Risk management: zo doe je dat

Risicomanagement is binnen de meeste grotere organisaties geborgd in audits en compliance en kent CFO’s, controllers en risico managers die zich er dagelijks mee bezig houden. Maar hoe kun je als ondernemer nou zorgen dat de risico’s je niet boven het hoofd gaan groeien?

Risicobeheerstrategie

Over het algemeen zijn ondernemingen in het MKB niet groot genoeg om een omvangrijk risicomanagementapparaat te onderhouden. Alhoewel de behoefte aan risicobeheer niet nieuw is, zijn de risico's waarmee ondernemers rekening moeten houden wel veranderd en toegenomen. Onvoorziene omstandigheden kunnen nu leiden tot veel meer dan gederfde inkomsten, additionele kosten of een cashflow-probleem.

LEES OOK: De criminele wereld van het world wide web

Exact onderzocht de top drie uitdagingen van het Nederlandse MKB in 2018. Daarin komen risicomanagement en het voldoen aan wet en regelgeving niet voor. Dat is opmerkelijk. Het aantrekken van nieuwe klanten wordt gezien als de belangrijkste uitdaging (66%), gevolgd door de kwaliteit van producten en diensten (40%) en kostenbeheersing (36%). Voor de grotere bedrijven geldt overigens hetzelfde, daar staat het verbeteren van de kwaliteit van het aanbod bovenaan de lijst (52%), gevolgd door de ontwikkeling van nieuwe diensten en producten (40%) en kostenbeheersing (39%).

Financiële en bedrijfsdoelstellingen schuren vaak met andere doelstellingen: reputatie, cybersecurity, fysieke veiligheid. Als ondernemer heb je het al druk genoeg met het hoofd bieden aan concurrentie en het voortbestaan en uitbreiden van je bedrijf. Veel organisaties zijn overtuigd van het nut en de noodzaak van goed risicomanagement, maar vinden het lastig om er een adequate invulling aan te geven.

Externe risico’s in kaart

Het afgelopen jaar werd een derde van het MKB geconfronteerd met een cyberincident. MKB-ondernemers onderschatten de cyberrisico’s, of denken goed beschermd te zijn. Analyse wijst op een chronisch gebrek aan adequate digitale beveiliging bij kleine en middelgrote bedrijven, maar ook bij talloze andere organisaties in wat de ‘maatschappelijke en economische middenmoot’ genoemd kan worden. Van de (naar schatting) ruim 500 duizend websites van het midden- en kleinbedrijf (MKB) die privacygevoelige informatie verwerken, is driekwart kwetsbaar voor digitale inbraak. Een op de vier websites in die kwetsbare groep loopt zelfs risico dat kwaadwillenden rechtstreeks toegang krijgen tot de database met klantgegevens.

Ondanks de wet en regelgeving om die persoonsgegevens te beschermen: ondernemers blijven worstelen met de verplichtingen uit de AVG. Google en Facebook hebben al grote moeite om te voldoen, laat staan hoe lastig de nieuwsbrief van de bakker om de hoek of het klantenbestand van een meubelmaker zijn. Privacyregelgeving is ontzettend complex en veel kleine ondernemers hebben de impact van de AVG onderschat. Bij de totstandkoming van de AVG is niet aan deze ondernemers gedacht en die hebben nu een probleem.

Ondertussen heeft de Autoriteit Persoonsgegevens (AP), de Nederlandse privacy-waakhond, zich eerst gefocust op de grotere organisaties. Ze heeft inmiddels een last onder dwangsom opgelegd aan het UWV omdat de beveiliging van persoonsgegevens niet goed op orde is. De last onder dwangsom op 1 november 2019 bedraagt € 150.000,- per maand en kan maximaal oplopen tot € 900.000,-.

Uber heeft in november 2018 van de AP een boete opgelegd gekregen van € 600.000,- voor het te laat melden van een datalek. Het lek vond al in 2016 plaats, maar in plaats van het lek binnen de verplichte 72 uur te melden aan de AP verzweeg Uber het lek. Het is voor het eerst dat de AP een boete oplegt voor het niet melden van een datalek.

Intussen loopt tegen tennisbond KNLTB momenteel nog een onderzoek. Verschillende leden van de bond hebben bij de AP een klacht ingediend over het delen van persoonsgegevens, zonder dat daar toestemming voor was gegeven. De leden werden ongevraagd opgebeld, kregen mailtjes of reclame per post. Het commercieel verhandelen van persoonsgegevens kan de tennisbond een geldboete opleveren.

