Analyse

Het cijfer wat men gemiddeld geeft voor het risicomanagement binnen de organisatie is een 8. Dit is opvallend, aangezien er niet veel risicomanagement verwacht wordt bij MKB bedrijven. Zoals verwacht wordt er nergens gebruik gemaakt van een risicomanagementsysteem als COSO. Dit komt overeen met een onderzoek uit 2009.

Afstudeerscriptie

Sanne Lentelink 51 Augustus 2010

Waaruit naar voren komt dat 63% van de onderzochte bedrijven (voornamelijk grote bedrijven) geen standaard hanteert (RUG, PwC, Nivra, 2009). Een nadeel is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide topdown gestuurde organisaties. Aangezien kleine en familiebedrijven vaak een ‘platte’ structuur hanteren, zal deze COSO leidraad dus waarschijnlijk niet zo effectief voor hen zijn (De Groot, 2007). Wanneer er toch MKB ondernemingen zijn, die wel gebruik willen maken van een systeem, is het verstandig dat er een apart systeem ontworpen wordt voor het MKB: “There should be a risk rating model for identification of risk and it is better to evolve an exclusive/separate model for the SME sector” (Raghaven, 2005).

Risicomanagement vindt toch vooral op de ‘informele’ wijze plaats binnen MKB ondernemingen. Dit wordt bevestigd door Churchill en Lewis (1983): “It is widely assumed that compared to large businesses, small businesses have less formal organisational supports, systems, processes and procedures”. De ‘informele’ wijze van risicomanagement wordt mede veroorzaakt door het volgende: “Voor MKB ondernemers staat de betrouwbaarheid van de financiële informatieverzorging vaak niet op de eerste plaats. Voor hen is de continuïteit van de onderneming het belangrijkst” (Pruijm, 2007). Hierdoor zie je toch dat veel MKB ondernemers niet echt aan de opzet van risicomanagement denken, maar er onbewust wel mee bezig zijn. De relatie met de klanten is voor deze ondernemers veel belangrijker. Daarbij proberen ze ook zo veel mogelijk te verzekeren, waardoor er al een groot aantal risico’s verdwijnen of vermindert worden. Claes en Meerman (1991) stellen echter dat risicobeheer aanvankelijk gedomineerd werd door het verzekeringsdenken, maar dat dit nu niet meer het geval is. Uit dit onderzoek blijkt dus duidelijk wat anders.

De helft van de bedrijven hanteert geen bedrijfsplan, dit is in lijn met de literatuur. “Kleine bedrijven hebben meestal geen specifieke oriëntatie op de planning en hebben zelden een formeel bedrijfsplan. Het is niet algemeen geformaliseerd in documenten en processen” (Fox e.a., 1996). “In kleine ondernemingen stuurt veelal de ondernemer zelf de bedrijfsprocessen aan, zonder formele vastleggingen. Door direct toezicht door de ondernemer en de korte communicatielijnen, hoeven procedures en sturingsinformatie niet per se schriftelijk te worden vastgelegd” (Van den Hout-Hooi, e.a., 2002).

De periode dat de geïnterviewde werkzaam is binnen de onderneming varieert van 2 tot 20 jaar. Bij het bedrijf waar de geïnterviewde nog maar 2 jaar werkt (Precisie Metaal), blijkt risicomanagement al op een totaal andere manier te gaan dan bij het bedrijf waar de geïnterviewde al 20 jaar werkt (A. Leering). Dit wordt veroorzaakt doordat bij het eerste bedrijf, het de komst van een controller betekend. Deze heeft veel kennis van risicomanagement en houdt zich organisatiebreed met alles bezig. Daarentegen gaat bij het tweede bedrijf alles nog vooral op de traditionele manier. Ook bij ICT Spirit, waar de geïnterviewde nog maar 2 jaar werkt, blijkt risicomanagement al in sterkere mate aanwezig te zijn. Bij beide organisaties is er bewust voor gekozen om deze persoon binnen de organisatie te halen en (mede) verantwoordelijk te maken voor het implementeren van risicomanagement of in ieder geval veel zaken die hier mee samen hangen, waardoor het managen van risico’s aanzienlijk verbeterd is.

