” GA: “Cybersecurity is één van de weinige domeinen waar de coalitie erin slaagt om de actoren uit zowel de bedrijfssector als het beleid en de academische wereld in een soort ‘open innovatie’-model te laten samenwerken. En waarbij het algemeen belang primeert op de individuele of sectorgebonden thema’s. De wil en het momentum zijn er. Die kans mogen we niet laten liggen.”
UNIEKE COALITIE IN BELGIË BINDT STRIJD AAN MET CYBERCRIME In ons land raken jaarlijks honderdduizenden computers geïnfecteerd. De kosten van cybercriminaliteit worden geraamd op 3,5 miljard euro, dit is ruim 1% van het bbp. Toch verloopt de strijd tegen cybercriminaliteit erg versnipperd. Uit een peiling van het VBO blijkt bovendien dat 66% van de bevraagde bedrijven geen duidelijk totaalbeeld heeft op wat allemaal komt kijken bij een goede en efficiënte cybersecurity-aanpak. Meer dan 75% vindt zijn weg niet in de regelgeving en de bevoegde instanties. Ondanks veel goedbedoelde initiatieven voert iedereen vandaag nog apart zijn eigen strijd. Nochtans kan in de cybersecurity alleen vooruitgang geboekt worden als alle betrokkenen samenwerken: de bedrijven, de academische wereld en de overheid. Daarom richtten een aantal sleutelactoren (Proximus, VBO, CERT.be, B-CCENTRE en Solvay Brussels School) de Cyber Security Coalitie op. Een dergelijke krachtenbundeling moet een nieuwe impuls geven aan de digitale economie en België op de kaart zetten als een cyberveiligheidsbewust land. In eerste instantie brengt de coalitie een 50-tal kernspelers samen uit de academische wereld, de bedrijfswereld en de overheid om kennis en ervaringen te delen en samen een totaalbeeld te krijgen op het cyberveiligheidslandschap. Tegelijk wil de coalitie op drie fronten significante vooruitgang boeken: kruisbestuiving en kennisdeling, sensibilisering van burgers en bedrijven en aanbevelingen voor een efficiënter beleid. Meer info: www.cybersecuritycoalition.be
RISKMANAGEMENT
79
CASE PROXIMUS
VAN SLACHTOFFER TOT TOPEXPERT Volgens Fabrice Clément van Proximus staat cybercriminaliteit in de top tien van de businessrisico’s. Geen enkel bedrijf, van klein tot reuzegroot, ontsnapt er aan. “De vraag luidt niet of uw bedrijf ooit gehackt of misbruikt zal worden. Wel wanneer en hoe u zal reageren wanneer het gebeurt.” Cybercriminaliteit evoluevolueert zo dynamisch en organisch dat een nulrisicobeleid onbestaande is. Vandaag is het vooral zaak om goed voorbereid een sterk antwoord te bieden bij een incident.
© Proximus
“Cybersecurity heeft minder te maken met ‘compliance’ dan wel met risicobeheer”, aldus Fabrice Clément, hoofd informatiebeveiliging bij Proximus. Sinds de telecomreus zelf het slachtoffer werd van een grootschalige cyberaanval in 2013, bouwde het een sterke expertise op in de strijd tegen cybercriminelen. En stelt die ten dienste van de klanten. “Een aanval of misbruik kan immers ernstige schade berokkenen aan het imago, de reputatie, de operationele continuïteit, de financiële gezondheid, de wettelijke conformiteit… En zelfs derden raken omdat het bedrijf bijvoorbeeld niet meer voldoet aan zijn contractuele verplichtingen.” Cybersecurity is meer
dan een kostenpost of een bedreiging. Het is een bedrijfskritiek issue. ZAAK VAN HET HELE BEDRIJF
Bescherming tegen cybercriminaliteit is zaak van het hele bedrijf en beperkt zich niet tot een geïsoleerd probleem voor de IT-afdeling. Ze moet deel uitmaken van een globaal plan (uit)gedragen door het senior management “en waarbij alle bedrijfsfacetten betrokken worden: risicobeheer, communicatie, regelgeving, cultuur, opleiding en attitude van werknemers, leveranciersbeheer, alarm- en incidentenbeheer, product- en serviceontwikkeling, samenwerking met overheden…”.
