De mate van strategisch risicomanagement in relatie tot de prestaties van een MKB-onderneming

prestaties van een MKB-onderneming

Een onderzoek naar de relatie tussen de mate van strategisch risicomanagement in het MKB (aan de hand van de Internal Enviroment) en de prestaties van een MKB-onderneming.

Auteur: José Janssens

Studentnummer: 2033542

prestaties van een MKB-onderneming

Een onderzoek naar de relatie tussen de mate van strategisch risicomanagement in het MKB (aan de hand van de Internal Enviroment) en de prestaties van een MKB-onderneming.

Groningen, 25 mei 2012

Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde

Master Accounting & Controlling

Auteur: José Janssens

Studentnummer: 2033542

1

_{Begeleider: Dhr. C.B. Rolf}

2

Voorwoord

Voor u ligt mijn scriptie “De mate van strategisch risicomanagement in relatie tot de prestaties van een MKB-onderneming”. Deze scriptie is tot stand gekomen ter afsluiting van de Master Accountancy & Controlling aan de Rijksuniversiteit Groningen.

De aflopen jaren is risicomanagement een actueel onderwerp geworden. Deze aandacht is mede te danken aan de grote boekhoudschandalen bij beursgenoteerde ondernemingen. Door de invoering van de code Tabaksblat is voor Nederlandse beursgenoteerde ondernemingen sprake van wet- en regelgeving met betrekking tot risicomanagement. Maar risicomanagement in het midden- en kleinbedrijf (MKB) is relatief onbekend, terwijl van alle Nederlandse bedrijven valt 99% in deze categorie. Mijn interesse voor risicomanagement is ontstaan gedurende de opleidingen die ik heb gevolgd. Tijdens congressen en colleges is het onderwerp meerdere malen behandeld. Risicomanagement in het MKB is een fenomeen waar nog weinig onderzoek naar is verricht, terwijl het MKB 99% van het totale Nederlandse bedrijfsleven vertegenwoordigt.

Het Enterprise Risk Management-proces richt zich op doelstellingen in verschillende categorieën. Dit onderzoek richt zich op strategisch risicomanagement, ofwel de strategische doelstellingen. Er is onderzocht aan de hand van de component Internal Environment of de mate van strategisch risicomanagement een positieve invloed heeft op de prestaties van een MKB-onderneming.

Graag wil ik diverse mensen bedanken die mij hebben geholpen bij het uitvoeren van dit onderzoek. Allereerst wil ik mijn begeleider de heer Rolf bedanken voor zijn begeleiding tijdens mijn afstudeerperiode. Zijn verhelderende feedback en input tijdens gesprekken over de afbakening van het onderwerp en de onderzoeksopzet, hebben geleid dat ik deze scriptie tot een goed einde heb kunnen brengen. Ook wil ik mijn familie, vriend en vrienden bedanken voor dat ze mij steunden wanneer het even tegen zat met het schrijven van deze scriptie.

Als laatste wil ik graag alle geënquêteerden bedanken voor de bijdrage die zij hebben geleverd aan mijn onderzoek.

Groningen, 25 mei 2012 José Janssens

3

Samenvatting

Risicomanagement is geen nieuw fenomeen, maar hoe het Nederlandse MKB hiermee omgaat, is nog onduidelijk. De wetenschappelijke literatuur richt zich voornamelijk op grote beursgenoteerde ondernemingen, maar ook het MKB heeft te maken met risico’s die mogelijk tot direct of indirect verlies kunnen leiden. De grondslag van dit onderzoek ligt in het feit dat er nauwelijks wetenschappelijk literatuur te vinden is over risicomanagement in het MKB en welke invloed dit heeft op de prestaties van een MKB-onderneming. Voor het implementeren van risicomanagement zijn verschillende modellen ontwikkeld. In dit onderzoek wordt van het model COSO Enterprise Risk Management uitgegaan. Het COSO ERM richt zich op verschillende doelstellingen. In dit onderzoek staan de strategische doelstellingen centraal. De strategische doelstellingen zijn de doelstellingen op het allerhoogste niveau en zijn gebaseerd op de missie van de organisatie (Emmanuels & de Munnik, 2006). De strategische risico’s houden verband met de strategisch doelstellingen. Door het toepassen van strategisch risicomanagement wordt beoogd de risico’s van het niet behalen van de strategische doelstellingen te beheersen. De vraag die centraal staat in deze scriptie luidt:

Is er sprake van een positieve relatie tussen de mate van strategisch risicomanagement (op basis van de Internal Environment) en de prestaties van een MKB-onderneming?

Naast doelstellingen bestaat het COSO ERM uit acht componenten. Vanwege het tijdsbestek en inspanning is er voor gekozen om één component te meten, namelijk de Internal Environment. De Internal Environment vormt de fundering voor alle andere ERM-componenten en heeft een significante impact op hoe Enterprise Risk Management wordt uitgevoerd en functioneert. Aan de hand van de elementen die deel uit maken van de Internal Environment, is de mate van strategisch risicomanagement gemeten. In dit onderzoek is gekozen om de elementen: Risk Appetite, Board of Directors (onafhankelijkheid RvC en aantal onafhankelijke deskundigen), Risicocultuur, Informatiesysteem en Organisatiestructuur te onderzoeken. Om de prestaties van de onderneming te meten is gekozen voor de Return on Assets. Dit is een veel gebruikte maatstaf voor de winstgevendheid van een onderneming.

Om te onderzoeken of er een relatie bestaat tussen de variabelen met betrekking tot de mate van strategisch risicomanagement en de prestaties van een MKB-onderneming, is er in dit onderzoek gebruik gemaakt van het testen van hypotheses. In totaal zijn zes hypotheses geformuleerd en getoetst met behulp van een regressieanalyse. Voor het testen van de hypotheses zijn data verzameld aan de hand van een enquête. Op basis van het literatuuronderzoek en de hypotheses zijn er vragen geformuleerd, welke zijn opgenomen in een enquête. De enquête is verstuurd naar 130 MKB-ondernemingen en in totaal door 26 MKB-ondernemingen ingevuld. Op basis van de resultaten van de enquête kon de regressieanalyse worden uitgevoerd.

Bij de resultaten van de regressieanalyse komt naar voren dat er geen positief significante relatie kan worden aangetoond tussen de mate van strategisch risicomanagement en de prestaties van een MKB-onderneming. De verwachte relaties konden in het onderzoek niet worden aangetoond en de hypotheses zijn verworpen. Verklaringen hiervoor kunnen zijn de beperkte steekproefomvang en de niet homogene populatie. Uit de resultaten van de enquête komt namelijk naar voren dat er verschillen zijn tussen de mate van strategisch risicomanagement bij kleine ondernemingen, middelgrote en grote MKB-ondernemingen. Gezien de omvang van de steekproef wordt, vormt het onderzoek een basis voor toekomstig onderzoek. Voor vervolgonderzoek wordt daarom aanbeveelt om een grote steekproefomvang te nemen om een volledig beeld te schetsen van het probleem.

4

Inhoudsopgave

2.2 Aanleidingen voor risicomanagement ... 10

2.3 Regelgeving Sox en Tabaksblat ... 11

2.3 COSO Enterprise Risk Management ... 12

2.4 Internal Environment en het MKB ... 14

2.4.1 Risk Management Philosophy ... 14

2.4.2 Risk Appetite... 15

2.4.3 Board of Directors ... 15

2.4.4 Risk Culture ... 16

2.4.5 Commitment to Competence ... 17

2.4.6 Organizational Structure ... 17

2.4.7 Assignment of Authority and Responsibility ... 18

2.4.8 Human Resource Standards ... 19

3 Het Midden- en Kleinbedrijf ... 20

3.1 Definiëring MKB ... 20

3.2 Kenmerken MKB ... 21

5

4 Strategie ... 25

4.1 Het begrip strategie en het belang ... 25

4.2 Het strategieformuleringsproces ... 27 4.3 Strategievorming in het MKB ... 28 5 Onderzoeksopzet ... 31 5.1 Inleiding ... 31 5.2 Variabelen en hypotheses ... 31 5.3 Dataverzameling ... 35 5.4 Toetsen ... 36 6 Resultaten ... 39 6.1 Beschrijvende statistiek ... 39 6.1.1 Kerngegevens enquête ... 39 6.1.2 Kerngegevens hypotheses ... 39 6.2 Uitkomsten enquête... 40 6.3 Uitkomsten hypotheses ... 44 7 Conclusie en beperkingen ... 47 7.1 Conclusie ... 47 7.2 Beperkingen onderzoek ... 47 7.3 Vervolgonderzoek ... 48 Referentielijst ... 49 Bijlagen ... 55

Bijlag 1 Conceptueel model ... 55

Bijlage 2 Enquête ... 56

6

1 Introductie

In dit hoofdstuk wordt het onderwerp van het onderzoek geïntroduceerd. In paragraaf 1.1 zal een inleiding worden gegeven over het onderwerp. In paragraaf 1.2 zal het probleem worden gedefinieerd, het doel van het onderzoek, de hoofdvraag en deelvragen. De onderzoeksmethode en het conceptueel model worden in paragraaf 1.3 kort toegelicht. Tenslotte wordt in paragraaf 1.4 de opbouw van het rapport weergegeven.

