De uiteindelijke doelstelling van het onderzoek is vaststellen in hoeverre de mate van strategisch risicomanagement een positieve invloed heeft op de resultaten van een MKB-onderneming. Daarvoor moet eerst worden gemeten in hoeverre het MKB gebruik maakt van strategisch risicomanagement. In dit onderzoek wordt het COSO-model als uitgangspunt genomen. Aangezien het COSO-model uit acht componenten bestaat is vanwege de inspanning en het tijdsbestek er voor gekozen om één component te meten, namelijk de Internal Environment. De mate van strategisch risicomanagement wordt hierdoor vastgesteld middels de component Internal Environment. De Internal Environment is gekozen omdat het de basis vormt voor alle andere ERM-componenten en heeft een significante impact op hoe Enterprise Risk Management wordt uitgevoerd en functioneert op permanente basis. In paragraaf 2.4 is de component Internal Environment toegelicht en zijn de elementen genoemd die deel uitmaken van de Internal Environment. De Risk Management Philosphy, Commitment to Competence en Human Resource Standards worden in dit onderzoek buiten beschouwing gelaten. De Risk Management Philoposphy wordt vanwege de weinig beschikbare literatuur niet meegenomen in het onderzoek. De elementen Commitment to Comptence en Human Resource Standards zijn veelomvattend en zouden beter afzonderlijk onderzocht kunnen worden. De onderzoeksvariabelen die worden gemeten om te toetsen of deze in het MKB invloed hebben de financiële prestaties zijn: Risk Appetite, Board of Directors, Risicocultuur, Informatiesysteem en Organisatiestructuur.
32 Risk Appetite
Risk Appetite is de hoeveelheid risico die een onderneming bereid is te nemen in ruil voor waarde. Het weerspiegelt de risk management philosophy van de onderneming en beïnvloed de organisatiecultuur en werkuitvoering (COSO ERM, 2004). De Risk Appetite heeft een directe relatie met de strategie van de organisatie. Organisaties die hun Risk Appetite niet expliciet hebben beschreven worden vaak geconfronteerd met verschillende risicohoudingen tussen verschillende bedrijfsonderdelen, afdelingen en medewerkers. De risicobereidheid van een onderneming verwijst naar de houding van een organisatie tegenover het nemen van risico’s en weergeeft welke mate van risico aanvaardbaar is. Organisaties die hun risicobereidheid expliciet formuleren voorzien zichzelf van een richtlijn ten aanzien van het nemen van risico’s, schermen zich beter af tegen het aantasten van toekomstige prestaties en verminderen de mogelijkheid van blootstelling aan het overschrijden van capaciteit als gevolg van onoplettendheid. Door de risk appetite expliciet te formuleren wordt er een basis gelegd voor gemeenschappelijke uitgangspunten ten aanzien van het nemen van risico’s (Claassen, 2009).
H1 MKB-ondernemingen die hun Risk Appetite(risicobereidheid) expliciet hebben vastgelegd, hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
De Board of Directors
De board of directors is een belangrijk onderdeel van de interne omgeving en beïnvloed aanzienlijk de andere elementen van de interne omgeving (COSO ERM, 2004). Indien een organisatie voldoet aan de structuurregeling is een vennootschap verplicht om board of directors aan te stellen volgens het two-tier model. Bij dit model functioneren bestuurders en commissarissen in twee afzonderlijke organen (Lückerath-Rovers & Smits, 2010). De rol van de board of directors , volgens het two-tier model, is die van toezichthouder (De Groot, 2006). Eén van de taken van de Raad van Commissarissen is toezicht houden op de realisatie van de doelstellingen, de strategie en de hieruit voortvloeiende strategische risico’s (Claassen, 2009). Daarnaast heeft de Raad van Commissarissen een adviesrol en kan de Raad van Bestuur adviseren op het gebied van strategie en beleid.
MKB-ondernemingen die niet voldoen aan de structuurregeling zijn niet verplicht om een board of directors in te stellen. Bedrijven kunnen verschillende redenen hebben om vrijwillig een board in te stellen, bijvoorbeeld omdat ze behoefte hebben aan een deskundig klankbord, aan extra kennis en ervaring of aan een onafhankelijke toezichthouder. De taak van de board of directors in het MKB is dan ook erop toe te zien dat de D(G)A de stakeholders in beeld heeft en door middel van een bewuste strategie een passende relatie met hen onderhoudt (Hessels & Hooge, 2006). Bij het MKB is het mogelijk moeilijker om een meerderheid van externe bestuurders aan te trekken vanwege de kosten. Maar ook voor het MKB is het belangrijk dat de board of directors ten minste kritische externe bestuurders bevat. Het aantal externe bestuurders moet passen bij de omstandigheden van de onderneming, maar meer dan één director zou normaliter nodig zijn voor de board of directors om het vereiste evenwicht te hebben ( COSO, 1992, blz.27). Uit het onderzoek van Gils (2005) blijkt dat bij het MKB gemiddeld één derde non-executive directors in de board zitten. Naarmate het aantal onafhankelijke externe leden van de board toeneemt, neemt de kans op organisatiemissers af (Droogsma, 2009). Abraham en COX (2007) hebben onderzoek gedaan naar de relatie tussen non-executive directors en de overdracht van risico-informatie op beleggers. Zij stelden vast dat onafhankelijke directors van belang zijn bij de overdracht van risico-informatie. Beasley et al. (2005) komen ook tot de conclusie dat er een positieve relatie is tussen de ‘board independence’ en de kwaliteit van het risicomanagement.