“Hack uw eigen systeem om het beter te kunnen beschermen” Proximus investeert jaarlijks meer dan 15 miljoen euro om zijn klanten veilige telecomoplossingen te bieden en de klanten- en eigen bedrijfsdata te beschermen. Het cybersecurityplan steunt op vijf pijlers: 1. organisatorische en governance maatregelen. Om kennis op te bouwen, om het management actief te betrekken, om de leveranciers te aligneren, om het beveiligingsbeleid te updaten, om de businessprocessen te beveiligen, enz.; 2. de ontwikkeling van een veiligheidscultuur bij de medewerkers en andere stakeholders via sensibiliseringscampagnes en opleidingen bij de Proximus IT Academy. Om bewust te
Fabrice Clément, hoofd informatiebeveiliging Proximus
80
RISKMANAGEMENT
maken, te informeren, oplossingen aan te reiken en de alertheid scherp te houden; 3. sterkere beveiliging van de IT-platformen. Bv. via data-encryptie, toegangsbeheer, gescheiden serveromgevingen… 4. sterkere veiligheidsmaatregelen voor de telecomnetwerken en serviceplatformen. Onder meer via kwetsbaarheidstests; 5. oprichting van een cyberverdedigingscentrum. Missie: opsporen en ontmijnen van cyberincidenten. Een gespecialiseerd ‘Cyber Security Intelligence & Incident Response’-team verzamelt via een internationaal netwerk informatie over potentiële bedreigingen om proactief en ad rem te reageren. Een dienst monitoring en alarmering (Security Operations Center) bieden we ook aan onze klanten/bedrijven. NOOIT IMPROVISEREN
“Improvisatie is nooit op zijn plaats”, benadrukt Fabrice Clément. “Het bedrijf moet als één blok worden voorbereid en de kansberekening en reactie op cybersecurity-incidenten moeten integraal deel uitmaken van het crisisplan.” Het succes van de strijd hangt in grote mate af van de nationale en internationale samenwerking en uitwisseling van kennis
tussen bedrijven, overheden, experts, operatoren... “Als bedrijf kun je onmogelijk alleen opboksen tegen de bedreigingen van een krachtige en grensoverschrijdende cybercriminaliteit. Vandaar het belang van een samenwerkingsplatform als de ‘Cyber Security Coalition’ (zie kaderstuk op p. 79). Mijn tips voor ondernemers? 1. Benader cybersecurity (veel) breder dan een puur IT-probleem. Een geïntegreerde aanpak gedragen door het topmanagement is een must. 2. Beschouw cyberbeveiliging als een kritiek issue voor uw onderneming. 3. Handel niet op eigen houtje. Durf de hulp inroepen van experts buitenshuis.”
Proximus (Belgacom) Business: telecommunicatie Markten: b2b en b2c Hoofdkwartier: Brussel Medewerkers (2014): 14.200 Omzet (2014): 6.112 miljoen euro www.proximus.com
RISKMANAGEMENT
81
Wat bij een incident?
Hoe reageert u (of uw bedrijf) tijdens of na een incident om de schade te beperken? Beter nog, om te voorkomen dat dezelfde bedreiging opnieuw toeslaat? Welke voorbereiding of acties het bedrijf ook treft, het moet zich bij het oplossen van een crisis laten leiden door drie principes: snel, duurzaam en verantwoord.