1.1 Inleiding

The resounding message is that risk is always with us (Buehler, Freeman & Hulme, 2008). Elke organisatie – groot of klein- heeft te maken met risico’s. De afgelopen jaren is risicomanagement een actueel onderwerp geworden. Als gevolg van de grote boekhoudschandalen, zoals Enron, is in de Verenigde Staten de Sarbanes-Oxley (SOx) wet tot stand gekomen. In sectie 404 is de SOx staan de regels beschreven met betrekking tot interne controle en financiële rapportering. In 2004 is in Nederland de code Tabaksblat ingevoerd, waardoor beursgenoteerde bedrijven in Nederland ook in aanraking kwamen met de termen ‘interne controle’ en ‘risicomanagement’. De afgelopen jaren is er veel onderzoek gedaan naar de uitvoering van risicomanagement, dit mede door de kredietcrisis. Uit het onderzoek van PwC, Rug en NIVRA (2009) is naar voren gekomen dat het risicomanagement in veel organisaties nog niet op orde is en dat de ontwikkeling van risicomanagement nog in de kinderschoenen staat (Swagerman, 2009). Uit het onderzoek van Ernst & Young (2009) over de gevolgen van de economische crisis onder 300 managers kwam naar voren dat bij 80 procent van de onderzochte bedrijven het risicomanagement tekortschiet.

Door de invoering van de code Tabaksblat is voor Nederlandse beursgenoteerde ondernemingen sprake van wet- en regelgeving met betrekking tot risicomanagement. Maar risicomanagement in het midden- en kleinbedrijf (MKB) is relatief onbekend, terwijl 99% van het totale bedrijfsleven in Nederland onder het MKB valt. Ook McCahery en Vermeulen (2006) stellen dat het merendeel van de literatuur over Corporate Governance is gericht op beursgenoteerde bedrijven. Echter de meerderheid van de bedrijven wereldwijd zijn niet-beursgenoteerd. Gezien het belang van deze ondernemingen voor innovatie en het scheppen van werkgelegenheid, is het ontbreken van een debat over governance praktijken voor deze bedrijven verbijsterend.

Risicomanagement in het MKB is een fenomeen waar nog weinig onderzoek naar is verricht. Elke onderneming heeft te maken met risico’s, die mogelijk tot direct of indirect verlies kunnen leiden. Met name voor het midden- en kleinbedrijf, vanwege het beschikken over een beperkt aantal middelen. Voor het implementeren van risicomanagement zijn verschillende modellen ontwikkeld. Het bekendste model is COSO Enterprise Risk Management en is gepubliceerd in 2004 door het Committee of Sponsoring Organizations (COSO). Het Enterprise Risk Management Framework is gericht op het realiseren van de doelstellingen van de organisatie, op het gebied van vier categorieën: strategisch, operationeel, betrouwbaarheid van informatie en wet- en regelgeving. In dit onderzoek wordt aandacht besteed aan de strategische doelstellingen. Recente studies hebben aangetoond dat de strategische en zakelijke risico’s een grotere bedreiging vormen dan de operationele, compliance of financiële risico’s (PwC, 2008). Het behalen van strategische en operationele doelen is daarnaast aan externe invloeden onderhevig en ligt daardoor niet in de macht van de onderneming (COSO ERM, 2004). De strategische risico’s zijn de meest complexe risico’s, die niet eenvoudig zijn te inventariseren en waarvan de kans en impact voor ondernemingen moeilijk zijn te bepalen (Droogsma, 2009).

Strategie, strategisch plannen en strategisch management zijn al veel besproken onderwerpen in de literatuur. Strategische planning geniet in het MKB weinig populariteit. De meeste MKB-ondernemingen houden zich niet bezig met strategische planning (Sandberg, Robinson & Pearce,

7 2001). Een reden hiervoor is dat het MKB meestal last heeft van dagelijkse problemen en zich bezig houdt met het wat de beste en meest efficiënte manier is om haar middelen te exploiteren (Kirytopoulos, Leopoulos & Malandrakis, 2001). Terwijl strategische planning juist essentieel is voor zowel kleine als grote organisaties om geen andere reden dan dat het organisaties permitteert gebruik te maken van kansen die in de toekomst liggen en de bedreigingen die het bevat te voorkomen (Steiner, 1967). Beleidsplannen brengen structuur in het bedrijf, houdt de ondernemer bij de les en bieden een handvat bij het oplossen van uiteenlopende problemen (Dekker, Huls & Scherjon, 2006). Robinson, Pearce, Vozikis en Mes (1984) hebben in hun onderzoek kunnen concluderen dat bedrijven met min of meer gestructureerde strategisch planning op betere bedrijfsresultaten kunnen rekenen dan bedrijven zonder gestructureerde strategische planning.

1.2 Afbakening en vraagstelling

Risicomanagement is in het MKB nog een relatief onbekend begrip, maar het belang hiervan neemt wel toe (Van Egeraat, 2009). Een ondernemer kiest ervoor om elke dag risico’s te nemen. Vaak gaan ondernemers uit van hun ervaring en intuïtie om deze risico’s te beheersen. Echter, hoe complexer de onderneming des te belangrijker het is om risico’s te identificeren die mogelijk het realiseren van de doelstellingen van een bedrijf verhinderen, en het beheersen van deze risico’s met het oog op het minimaliseren van ongunstige uitkomsten en maximaliseren van positieve uitkomsten (Turner & Keetelaar, 2005).

Uit onderzoek is gebleken dat de MKB-ondernemer op tal van ondernemingsgebieden geen beleid uitstippelt. Beslissingen worden vaak op willekeurige momenten en dus op adhoc basis genomen. Als de doelstellingen binnen een onderneming onduidelijk zijn of ontbreken is het ook niet duidelijk of de doelstellingen worden of zijn behaald (Dekker et al., 2006). Een organisatie heeft doelen nodig om richting te geven aan de plannen van de onderneming. Door middel van een strategie kan een organisatie concurreren en blijven presteren. Maar hoe zit het met de strategische doelstellingen in het MKB? Worden strategische doelstellingen gedocumenteerd? Hoe vaak worden de strategische risico’s in het MKB geanalyseerd en met welke methoden? Anders gezegd, in welke mate maakt het MKB gebruik van strategisch risicomanagement? Dit onderzoek richt zich op strategisch risicomanagement in het MKB. Het uitgangspunt van het onderzoek was om te onderzoeken of strategisch risicomanagement bij MKB-ondernemingen invloed heeft op de financiële prestaties. Gezien de omvang van het onderzoek is strategisch risicomanagement afgebakend tot één component van het ERM-proces, namelijk de Internal Environment. Er is gekozen voor de Internal Environment, omdat dit component volgens COSO de fundering is voor alle andere componenten van Enterprise Risk Management en biedt richting en structuur. Daarnaast heeft de Internal Environment een significante invloed op hoe Enterprise Risk Management wordt uitgevoerd en functioneert. COSO benoemt in het Enterprise Risk Management- Integrated Framework (2004) uit welke elementen de Internal Environment bestaat en hoe een organisatie hier invulling aan kan geven.

De doelstelling van deze scriptie luidt:

Het verkrijgen van inzicht in hoeverre er sprake is van een positieve relatie tussen de mate van strategisch risicomanagement in het MKB (op basis van de Internal Environment) en de financiële prestaties van een MKB-onderneming.

Hieruit kan de volgende centrale vraag worden afgeleid:

Is er sprake van een positieve relatie tussen de mate van strategisch risicomanagement (op basis van de Internal Environment) en de prestaties van een MKB-onderneming?

8 Op basis van het beschreven probleem zijn de volgende deelvragen geformuleerd om uiteindelijk antwoordt te kunnen geven op de hoofdvraag:

1. Wat zijn de huidige ontwikkelingen binnen het MKB op het gebied van risicomanagement?

a. Wat is risicomanagement en wat is strategisch risicomanagement? b. Wat zijn aanleidingen voor risicomanagement?

c. Hoe zit het op gebied van regelgeving?

d. Wat is de Internal Environment en in hoeverre komt deze component terug in het MKB?

2. Wat houdt het MKB in?

a. Wat zijn de belangrijkste kenmerken van het MKB? b. Welke (strategisch) risico’s spelen zich af in het MKB? 3. Hoe staat het gesteld met het strategievormingsproces in het MKB?

a. Wat is strategie en wat is het belang? b. Hoe verloopt het strategievormingsproces? c. Hoe zit het met strategievorming in het MKB?