Het feit dat in 5 gevallen de directie/het managementteam verantwoordelijk is voor risicomanagement, sluit aan bij de theorie waarin vermeld wordt dat te allen tijde risicomanagement de verantwoordelijkheid is van

Afstudeerscriptie

Sanne Lentelink 52 Augustus 2010

de directie en dit ook moet overbrengen op het personeel. In één geval is de controller hiervoor verantwoordelijk, maar deze heeft ook de dagelijkse leiding van het bedrijf in handen, waardoor hij dus automatisch meer af weet van wat er binnen de organisatie speelt. Verder heeft hij een accountancy achtergrond, waardoor hij heel veel van risicomanagement af weet.

Uit de genoemde type risico’s die binnen de organisatie een rol spelen komt naar voren dat MKBers toch wel ‘operationeel’ denken, aangezien de operationele risico’s 6x genoemd werden. Daarop volgen de financiële risico’s, veroorzaakt doordat een klein risico een grote impact kan hebben op een MKB bedrijf in tegenstelling tot een groot bedrijf, welke zijn risico’s veel meer kan spreiden. Deze bevindingen worden bevestigd door voorlopend onderzoek. “Operationele en strategische risico’s vormen de grootste bedreiging en brengen de grootste consequenties met zich mee. De financiële en operationele risico’s worden gemiddeld het meest in kaart gebracht, gevolgd door de strategische risico’s” (RUG, PwC, Nivra, 2009).

De afnemers worden het vaakst bekeken door de ondernemingen. Dit is ook niet gek, want in het MKB is dit de belangrijkste partij, geen afnemers, geen omzet. Dit wordt bevestigd door Risseeuw & Thurik (2003): “De klant in het MKB kan door het persoonlijke contact dikwijls profiteren van de expertise van de ondernemer. Het MKB bevindt zich in een goede positie doordat het gemakkelijker persoonlijke contacten met klanten kan onderhouden. Wel is het voor het MKB van groot belang om goede samenwerkingsrelaties te onderhouden om de gevraagde goederen en diensten te kunnen leveren. Daarnaast is het zaak kenmerken van vernieuwde producten en diensten niet uit het oog te verliezen”. Ten slotte heeft risicomanagement veel, zo niet alles, te maken met een goed (in)zicht op wat er speelt binnen een organisatie en haar omgeving én met een goede interactie met belanghebbende partijen (Du Floo, 2009).

De korte lijnen binnen de organisaties zijn niet verassend, doordat er simpelweg minder medewerkers binnen de organisatie werken en direct/informeel contact hierdoor al makkelijker wordt en ook de flexibiliteit van de onderneming verhoogd: “Communication is typically carried out face-to-face as the need arises rather than through regularly scheduled meetings, formalized status reports, or structured briefings. These channels are considered a significant benefit of the small business environment, providing superior operational flexibility” (Wickert and Herschel, 2001). Dit wordt bevestigd door Maijoor (1997). De laatste twee componenten van COSO, communicatie en bewaking, komen bij kleinere ondernemingen makkelijker tot stand dan bij grote ondernemingen. Met betrekking tot communicatie komt dit bijvoorbeeld doordat de directeur-eigenaar door zijn dagelijkse activiteiten veel direct contact zal hebben met het personeel en de belangrijkste externe belanghebbende partijen (Maijoor, 1997). ‘Gebrek aan structuur is een belangrijk structuurkenmerk van het MKB’, en een ad-hoc aanpak is de normale wijze van organiseren. Een groot voordeel van een kleine omvang is de afwezigheid van bureaucratie. Binnen kleine organisaties is het aantal verschillende contacten inherent beperkt en zijn de lijnen inherent kort. Dat betekent dat de communicatie efficiënt kan verlopen, en dat er geen noodzaak is om strakke protocollen te hanteren (Risseeuw & Thurik, 2003).

Bij de twee ondernemingen, welke onderdeel van een groter (beursgenoteerd) concern zijn, is er ook vrij veel risicomanagement aanwezig, puur en alleen omdat dit concern aan bepaalde eisen moet voldoen met

Afstudeerscriptie

Sanne Lentelink 53 Augustus 2010

betrekking tot risicomanagement. Dit laat ook direct zien dat ‘grote’ bedrijven veel meer met risicomanagement bezig zijn en MKB bedrijven toch in mindere mate, maar dat zij er hierdoor wel mee in aanraking komen.