H2 MKB-ondernemingen waarbij 33% of meer van de commissarissen onafhankelijk zijn hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
33 Directeuren van MKB-ondernemingen hebben vaak een eenzame positie en hebben daarom behoefte aan kritische adviseurs, in de zin van mensen die als klankbord kunnen functioneren en sparringspartners. Bankiers geven in het onderzoek van EIM aan dat ondernemers “door de aard van het beestje” soms een onbegrensd geloof hebben in hun eigen kunnen. “Daar zijn het ondernemers voor”. En daardoor begrijpen ze niet dat banken soms risico's zien. Zij vinden het moeilijk een advies over risico’s ter harte te nemen, omdat zij risico's vooral als kansen lijken te zien (Hessels & Hooge, 2006). Deskundigen kunnen zowel externe deskundigen zijn alsmede intern werkzaam bij de onderneming. Deskundigen kunnen de ondernemer helpen met het oplossen van vraagstukken en ondersteunen bij het nemen van beslissingen. Externe deskundigen zijn onafhankelijker en daarmee objectiever. Door de inzet van deskundigen kan de professionaliteit en de doeltreffendheid van een onderneming toenemen.
H3 MKB-ondernemingen met een groter aantal onafhankelijke deskundigen hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
Risicocultuur
De strategie, de doelstellingen van een onderneming en de manier van implementeren zijn gebaseerd op voorkeuren, waardeoordelen en managementstijlen (COSO ERM, 2004). Integriteit en ethische waarden zijn essentiële elementen van de interne omgeving van een onderneming, beïnvloed het ontwerp, de administratie en het monitoren van andere Enterprise Risk Management componenten. De cultuur heeft een grote invloed op de organisatorische besluitvorming en de strategie. Het kan strategisch risicomanagement ondersteunen en een bron concurrentievoordeel zijn, maar cultuur kan ook bij dragen aan destructief gedrag (Drew et al., 2006). Aspecten van culturen die een negatieve invloed hebben op risicomanagement zijn: niet-ethische gedragingen, te hoge interne rivaliteit, intolerantie ten opzichte van fouten, geneigdheid tot het nemen van risico’s, geheimzinnigheid en achtervolgen van critici (Droogsma, 2009). Eén van de instrumenten die gebruikt worden om het ethisch en integer handelen te benadrukken is een gedragscode. In de gedragscode worden de gedragsnormen- en waarden voor medewerkers, klanten en derden opgenomen. Uit onderzoek is gebleken dat organisaties bij het invoeren van een gedragscode een positieve invloed kunnen uitoefenen op het morele denken van hun medewerkers, waardoor organisaties kunnen profiteren door het hebben van personeel die meer toegewijd zijn aan de organisatie (Vitell & Hidalgo, 2006). Ook kan een gedragscode werknemers begeleiden en steunen om te voldoen aan de strategische bedrijfsdoelstellingen (Donker, Poff & Zahir, 2008). Uit het onderzoek van Donker, Poff en Zahir (2008) kwam naar voren dat er een positieve relatie is tussen het hebben van een gedragscode en de ondernemingsprestaties. Ook Verschoor (1998) deed onderzoek naar bedrijven die zich verplichten tot ethisch gedrag of de naleving van de gedragscode benadrukken en kwam tot de conclusie dat deze bedrijven beter financieel presteren. De derde hypothese luidt daarom: H4 MKB-ondernemingen met een gedragscode en die het belang van het naleven van de gedragscode benadrukken hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
Informatiesysteem
Drew et al. (2006) concluderen dat degelijke controlesystemen de board de benodigde informatie leveren om te bepalen of de organisatie risico’s in voldoende mate beheerst. Systemen kunnen een bijdrage leveren aan het tijdig herkennen en beheersen van strategische risico’s. Daarnaast tonen controlesystemen aan welke waarden de organisatie heeft en hoe deze waarden worden vertaald in actie. Organisaties moeten volgens Simons (1995) controlesystemen niet bekijken als noodzakelijk kwaad, maar als gebruiken voor strategisch voordeel en ondersteuning van de toekomstige ontwikkeling van de organisatie. Informatie technologie is tegenwoordig een must in veel bedrijven. Het is moeilijk om concurrentievoordeel
34 te behalen en te overleven zonder enige goedkeuring of uitvoering van deze vooruitgang in technologische producten. Goede informatietechnologie helpt organisaties met de operationele continuïteit en in het bijzonder bevordert het hebben van goede IT het behalen strategisch concurrentievoordeel (Drew et al., 2006). Een van de kritieke barrières die invoering van informatiesystemen in het MKB belemmerd, is het beperkt aantal middelen waarover het MKB beschikt (Kharuddin, Ashhari & Nassir, 2010). Maar uit het onderzoek van Weill (1992) bleek dat IT-investeringen significant en consistent geassocieerd zijn met sterke ondernemingsprestaties. Uit het onderzoek van Kharuddin et al. (2010) kwam naar voren dat MKB-ondernemingen met een accounting informatie systeem een significante verbetering laten zien in hun ondernemingsprestaties dan ondernemingen zonder een accounting informatie systeem.
