Magazine 01 december 2008

Zelfhulp bij risicobeheersing

Ook mkb-ondernemers doen er goed aan de risico's voor hun onderneming zo beheersbaar mogelijk te maken. Zelfhulp in de vorm van quick-scans en checklists is ruim beschikbaar. Grant Thorton voegde daar onlangs een eigen versie aan toe.

Dit artikel is verschenen in de Accountant nr. 12, 2008

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Peter van Rietschoten

Risico is ‘in’, want het is overal, en complexer dan ooit. Naar detectie, management en beheersing van risico's is derhalve veel vraag. Voor grote ondernemingen wordt die vraag in belangrijke mate gevoed door wet- en regelgeving, toezichthouders, codes en gedragsregels. Dat heeft tot een bloeiende internationale auditindustrie geleid, waarin accountants, auditors, controllers en allerhande adviseurs goed geld verdienen. Het instrumentarium dat kan worden ingezet om er voor te zorgen dat ondernemingen voldoen aan hun compliance- en governance-verplichtingen is dan ook schier eindeloos - en vaak voorzien van indrukwekkende namen die op zichzelf al de schijn opwekken dat alle risico's onder controle zijn.

Achtergebleven

Volgens accountancy- en adviesorganisatie Grant Thorton is het midden- en kleinbedrijf wat risicobeheersing betreft een beetje een achtergebleven gebied. Terwijl dit segment evenzeer met risico's heeft te maken, lijken zowel wet- en regelgevers als de ‘instrumentenmakers’ het mkb over het hoofd te zien. Althans, als het gaat om voorzieningen met een hoog praktisch gehalte. Vandaar dat Grant Thorton onlangs - in directe samenwerking met MKB-Nederland - een checklist risicobeheersing voor middelgrote en kleine ondernemingen presenteerde. Het gaat daarbij om een zogenaamde quick-scan, een lijst met 38 vragen die de ondernemer zelf kan doorlopen en waarvan de antwoorden in ieder geval een indicatie opleveren over hoe het in de onderneming is gesteld met risico's en de beheersing daarvan.

Noodzaak of hype

Bij de uitspraak dat de checklist ‘de eerste in zijn soort’ zou zijn past overigens wel een kanttekening. Wie even googlet op ‘risicomanagement mkb’ komt snel uit bij andere adviesbureaus, die al jarenlang met quick-scans voor risicobeheersing het mkb ten dienste staan. Bijvoorbeeld Van Amerongen Consulting, Deloitte Nederland, Twijnstra Gudde en het Nederlands Adviesbureau voor Risicomanagement. En wie nog even verder zoekt, komt te weten dat in 2006 risicomanagement hét thema was van de landelijke mkb-dag. Het heeft er dus alle schijn van dat er voor het mkb voldoende aanbod is van advies over en ondersteuning bij risicobeheersing.

Sommige checklists hebben zelfs dezelfde grondslag als die van Grant Thornton: het COSO-framework, waarbij risico's worden onderverdeeld in strategische, operationele, compliance en verslaggeving.

Wordt niet meegelift op de hype waarin risicobeheersing zo nu en dan lijkt te zijn doorgeschoten?

Bart Jonker, partner van Grant Thorton en nauw betrokken bij de totstandkoming van de checklist, wijst deze gedachte af. “De samenleving is kwetsbaarder dan ooit, ondernemingen ook. Risico's worden steeds groter, toegestane foutenmarges steeds kleiner. En terwijl er voor de grote ondernemingen wel allerlei wetten en regelgeving bestaan om risico's zo beheersbaar mogelijk te houden, is dat voor het mkb niet het geval. Terwijl risicobeheersing ook daar noodzakelijk is, en normaal moet zijn. Daar wil onze checklist aan bijdragen. En deze is uniek omdat het theoretische COSO-model wordt gecombineerd met een heldere toelichting en herkenbare praktijkvoorbeelden. Onze checklist blijft niet steken in abstracte begrippen, maar gaat verder.”

Risico's vaak van binnenuit

Om wat voor specifieke risico's gaat het in het mkb?

Bart Jonker: “Gerommel met facturen, waardoor een deel van de omzet in de zakken van medewerkers verdwijnt. Een inadequaat automatiseringssysteem waardoor de voorraden niet goed zijn geadministreerd. Onvoldoende functiescheiding, waardoor er toegang tot IT-bestanden bestaat en fraude wordt gepleegd. Beleidsplannen die wel mooi worden opgeschre - ven en op indrukwekkende wijze aan aandeelhouders worden gepresenteerd, maar niet zijn vertaald in operationele doelstellingen, waardoor meting en analyses onmogelijk zijn. De verantwoording is onjuist en onvolledig, er kan niet tijdig worden ingegrepen, aandeelhouders krijgen onvoldoende inzicht en de continuiteit van de onderneming loopt gevaar.”

