4. Risicomanagement Model Jeroen Corts
4.1 Doelstelling Risicomanagement is een net zo groot containerbegrip als Category management, Leveranciersmanagement en Contractmanagement: er zijn vele definities voor, iedereen heeft er zijn eigen ideeën bij en al deze definities en ideeën zijn vaak nog correct ook!
Figuur 4.1 Risicomanagement is een containerbegrip Het model dat hieronder gepresenteerd wordt, pretendeert dan ook geenszins de absolute wijsheid in pacht te hebben! Wat we wel beogen met het Risicomanagement Model is om de complexe materie handen en voeten te geven om in de dagelijks inkooppraktijk op gestructureerde wijze rekening te kunnen houden met allerlei soorten risico’s die op onze organisatie en inkoopafdeling afkomen. 1
4.2 Model op hoofniveau Kijken we op het hoogste niveau naar de inkooprisico’s, dan zijn er feitelijk 2 hoofdvariabelen die bepalen waar de risico’s zich bevinden.
Product versus Organisatie risico’s Interne versus Externe risico’s
Figuur 4.2 Het Risicomanagement Model op het hoogste niveau Productrisico’s zijn risico’s die samenhangen met de totstandkoming en het gebruik van het product of de dienst. Interne productrisico’s gaan met name over het gebruik van deze goederen en diensten terwijl de externe productrisico’s meer kijken naar de productie ervan. Organisatierisico’s staan los van het product en gaan over de wijze waarop de inkoop tot stand is gekomen en met wie men zaken doet. Bij interne organisatierisico’s moet men denken aan bijvoorbeeld andere allerlei juridische en financiële risico’s die men af kan dekken en denk bij externe organisatierisico’s aan zaken als de betrouwbaarheid en continuïteit van de leverancier.
2
In de volgende paragrafen zullen we steeds verder inzoomen op de verschillende risico’s. 4.3 Risicomanagement Model Het Risicomanagement Model benoemt in totaal uit 64 risicofactoren gegroepeerd binnen de 4 risicosegmenten die elk op hun beurt weer bestaan uit 4 risicocategorieën.
Figuur 4.3 Het Risicomanagement Model bestaat uit de 4 risicosegmenten Toelevering, MVO, Vertrouwen en Governance
3
4.3.1 Toeleveringsrisico (Kraljic) Het toeleverrisico is het meest bekende risicosegment en gaat over de interne product gerelateerde risico’s. Gecombineerd met de financiële waarde van deze producten levert dat de bekende Kraljic matrix op met zijn hefboom, strategische, bottleneck en routineproducten. In de literatuur over de Kraljic matrix worden reeds vele risico’s benoemt die we kunnen samenvatten in 4 categorieën: Impact:
Welke gevolgen heeft een verstoring van de aanlevering van de producten?
Schaarste:
In welke mate zijn er alternatieve producten of leveranciers beschikbaar?
Technologie:
Hoe snel verloopt de technologische ontwikkeling of houdbaarheid van het product?
Omschakeling:
Hoe snel en moeiteloos kan de organisatie omschakelen naar een alternatief?
Deze 4 categorieën zijn in 2011 opgesteld en uitgewerkt in een interactief Kraljic model in Excel wat iedereen kan downloaden via de website van Purfacts. Door het inschatten en invullen van deze 4 risico’s voor de top 25 inkooppakketten/- categorieën wordt automatische het onderstaande model gegenereerd. In plaats van inkooppakketten zou u ook de top 25 leveranciers kunnen invullen.