1.3 Onderzoeksmethodiek

Voor het beantwoorden van de hoofdvraag en daaruit voortvloeiend het bereiken van de doelstelling van het onderzoek zullen de deelvragen moeten worden onderzocht en de hypotheses worden getoetst. In deze paragraaf zal de onderzoeksmethodiek worden toegelicht. Voor het beantwoorden van de deelvragen wordt een literatuuronderzoek uitgevoerd. Vervolgens worden aan de hand van het literatuuronderzoek de onderzoeksvariabelen toegelicht en de hypotheses geformuleerd. De onderzoeksvariabelen zijn opgenomen in het conceptueel model en voeren de basis voor het onderzoek. Het conceptueel model is opgenomen in bijlage 1.

Het empirisch deel van dit onderzoek bestaat uit twee delen. Het eerste gedeelte bestaat uit het verzamelen van informatie aan de hand van enquêtes en het tweede deel bestaat uit een regressieanalyse. Er is voor gekozen om de MKB-ondernemingen te benaderen middels een digitale enquête om zo op een eenvoudige manier en met weinig middelen een grote groep te bereiken. Aan de hand van de ingevulde enquêtes kunnen de hypotheses worden getoetst door middel van een regressieanalyse. De uitkomsten zullen in hoofdstuk 6 worden besproken.

1.4 Opbouw rapport

Het rapport is zodanig opgebouwd dat de deelvragen achtereenvolgens in de hoofdstukken worden behandeld. Het literatuuronderzoek is verdeeld in drie hoofdstukken. Allereerst wordt in het eerste hoofdstuk het begrip (strategisch) risicomanagement uiteengezet, vervolgens het COSO-model en daarna component Internal Environment. In het tweede hoofdstuk van het literatuuronderzoek worden de kenmerken van het MKB toegelicht en de (strategische) risico’s waarmee het MKB in aanraking komt toegelicht. Het laatste hoofdstuk van het literatuuronderzoek richt zich op strategievorming. In dit hoofdstuk wordt het begrip strategie en de huidige ontwikkelingen van strategievorming in het MKB uiteengezet.

Hoofdstuk 5 geeft een beschrijving van de onderzoeksopzet waarbij de hypotheses worden geformuleerd, de dataverzameling wordt toegelicht en uitgelegd wordt welke statistische toets gebruikt worden. De resultaten van de enquête en de regressieanalyse worden in hoofdstuk 6 behandeld. Het afsluitende hoofdstuk bevat de conclusie, de beperkingen van het onderzoek en aanbevelingen voor vervolgonderzoek.

9

2 Risicomanagement

Risicomanagement is een term die de afgelopen jaren veelvuldig wordt gebruikt. Wat onder risicomanagement en strategisch risicomanagement wordt verstaan wordt uitgelegd in paragraaf 2.1. Paragraaf 2.2 gaat in op de aanleidingen voor risicomanagement. De regelgeving met betrekking tot risicomanagement wordt in paragraaf 2.3 uiteengezet. Tot slot wordt in paragraaf 2.4 COSO ERM geïntroduceerd en zal aandacht worden besteed aan de component Internal Environment.

2.1 Wat is risicomanagement?

Emanuels en de Munnik (2006) stellen dat door de toepassing van Enterprise Risk Management wordt beoogd de risico’s van het niet behalen van de doelstellingen te beheersen. Een ERM systeem kan als volgt worden gedefinieerd: “Het systeem dat het management in staat stelt om de relevante risico’s, die het behalen van de doelstellingen van de organisatie bedreigen, te kunnen identificeren, te prioriteren, te analyseren en te beheersen” (Emanuels, 2005). Volgens PwC (2006) biedt Enterprise Risk Management een organisatie de mogelijkheid om proactief te reageren op veranderende omstandigheden. Door het vroegtijdig signaleren van mogelijke gebeurtenissen en daaruit voortvloeiende risico’s, is de organisatie in staat om tijdig actie te nemen en het systeem van interne beheersmaatregelen op adequate wijze aan te passen.

Vanuit de literatuur bestaat er geen eenduidig definitie over het begrip risico. Van oorsprong werd het begrip risico vanuit het negatieve perspectief bekeken, maar de laatste jaren is hierin verandering gekomen, wat heeft geleid tot het inzicht dat risico’s ook kansen kunnen creëren waarmee voordeel kan worden behaald. Volgens het Committee of Sponsoring Organizations (COSO) bestaat iedere onderneming om waarde te creëren en worden alle ondernemingen geconfronteerd met onzekerheden. Deze onzekerheden bieden volgens COSO zowel kansen als risico’s. COSO stelt dat gebeurtenissen negatieve of positieve effecten of een combinatie van beide met zich mee kunnen brengen. Gebeurtenissen met een negatief effect worden gedefinieerd als risico’s en gebeurtenissen met een positief effect worden gedefinieerd als kansen. De onzekerheid van potentiële gebeurtenissen worden geëvalueerd vanuit twee perspectieven, de likelihood en impact. De impact is het resultaat op het effect van de gebeurtenis. Deze kan zowel positieve als negatieve invloed hebben omtrent de doelstellingen van de onderneming. De likelihood is de kans dat een bepaalde gebeurtenis zal plaatsvinden (COSO ERM, 2004). De waarschijnlijkheid dat een gebeurtenis zich voordoet en de mogelijke impact van deze gebeurtenis op de doelstellingen van de onderneming worden geanalyseerd. Vervolgens wordt de riskresponse bepaald en worden beheersmaatregelen getroffen om te zorgen dat de risk response wordt uitgevoerd. Het Enterprise Risk Management systeem is een voortdurend proces wat moet worden bewerkstelligd door mensen van elk niveau in de organisatie, hierbij speelt communicatie een belangrijke rol. Emanuels en De Munnik (2006) onderscheiden een aantal randvoorwaarden binnen het ERM-systeem:

 Risicobewustzijn (Cultuur);

 Opzet van systemen en de organisatie van processen (Structuur);  Kennis en vaardigheden (Competenties);

 Hulpmiddelen (Techniek).

Deze randvoorwaarden definiëren de eisen binnen het systeem, om het proces zo effectief mogelijk te laten lopen (Emanuels & de Munnik, 2006). Volgens PwC (2006) bestaat de kern van Enterprise Risk Management uit een organisatiebreed, uniform en gestructureerd proces van identificeren en analyseren van, reageren op en monitoren en rapporteren van mogelijke toekomstige gebeurtenissen die van invloed kunnen zijn op het behalen van de

10 organisatiedoelstellingen. Alle organisaties kunnen profiteren van Enterprise Risk Management tot op een zekere hoogte. COSO ERM stelt dat het systeem zowel van toepassing kan zijn op kleine ondernemingen als middelgrote en grote ondernemingen, zolang elke component aanwezig is en goed functioneert. Een beperking van het Enterprise Risk Management is de aanzienlijke investering van tijd en middelen om het systeem te implementeren binnen een onderneming, met name voor kleinere ondernemingen. Kleinere ondernemingen kunnen profijt hebben aan een gestructureerd, formeel ERM proces dat kan worden uitgebreid na verloop van tijd, naar de behoefte van de organisatie. Deze ondernemingen kunnen ook op een beperkte basis gebruik maken van het systeem, waarbij alleen ondernemingsbrede risico’s worden opgenomen tijdens de eerste implementatie (Ballou & Heitger, 2005).

Het onderzoek richt zich voornamelijk op strategisch risicomanagement, maar wat is strategisch risicomanagement en wat is de relatie tussen ERM en strategisch risicomanagement? Het ERM systeem richt zich op doelstellingen in de volgende categorieën: strategisch, operationeel, rapportage en compliance. Strategische doelstellingen zijn de doelstellingen op het allerhoogste niveau en zijn gebaseerd op de missie van de organisatie (Emmanuels & de Munnik, 2006). Deze strategische doelstellingen vormen de kern van de organisatiestrategie. Interne en externe gebeurtenissen en scenario’s die het vermogen van organisaties om haar strategische doelstellingen te bereiken verhinderen, zijn strategische risico’s. Frigo & Anderson (2011) geven als definitie: ‘Strategisch risicomanagement is een proces voor het identificeren, beoordelen en het beheersen van risico’s en onzekerheden, beïnvloed door interne en externe gebeurtenissen of scenario’s die de mogelijkheid van de organisatie belemmeren om haar strategie en strategische doelstellingen te bereiken.’ Strategisch risicomanagement is een cruciaal onderdeel van het algehele ERM-proces van een organisatie. Het is niet gescheiden van ERM, maar een kritisch element, en één die steeds belangrijker wordt (Frigo & Anderson, 2011).