1 CRISIS READINESS Meer dan 90% van de managers heeft weinig of geen ervaring met crisissituaties, zo blijkt uit onderzoek.1 Hoeft het dan te verwonderen dat het management in de meeste gevallen niet adequaat reageert op de signalen van een naderende crisis? Of het herkent de signalen niet, onderkent ze, reageert helemaal niet of neemt in paniek maatregelen. Het waarom achter deze reacties is heel divers en zou ons in deze brochure te ver leiden. De focus in dit hoofdstuk ligt op de aanpak van de problemen. Centrale vraag daarbij is: in welke mate staat uw bedrijf klaar om een crisis te lijf te gaan? Deze ‘crisis readiness’ is met andere woorden het vermogen van uw onderneming om een effectief antwoord te bieden op en te herstellen van de gevolgen van zowel externe gebeurtenissen (terroristische aanslagen, natuurrampen…, lees het hoofdstuk ‘Externe en strategische risico’s’, p. 32) als interne gebeurtenissen (zware industriële ongevallen, een bedrijfsbrand). In dit opzicht is crisis readiness de gewenste eindtoestand van organisatorische
1 2
voorbereiding, crisismanagement, Business Continuity Planning2 en andere organisatorische activiteiten en processen. Crisis readiness bestaat uit zes vaste componenten, die samenhangen met: 1. een snel reactievermogen in geval van crisis; 2. voldoende kennis van crisismanagementscenario’s; 3. de toegang van het management tot dit crisismanagementrepertoire; 4. de accuraatheid van de strategische crisisplanning binnen het bedrijf; 5. goede interne en externe communicatie (de media!); 6. de gepercipieerde kans dat een crisis de organisatie zal treffen.
TEST UW ‘CRISIS READINESS’ Is uw bedrijf of organisatie voldoende voorbereid op een incident of noodsituatie? Hieronder stellen we vijf vragen om uw crisis readiness te testen. Is het antwoord op elke vraag positief, dan is uw organisatie al goed voorbereid op een mogelijk ernstig voorval. Antwoordt u echter negatief op één of meerdere vragen, dan is er nog werk aan de winkel. 1. Kunt u spontaan enkele kenmerken van een crisis benoemen waarmee u rekening hield bij de opbouw van het crisismanagementplan binnen uw bedrijf? 2. Analyseerde u samen met uw managementteam de ‘kriticiteit’ van de businessprocessen in relatie met de risico’s die uw onderneming loopt? 3. Beschikt u over een generieke checklist als leidraad voor het beheer van een crisis?
Drs. H.C. van Eyck van Heslinga, ‘Hands-on crisismanagement’, Berenschot Interim Management/Kluwer, 2002, p. 23. Een Business Continuity Plan (BCP) is een plan dat zorgt voor het zo snel mogelijk heropstarten van de businessactiviteit na een crisissituatie.
RISKMANAGEMENT
83
4. Kunt u vijf basisprincipes benoemen die uw strategie inzake crisiscommunicatie bepalen? 5. Betrekt u minimum jaarlijks het managementteam bij de evaluatie, de test en de bijsturing van het crisisplan? Bron: Paul Robrechts, Jeroen Wils, ‘Crisismanagement. Praktische leidraad voor een doeltreffend crisisbeheer’, VBO, Brussel, 2015
De waarschijnlijkheid dat een dreiging of een risico in een crisis uitmondt en de schade die daarmee gepaard gaat, zijn uiteraard bepalend om de zin en het niveau van uw crisis readiness te definiëren.
Nut en verantwoording Zo kunt u zich afvragen of het zinvol en verantwoord is om het bedrijf voor te bereiden op het onvoorzienbare, om klaar te zijn voor risico’s in de toekomst waarop niemand vandaag zicht heeft. Gebeurtenissen uit het verleden leren dat toekomstdenken wel degelijk zinvol is. Denk maar aan de aanslagen van 9/11. Dankzij een goede noodplanning konden veel levens worden gered. Hetzelfde geldt voor een rampscenario zoals een bedrijfsbrand.
Minder kans op voorkomen Het spreekt voor zich dat, naarmate u de bedreigingen en risico’s voor uw bedrijf in kaart brengt, van dat proces op zich al een preventief effect uitgaat. Zeker voor de interne risico’s. Zich bewust zijn van risico’s maakt immers ook het bewust omgaan met risico’s mogelijk. Nadenken over potentiële bedreigingen introduceert tegelijk een zekere veiligheidsattitude en meer nog een veiligheidscultuur binnen het bedrijf. Waarden als open geest, transparantie, communicatie en onderling vertrouwen bevor84
RISKMANAGEMENT
deren een snelle detectie van zwakke plekken en voorkomen dat kleine incidenten of menselijke fouten worden toegedekt en vervolgens kunnen uitgroeien tot een ingrijpende crisis.