4
Figuur 4.4 Het interactieve Kraljic Model van Purfacts Impact “Als de stoom uitvalt, staat alles stil”! Elektriciteit is voor bijna iedereen een onmisbaar product. Toch zijn de gevolgen van een verstoring ervan niet voor iedereen gelijk. Staan bij een kantoor voornamelijk de computers en het koffieapparaat stil, bij een operatiekamer of luchtverkeersleiding is dat toch nèt even anders! Bij het bepalen hoe groot de impact of schade is als een product er niet (op tijd) is, dienen we o.a. rekening te houden met deze risicofactoren:
5
Omvang:
van de schade als gevolg van gederfde of schadeclaims
Tijdigheid:
schade als gevolg van het te vroeg, te laat (of helemaal niet) leveren
Tijdsduur:
hoe lang kan men zonder het product door blijven werken/leveren
Kwaliteit:
schade als gevolg van kwaliteitsgebreken van de geleverde goederen of diensten
Schaarste Schaarste is voor inkoop altijd een nare factor, het aanbod is beperkt, er zijn geen of weinig alternatieven beschikbaar waardoor de prijzen hevig kunnen fluctueren afhankelijk van de vraag. Vaak heeft men ook nog te maken met een Monopolie positie van de leverancier, soms zelf ‘vrijwillig’ gekozen zoals bij reserveonderdelen en onderhoud. Bij schaarste dient men o.a. dus rekening te houden met: Alternatieven:
aantal alternatieve leveranciers en/of producten
Marktvorm:
totaal aantal aanbieders/vragers (monopolie, oligopolie, oligopsonie)
Prijsvorming:
prijsontwikkelingen/-schommelingen
Voorraden:
Wereldwijde voorraden en productiecapaciteiten
6
Technologie De Technologische ontwikkelingen volgen elkaar in een steeds hoger tempo op. Bij sommige producten gaat deze ontwikkeling zo snel, dat wat je vandaag koopt, volgende maand alweer veroudert is en in waarde gedaald. Bij andere producten is simpelweg de fysieke houdbaarheid of te wel de houdbaarheidsdatum begrens. Bij dure medicijnen kan dit een belangrijke rol spelen of verspilling tegen te gaan. Houdt derhalve rekening met de risicofactoren: Product lifecycle: Hoe snel volgen nieuwe typen elkaar op? Levensduur:
Wat is de economische of technische levensduur?
Houdbaarheid:
Hoe lang is de houdbaarheid van het product?
Restvoorraden:
Schade van restvoorraden die verkocht/vernietigd moeten worden?
Omschakeling Hoe snel en moeiteloos kan de organisatie omschakelen naar een alternatief? Om deze vraag beter te kunnen beantwoorden dienen we rekening te houden met de volgende risicofactoren: Contractuele verplichtingen:
In hoeverre is men verplicht bij de leverancier af te nemen?
Snelheid van omschakeling:
Hoe snel kan men overschakelen op een alternatief?
Kosten van omschakeling:
Hoe hoog zijn de (extra) kosten bij het omschakelen?
Behoud van ‘assets’:
Kan men bestaande ‘assets’ (mensen/machines) behouden? 7
Twee mooie voorbeelden bij omschakeling zijn bijvoorbeeld leaseauto’s en uitzendkrachten. Beiden inkooppakketten worden vaak gezien als hefboom producten maar ‘even switchen’ van aanbieder gaat niet zo eenvoudig! Leaseauto’s hebben vaak langlopende contracten en uitzendkrachten kun je niet van de ene op de andere dag meenemen naar een ander uitzendbureau!
4.3.2 MVO risico Duurzaamheid en Maatschappelijk Verantwoord Ondernemen zijn niet meer weg te denken uit onze samenleving. Hoewel de aandacht soms wat lijkt te verslappen, komt dat hoofdzakelijk omdat steeds meer zaken al als ‘normaal’ worden bevonden. Wie nu nog zaken door kinderhanden laat fabriceren of plofkip op het menu zet, verliest niet alleen een hoop goodwill bij klanten, maar ook die klanten zelf! MVO risico’s kan men onderverdelen in 4 categorieën: Mens:
Hoe veilig, zorgvuldig en eerlijk wordt er omgegaan met alle medewerkers?
Milieu:
Welke impact heeft het product en de productie op het milieu?
Dierenwelzijn:
Hoe worden dieren behandeld tijdens hun groei, transport en verwerking?
Ethiek:
Welke ethische bezwaren hangen samen met het product/productieproces?