2.2 Aanleidingen voor risicomanagement

Als de omvang van de organisatie toeneemt, is het waarschijnlijk dat de omvang van dreigende gebeurtenissen toeneemt (Beasly, Clune & Hermanson, 2005). Risicomanagement heeft als doel het verkrijgen van inzicht in mogelijke toekomstige gebeurtenissen die van invloed kunnen zijn op het behalen van de organisatiedoelstellingen. PwC (2006) geeft in hun onderzoek een aantal aanleidingen die een organisatie kan hebben om aan risicomanagement te doen zoals:

 De onderneming is beursgenoteerd en dient te voldoen aan de code Tabaksblat;  De toezichthouder stelt eisen aan de interne beheersing;

 Belanghebbenden hebben onvoldoende comfort en vragen om transparantie;  De onderneming is actief in een sterk gereguleerde markt;

 De organisatie is snel gegroeid waardoor het management moeite heeft grip te houden;  De organisatie heeft te maken met belangrijke externe veranderingen;

 De organisatie ondergaat ingrijpende interne veranderingen;

 Er hebben zich in het recente verleden één of meerdere incidenten voorgedaan.

Vaak is het doorgaans een combinatie van redenen die een organisatie beweegt om bewust aan de slag te gaan met risicomanagement. Afhankelijk van de redenen die een organisatie heeft om volgens de principes van Enterprise Risk Management te werken zullen de voordelen die de organisatie daarvan ervaart verschillen (PwC, 2006). In het algemeen kan echter worden gesteld dat organisaties die Enterprise Risk Management goed geborgd hebben in de gehele organisatie, beter dan andere organisaties in staat zijn om:

 Opbrengsten te verhogen;  Kansen te benutten;

 De inzet van middelen te rationaliseren;

 Operationele verliezen en verrassingen te voorkomen;  Aan eisen van wet- en regelgeving te voldoen (PwC, 2006).

11 Over het algemeen zijn MKB-ondernemingen niet groot genoeg om een omvangrijk risicomanagementsysteem te onderhouden. Dit is ook niet nodig, maar het belang van risicomanagement in het MKB neemt de laatste jaren wel toe. Redenen hiervoor zijn onder andere een steeds groter wordende productaansprakelijkheid van ondernemers, mondiger wordende medewerkers en klanten, stijgende kosten van diefstal en fraude en een sterke roep om verbetering van het risicomanagement bij ondernemingen vanuit de overheid en brancheverenigingen (Van Egeraat, 2009). Van Egeraat (2009) noemt de volgende voordelen van risicomanagement:

 Lagere kans op onverwachte verliezen, dus hogere betrouwbaarheid en voorspelbaarheid van het bedrijfsresultaat;

 Lagere premies voor verzekeringen;

 Hogere klanttevredenheid door hogere betrouwbaarheid en kwaliteit van geleverde goederen en diensten;

 Hogere omzet door het kunnen voldoen aan eisen van klanten die voorheen niet haalbaar waren;

 Verbetering van medewerkerstevredenheid door het bieden van een veiliger werkplek. Daarnaast kan door goed risicomanagement het eigen vermogen groeien en draagt het bij aan de soliditeit van de onderneming. Hierdoor wordt de kredietwaardigheid van de onderneming verhoogd, waardoor banken bereid zijn om een lening te verstrekken tegen een lager rentepercentage (Van Griethuijsen, 2011).

Risicomanagement wordt in het MKB vaak gezien als een dure aangelegenheid. Toch

kan ook een MKB-ondernemer met een geringe investering in tijd en geld aan risicomanagement doen. En die investering betaalt zich terug. Enerzijds doordat risico’s, en daarmee onverwachte verliezen, beperkt worden. Anderzijds doordat een goed risicomanagement kan leiden tot lagere kosten, hogere omzet, hogere kwaliteit van geleverde goederen en diensten, en een hogere tevredenheid bij klanten, medewerkers en de ondernemer zelf. Risicomanagement hoeft daarmee geen last te vormen, maar kan juist ingezet worden om de prestaties van de onderneming te verbeteren (Van Egeraat, 2009).

2.3 Regelgeving Sox en Tabaksblat

Door grote boekhoudschandalen zoals Enron en WorldCom was er behoefte aan belangrijke hervormingen in de verantwoordelijkheden en het toezicht van het management, externe controles en Coporate Governance (Cohen, Krischanamoorthy & Wright, 2010). In 2002 werd de Sarbanes- Oxley- wet (SOx) aangenomen door het Amerikaanse congres als antwoordt op deze schandalen. De totstandkoming van de wetgeving had als doel om het publiekelijke vertrouwen in de markten te herstellen, nadat dit vertrouwen door schandalen was verzwakt (Miller, 2011). De SOx- wet is van toepassing op alle in de Verenigde Staten genoteerde beursvennootschappen, ook als de genoteerde beursvennootschap gevestigd is in het buitenland. Het doel van de wet is de verantwoordelijkheid van het ondernemingsbestuur naar buiten te brengen. Het ondernemingsbestuur dient te verklaren dat financiële rapportages worden geëvalueerd en dat onvolkomenheden worden gerapporteerd. De SOx- wet geeft aan dat ondernemingen moeten aantonen dat ze in control zijn. De accountant controleert of de onderneming ook daadwerkelijk in control is. Opdat het ondernemingsbestuur de garantie voor de beheersing van risico’s en correcte uitvoeringen van controls moeten geven zijn ook andere afdelingen, vooral risk management en de interne accountantsdienst hier actief bij betrokken (Weststeijn & van der Werve, 2007).

In 2004 trad in Nederland de code Tabaksblat in, ook wel Corporate Governance code genoemd. De code Tabaksblat is een gedragscode voor beursgenoteerde bedrijven met als doel het verbeteren van de transparantie in de externe verantwoording en financiële beheersing, betere

12 verantwoording van het bestuur en het beschermen van aandeelhouders. De code Tabaksblat heeft een bredere focus dan de Sarbanes- Oxley. De code geeft in tegenstelling tot Sarbanes- oxley geen nadere richtlijnen ten aanzien van de inrichting van het interne risicobeheersings- en controlesysteem. Ondernemingen worden grotendeels vrijgelaten in welke vorm zij in hun jaarverslag rapporteren over het interne risicobeheersings- en controlesysteem (PwC, 2006). Daarnaast is de code Tabaksblat milder in het bewaken van de toepassing ervan dan de SOx-wet. De code werkt volgens de regel ‘pas toe of leg uit’ welke is opgenomen in boek 2 van het Burgerlijk Wetboek (PwC, 2006). Indien de code niet wordt toegepast door een onderneming, wordt dit op voorhand niet gestraft, maar dient dat door de onderneming te worden uitgelegd (Emanuels, 2005). Voor het MKB is er geen code of wet- en regelgeving met betrekking tot risicomanagement.

2.3 COSO Enterprise Risk Management

Het Committe of Sponsoring Organisatios of the Treadway Commission (COSO) presenteerde in 1992 naar aanleiding van een aantal boekhoudschandalen het Integrated Framework. Het Framework biedt organisaties richtlijnen ten aanzien van interne controle en interne beheersing. In 2004 werd het model door COSO geactualiseerd en werd een nieuw raamwerk geïntroduceerd, getiteld: Enterprise Risk Management- Integrated Framework. Doordat risicomanagement steeds belangrijker werd, was er behoefte aan een raamwerk die organisaties helpt om op effectieve wijze risico’s te identificeren, beoordelen en te managen.

Enterprise Risk Management gaat over risico’s en kansen die waarde creëren of behouden. Door toepassing van Enterprise Risk Management wordt beoogd de risico’s van het niet behalen van de doelstellingen te beheersen (Emanuels & de Munnik, 2006). COSO geeft de volgende definitie van ERM: ‘Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives’ (COSO ERM, 2004).

De bovenstaande definitie weergeeft bepaalde fundamentele concepten. Enterprise Risk Management is:

 Een proces, voortdurend en stromend door de gehele onderneming;  Bewerkstelligd door mensen van elk niveau in een organisatie;  Toegepast bij de formulering van strategische doelstellingen;

 Toegepast in de hele onderneming, op elk niveau en onderdeel en omvat een portfoliovisie op risico op het niveau van de onderneming;

 Ontworpen om potentiële gebeurtenissen te herkennen die, als ze voorkomen, van invloed zijn op de onderneming en het risico te beheersen binnen de risico- acceptatiegraad;

 In staat zijn om een redelijke zekerheid aan het management van een onderneming en de Raad van Bestuur te bieden;

 Ingericht zijn om de doelstelling te behalen in één of meer afzonderlijke maar wel overlappende categorieën (COSO ERM, 2004).

In de context van de geformuleerde missie, formuleert het management de strategisch doelstellingen, selecteert een strategie en stelt afgeleide doelstellingen voor de gehele onderneming in lijn met en gekoppeld aan de strategie.

13 COSO onderscheid in het COSO ERM Framework een viertal doelstellingen:

 Strategisch (Strategic): betreft globale doelen en is afgestemd op de missie;  Operationeel (Operations): betreft effectief en efficiënt gebruik van de middelen;  Rapportage (Reporting): betreft betrouwbaarheid van de verslaggeving;

 Toezicht (Compliance): betreft naleving van de wet- en regelgeving (COSO ERM, 2004). Naast de doelstellingen bestaat het raamwerk uit acht componenten die nauw met elkaar verbonden zijn. De acht componenten zijn:

 Internal Environment

De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico’s worden beschouwd en aangepakt door de mensen van een onderneming, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

 Objective Setting

Doelstellingen moeten bestaan voordat het management potentiële gebeurtenissen die invloed hebben op het behalen van deze doelen kan erkennen. Enterprise Risk Management bewerkstelligt dat het management een proces heeft dat doelstellingen vastlegt, dat gekozen doelstellingen afgestemd zijn op en de missie ondersteunen, en consistent zijn met de risicoacceptatiegraad.