Uit de opvattingen over risicomanagement komt naar voren dat ze vooral ervaren dat het tegenwoordig allemaal veel ‘formeler’ moet, er moet steeds meer vastgelegd worden. Het voorbeeld van ICT Spirit, waarbij de getroffen maatregelen voor risicomanagement niet samenhingen met een beleid waarom die maatregelen getroffen waren, komt bij veel MKB ondernemingen voor: geen beleid. Zo is er bij de helft van de onderzochte ondernemingen ook geen bedrijfsplan. Het is een goed teken dat ICT Spirit wel direct dit jaar een risicoanalyse gaat uit voeren, wat laat zien dat sommige MKB ondernemingen actief met risicomanagement bezig zijn. PwC (2006) geeft ook aan dat een in de praktijk veel voorkomende en een goed werkbare vorm voor het implementeren van risicomanagement een jaarlijkse diepgaande risicoanalyse is, gekoppeld aan het opstellen van het jaarplan en budget. Daarnaast richt ICT Spirit het ook praktisch in, zodat het voor iedereen duidelijk is wat er gebeurd. Dit is een van de belangrijkste dingen voor het MKB: zaken praktisch en begrijpelijk houden. Het praktisch denken binnen het MKB wordt nog maar eens bevestigd door de volgende uitspraak: “Het bedrijf krijgt een 7,5. Ik denk dat we het redelijk goed doen, anders zouden er ook wel meer problemen zijn” (Precisie Metaal).

De directe manier van werken binnen het MKB blijkt uit een uitspraak van Precisie Metaal: “In het MKB pak je risico’s aan, wanneer dat ter sprake komt en nodig is”. De korte lijnen binnen de organisatie maken dit mogelijk. De literatuur laat over het algemeen zien dat erg kleine ondernemingen weinig of geen management informatie systeem hebben en het maken van beslissingen is niet geformaliseerd (Perren en Grant; 2000). “Dit impliceert niet dat modellen onbruikbaar zijn voor een risicoanalyse, maar dat met name bij (ontwikkeling en) gebruik van de modellen en de interpretatie van de uitkomsten een hoge mate van ‘gezond verstand van het menselijk gedrag’ noodzakelijk is” (Van der Pijl en Nuijten, 2001).

Bijna alle ondernemingen wisten een definitie van risicomanagement te geven, wat een goed teken is, want dit laat zien dat ze op één of andere manier al wel met risicomanagement bezig zijn. Vaak wordt de term risicomanagement niet in een MKB organisatie gebruikt, maar toch blijkt later dat ze er wel aan doen, maar dan vooral onbewust.

Veel ondernemingen zijn verplicht bepaalde procedures vast te leggen, omdat ze ISO gecertificeerd zijn en/of hierdoor ook een ISO systeem hanteren. Maar liefst 5 bedrijven zijn ISO gecertificeerd, wat vooral betrekking heeft op kwaliteitsmanagement. Opvallend hierbij is dat niemand ISO 31000 kende. PwC (2006) noemde al als trigger voor risicomanagement: “de onderneming is actief in een sterk gereguleerde markt”. Uit de interviews komt wel naar voren dat de bedrijven welke moeten voldoen aan de ISO certificering ook gerichter met risicomanagement bezig zijn, wat betekend dat deze ISO normering daadwerkelijk een toegevoegde waarde heeft. Ook de literatuur benadrukt het belang van ISO 31000: “ISO 31000 kan grote voordelen met zich meebrengen bij organisaties die al werken met normen als ISO 9001, 14001 of 22000. Deze organisaties hebben voor belangrijke categorieën risico’s al een goede systematiek ingevoerd. De richtlijnen voor risicomanagement kunnen helpen om die deelsystemen te integreren, (nog) meer risicogericht in te richten en

Afstudeerscriptie

Sanne Lentelink 54 Augustus 2010

optimaal aan te laten sluiten bij wat het topmanagement vooral bezig houdt. Namelijk: succesvol en duurzaam ondernemen” (Hortensius, 2009). “ISO 31000 is een richtlijn die de basis moet vormen van alle ISO-normen en managementsystemen en daarnaast sturing moet geven aan organisaties die invulling willen geven aan risicomanagement” (Du Floo, 2009).