Een andere manier om naar de MVO aspecten te kijken een product, is door te kijken naar de totale levenscyclus van een product volgens dit model van J.C. Corts uit 2008:
8
Figuur 4.5 Het MVO model van J.C. Corts
Feitelijk zou je beiden modellen kunnen combineren in een matrix, maar om het niet te complex te maken, kiezen we hier voor de invalshoek waarbij het onderwerp centraal staat gedurende de hele levensloop van het product.
Mens Beginnen we met de menselijke risicocategorie met betrekking tot het product en de productie dan weet iedereen eigenlijk al direct over welke factoren het gaat: Veiligheid:
Vanaf het delven van de grondstoffen, het productieproces, het transport & distributie t/m het gebruik, onderhoud en de recycling: Safety First!
Kinderarbeid:
Ligt een stuk complexer en genuanceerder dan dat het alleen maar ‘verboden’ is!
9
Fair trade/pay:
Eerlijke handel, prijzen, vergoedingen en salarissen? Ook in Nederland zelf!
Arbeidsrechten: Werktijden, sociale gelijkheid, opleidingen, voorzieningen, medezeggenschap, etc.
Milieu Over de Milieu impact van bepaalde goederen en diensten is de laatste jaren steeds meer bekend geworden dankzij allerlei onderzoeken, metingen en publicaties. De 4 belangrijkste risicofactoren van een bepaald product m.b.t. het milieu zijn: Grondstoffen:
Totale gebruik van (schaarse) grond/hulpstoffen, water, verpakkingen & verspilling.
Energie:
Totale energiebalans bij delven grondstoffen, de productie, transport, gebruik, etc.
levensduur:
Een lange levensduur is het allerbelangrijkste kenmerk van een duurzaam product!
Afval/hergebruik: Vervuiling van bodem, lucht, water of landschap, giftig, radioactief, langdurig?
Dierenwelzijn In het rijtje ‘People, Planet, Profit’ komen de dieren er maar bekaaid vanaf! Door alle aandacht voor de circulaire economie, cradle to cradle, CO2 compensatie en groene stroom is er nog maar weinig aandacht (over) voor het Dierenwelzijn. In de meeste mvo-plaatjes worden dieren überhaupt niet genoemd zoals bij het bekende PeoplePlanet-Profit model van John Elkington !
10
Figuur 4.6 Het PPP model van John Elkington Gelukkig is er in de media, dankzij organisaties als Wakker Dier en anderen, wel steeds meer aandacht voor het verantwoord en respectvol omgaan met dieren en worden bedrijven steeds vaker in de ‘spotlight’ gezet als ze geen of te weinig oog hebben voor diervriendelijk produceren. De belangrijkste factoren m.b.t. dierenwelzijn zijn: Leefomstandigheden: Fysieke, fysiologische en psychische omstandigheden ter bevordering van natuurlijk gedrag en de voorkoming van ongemakken (koude, tocht, vocht, frisse lucht), stress en angst. Verzorging:
Vrij zijn van dorst, honger, ondervoeding, pijn, verwondingen en ziekten.
Transport/verwerking: Voorkomen van onnodig lijden bij de slacht en bij (langdurig) transport. Diversiteit:
Biodiversiteit, (erfelijke) ziekten, resistentie, doorfokken op ‘gewilde’ kenmerken, etc.
11
Ethiek Ethiek houdt zich bezig met de kritische bezinning over het juiste handelen. ‘In algemene zin probeert ethiek de criteria vast te stellen om te kunnen beoordelen of een handeling als goed of fout kan worden gekwalificeerd’ (Wikipedia). In vele studiegebieden zoals politiek, geneeskunde, biologie en sociologie is ethiek regelmatig het onderwerp van discussie. Vervangen we ‘handeling’ in de bovenstaande definitie door ‘product’, dan kunnen we denken aan risicofactoren zoals: Politiek:
Producten uit conflictgebieden, landen met een hoge corruptiefactor, ongelijkheid, etc.
Privacy:
Het beschermen van privacy speelt een steeds grotere rol in de informatie economie
Technologie:
Genetische manipulatie, Kernenergie, schaliegas, nanotechnologie, drones, etc.