 Event Identification

Interne en externe gebeurtenissen die invloed hebben op het behalen van de doelstellingen van de ondernemingen moeten worden geïdentificeerd, daarbij onderscheid makend tussen risico’s en kansen. Kansen worden teruggekoppeld naar het strategie- en/of doelstellingenformuleringsproces.

 Risk Assessment

Risico’s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basis voor het vaststellen hoe deze zouden moeten worden beheerst. De inherente en restrisico’s worden geschat.

 Risk Response

Het management selecteert de reacties op risico’s, het vermijden, accepteren, verminderen of delen van risico waarbij een set van acties worden ontwikkeld om risico’s af te stemmen op de risicotolerantie en de risicoacceptatiegraad.

 Control Activities

Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de reacties op risico’s effectief worden uitgevoerd.

 Information & Communication

Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectieve communicatie vindt ook in ruimere zin plaats, horizontaal, verticaal en bilateraal binnen een onderneming.

 Monitoring

De totaliteit van Enterprise Risk Management wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide.

Er is een directe relatie tussen de doelstellingen, die zijn wat een onderneming tracht te behalen en de componenten van het Enterprise Risk Management, die aangeven wat nodig is om de gestelde doelen te bereiken (COSO ERM, 2004). De doelstellingen en de componenten komen samen in een driedimensionale matrix, in de vorm van een kubus, getoond in figuur 2.1.

14 Figuur 2.1 COSO ERM Framework

De vier categorieën doelstellingen zijn weergegeven in de verticale kolommen. De acht componenten opgenomen in de horizontale rijen. Naast een onderscheid in doelstellingen en componenten wordt nog onderscheid gemaakt tussen de verschillende onderdelen van een onderneming. Deze onderdelen zijn weergegeven in de derde dimensie. Het COSO ERM Framework kan worden toegepast op organisatieniveau (entity-level), op divisieniveau (division), per business onderdeel (business unit) of per deelneming (subsidiary). De kubus geeft de mogelijkheid om te focussen op het risicomanagement van de organisatie in zijn geheel of per categorie doelstellingen, per component.

2.4 Internal Environment en het MKB

Het COSO ERM-model is een raamwerk dat wereldwijd geaccepteerd wordt voor het toepassen van risicomanagement. Het COSO ERM-model is daarom als uitgangspunt genomen voor dit onderzoek. De eerste component van het COSO ERM Raamwerk is de Internal Environment. De Internal Environment beïnvloedt hoe de strategie en de doelstellingen zijn vastgesteld, hoe activiteiten zijn gestructureerd, en hoe risico’s worden geïdentificeerd, beoordeeld en opgevolgd. Daarnaast beïnvloed het ook het ontwerp en het functioneren van de beheersmaatregelen, de informatie en communicatie en de bewakingsactiviteiten. De Internal Environment vormt hiermee het fundament voor alle andere ERM-componenten en geeft richting en structuur (COSO ERM, 2004).

De Internal Environment bestaat uit verschillende elementen, namelijk: de Risk Management Philosophy, Risk Appetite, de Board of Directors, Risk Culture, Competence, Organization structure, Assignment of Authority and Responsibility en Human Resource Standards. Deze elementen dienen in voldoende mate aanwezig te zijn binnen de onderneming om het risicomanagementsysteem vorm te kunnen geven. Alle elementen van de interne omgeving zijn belangrijk, de mate waarop elk element is gericht zal variëren met de onderneming (COSO ERM, 2004). In de volgende paragrafen wordt elk element van de Internal Environment toegelicht en zal worden besproken in hoeverre deze elementen terugkomen in het MKB.

2.4.1 Risk Management Philosophy

De Risk Management Philosophy is de verzameling van gedeelde overtuigingen en houdingen die kenmerkend zijn hoe de onderneming omgaat met risico’s in alles wat ze doet, van strategieontwikkeling en implementatie tot de dagelijkse activiteiten. De risicomanagement filosofie weergeeft de waarden van de onderneming, beïnvloed de cultuur en werkstijl, en bepaald hoe de ERM-componenten worden toegepast, met inbegrip van hoe risico’s worden geïdentificeerd, de soorten risico’s die worden geaccepteerd en hoe deze worden gemanaged (COSO ERM, 2004). De toon van een organisatie en haar topmanagement, ook wel tone at the top, stelt de basis voor hoe risicomanagement ‘tussen de oren zit’ in termen van risicobewustzijn, risicoacceptatiegraad, integriteit, ethische normen en waarden en de consistentie van hetgeen men ‘zegt’ en wat men ‘doet’. Risicomanagementfilosofie betreft de kernwaarden ten aanzien van risico’s en het beheersen van deze risico’s binnen de

15 bedrijfsactiviteiten. De risicomanagementfilosofie van het management wordt veelal vastgelegd in beleidsuitgangspunten en geuit in externe en interne communicatie. Het bestaan en de effectiviteit van de risicomanagementfilosofie weerspiegelt zich met name in het gedrag van de medewerkers en het management (Claassen, 2009).

Bij het ontwikkelen van een risk management filosofie, moeten bestuurders rekening houden met de omgeving van de onderneming, het stadium van de groei van hun bedrijf en hun positie in de industrie levenscyclus. Een volwassen bedrijf in een gevestigde markt kan een geavanceerde aanpak implementeren door wijzigingen in de cultuur, leiderschap, alignment, systemen en structuur te combineren om risico’s te managen. Een jonger bedrijf in een snelgroeiende markt kan juist sterk afhankelijk zijn van formele risicocontrolesystemen door het ontbreken van goed ontwikkelde culturele of structurele beperkingen. Daarnaast kan de product-markt-strategie invloed hebben op de op de praktijk van het risicomanagement (Drew, Kelley en Kendrick, 2006).

2.4.2 Risk Appetite

Risk Appetite is de hoeveelheid risico die een onderneming bereid is te nemen in ruil voor waarde. Het weerspiegelt de risk management philosophy van de onderneming en beïnvloed de organisatiecultuur en werkuitvoering (COSO ERM, 2004). De Risk Appetite heeft een directe relatie met de strategie van een organisatie. De uitgangspunten van de strategie, in termen van gewenst rendement, dienen in overeenstemming te zijn met de Risk Appetite van de organisatie. Verschillende strategieën hebben uiteenlopende risicoprofielen tot gevolg. Organisaties die hun risicomanagementfilosofie en risicohouding niet expliciet hebben beschreven, worden veelal geconfronteerd met verschillende risicoculturen tussen verschillende bedrijfsonderdelen, afdelingen, of medewerkers (Claassen, 2009). Door het opnemen van risicomanagementaspecten in de bedrijfsstrategie en het bedrijfsbeleid wordt de basis gelegd voor gemeenschappelijke uitgangspunten ten aanzien van een organisatie brede risicomanagementfilosofie, risicohouding en risicocultuur op strategisch niveau (Claassen, 2009).

De Risk Appetite van kleine en middelgrote ondernemingen heeft de neiging om lager te zijn dan bij grote ondernemingen. De eigenaren van het MKB hebben meestal flink geïnvesteerd in hun eigen onderneming, een financieel verlies zou mogelijk grote gevolgen kunnen hebben voor de continuïteit van de onderneming en voor de ondernemer. Men kan dus verwachten dat de eigenaar-ondernemer minder risico neemt, omdat de bedrijfswinst ook zijn inkomen bepaalt en hij in tegenstelling tot aandeelhouders geen risicospreiding over pakketten van verschillende aandelen heeft en beschikt over een beperkt aantal middelen (Risseeuw & Thurik, 2003; Recklies, 2001). Maar dat kan ook leiden tot een grotere tolerantie van verliezen, die tijdelijk worden geïncasseerd in de vorm van een lager inkomen. Privé- verschaffers van kapitaal zijn soms bereid om grotere risico’s te aanvaarden, om emotionele redenen van familiebanden, loyaliteit of overmatig zelfvertrouwen. Risico’s worden soms niet onderkend, uit kortzichtigheid of blinde toewijding (Risseeuw & Thurik, 2003).

