Pragmatisch risicomanagement voor de kmo

Wat als een van uw belangrijkste managers verongelukt? Als er in jouw fabriek brand uitbreekt? Of de nabijgelegen rivier uit zijn oevers treedt? Wat als een van je medewerkers een groot cyberprobleem veroorzaakt? De vraag ‘wat als’ nodigt uit tot het implementeren van een risicomanagementsysteem.

Ken je risico’s

Risico’s zitten overal. Of je nu een multinational bent of een lokale kmo, risico’s behoren tot het dagelijkse leven van elke onderneming. Door de snelle veranderingen in onze maatschappij nemen de onzekerheden alleen maar toe. Nu er steeds meer risico’s op de loer liggen, laat je best niet alles op zijn beloop.

Gelukkig is het met enige discipline en gezond verstand wel mogelijk om vooraf de impact en waarschijnlijkheid van de schade te verminderen. Grote ondernemingen zijn al langer overtuigd van het nut van een echt risicobeheersingssysteem en hebben zich erop georganiseerd. Nu wordt het tijd om de mindset rond deugdelijk risicobeheer ook in kmo’s aan te wakkeren. Helaas kan riskmanagement kmo-ondernemers afschrikken omdat ze het associëren met complexe, peperdure en tijdrovende processen.

“Risicomanagement kan alleen maar slagen als je er actief op stuurt.”

Misschien kan de nieuwe brochure ‘Praktisch risicomanagement voor kmo’s’ van Belrim (de Belgische vereniging van riskmanagers) kmo’s over de streep te trekken. Eén ding is essentieel: de inrichting van het risicomanagement ligt ondubbelzinnig bij de bedrijfsleiding en de raad van bestuur. Risicomanagement kan alleen maar slagen als je er actief op stuurt.

De voornaamste stappen

  1. Identificeer alle risico’s voor de onderneming, zowel de menselijke, de fysieke als de digitale, en zowel de specifieke als de externe factoren.

  2. Rekening houdend met je missie en strategische visie bepaal je dan de risicobereidheid of ‘risk appetite’ voor de diverse aspecten van de bedrijfsvoering. Wat vind je aanvaardbaar, wat is een kritisch risico en wat is een onaanvaardbaar risico? Houd bij deze classificatie rekening met de financiële gevolgen, de reputatie, de compliance, de veiligheid enzovoort.

  3. Als inhoudelijk denkkader bevelen de auteurs het risico-identificatiemodel van Kaplan aan. Dit onderscheidt 3 soorten risico's: de externe risico's waarop je geen directe invloed hebt maar waarop je wel kan anticiperen (wetgeving, conjunctuur…), een hele reeks interne, operationele en vermijdbare risico's (personeel, brand, cybercrime…) en ten derde de strategische risico's die je als organisatie bewust aangaat om je doelen te realiseren. Enkel deze laatste zijn de risico’s waarover we het hebben als we zeggen “ondernemen is risico nemen”.

  4. Om de risico’s vervolgens te verlagen, kan je zowel werken op de kans als op de impact. Tracht zoveel mogelijk experten op het gebied van dat risico bij deze tactische analyse te betrekken.

  5. Daarna moeten bestuurders aangeven welke risico’s als topprioriteit moeten worden aangepakt in functie van hun volwaardig risicobeleid. Ook de financiële en operationele controle en opvolging van risico’s komen onder hun hoede.

  6. Uiteindelijk ga je het risicobeheer integreren in je globale managementrapportering. Een boordtabel op maat van de onderneming kan een leidraad bieden en de bedrijfsleider helpen in het meten en opvolgen van resultaten, risico’s en de kwalitatieve doelstellingen. Door alle risico's vooraf goed in te schatten, kan je prioriteiten stellen in je management. Vervolgens formuleer je je acties zo concreet mogelijk. Na verloop van tijd mag risicobeheer geen extra meetings meer vergen. Het moet integraal deel uitmaken van goed management.