Imago:
Een slecht product imago door misleiding, manipulatie, vervalsing, etc. Een ‘mooi’ voorbeeld van imago is Chinese melkpoeder of de recente vleesschandalen.
4.3.3 Vertrouwen Zaken doen is een kwestie van vertrouwen! Zowel bij de 1e als de 100e keer dat men zaken doet met een leverancier is er altijd een basis van vertrouwen nodig dat je ‘krijgt wat je verwacht’ en dat de leverancier doet ‘waarvoor hij besteld is’! Een andere gevleugelde uitspraak is echter: ‘Vertrouwen is goed, controle is beter’! Hoewel dit citaat zowel aan Lenin én Stalin wordt toegeschreven, beiden niet echt dé rolmodellen voor onze economie, kunnen we het ‘meten is weten’ principe toch voor een belangrijk deel onderschrijven. We delen de risico’s bij de leverancier op in de volgende 4 categorieën:
12
Continuïteit:
De zekerheid dat een leverancier op korte en lang termijn kan blijven leveren
Afhankelijkheid: De mate waarin wij afhankelijk zijn van onze leverancier, en hij van ons! Gedrag/cultuur: Zijn er bepaalde vormen van gedrag of cultuur die risico’s kunnen veroorzaken? PBOI:
Risico’s op het gebied van Processen, Beleid, Organisatie en Informatie
Continuïteit Continuïteit wordt vaak als iets vanzelfsprekends gezien. Je koopt een product of dienst en gaat er gewoon vanuit dat je volgende week, maand of jaar nog steeds bij dezelfde leverancier terecht kan voor meer producten, service & garantie, onderdelen, etc.! Wij klanten willen ‘gemak, genot, gewin en geen gezeur’ (Bart Groothuis). Om de continuïteit te waarborgen moeten we de volgende 4 risicofactoren in het oog houden: Winstgevendheid:
Maakt de organisatie voldoende winst om voort te bestaan?
Marktontwikkeling:
Wat zijn de verwachtingen voor de markten waarin de leverancier actief is?
(Credit) Ratings:
Hoe goed scoort de leverancier op allerlei (externe) credit ratings?
Overnames/Fusies:
Bestaat er een kans op overnames/fusies met, door of van concurrenten?
Afhankelijkheid Continuïteit en afhankelijkheid zijn nauw met elkaar verbonden, hoe groter de afhankelijkheid van een bepaald product of dienst, hoe 13
belangrijker het wordt om de continuïteit van de leverancier in de gaten te houden. Je zou het kunnen zien als de kans x impact: hoe groot is de kans dat de leverancier ermee stopt?, en welke gevolgen heeft dat voor onze eigen continuïteit? Om dit in kaart te brengen, meten we de volgende risicofactoren: Inkoopaandeel:
Hoeveel procent van onze inkoop is afkomstig van deze leverancier?
Verkoopaandeel: Hoeveel procent van de omzet van de leverancier is afkomstig van ons? Vent of de tent: Zijn we afhankelijk van bepaalde personen en mogen we die inhuren na vertrek? (after) Service:
Hoe groot is de afhankelijkheid van (reserve)onderdelen en service/garantie?
Een mooi voorbeeld is de case waarbij grote afnemers van enveloppen (banken, belastingdienst, etc.) hun inkopen verdelen over meerder leveranciers om ervoor te zorgen dat de leverancier niet gelijk failliet gaat als ze hun inkopen verschuiven en tegelijk ook een backup houden bij calamiteiten. Gedrag/cultuur Gedrag en cultuur staat volop in de belangstelling. Helaas meestal negatief door de het zoveelste voorbeeld van graaiende frauderende overbetaalde bestuurders, maar aan de andere kant is het wel positief dat dit soort berichten steeds meer in de openbaarheid komen en er ook daadwerkelijk stappen genomen worden om dit soort zaken tegen te gaan. Als risicofactoren kijken we naar: Beloningen en bonuscultuur:
Graaicultuur, gouden handdrukken, bonussen, salarissen
Corruptie en omkoping:
Fraude, misleiding, omkoping, oneerlijke concurrentie 14
Integriteit en vertrouwelijkheid: Geheimhouding, communicatie,prijsafspraken, Reclame uitingen Normen en waarden:
Cultuur, beoordelingen, discriminatie, etc.