Waaraan kan worden toegevoegd dat van de risico's waarmee mkb-ondernemingen te maken krijgen, circa tachtig procent door de ondernemingen zelf is veroorzaakt. Dit heeft direct te maken met het minder (kunnen) besteden van tijd en geld aan controles in kleine ondernemingen. Hoewel fraude nooit volledig kan worden voorkomen, kunnen door investeringen in integriteit en goede procedures veel frauderisico's worden afgedekt. En ook de risico's van diefstal van laptops en het verliezen van usb-sticks kunnen gemakkelijk - door minder nonchalance - worden teruggedrongen.

Duidelijk beeld

Met tien vragen over strategische risico's, 22 over operationele risico's en drie over respectievelijk compliance- en verslaggevingsrisico's kan de mkb-ondernemer met de quick-scan van Grant Thronton een duidelijk beeld krijgen van de mate waarin risico's in zijn onderneming bestaan en worden beheerst.

Handig is dat bij elke vraag is aangegeven op welk risicogebied de onderneming zich kan bevinden indien de vraag met nee moet worden beantwoord. Voorbeeld: Als vraag 24 ‘Voert u adequaat beleid voor productontwikkeling, inclusief langetermijnprognoses?’ met nee wordt beantwoord, dan is het denkbaar dat het risicogebied ‘Risico's bij productontwikkeling’ inmiddels door de onderneming is betreden.

Als de ondernemer alle vragen (naar eer en geweten) met ‘ja’ heeft beantwoord, mag hij ervan uitgaan dat de risicobeheersing in zijn onderneming voldoende is. Volgens Jonker zijn banken na overlegging van een beantwoorde risico-checklist eerder bereid krediet te verstrekken, dan wel lagere rentes te bieden of minder zekerheden te vragen.

‘Kapstok’

Wat te doen als niet alle vragen met ja zijn beantwoord, er dus risico's bestaan die mogelijk niet worden beheerst? De quick-scan van Grant Thorton komt daarvoor met nogal generieke suggesties.

Zoals: ‘…, pas dan risicomanagement toe. Breng in kaart welke primaire processen binnen de onderneming spelen en welke risico's de onderneming bedreigen.’ Of anders dit advies: ‘… uw processen te evalueren en te screenen en zo de effectiviteit van deze processen te belichten.’ Vervolgens lijkt dan toch de commerciële aap uit de mouw te komen: ‘Omdat de implementatie (van risicomanagement) een verandering betekent, maar ook een niet te missen kans biedt, kan het raadzaam zijn een professionele partij in te schakelen.’

Wie dat zou kunnen zijn, laat zich raden. Jonker: “In een maand is de checklist ruim 240 keer gedownload. En we zijn inderdaad ook door een aantal bedrijven gevraagd om bij te dragen aan nadenken en implementeren.”

Grant Thorton benadrukt echter dat de checklist vooral is bedoeld om bij te dragen aan risicobewustwording, en dat de ondernemers natuurlijk nooit blind moeten varen op de uitkomsten ervan. Het ondernemerskompas is toch vooral de ondernemer zelf, de checklist biedt, in de woor den van Jonker, een ‘gestructureerde kapstok’.

Klokkenluider?

Blijft nog over de vraag of de ondernemer zelf de aangewezen partij is om de quickscan uit te voeren. Hierin schuilt een paradox: de ondernemer die dynamisch de grenzen opzoekt van het risico nemen moet aan risicobeheersing of zelfs -inperking daarvan gaan doen. En wat te denken van situaties waarin de ondernemer willens en wetens en mogelijk zelfs onwettige risico's heeft genomen? Is het dan niet beter om bijvoorbeeld de huisaccountant met de scan te belasten? Ook al omdat er vragen zijn als ‘Gaat u periodiek na welke risico's vanuit ingenomen rente- en valutaposities de onderneming bedreigen en hoe deze te beheersen zijn?’ Dat elke mkb-ondernemer zo'n vraag zonder hulp kan beantwoorden, lijkt onwaarschijnlijk. Toch is de gangbare gedachte dat het hier primair om een taak van de ondernemer gaat. De accountant is waakhond, geen speurhond. Dat de accountant bij het uitvoeren van quickscans op risico's geen ‘gezaghebbende’ rol heeft - en moet hebben - blijkt ook uit het feit dat in 99 procent van de gevallen waarin sprake was van ‘te groot risico’, de accountant daarvoor niet kon worden aangesproken.

Hetgeen er wel op kan wijzen, zeker met het oog op eventuele ongeoorloofde risico's, dat er behoefte is aan een signaleringssysteem dat tijdens de bedrijfsprocessen van binnenuit functioneert. Ofwel: naast quick-scans en het inschakelen van professionele partijen verdient het fenomeen klokkenluider meer ruimte en vooral ook meer wettelijke protectie te krijgen.

Quick-scan Grant Thorton Risicobeheersing

Met 38 vragen aandacht op vier werkvelden risicomanagement:

• strategische risico's
  richt zich op formuleren van strategie en wijze waarop doelstellingen worden gerealiseerd
• operationele risico's
  onderzoekt hoe strategie en doelstellingen worden vertaald naar en in operationele processen
• compliance-risico's
  gericht op navolging van wet- en regelgeving
• financiële verslaggevingsrisico's
  met name gericht op administratieve organisatie en interne beheersing