2.4.3 Board of Directors

De Board of Directors is een belangrijk onderdeel van de interne omgeving en beïnvloed aanzienlijk andere elementen van de interne omgeving. De onafhankelijkheid van de board ten opzichte van het management, ervaring en status van de leden, de mate van betrokkenheid en controle en de doelmatigheid van haar acties spelen hierbij een rol (COSO ERM, 2004). COSO ERM gaat hierbij uit van het one-tier model. Bij het one-tier model zitten zowel ‘executive directors’ (bestuurders) als ‘non- executive directors’ (toezichthouders) in één Board. In de Verenigde Staten en het Verenigd Koninkrijk gaat men uit van dit model (Lückerath-Rovers &

16 Smits, 2010). In Nederland kent men het two-tier model bestaande uit een Raad van Bestuur en Raad van Commissarissen. Hierdoor ontstaat een scheiding tussen de bestuurders en de toezichthouders. Deze scheiding tussen bestuur en toezicht wordt als het grootste voordeel gezien ten op zicht van het one-tier model (Lückerath-Rovers & Smits, 2010). Omdat dit onderzoek zich richt op het MKB in Nederland zal daarom van het two-tier model worden uitgegaan.

De meeste MKB-ondernemingen hebben geen Raad van Commissarissen. Daarbij geld wel dat er vaker een Raad van Commissarissen is als het bedrijf groter is (Hessels & Hooge, 2006). Een actieve Raad van Commissarissen in het MKB wordt steeds meer als belangrijk gezien, doordat de concurrentie toeneemt, de vraag van de klanten steeds complexer worden en de aandeelhouders en investeerders hogere winstgevendheid willen zien (Gabrielsson & Winlund, 2000). Dit in combinatie met groeiende belangstelling voor het vestigen van nieuwe bedrijven en de uitbreiding ven bestaande MKB-ondernemingen, wordt het begrip van de Raad van Commissarissen in deze bedrijven steeds belangrijker op het gebied van management. De Raad van Commissarissen heeft zowel een controle- als een adviesrol. De onafhankelijkheid van de commissarissen wordt als belangrijk beschouwd om de CEO en de bedrijfsprestaties te controleren. Gabrielsson en Winlund (2000) bevestigen in hun onderzoek dat voor het uitvoeren van toezicht onafhankelijke commissarissen ook voor het MKB van belang zijn. De adviesrol is van kritisch belang voor het MKB omdat de interne competenties in vele gevallen schaars zijn (Gabrielsson & Winlund, 2000). Daarnaast kunnen externe leden van de raad heel nuttig zijn voor de onderneming. Het gaat hierbij om het netwerk, kennis en de contacten van de externe leden. Dit kan de onderneming helpen bij het opbouwen van de reputatie van de onderneming, waardoor wellicht gemakkelijker extra kapitaal kan worden aangetrokken. Ook kunnen externe leden van de raad met de inbreng van hun expertise een belangrijke aanvullende rol vervullen in het strategieformuleringsproces (Matser & Gerritsen, 2008). Het MKB vindt het misschien moeilijk om externe commissarissen aan te trekken of het maken van kosten van het hebben van een meerderheid van externe commissarissen, wat meestal niet het geval is bij grote ondernemingen. Toch is het belangrijk dat de Raad van Commissarissen ten minste kritische externe bestuurders bevat. Het aantal externe commissarissen, moet passen bij de omstandigheden van de onderneming, maar meer dan één externe commissaris zou normaliter nodig zijn voor de RvC om het vereiste evenwicht te hebben (COSO ICIF, 1992).

2.4.4 Risk Culture

De internal environment wordt beïnvloed door de geschiedenis van het bedrijf en de cultuur (COSO ERM, 2004). De organisatiecultuur heeft grote invloed op de mate waarin een organisatie risico’s neemt. De mensen die werkzaam zijn in de organisatie bepalen de organisatiecultuur. De cultuur beïnvloedt het ontwerp, de werking en het monitoren van alle andere componenten. Het is daarom niet onredelijk dat de organisatiecultuur een belangrijke factor is voor het implementeren van Enterprise Risk Management. Uit onderzoek is gebleken dat de organisatiecultuur tot de één van topbelemmeringen behoort voor het implementeren van Enterprise Riks Management (Kimbrough & Componation, 2009; Droogsma, 2009). Het gaat erom dat Enterprise Risk Management niet wordt gezien als een project, maar als een deel van de cultuur oftewel de manier van zaken doen (Kimbrough & Componation, 2009; Deloitte, 2006).

Het MKB wordt gekenmerkt door de organisatiecultuur: open en informeel (Nijenhuis, 2007). MKB-ondernemingen kunnen controleomgevingsfactoren van de organisatiecultuur anders uitvoeren dan grote ondernemingen. Door middel van zichtbaarheid en directe betrokkenheid van de directeur en managers, kan het streven naar integriteit en ethisch gedrag mondeling worden medegedeeld bij vergaderingen, één-op-één ontmoetingen en contacten met klanten en leveranciers. Hoe minder het aantal niveaus van management, hoe sneller de boodschap door de

17 organisatie wordt geaccepteerd (COSO ICIF, 1992). Werner (2008) betoogt dat als gevolg van de typische eigendomsstructuur van het MKB de waarden en normen van de eigenaren een beslissende invloed hebben op de organisatie. Managers van grote ondernemingen hebben vaak te maken met opgelegde systemen en vastgestelde normen. MKB-ondernemers kunnen - eerder dan managers van grote ondernemingen- hun eigen ideeën, normen en waarden inbrengen in de onderneming. Dit omdat MKB-ondernemingen juridisch onafhankelijk zijn, eigendom en controle gaan immers meestal samen.

2.4.5 Commitment to Competence

Competenties weerspiegelen de kennis en vaardigheden die nodig zijn om de taken uit te voeren. Het management bepaalt hoe goed deze taken dienen te worden volbracht, door de strategie en de doelstellingen tegen de plannen voor de uitvoering en prestatie af te wegen (COSO ERM, 2004). Omdat alle mensen verschillende niveaus hebben wat betreft vaardigheden en capaciteiten, moeten adequaat toezicht en training beschikbaar zijn om werknemers te helpen totdat de juiste vaardigheden zijn verworven. De interne omgeving kan zeer verzwakken als een significant aantal posities gevuld zijn door personen met niet de juiste vaardigheden (Moeller, 2007).

Een specifiek kenmerk van het MKB is de centrale rol van de directeur/ eigenaar. In de literatuur is veel onderzoek gedaan naar de eigenschappen die een directeur/eigenaar van een kleinere onderneming bezit en de motieven die iemand bewegen om zelfstandig ondernemer te worden. De directeur/ eigenaar dient een duizendpoot te zijn, die ondanks de belemmeringen waarmee hij/zij wordt geconfronteerd, over alle aspecten van de onderneming de nodige kennis moet hebben (Zwart, 1991). Competenties en kennis worden in het MKB ontwikkeld in interactie met de omgeving, in een cumulatief proces, en daardoor afhankelijk zijn van het ontwikkelingspad en specifiek zijn voor de onderneming. Deze competenties zijn deels stilzwijgend en liggen deels besloten in de hoofden en handen van de medewerkers, teams, organisatiestructuur, procedures en organisatiecultuur, waardoor zij voor buitenstaanders niet altijd doorzichtig en imiteerbaar zijn (Risseeuw & Thurik, 2003). Kennis en ervaring worden vaak op een ambachtelijke wijze en op basis van het learning by doing overgebracht. Terwijl de kennis van grote ondernemingen vaak gebaseerd is op formeel, abstract leren en het hebben van regels en procedures (Nooteboom, 1993). In kleine bedrijven is de eigenaar/manager normaal gesproken de belangrijkste bron van strategische kennis en dynamische mogelijkheden. Het ontbreken van een managementteam en -cultuur, informatiesystemen, management tools en processen is een significante zwakte voor kleine ondernemingen. Dit houdt in dat in kleine ondernemingen de voorraad van kennis in de organisatie en het vermogen te creëren, te ontwikkelen, te delen, te integreren en gebruik maken van haar kennis, naar verwachting laag zullen zijn (Wong & Aspinwall, 2004). Bracci (2008) bevestigt dat het niveau van strategisch kennis bij werknemers in kleine bedrijven in het algemeen als laag kan worden beschouwd. Dit is te wijten aan de lage mate van specialisatie die kenmerkend is voor kleine bedrijven. Een laag niveau van specialisatie kan leiden tot onvoldoende expertise. Kleine bedrijven hebben vaak een gebrek aan hoogopgeleide en ervaren of deskundige professionals en gespecialiseerde afdelingen. Door gebrek aan stafmedewerkers doet de MKB-ondernemer voornamelijk via externe bronnen, zoals klanten, leveranciers, de bank, accountant en concurrenten zijn kennis en informatie op (Risseeuw & Thurik, 2003).

2.4.6 Organizational Structure

De organisatiestructuur voorziet het COSO ERM framework van het plannen, uitvoeren, controleren en het bewaken van de activiteiten. Een relevante organisatiestructuur omvat het definiëren van belangrijke autoriteiten en verantwoordelijkheden en stelt een gepaste wijze van rapportage. Een organisatie ontwikkelt een organisatiestructuur aangepast aan haar behoeften.