Kritieke infrastructuur De impact van een crisis is sectorgebonden. Een aantal bedrijven is van zo’n strategisch belang dat het falen de hele samenleving lam kan leggen. Strategische sectoren zijn bijvoorbeeld de energievoorziening (kerncentrales, olieraffinaderijen), communicatie (telefonie, internet, dataopslag) of transport (zeehavens, luchthavens). Die kritieke bedrijven hebben de maatschappelijke plicht en verantwoordelijkheid om dreigingen te voorzien, ze in de kiem op te sporen, aan te pakken en de continuïteit van de dienstverlening zo snel mogelijk te herstellen.
Wettelijke bepalingen In veel situaties zijn risicobeheer, crisismanagement en Business Continuity Planning wettelijk verplicht. Meer concreet zijn drie ‘regelgevingen’ van toepassing voor risicoanalyse en preventiemaatregelen: de ‘Welzijnswet’: de wet van 4 augustus 1996 over het welzijn van de werknemers bij het uitvoeren van hun werk; het koninklijk besluit van 27 maart 1998 over het beleid inzake het welzijn van de werknemers bij de uitvoering van hun werk; het samenwerkingsakkoord van 21 juni 1999 tussen de federale staat en de gewesten over de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen zijn betrokken.
Aansprakelijkheid Managers die niet voorbereid zijn op een crisis of rampsituatie binnen hun onderneming kunnen juridisch aansprakelijk worden gesteld
voor hun nalatigheid, naar analogie met andere aansprakelijkheden, zoals die voor een onveilige werkomgeving.
Financiële overwegingen Een crisis kan grote reputatieschade toebrengen aan de onderneming en aldus tot grote financiële verliezen leiden. Uit een internationale studie van de Oxford University bij bedrijven in diverse sectoren blijkt dat een crisis in alle gevallen van bij de aanvang een negatieve impact heeft op de waarde van het aandeel. Gemiddeld werd er bij de getroffen bedrijven een verlies opgetekend van 8%. Een tweede belangrijke vaststelling was dat de markten de waarde van het aandeel na 10 tot 15 dagen echt evalueren in functie van de crisisrespons van de onderneming. Volledige of gedeeltelijke stilstand van bedrijfsprocessen kan bovendien grote nadelige
gevolgen hebben voor zowel de financiële situatie als de marktpositie van de onderneming. Klanten wachten niet en zullen naar alternatieven zoeken. De onderlinge afhankelijkheid van bedrijven in de bevoorradingsketen zorgt ervoor dat het uitvallen van een toeleverancier ook de continuïteit van de afnemer in gevaar brengt. Schade aan de productie- of uitvoeringsprocessen leidt meestal tot grote kosten als gevolg van bijvoorbeeld vertragingen bij levering. Onvoorziene (risico)kosten kunnen op hun beurt de liquiditeit van het bedrijf aantasten. Denk aan situaties waarin extra manuren moeten worden gepresteerd, managementkosten, herstelkosten, boetes, toenemende verzekeringskosten of juridische kosten.
Een
crisis heeft van bij de aanvang een negatieve impact op de waarde van het aandeel
IMPACT ON SHAREHOLDER VALUE 20
Cumulative abnormal results (%) ie. change in market cap adjusted for market movement
15
After initial reflex (10 days), market begins to assess company’s response.
10
+ 7%
5 EFFECTIVE CRISIS RESPONSE 0 INEFFECTIVE CRISIS RESPONSE -5
- 15%
-10
-15
-20 25
50
75
100
125
150
175
200
225
Trading days after the event Bron: ‘Protecting Value in the Face of Mass Fatality Events’, www.oxfordmetrica.com
RISKMANAGEMENT
85
Impact van media en imagoschade Wie tijdens een crisis zijn relatie met de media verwaarloost, gebrekkige of foute informatie aanlevert of koppig weigert te communiceren, komt in het oog van de storm terecht. Journalisten gaan in dat geval zelf op zoek naar informatie (die niet noodzakelijk de meest accurate is) en het bedrijf verliest elke controle over de communicatie met het publiek. Een open, transparante en correcte houding tegenover media en publiek is in deze omstandigheden vaak de beste tactiek. De schade die een crisis kan toebrengen aan de reputatie van een bedrijf kan nauwelijks worden overschat. Wanneer het publieke wantrouwen ertoe leidt dat een bedrijf door zijn klanten wordt uitgespuwd, is het einde van de onderneming niet ondenkbaar.