H5 MKB-ondernemingen met een geavanceerd informatiesysteem hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
Organisatiestructuur
Volgens Emanuels en de Munnik (2006) moet de ERM processen worden vertaald in taken en verantwoordelijkheden. Het is belangrijk dat is vastgelegd bij wie de verschillende verantwoordelijkheden liggen voor risicomanagement. De Raad van Bestuur is verantwoordelijk voor het formuleren van het beleid voor risicomanagement, de vertaling van dit beleid in richtlijnen, het toedelen van verantwoordelijkheden en bevoegdheden aan de medewerkers en het vaststellen van risicotoleranties. De Raad van Bestuur houdt zich bezig met het management van de strategische risico’s. Het gaat dan om lange termijnrisico’s in relatie tot marktontwikkelingen en maatschappelijke ontwikkelingen en ontwikkelingen met betrekking tot de aan te bieden producten en diensten (Droogsma, 2009). Daarnaast worden taken deels ondergebracht in lijnfuncties en deels in ondersteunde functies (Emanuels en de Munnik, 2006). Dit betekent dat de verantwoordelijkheden en bevoegdheden duidelijk dienen te zijn in een organisatie. Meijaard, Mosselman en Brand (2005) hebben onderzoek gedaan naar de verschillende soorten organisatietypen in het MKB en de relatie met ondernemingsprestaties. Uit het onderzoek kwam naar voren dat de relatie tussen de organisatiestructuur en de prestaties van het MKB meer relevant en complexer zijn dan algemeen is aangenomen.
H6 MKB-ondernemingen waarbij de taken verantwoordelijkheden zijn vastgelegd hebben een beter risicomanagementsysteem en presteren hierdoor financieel beter.
Prestaties onderneming
Prestaties kunnen op verschillende manieren worden gemeten. Voorbeelden van prestatiemaatstaven zijn: bruto- en nettowinst, EBIT (Earnings Before Interest and Tax), ROE (Return On Equity) en winstmarge. In dit onderzoek en in veel andere onderzoeken waarin prestaties worden gemeten, wordt de prestatiemaatstaf ROA (Return on Assets) gebruikt. Dit is een veel gebruikte maatstaf voor de winstgevendheid van een onderneming. Het weergeeft de winst van een onderneming die in een periode wordt genereert op de totale activa (Sutton, 2004). De ROA wordt berekend door het bedrijfsresultaat te delen door het gemiddelde totale activa. De maatstaf wordt in een percentage uitgedrukt en kan hierdoor worden vergeleken met andere MKB-ondernemingen en voorgaande jaren. Daarnaast is de ROA geschikt als maatstaf om ondernemingen binnen een soortgelijke bedrijfstak te vergelijken. Er is voor gekozen om het jaar 2010 als uitgangspunt te nemen voor het meten van de ROA. Dit is ten opzichte van andere recente jaren, zoals 2008 en 2009, een stabieler jaar. In 2007 ontstond de kredietcrisis in de Verenigde Staten. Als gevolg van de sterke verbondenheid tussen de internationale financiële markten raakten de financiële instellingen in Europa en Azië in de loop van 2008 in moeilijkheden. Beurskoersen kelderden en het vertrouwen in de economie daalde. De kredietcrisis ontwikkelde zich tot een wereldwijde economische crisis. Door de economische
35 crisis kunnen in de jaren 2008 en 2009 andere factoren invloed hebben gehad op de ROA van de ondernemingen. Het jaar 2010 is een stabieler jaar en weergeeft daardoor een realistischer beeld.