PBOI Naast de extroverte kenmerken van leverancier, is het ook goed om te kijken naar de interne operationele risicofactoren bij de leverancier. Uiteindelijk hangt de betrouwbaarheid en kwaliteit van de geleverde producten en diensten vooral af van de mate waarin men ‘in control’ is over alle processen binnen de organisatie. We gebruiken hiervoor de indeling van het bekende PBOI model: Processen:
Kwaliteit van de processen, NEN-ISO, etc.
Beleid:
Missie, strategie, doelstellingen, targets?
Organisatie:
Organisatiestructuur, management, taken, verantwoordelijkheden, bevoegdheden
Informatie:
Uitwisseling, betrouwbaarheid, beveiliging, backup, snelheid, volledigheid, actueel
15
Figuur 4.7 PBOI-model voor de tactische inkoopfunctie (J.C. Corts) 4.3.4 Governance Het zit in onze natuur om graag naar anderen te wijzen met betrekking tot gemaakte fouten of ongewenst gedrag, maar voor de volledigheid van het model moeten we zeer zeker ook de interne organisatierisico’s onderkennen! Twee van de risico categorieën komen zelfs overeen met die van de leverancier: Juridisch:
Juridische risico’s m.b.t. wetgeving, inkoopvoorwaarden, bevoegdheden, etc.
Financieel:
Financiële risico’s, verplichtingen, renteswaps, etc.
Gedrag/cultuur: Zijn er bepaalde vormen van gedrag of cultuur die risico’s kunnen veroorzaken? PBOI:
Risico’s op het gebied van Processen, Beleid, Organisatie en Informatie.
16
Juridisch Het lijkt wel of er steeds meer juristen met inkoop bezig zijn in plaats van inkopers! Op zich is deze ontwikkeling wel te verklaren door de toename van de (Europese) regelgeving en de trend om steeds sneller over te gaan tot het aansprakelijk stellen van verantwoordelijke organisaties of producenten bij geleden materiele of immateriële schade. De juridische risico’s zijn daarom van essentieel belang bij zowel het aangaan van contracten met leveranciers, als tijdens en na het gebruik van deze producten door medewerkers of klanten. We hebben de juridische risico’s wederom in 4 categorieën ingedeeld: Aansprakelijkheid:
Welke verantwoordelijkheid en aansprakelijkheid gelden volgens de wetten en regels?
Autorisatie:
Is de opdrachtgever bevoegd om deze verplichtingen aan te gaan?
Rechtmatigheid:
Is de inkoop uitgevoerd conform de Europese aanbestedingsregels?
Inkoopvoorwaarden:
Opgesteld, bekend, geaccepteerd, volledig, gearchiveerd?
Financieel Dat het aangaan van financiële verplichtingen niet geheel zonder risico’s is, hebben we de afgelopen jaren vaak genoeg kunnen constateren. Door de toegenomen complexiteit van financiële producten en de turbulentie dynamiek op internationale markten, kunnen niet afgedekte risico’s grote gevolgen hebben. Met liquiditeitsproblemen, gemiste kansen of forse afschrijvingen tot gevolg! Denk het de financiële risico’s o.a. aan: Liquiditeitsrisico: Hoe groot zijn de financiële verplichtingen van en na de aanschaf/investering?
17
(Bank)garanties: In hoeverre zijn onze betalingen beschermd bij niet leveren, faillissementen? Valutarisico:
Risico’s die samenhangen met valutaschommelingen
Renterisico :
Risico’s die samenhangen met veranderingen in rentetarieven
Gedrag/cultuur Het gedrag binnen de eigen organisatie is te vergelijken met die bij de leverancier. Overal waar mensen werken spelen persoonlijke belangen, wordt politiek bedreven, kunnen fouten gemaakt worden, kan de sfeer en de communicatie verziekt zijn, noem maar op! Om deze zaken enigszins te structureren hanteren we deze risicofactoren: Bonuscultuur:
Salarissen, targets, salarissen, snoepreisjes, onkostenvergoedingen
Corruptie:
Corruptie, omkoping, belangenverstrengeling, vriendjespolitiek, etc.