2 AANPAK EN PRINCIPES CRISISMANAGEMENT De aanpak van een crisis hangt van verschillende factoren af. En hangt samen met de context waarbinnen het incident gebeurt en met het lerende vermogen van het bedrijf of de organisatie. Elementen die een invloed hebben op de manier waarop u de crisis kunt tackelen, zijn: tijdsdruk: wat is de ernst van de situatie? Hoeveel tijd heeft of krijgt u? machtsverschil en -positie: kan een partij het gedrag van de andere bepalen? Zijn er een of meerdere machtscentra of belangentegenstellingen? In welke mate houdt iemand krampachtig vast aan zijn eigen positie? escalatie: hoe hoog is de spanning opgelopen? Zijn de partijen nog in staat om samen de problemen te analyseren en het conflict 86
RISKMANAGEMENT
objectief te benaderen? functieafhankelijkheid: in welke mate zijn personen, afdelingen of business units van elkaar afhankelijk? aanwezige regelgeving: zijn er interne of externe regels en procedures waarmee rekening moet worden gehouden? identificatie: in welke mate identificeren de medewerkers zich met de organisatie? Hoe sterk (of zwak) is hun betrokkenheid? reflectievermogen: zijn het management en de medewerkers in staat om kritisch na te denken over het functioneren van de organisatie en hun eigen rol daarin? kennis en kunde: is er kennis aanwezig om de complexe problemen te analyseren en inzicht te verwerven? …
De
aanpak van een crisis hangt samen met de context en het lerende vermogen van het bedrijf Hoe dan ook moet het bedrijf zich bij zijn crisismanagement laten leiden door drie principes: snel, duurzaam en verantwoord. Aan u om in functie van de situatie de juiste, meest adequate prioriteiten te stellen. Daarbij spelen onder meer de volgende afwegingen: wat is het effect van de maatregel op de winstgevendheid? welke kosten/investeringen zijn met de maatregel gemoeid? wat is de termijn waarop de maatregel effect heeft? wat is de duurzaamheid van het effect? wat is het afbreukrisico? welk beslag legt het op medewerkers? wat zijn de neveneffecten van een maatregel? …
3 NAAR EEN SUCCESVOLLE CRISISBEHEERSING Crisismanagement en Business Continuity Planning (BCP) kunnen onderverdeeld worden in zes fasen.
Start incident
100
Volledig hersteld
Beperk deze tijdszone
PREVENTIEVE MAATREGELEN VOORBEREIDING BCP
Incident onder controle
Start herstel
EVALUATIE VAN CRISIS
Operationaliteit
Start interventie
Beveilig waarden Bestrijd incident
Detectie Verificatie
Bescherm activiteiten
Rapportering
Evaluatie van situatie
Herstel van activiteiten
0 T0
T1
T2
Tijd
T3
T4 Met acties
FASE 1: voorbereiding De voorbereiding voor een Business Continuity Plan bestaat uit een theoretische fase waarbij een risicoprofiel wordt opgemaakt waarin de strategie en concrete procedures worden vastgelegd. In de tweede, praktische fase, worden die geïmplementeerd, ingeoefend, geëvalueerd en indien nodig bijgestuurd.