Het personeel wordt voornamelijk alleen betrokken bij risicomanagement op operationeel gebied, wat ook nog maar eens laat zien dat MKB ondernemingen vooral operationeel gericht zijn. De meeste medewerkers verrichten tenslotte ook operationeel werk.

Ook komt het bij MKB ondernemingen voor dat er feitelijk andere dingen gebeuren dan dat er formeel op papier staat. Dit wordt veroorzaakt door het directe contact, waardoor wijzigingen snel met elkaar besproken en doorgevoerd kunnen worden. Het beslissen ‘op gevoel’ (vooral bij A. Leering) wordt in de literatuur bevestigd door Risseeuw & Thurik (2003). “In SME business, the ‘gut feeling’, which is subjective, is more relied upon than the ‘pure analysis’ that are more objective-oriented” (Raghaven, 2005).

7 van de 8 ondernemingen hebben plannen en/of investeringen voor de toekomst, wat vaak meer kansen betekent. Uit onderzoek blijkt ook dat ondernemers meer mogelijkheden en minder problemen waarnemen (Risseeuw & Thurik, 2003). Daarbij bepalen technologische ontwikkelingen in grote mate de kansen en bedreigingen voor het MKB. Wie niet op het juiste moment en/of in de juiste technologie investeert, loopt het risico dat de concurrent een voorsprong verwerft of dat er geld wordt verspild (Risseeuw & Thurik, 2003). De investeringen zijn positief, gezien de economische crisis, voor het MKB en vooral omdat in 2008 bleek dat de investeringsbereidheid bij MKB ondernemers terug loopt (EIM, 2009).

Bij een aantal ondernemingen is het doel expliciet vertaald naar concrete doelstellingen, maar bij een aantal ook in mindere mate. Vervolgens wordt er bij de meeste ondernemingen per kwartaal of maandelijks gekeken of de doelstellingen gehaald zijn. Van Rietschoten (2008) noemt als specifiek risico voor het MKB, beleidsplannen die wel mooi worden opgeschreven en op indrukwekkende wijze aan aandeelhouders worden gepresenteerd, maar niet zijn vertaald in operationele doelstellingen, waardoor meting en analyses onmogelijk zijn. Bovenstaande bewijst dat dit bij de onderzochte ondernemingen juist niet het geval is. Veel bedrijven maken ook een begroting/planning voor een jaar, maar om groei te bevorderen moet je verder kijken. De ondernemingen hebben daarentegen wel plannen voor de toekomst, dus er wordt wel vooruit gekeken. De korte planningshorizon bij kleine ondernemingen wordt ook door Van den Hout-Hooi, e.a. (2002) gezien als een probleem bij de implementatie van risicomanagement.

Taken, verantwoordelijkheden en bevoegdheden worden ‘veel’ vastgelegd, voornamelijk in de functieomschrijvingen. Op deze manier is duidelijk wie waar verantwoordelijk voor is. Dit komt overeen met de bevindingen van PwC (2006): “bij de kleine organisaties worden in 56% van de gevallen de taken en verantwoordelijkheden niet vastgelegd of het wordt vastgelegd in functiebeschrijvingen”. Bij sommige bedrijven kan het echter voorkomen dat er af en toe wat verschuiving in zit of dat het herzien ervan er bij in schiet. Dit is nou juist heel belangrijk, anders heeft het bestaan van functieomschrijvingen ook geen nut. Op deze manier kun je hier niet meer op vertrouwen en is de interne controle op dit gebied weg. Onvoldoende functiescheiding wordt

Afstudeerscriptie

Sanne Lentelink 55 Augustus 2010

ook door Van Rietschoten (2008) gezien als een specifiek risico in het MKB. “In kleine ondernemingen stuurt veelal de ondernemer zelf de bedrijfsprocessen aan, zonder formele vastleggingen. Belangrijkste verschillen met internal control in grotere ondernemingen is, dat het proces minder geformaliseerd is. Door direct toezicht door de ondernemer en de korte communicatielijnen, hoeven procedures en sturingsinformatie niet per se schriftelijk te worden vastgelegd. Kleine ondernemingen kennen vaak geen gespecialiseerde afdelingen. Via externe bronnen moet de ondernemer voldoende kennis op doen” (Van den Hout-Hooi e.a., 2002).