18 Sommige organisaties zijn gecentraliseerd, anderen gedecentraliseerd. De ene organisatie heeft directe rapportagelijnen en anderen zijn meer een matrixorganisatie. Daarnaast kunnen organisatie ook georganiseerd per industrie of productlijn, geografische locatie of op functies. De geschiktheid van een organisatiestructuur hangt af van de grootte van de organisatie en de soort activiteiten. Welke structuur een organisatie ook heeft, een organisatie moet zo worden ingericht om effectief Enterprise Risk Management mogelijk te maken en de activiteiten zodanig dienen te worden uitgevoerd om de doelstellingen te kunnen realiseren (COSO ERM, 2004). Volgens de literatuur heeft de strategie van een organisatie veel invloed op de organisatiestructuur. Chandler (1962) deed onderzoek naar de strategieën van organisaties en de organisatiestructuur, waarbij hij tot de conclusie kwam: ‘Structure follows strategy”. Veranderingen in de strategie van een organisatie leidt tot nieuwe administratieve veranderingen, wat weer een nieuwe organisatiestructuur vereist voor een succesvolle implementatie van de nieuwe strategie (Chandler, 1962). Ook Eppink & Keuning (2008) stellen dat de ontwikkeling van de organisatiestructuur afhankelijk is van de strategie van die organisatie en van de middelen en mensen die ter beschikking staan van de organisatie.

Kenmerkend voor het MKB is het gebrek aan structuur en een ad-hoc en informele aanpak de normale wijze van organiseren is. Een groot voordeel van de kleine organisatie is de afwezigheid van bureaucratie. Binnen kleine organisaties is het aantal verschillende contacten inherent beperkt en zijn de lijnen inherent kort. Dat betekent dat communicatie efficiënt kan verlopen, en dat er geen noodzaak is om strakke protocollen te hanteren. Deze eigenschappen versterken de betrokkenheid en flexibiliteit van het MKB (Risseeuw & Thurik, 2003). Meijaard, Mosselman, Frederiks en Brand (2002) typeren in hun onderzoek negen organisatiestructuren in het MKB. Hieruit blijkt dat organisatiestructuren flink verschillen in het MKB. Uit het onderzoek van Meijaard, Brand en Mosselman (2005) onder kleine Nederlandse bedrijven bleek dat grote bedrijven (50 tot 99 werknemers) meer gestandaardiseerd waren, maar er een aanzienlijke variatie bestaat, ook onder de kleine bedrijven. De departmentalisatie van grote bedrijven is complex, maar een flink aantal bedrijven met minder werknemers zijn ook vrij complex in hun structuur. Taakdiversiteit neemt af en de specialisatie van werknemers neemt toe wanneer kleine bedrijven groter worden. Voor operationele beslissingen zijn grotere bedrijven meer gedecentraliseerd dan kleine bedrijven. Voor strategische beslissingen is er geen systematisch verschil tussen de diverse kleine en middelgrote ondernemingen.

2.4.7 Assignment of Authority and Responsibility

Het toewijzen van autoriteit en verantwoordelijkheid heeft betrekking op de mate waarin individuen en teams geautoriseerd en gestimuleerd worden om initiatief te tonen bij het aanpakken en oplossen van problemen, maar ook de grenzen aan hun autoriteit. Het omvat het tot stand komen van rapportageverhoudingen, autorisatieprotocollen, het beschrijven van beleid op gebied van zakelijke praktijken, kennis en ervaring van personeel op sleutelposities en de middelen voor het uitvoeren van taken. Sommige organisaties hebben autoriteit naar lagere niveaus gedelegeerd om de besluitvorming dichter bij het personeel te brengen. Het toewijzen van autoriteit en verantwoordelijkheid is vaak ontworpen om de individuele initiatieven aan te moedigen, maar binnen de gestelde grenzen. Het delegeren van autoriteit betekent het overdragen van centrale controle van bepaalde organisatiebeslissingen naar lagere niveaus, naar de individuelen die het dichts bij de alledaagse bedrijfstransacties staan. De interne omgeving wordt sterk beïnvloed door de mate waarin individuele erkennen dat zij verantwoordelijk worden gehouden voor hun handelingen. Dit geldt tot aan de CEO, die met toezicht van de raad, de uiteindelijke verantwoordelijkheid draagt voor alle activiteiten binnen de organisatie (COSO ERM, 2004).

Kleine ondernemingen zijn vaak minder gespecialiseerd dan grote ondernemingen. De plattere, meer gefocuste organisaties vereisen ander gedrag van werknemers. Verantwoordelijkheden

19 komen lager in de organisatie te liggen, competenties moeten breder worden verspreid en de informatie moet decentraal beter toegankelijk worden gemaakt (Risseeuw & Thurik, 2003). Werknemers in kleinere ondernemingen voeren vaak een grotere verscheidenheid van taken uit dan grote ondernemingen (De Kok, Uhlaner & Thurik, 2003). Uit het onderzoek van Meijaard et al. (2002) blijkt dat in een groot deel van het Nederlandse MKB sprake is van relatief weinig horizontale taakspecialisatie. De helft van de ondernemers uit het onderzoek gaf aan dat hun medewerkers op meerdere functies in het bedrijf worden ingezet. Daarnaast bleek uit het onderzoek dat in 43% van de MKB-ondernemingen de medewerkers veel zeggenschap hebben over de eigenwerkzaamheden. Ook Risseeuw en Thurik (2003) geven als kenmerkend voor het MKB dat veel autoriteit en functies in één hand liggen, waardoor de onderneming kwetsbaar wordt voor discontinuïteit.

2.4.8 Human Resource Standards

Human resource procedures die verband houden met het aannemen, voorlichten, opleiden, evalueren, adviseren, promoveren, compenseren en het nemen van corrigerende maatregelen, geven het personeel een beeld van de verwachte niveaus van integriteit, ethisch gedrag en competenties die van hen worden verwacht. Een opleidingsbeleid kan de verwachte prestaties en gedrag versterken, door middel van het communiceren van de verwachte rollen en verantwoordelijkheden en door deze procedures mee te nemen bij opleidingen en cursussen. Educatie en opleiding, door middel van klassikale instructies, zelf studie of on-the-job training, moet er voor zorgen dat het personeel bij kan blijven en kan omgaan met een veranderende omgeving. Het aannemen van competent personeel en het verstrekken van een éénmalige opleiding is niet voldoende. Educatie en het opleiden van personeel is een voortdurend proces (COSO ERM, 2004). Bowen en Ostroff (2004) stellen ook dat HRM van invloed is op de perceptie van medewerkers en dat een sterk HRM beleid zorgt voor hogere gedeelde percepties in organisatie-eenheden en daardoor zorgt voor een beter organisatieklimaat. Een organisatie kan haar prestaties verbeteren door een sterk HRM beleid, doordat medewerkers aangaande strategisch doelstellingen een hogere perceptie delen. Daarnaast leidt een HRM beleid tot kennis bij werknemers, vaardigheden en capaciteiten, die weer op hun beurt leiden tot betere prestaties (Bowen & Ostroff, 2004). Het is daarom belangrijk dat het HRM beleid wordt afgestemd op de strategische doelstellingen van een organisatie. Uitgaand van de algemene bedrijfsdoelstellingen worden er specifieke HRM-doelstellingen geformuleerd voor het HRM beleid. Vervolgens wordt bepaald wanneer welke activiteiten en instrumenten ingezet moeten worden om deze doelstellingen te halen (Winnubst & de Kok, 2008).

Het HRM beleid bij kleine en middelgrote ondernemingen is niet zo geformaliseerd als bij grote ondernemingen. Maar beleid en praktijken kunnen toch bestaan en gecommuniceerd worden. De CEO kan mondeling expliciet zijn in zijn of haar verwachtingen over de aard van de persoon die wordt ingehuurd om een bepaalde functie in te vullen, en kan zelfs actief zijn in de sollicitatieprocedure (COSO, 1992, blz.30). Juist door het informele karakter is het HRM beleid soms effectiever dan men zou verwachten (Bax & Brand, 2006). Grote ondernemingen hebben vaak een formeel beleid met betrekking tot Human Resourmance management. Voor een MKB onderneming is het vaak lastig om HRM beleid te ontwikkelen of een aparte personeelsfunctionaris in dienst te nemen. Het MKB beschikt over een beperkt aantal middelen en men heeft een gebrek aan tijd om zelf de kennis te vergaren (Risseeuw & Thurik, 2003). Een andere reden voor ontbreken van een formeel HRM beleid is de informele en flexibele werkwijze binnen het MKB, waardoor het mogelijk is om snel te reageren op marktomstandigheden (Singh & Vohra, 2005). Daarbij beschikt het MKB over het algemeen over weinig personeel, hierdoor zijn kleine ondernemingen minder ervaren op het gebied HRM (Nooteboom, 1993).