FASE 2: detectie, verificatie en rapportering In eerste instantie moet het ‘probleem’
Zonder acties
worden gedetecteerd. Het behandelen van problemen of een abnormale situatie met mogelijke gevolgschade valt onder de normale werkzaamheden van de betrokken diensten. Blijkt het probleem niet op korte termijn oplosbaar, dan wordt het een ‘incident’. In die fase overstijgt het de normale bedrijfsrespons en de individuele verantwoordelijkheden van de betrokken afdelingen. Een gecoördineerd antwoord zal vermoedelijk het enige correcte antwoord zijn. Als het incident moeilijk of niet beheersbaar is met de voorziene en ingezette middelen, dan evolueert het incident tot een crisis. Het is raadzaam om vooraf te bepalen RISKMANAGEMENT
87
vanaf welk niveau (vanaf welke ernst) het crisismanagementteam de leiding van het incident overneemt. In deze fase roept het bedrijf het crisismanagementteam samen. Bij heel ernstige crisissituaties wordt het Business Continuity Plan geactiveerd, waarbij alle voorziene organen en procedures actief worden.
FASE 3: beveiliging waarden, bestrijden incident en beschermen activiteiten Na de vaststelling van de crisis en de eerste gevolgen moet het bedrijf snel en doordacht handelen. De eerste prioriteit is de schadebeperking. Op het ogenblik van de crisis zelf heeft een organisatie vooral behoefte aan sterk leiderschap. Op de kortst mogelijke termijn moet de organisatie overgaan van haar normale werking naar een toestand van ‘uitzonderlijk management’. Het crisismanagementteam neemt de leiding in het beheer van de crisissituatie. De waarden van het bedrijf en de overtuigingen van de bedrijfsleiding zijn bepalend voor de effectieve reactie op een crisis. Acties die voortkomen uit een gemeenschappelijk begrip van de bedrijfswaarden verbinden alle leden van het bedrijf met het doel van de actie. Het is dankzij een dergelijke respons en follow-up dat het bedrijf en zijn leiding met een verbeterd imago en reputatie uit de crisis kunnen klimmen. Fase 3 kan worden afgesloten zodra de situatie als ‘onder controle’ kan worden bestempeld. De fase gaat dan over in een permanente monitoring en opvolging, aangevuld met bijsturing en implementatie van de diverse maatregelen. 88
RISKMANAGEMENT
De bedrijfswaarden zijn bepalend voor het crisismanagement FASE 4: evaluatie van de situatie Dit iteratief proces verbindt fase 3 en fase 5. Kenmerkend voor de evaluatiefase is de permanente monitoring en opvolging van de genomen maatregelen en beslissingen. Hierbij gaat de aandacht vooral naar de impact ervan op de evolutie van de crisis, en in het bijzonder op het verhoopte herstel.
FASE 5: herstel van de activiteiten Om de werkzaamheden vlot te kunnen hervatten, probeert het bedrijf in deze fase de continuïteit van de bedrijfsvoering te verzekeren en zo snel mogelijk terug te keren naar de normale bedrijfsvoering en -processen. Als alle genomen maatregelen hun gunstig effect hebben, worden de normale bedrijfsactiviteiten opnieuw gestart. Stap voor stap worden de activiteiten hernomen in de normale bedrijfsvoering en draagt het crisismanagementteam het dagdagelijkse beheer opnieuw over aan de businessprocesverantwoordelijken van de onderneming. Zodra het volledige herstel is bereikt, houdt de taak van het crisismanagementteam op. Rest het team enkel nog de taak om het geheel te evalueren en indien nodig de noodzakelijke maatregelen te treffen om soortgelijke incidenten of crisissen te voorkomen.
FASE 6: evaluatie van de crisis PRAKTISCHE LEIDRAAD Elke crisis wordt afgesloten met een evaluatie waarbij de lessen getrokken worden uit: het ontstaan van de crisis; de manier waarop ze werd beheerd: de impact en gevolgen van de beslissingen en de getroffen maatregelen; de waarde van de proactieve en preventieve maatregelen; … Met die informatie en kennis kan het crisisresponsplan worden verfijnd. En kunnen de preventieve en proactieve maatregelen bijgestuurd worden.