Opvallend is dat de entrepreneur hoog scoort als type ondernemer. Een entrepreneur denkt toch vooral in het groot. Dit laat zien dat de MKB bedrijven toch vooruitstrevend zijn en willen groeien. De ‘vakman’ werd ook vaak genoemd, wat logisch is, doordat de ondernemer vaak nog zelf actief mee werkt in de onderneming en dit vaak ook wil blijven doen, omdat hier zijn aard ligt. Tevens wil hij er voor zorgen dat er een kwalitatief hoogstaand product wordt geleverd. Opvallend is dat de zelfstandige maar 2x voorkomt, aangezien MKB ondernemers vaak zo getypeerd worden. Dit komt echter vooral voor bij (erg) kleine bedrijven, hiervan is in dit onderzoek geen sprake. Alle bedrijven hebben toch al een aanzienlijk aantal medewerkers, waardoor een ‘zelfstandige’ houding vaak niet meer de juiste is.

De ondernemers scoren op de eigenschappen allemaal vrijwel hetzelfde. Wat bewijst dat MKB ondernemers vaak op dezelfde manier handelen. “In considering any aspect of risk, whether in small or large business, whether personal or corporate, the personality of the would-be risk taker is always a factor to consider, and thus there can never be any set mechanistic approach to decisions in risk taking” (McHugh, Wilson, 1987). Het feit dat de hands on mentaliteit en het leiderschap bij Precisie Metaal laag is, wordt veroorzaakt doordat de controller de dagelijkse leiding in handen heeft. De ondernemers nemen allemaal (goed overwogen) risico’s, wat in lijn ligt met de volgende uitspraak: “succesvol en duurzaam ondernemen betekent risico’s nemen en risico’s managen” (D. Hortensius). Uit ander onderzoek komt ook naar voren dat ondernemers in vergelijking met niet-ondernemers inderdaad minder risico-avers zijn. Dit verband is nog sterker indien uitsluitend niet-ondernemers met een groeioriëntatie worden onderzocht (Risseeuw & Thurik, 2003).

5 van de 8 helpen eerst de klant en handelen daarna de formele zaken af. Dit laat zien hoe resultaat gericht het MKB is ingesteld. Daarnaast zijn de klanten vaak de belangrijkste partij voor een MKB onderneming, welke je dus tevreden moet houden. Het MKB hoeft zich aan lang niet zoveel regels te houden als een ‘groot’ bedrijf, waardoor de klant automatisch op de eerste plaats komt. Dit wordt bevestigd door D&I Enschede, waar ze er tegenwoordig voor zorgen dat alles goed voor elkaar is, omdat er in deze branche ook steeds meer regels gelden. Slechts één bedrijf opereert in een risicovolle branche, doordat deze erg conjunctuurgevoelig is.

Risico denken blijkt nauwelijks onderwerp van gesprek te zijn bij de bank en/of de accountant. Alle bedrijven in het onderzoek zijn succesvol en bestaan al een hele tijd, toen men nog niet echt met risicomanagement bezig was, dus er is niet echt een conclusie te trekken waardoor dit verklaard kan worden. Wél eisen de banken steeds meer zekerheden dat alles afgedekt is, wat ze met name in deze tijd willen hebben. Tot slot nog een uitspraak: “sinds kort hebben we ook een innovatieoverleg, één keer per maand, en daarin worden ook zaken met betrekking tot de branche en de ontwikkelingen besproken” (ICT Spirit). Dit laat

Afstudeerscriptie

Sanne Lentelink 56 Augustus 2010

zien dat het MKB ook vooruitstrevend en innovatief te werk gaat. Alle bedrijven analyseren dan ook de branche en de ontwikkelingen daarin. Van den Hout-Hooi, e.a. (2002) noemen juist als probleem voor de implementatie van risicomanagement, weinig tijd om kennis te nemen van nieuwe ontwikkelingen buiten het directe vakgebied. Dit is dus tegenstrijdig met de bevindingen van dit onderzoek.