Om het geheugen even op te frissen: wat mogen we ook alweer verstaan onder risk appetite?

“Dat is je risicobereidheid. Die geeft aan hoeveel risico je bereid bent te lopen in relatie tot het behalen van je strategische doelstelling. Het kan ex-ante worden bepaald en wordt nu nog te veel ex-post bepaald, bij het wegen van risico’s.

Organisaties zouden op voorhand, bij het strategisch proces, hun risicobereidheid moeten bepalen.”

Hoe bepaal je deze bereidheid?

“Daarvoor kijk je naar zowel de risicohouding als risicobereidheid. Hierbij gaat het om de grondhouding die je hebt ten opzichte van risico’s. Ben je erg risicomijdend of juist -zoekend? En vanuit risicobereidheid gedacht gaat het om leidende risicobereidheidsprincipes.

Wat zijn de zogenaamde risk beliefs van een organisatie? Om deze twee grootheden te concretiseren, kun je de Risk Appetite Value Chain-methodologie (RAVC ©) hanteren, een gestructureerd denk- en werkmodel dat zich richt op vier domeinen: Kapitaalmanagement, Reputatiemanagement, Besturingsfilosofie en Producten & (IT) Organisatie.

En de vertaling naar de praktijk?

“Als je grondhouding en principes helder zijn, kun je het vertalen naar risicotoleranties. Waarbij je kijkt welke afwijking op je principes je aanvaardbaar vindt. Deze tolerantiegrenzen zijn een expliciete reflectie van de risicohouding.”

Waarom zouden bedrijven hiermee aan de slag moeten?

“Professor Michael Power heeft dat goed verwoord in zijn artikel The Risk Management of Nothing. Hij stelt dat de voornaamste oorzaak van de wereldwijde crisis is dat bestuurders het begrip risk appetite niet goed hebben begrepen. Er werd wel nagedacht over risico’s, maar de vertaalslag naar de praktijk mist op basis van risicobereidheid.”

Op welk niveau in bedrijven kan hierover het beste worden nagedacht?

“Het risicobereidheidsproces is strategisch en holistisch van aard. Het is een boardroom-proces, waarbij de verschillende governance entiteiten (RvB en RvT/RvC) een expliciete rol hebben. In verschillende governance codes wordt dit proces ook geaccentueerd.”

Zijn deze functies zich hier al voldoende van bewust?

“Holistisch risicomanagement wint langzamerhand terrein in de boardroom, omdat het gaat om expliciete waardecreatie. Het probleem is dat risicomanagement nog te vaak geassocieerd wordt met het nemen van beslissingen gebaseerd op het meten van de Kans maal Impact.

Dat is echter niet meer voldoende. Het kunnen inschatten van het zogenaamde Risk Object is complexer dan een Risk Assessment van het Risk Object doet lijken.”

Op welke manier uit zich dat zoal?

“Het expliciteren van de risicohouding en risicobereidheid kan een grote impact hebben, indien de uitkomsten van dit proces niet op een adequate manier worden gecommuniceerd.

Denk aan een zorginstelling die zegt dat zij geen spoedeisende hulp meer kunnen openhouden. Dit besluit heeft een grote impact op het (risico)profiel van deze zorginstelling en dient zorgvuldig gecommuniceerd te worden.”

Tijd voor verandering aan de bestuurstafel dus?

“Het expliciet samenbrengen van strategisch management, risicomanagement en performancemanagement is essentieel. Risicomanagement in de boardroom gaat niet over ingewikkelde discussies over kans x impact, maar juist over het expliciteren van de risicohouding als bestuurder en hoe dit de risicobereidheid bepaalt.

Waarbij de risicotolerantiegrenzen als meetinstrumenten dienen in een PDCA-cyclus.”

Ontvang kosteloos het e-book ‘The CRO Challenged’ door een mail te sturen naar info@cro.institute.