Dit hoofdstuk is gebaseerd op de informatie uit de brochure ‘Crisismanagement. Praktische leidraad voor een doeltreffend crisisbeheer’ van de auteurs Paul Robrechts en Jeroen Wils, en in juni 2015 uitgegeven door het VBO. De publicatie maakt u vertrouwd met een aantal begrippen uit het risicobeheer en geeft een aanzet tot het bewust omgaan met risico’s binnen uw onderneming. Naast risicobeheer besteden beide specialisten ruime aandacht aan crisismanagement en gaan ze dieper in op de zogenaamde Business Continuity Planning. Ten slotte lijst de brochure tien succesfactoren op die van kritiek belang zijn om een crisis te beheersen. U kunt de brochure gratis downloaden op www.vbo.be/publicaties
RISKMANAGEMENT
89
BESLUIT Risico’s en crisissen zijn van alle tijden. Getuige de recente financiële en kredietcrisis, de boekhoudschandalen, de reputatieschade door vervuiling, de cyberaanvallen op bedrijven en grote organisaties. Of heel recent nog de softwaremanipulatie in de automobielsector. Door de (vaak internationale) dimensie en de ingrijpende impact op het functioneren van bedrijven en organisaties – en dus op het economisch bindweefsel van een land – zijn hedendaagse risico’s (en dito crisissen) van een heel andere grootorde dan pakweg eind vorige eeuw. Door de snelheid van de technologische evoluties ontstaat bovendien een nieuw risico, dat van de disruptieve technologische veranderingen (‘disruptive technological changes’). Die gooien de markt volledig om waardoor een dienst of product op korte tijd voorbijgestreefd kan zijn. Het hoeft dus niet te verwonderen dat risicobeheersing hoog op de economische (en politieke) agenda staat. Een heel recent voorbeeld hiervan is de gecoördineerde internationale aanpak van fiscale constructies, op initiatief van de G20 en de OESO, in het kader van ‘BEPS’ (Base Erosion and Profit Shifting) en de ruime persaandacht rond het thema.
Bewustwording groeiende risico’s Uit onze peiling bij enkele honderden bedrijven blijkt dat grote ondernemingen doorgaans het meest met risico’s worden geconfronteerd. Met uitzondering van de financieringsrisico’s (strategisch en operationeel) die vaker een impact hebben op de middelgrote ondernemingen. De peiling leert ook dat meer dan één op de drie ondernemingen vindt dat de risico’s waarmee ze wordt geconfronteerd, zijn toege-
nomen. Nog eens 10% stelt dat ze die risico’s minder goed beheerst dan vroeger. De bewustwording van die groeiende risico’s, zowel bedrijfsmatig als maatschappelijk, heeft de roep naar meer aandacht voor risicobeheer aangevuurd. Maar laten we ondanks alle dreigingen de risico’s niet uitsluitend beschouwen als moeilijkheden en problemen, maar ook op zoek gaan naar de mogelijkheden die ze bieden. Elke activiteit creëert een risico, maar even zo goed een opportuniteit of een kans voor innoverende en creatieve ondernemingen die een bedreiging ombuigen tot een opportuniteit en zo hun concurrentiepositie versterken of nieuwe markten bereiken. Typische voorbeelden zijn de opkomst van e-commerce en de digitalisering. Ze veranderen weliswaar de traditionele handel, maar resulteren ook in innovatieve subsectoren als webdesign, 3D-printing en e-marketing. Of nog, crowdfunding als innovatief antwoord op het tekort aan risicokapitaal. Het draait bij risicobeheer of riskmanagement niet zozeer om het elimineren van risico’s dan wel om het onderkennen ervan en het zoeken naar gepaste methodes om het risico beheersbaar te maken. Sterker, die risicoreflex moet gebakken zitten in de cultuur van elke onderneming (groot of klein, lokaal of internationaal actief) en in alle geledingen. De ‘tone at the top’ moet inspireren en stimuleren om risico’s bespreekbaar te maken veeleer dan onzekerheden of signalen van falen onder de mat te vegen. Met deze brochure als praktische leidraad willen we helpen om risico’s – die een ‘fact of life’ zijn – in uw onderneming te identificeren en zoveel als mogelijk in opportuniteiten om te zetten. RISKMANAGEMENT