Fraude en risico van binnenuit

Begin maart 2018 ontvangt de algemeen directeur van Pathé e-mails van de CEO van de Franse moedervennootschap van het bedrijf. In deze e-mails wordt hij verzocht geld over te maken ten behoeve van de overname van een buitenlandse onderneming gevestigd in Dubai. Benadrukt wordt dat het strikt geheim is. De algemeen directeur betrekt de financieel directeur erbij. Samen maken zij in de drie daaropvolgende weken in tranches ‘op verzoek van de CEO’ ruim 19 miljoen euro over naar een achteraf onbekende externe partij. Op 28 maart 2018 komen vanuit het hoofdkantoor in Frankrijk vragen. Tijdens een telefonisch overleg op dezelfde dag wordt vervolgens duidelijk dat Pathé slachtoffer is geworden van CEO-fraude. Klinkt dit als een ver van je bed show? Wanneer je geen zicht hebt op je uitgaven en kosten en interne processen niet op orde zijn, loop je onnodig risico op fraude. Wellicht niet op dezelfde schaal als in het geval van Pathé, maar ook jouw werknemers kunnen doelwit worden van chantage of onbedoelde fraude. Heb jij zicht op alle uitgaven die door hen worden gedaan?

Niet alleen fraude levert een enorm risico op. Zeker in kleinere ondernemingen waar nog veel processen niet geautomatiseerd zijn, of waar veel verschillende systemen worden gebruikt, liggen fouten door menselijk handelen op de loer. Geautomatiseerde bedrijfsprocessen zijn een belangrijk onderdeel van strategisch risk management en gaan verder dan de boekhouding alleen. Integreer risicomanagement zoveel mogelijk in bestaande processen, projecten en de organisatie. Als je iets wilt doen aan risico’s, integreer je aanpak dan volledig in de processen die je toch al hebt. Door frequent en gestructureerd naar risico’s en de beheersing daarvan te kijken, levert risicomanagement de hoogste toegevoegde waarde.

Hoe?

Het uitvoeren van een jaarlijkse, diepgaande risicoanalyse, gekoppeld aan het opstellen van het jaarplan en budget, is een praktische, goed werkbare vorm van risicomanagement. Gedurende het jaar, meestal per kwartaal, wordt vervolgens het risicoprofiel tegen het licht gehouden om te kijken of er significante wijzigingen zijn opgetreden. Deze minder diepgaande analyse wordt vaak gekoppeld aan het opstellen en bespreken van de kwartaalrapportage. Risicomanagement zal geïntegreerd moeten worden in de dagelijkse gang van zaken en onderdeel moeten uitmaken van periodieke rapportages. Op deze manier wordt het ook geagendeerd in bestaande structuren en overleggen. Aangezien risk management per uitstek een continu proces is, is deze laatste stap zeer belangrijk.

Boekhouden is absoluut een belangrijke discipline, maar compliance is meer dan alleen een set boekhoudregels die exact bepaalt welke omzetten aan welke afdelingen toegekend moeten worden. Het gaat er in bredere zin om dat je ervoor zorgt dat iedereen op een uniforme manier werkt om tot dezelfde resultaten te komen. Het gaat erom dat bedrijven moeiteloos aan kunnen tonen dat ze alles volledig onder controle hebben.

Conclusie

Wapenen tegen externe risico’s blijft een lastige zaak. Maar aangezien veel van de risico’s die bedrijven lopen veroorzaakt worden door menselijk handelen, blijft het optimaliseren en automatiseren van bedrijfsprocessen één van de meest basale elementen van een risicomanagementstrategie - of het nu gaat om een foutloze boekhouding door no hands accounting, grip op je inkopen, of door het vastleggen van HR- en CRMdata met gestructureerde processen.

Goede software verkleint de kans op menselijke fouten. Daarnaast geven rekentools inzicht in risicokansen en gevolgen. Big Data laat je verbanden zien, verbanden die je anders niet ontdekt. Technologie biedt veel voordelen, maar uiteindelijk zal de mens zelf moeten beslissen welke risico’s hij accepteert en welke niet, op basis van eigen waarden en normen en de kernwaarden van de organisatie.

Info www.exact.com/nl