Integriteit:
Geheimhouding, communicatie, prijsafspraken, info achterhouden
Normen en waarden: Cultuur, beoordelingen, discriminatie, gedragscode, etc.
18
PBOI Last but not least: de interne processen, beleid, organisatie en informatievoorziening. Misschien wel de meeste verspilling, fouten, ongelukken, schaden, gemiste kansen, etc. vind zijn oorzaak binnen de eigen organisatie. Niet zozeer vanwege opzettelijke handelingen voor eigen gewin, maar puur vanwege niet goed op elkaar afgestemde processen, onduidelijke doelstellingen en afspraken, slechte informatievoorziening, geen escalatieprocedures, te veel om op te noemen! Gelukkig wordt er dankzij het PBOI-model en vele andere ‘lean’ methoden continu aan gewerkt om de eigen organisatie zo effectief en efficiënt mogelijk te maken. Des al niet te min, is het sterk aan te bevelen om bij het in kaart brengen van de (inkoop) risico’s ook rekening te houden met de 4 PBOI-risicofactoren: Processen:
Kwaliteit van de processen, NEN-ISO, etc.
Beleid:
Missie, strategie, doelstellingen, targets?
Organisatie:
Organisatiestructuur, management, taken, verantwoordelijkheden, bevoegdheden
Informatie:
Uitwisseling, betrouwbaarheid, beveiliging, backup, snelheid, volledigheid, actueel
Als nabrander: Risicomanagement an sich is ook een proces wat ingebed dient te worden binnen de organisatie met de juiste beleidsdoelstellingen en wat onderbouwt moet worden met betrouwbare, volledige en actuele managementinformatie!
4.4 Niet denken maar doen! Het Risicomanagement Model is niet bedoelt om er alleen maar kennis van te nemen of over te discussiëren, maar juist om zelf in actie te komen en er praktisch mee aan de slag te gaan! Net als bij het eerder genoemde Kraljic model, komt er een interactief model in 19
Excel wat u zelf kunt invullen voor een bepaalde categorie en/of leverancier. Het model is bedoelt als kapstok om makkelijk en snel een eerste analyse te kunnen maken. We nodigen iedereen graag uit om reacties te geven op het model en met aanvullingen te komen! Binnen de 64 genoemde risicofactoren kunnen wellicht zelf ook weer deelrisico’s worden vastgesteld, denk bijvoorbeeld bij risicofactor ‘informatie’ aan: vertrouwelijkheid, veiligheid, tijdigheid, etc. Filosofisch gezien kan het model oneindig groot worden, omdat er nu eenmaal een oneindig aantal risico’s te bedenken zijn! De kracht van het model is dat men als gebruiker zelf kan bepalen:
Voor welke inkooppakketten/-categorieën of leveranciers men het model wil gebruiken
Welke risicosegmenten men wel of niet wil beoordelen cq invullen
Tot welk niveau men de risico’s een score wil geven (segment, categorie of per factor)
Of men nog dieper op een bepaalde risicofactor wil ‘inzoomen’ door subfactoren toe te voegen.
Het interactieve risicomanagement model is zodanig gebouwd dat men altijd een mooi overzicht krijgt van de totale risicoscores per product of leverancier ongeacht hoe veel of weinig tijd of capaciteit heeft. Uiteraard is het ook mogelijk om later de analyse uit te breiden door lagere niveaus ook apart te gaan beoordelen, men name voor diegenen die in de quickscan een verhoogd risico hebben opgeleverd.
20
Figuur 4.8 Inkoop is Cost, Value èn Risk optimalisatie! Risicomanagement kan zo op eenvoudige, gestructureerde en effectieve manier een vast onderdeel worden van de totale inkoopprestatie waarbij altijd het optimale resultaat gezocht wordt op zowel de Kosten, Waardecreatie èn het Risico! Wij wensen iedereen veel plezier en succes met het Risicomanagement Model!
21