91
92
RISKMANAGEMENT
HET VBO EN ZIJN LEDEN
Algemene Belgische Schoonmaakunie
Antwerp World Diamond Center
Belgische Federatie van de Financiële Sector
Belgische Federatie van de Automobiel- en Tweewielerindustrie
Beroepsvereniging van Belgische Vezelcement Producenten
Federatie der Papier- en Kartonverwerkende Bedrijven
Federatie van de Betonindustrie
Beroepsvereniging van Verzekeringsmakelaars
Bedrijfsgroepering Zandgroeven
Belgische Federatie van de Chemische Industrie en Life Sciences
Cigarette Manufacturers of Belgium and Luxembourg
Beroepsfederatie van de Contactcenters in België
Belgische federatie van de handel en diensten
Belgische Baksteenfederatie
Belgische Petroleum Federatie
Confederatie Bouw
Creamoda
Federatie van Bedrijven voor Milieubeheer
Federatie van de Belgische Cementnijverheid
Federatie van de Belgische Elektriciteitsen Gasbedrijven
Federatie van de Belgische Grafische Industrie
Federatie van de Elektriciteits- en Gasnetbeheerders in België
Federatie van de Technologische Industrie
Federatie van de HR-dienstverleners
Federatie van de Textiel-, Hout- en Meubelindustrie
Organisatie van Raadgevende Ingenieurs, Engineeringen Consultancybureaus
Mobility retail and technical distribution
FEBUCO Koninklijke Federatie van Belgische Transporteurs & Logistieke Dienstverleners
Staalindustrie Verbond
Verbond van ontginnings- en veredelingsbedrijven van België
Federatie Voedingsindustrie
Federation of business consultants
Unie van sociale secretariaten
Beroepsvereniging van Verzekeringsondernemingen
Vereniging van de Belgische Fabrikanten van Papierdeeg, Papier en Karton
Voucher Issuers Association
Koninklijke Belgische Redersvereniging
Werkgeversfederatie voor de Internationale Handel, het Vervoer en de Logistiek
Verbond van de Glasindustrie
Werkgeversverbond der belgische Havens
RISKMANAGEMENT Risico’s en crisissen zijn van alle tijden. Getuige de recente financiële en kredietcrisis, de boekhoudschandalen, de reputatieschade door vervuiling, de cyberaanvallen op bedrijven en grote organisaties. Of heel recent nog de softwaremanipulatie in de automobielsector. Door de (vaak internationale) dimensie en de ingrijpende impact op het functioneren van bedrijven en organisaties – en dus op het economisch bindweefsel van een land – zijn hedendaagse risico’s (en dito crisissen) van een heel andere grootorde dan pakweg eind vorige eeuw. En staat risicobeheersing hoog op de economische (en politieke) agenda. De bewustwording van die groeiende risico’s, zowel bedrijfsmatig als maatschappelijk, heeft de roep naar meer aandacht voor risicobeheer aangevuurd. Maar laten we ondanks alle dreigingen de risico’s niet uitsluitend vereenzelvigen met moeilijkheden en problemen, maar ook op zoek gaan naar de mogelijkheden die ze bieden in ons voordeel. Elke activiteit creëert een risico, maar even zo goed een opportuniteit of een kans. Het draait bij risicobeheer of riskmanagement niet zozeer om het elimineren van risico’s, dan wel om het onderkennen ervan en het zoeken naar gepaste methodes om het risico beheersbaar te maken. Sterker, die risicoreflex moet gebakken zitten in de cultuur van de onderneming. In deze brochure, opgesteld door de experts van het VBO, BDO en ING, bundelen we op een bevattelijke manier de voornaamste aspecten die van belang zijn bij een goed risicobeleid. Getuigenissen uit de praktijk maken de ‘theorie’ tastbaar. Met deze brochure als praktische leidraad willen we helpen om risico’s (die een ‘fact of life’ zijn) te identificeren en zoveel als mogelijk in opportuniteiten om te zetten.
Het Verbond van Belgische Ondernemingen is de woordvoerder en pleitbezorger van meer dan 50 sectorale bedrijfsfederaties, die op hun beurt meer dan 50.000 ondernemingen vertegenwoordigen, waarvan 41.000 kmo’s. De grootste werkgeversorganisatie van het land is representatief voor ruim 75% van de tewerkstelling in de privésector. www.vbo.be