20

3 Het Midden- en Kleinbedrijf

In dit derde hoofdstuk worden de begrippen Midden- en Kleinbedrijf (MKB) en ondernemerschap besproken. Het onderzoek richt zich op strategisch risicomanagement en het Nederlandse MKB, waardoor eerst inzicht benodigd is in de definiëring en de kenmerken van het MKB. Allereerst wordt in paragraaf 3.1 de definities van het MKB en ondernemerschap besproken en afgebakend. In paragraaf 3.2 komen de kenmerken van het MKB aanbod en ten slotte zullen de risico’s die in het MKB spelen worden toegelicht in paragraaf 3.3.

3.1 Definiëring MKB

Het MKB is in Nederland een afkorting van het Midden- en Kleinbedrijf. De definitie en statistische afbakening van het MKB vormen al jaren een discussiepunt (Risseeuw en Thurik, 2003). Meestal wordt het aantal werknemers als uitgangspunt genomen. Het Centraal Bureau voor de Statistiek definieert het MKB als volgt: “Het MKB omvat alle particuliere ondernemingen buiten landbouw en visserij en delfstoffenwinning, met minder dan 100 werkzame personen”. De Europese Commissie heeft de definitie van midden- en kleinbedrijf vastgelegd in overeenstemming met onderstaande tabel:

Categorie

onderneming Werknemers Jaaromzet balanstotaal Jaarlijks middelgroot < 250 ≤ € 50 mln. ≤ € 43 mln. klein < 50 ≤ € 10 mln. ≤ € 10 mln. micro < 10 ≤ € 2 mln. ≤ € 2 mln. Tabel 3.1 Grootte criteria volgens de EU.

Een onderneming wordt gekwalificeerd als Midden en Kleinbedrijf als hij voldoet aan de grens van de jaarlijkse omzet of balanstotaal, maar het is niet noodzakelijk om aan beide criteria te voldoen.

In Nederland valt 99% van het totale bedrijfsleven onder het MKB. Zij zijn verantwoordelijk voor 58% van de omzet in het bedrijfsleven en biedt werkgelegenheid aan 60% van de werknemers (MKB-servicedesk). De afgelopen jaren heeft er een verschuiving van economische activiteiten plaatsgevonden van grote bedrijven naar kleine, nieuwe bedrijven. Een toename van kleine bedrijven heeft niet alleen positieve gevolgen voor de werkgelegenheid, maar ook voor innovativiteit en marktwerking. Een toenemend aandeel kan echter ook leiden tot een geringe oriëntatie op export, een lagere neiging tot exporteren van werkgelegenheid, een verandering in de vraag naar kapitaal en adviesdiensten en meer mogelijkheden tot (zelf)ontplooiing door ondernemerschap. De verschillende gevolgen van een toenemend aandeel van het MKB hebben ieder weer een consequentie voor de economische groei. Uit onderzoek blijkt dat het saldo uiteindelijk toch positief is (Risseeuw & Thurik, 2003).

21 Om inzicht te verschaffen in de huidige verhoudingen tussen de vier bedrijfssoorten zijn in figuur 3.2 de verhoudingen weergegeven in het Nederlandse MKB per 01-01-2010.

Figuur 3.1 Aantal bedrijven naar grootte 01-01-2010 (bron: Statline CBS)

De ondernemer heeft een centrale rol in het MKB, maar in de bestaande literatuur is nog geen eenduidige definitie over het begrip ondernemerschap. In de loop der jaren zijn namelijk vele definities en visies van ondernemerschap ontstaan en is gebleken dat het niet eenvoudig is om een eenduidige definitie te geven aan het begrip (Risseeuw & Thurik, 2003). Verschillende onderzoekers kijken naar ondernemerschap vanuit het economische perspectief. Zij definiëren ondernemerschap als het creëren van een nieuwe organisatie (Driessen, 2006). Anderen onderzoekers definiëren ondernemerschap als een proces waarbij individuen kansen identificeren, allocatie van middelen en het creëren van waarde. Sommige definities van ondernemerschap zijn relatief eng, en specificeren vrij precies de functie of de eigenschappen van de ondernemer. Een nadeel van deze enge definities is dat een aantal activiteiten, die door anderen wel tot ondernemerschap worden gerekend, uitgesloten worden (Riseeuw & Thurik, 2003).

3.2 Kenmerken MKB

Door de grote diversiteit is het moeilijk om het MKB te generaliseren. De diversiteit ten aanzien van doelstellingen en werkwijze in het MKB is groter dan in het grootbedrijf. Hiervoor zijn verschillende oorzaken. De eerste oorzaak is de ruimte voor variatie in het MKB. Deze variatie ligt onder andere in de wijze van financiering en eigendomsverhoudingen. Het grootbedrijf dient te voldoen aan de regels van de kapitaalmarkt en verantwoording af te leggen aan haar stakeholders. Kleinere bedrijven opereren meer op basis van privé-kapitaal, van de ondernemer of familie, die andere en meer gevarieerde eisen en verwachtingen hebben. De tweede oorzaak is dat het MKB anders gebruik maakt van de deze ontstane ruimte, vanwege haar variatie in achtergronden, motieven en doelen van zelfstandig ondernemerschap (Risseeuw & Thurik, 2003). Ondanks de diversiteit heeft het MKB wel gemeenschappelijke kenmerken. Nooteboom (1994) geeft drie specifieke kenmerken voor het MKB: kleinschaligheid, persoonlijkheid en onafhankelijkheid (in eigendom en management). Elk van deze drie kenmerken leidt tot voor- en nadelen van het MKB ten opzichte van het grootbedrijf en dat heeft consequenties voor de te kiezen strategische opties. Naast deze drie specifieke kenmerken van Nooteboom (1994) worden in de literatuur ook andere kenmerken van het MKB genoemd. Van der Wilde (1987) benoemt als belangrijke kwalitatieve kenmerken van het MKB: het ontbreken van gespecialiseerd personeel, beperkte toegang tot de kapitaalmarkt, het actief zijn op een beperkte markt, het beschikken over weinig kapitaal en het ontbreken van een eigen administratieafdeling. Uit de kerneigenschappen van het MKB kan volgens Nooteboom (1994) de volgende kenmerkende strategieën worden afgeleid: innovatie of ‘niche’ strategie, maatwerk

Micro 91% Klein 6% Middel 2% Groot 1% Micro Klein Middelgroot Groot

22 en netwerkstrategieën. In Figuur 3.2 is een overzicht opgenomen van de karakteristieken van het MKB en de sterkten en zwakten.

Karakteristieken Sterkten

Vermenging eigendom en besturing integratie van taken variatie en improvisatie

 Gemotiveerd management/ toewijding

Variatie en improvisatie  Gemotiveerd arbeid

Weinig hiërarchische niveaus; persoonlijke,

directe mondelinge communicatie;  Geen bureaucratie, interne flexibiliteit, weinig filtering van voorstellen Weinig en simpele procedures; persoonlijk,

directe, mondelinge communicatie

 Lage kosten en weinig vervorming van interne communicatie

Persoonlijke en nauwe relatie klant  Maatwerk

Ambachtelijkheid  Unieke competenties

Stilzwijgendheid van kennis  Afscherming unieke kennis

Eigenzinnigheid  Originaliteit

Karakteristieken Kernstrategieën

Karakteristieken Zwakten

Eigenzinnige perceptie  Onbekritiseerde opvattingen

Stilzwijgende kennis  Beperkt absorptievermogen

Ambachtelijkheid;  Technische bijziendheid

Weinig producten en markten  Weinig risicospreiding en scope

Klein volume  Schaaleffect

Stafmanco  Gebrek aan functionele expertise

Gebrek aan tijd ondernemer  Ad hoc bestuur, korte termijn perspectief Veel autoriteit en functies in één hand  Kwetsbaarheid discontinuïteit

Weinig lagen van bureaucratie  Weinig carrièreperspectief

Laag abstractieniveau  Laag absorptievermogen

Product- of techniekoriëntatie  Fouten in marketing en strategie

Gebrek aan financiering Weinig mogelijkheden voor groei

Figuur 3.2 Karakteristieken en sterkten en zwakten MKB

Het Midden- en Kleinbedrijf wordt doorgaans gekenmerkt door een platte hiërarchie en de ondernemer staat dicht bij de werknemers. Dit wordt verondersteld bij te dragen aan de effectieve communicatie, die vaak een informele vorm heeft. Deze vorm van communicatie wordt als een belangrijk voordeel beschouwd voor kleine bedrijven (Street & Meister, 2004). Het grote voordeel van een klein bedrijf is de afwezigheid van bureaucratie. De communicatielijnen zijn kort, wat er voor zorgt dat communicatie efficiënt kan verlopen en dat er geen noodzaak is om strakke protocollen te hanteren (Risseeuw & Thurik, 2003). Hierdoor is het voor een ondernemer mogelijk om goed te begrijpen wat er gaande is binnen het bedrijf (Street & Meister, 2004). Daarnaast heeft het MKB, in vergelijking met grote bedrijven, voor- en nadelen om in te spelen op de veranderingen in de vraag. Met name als het gaat om het bieden

Kleinschaligheid Persoonlijkheid Onafhankelijkheid Innovatie of ‘niche’ Maatwerk Netwerk