Risk appetite

Risk appetite of risicobereidheid is essentieel om strategisch risicomanagement te implementeren. Het helpt organisaties bij het bewust bepalen van hun risico’s en risicomanagement.

Definitie

Er is geen eenduidige definitie van risk appetite. Dit heeft twee oorzaken:[1]

  • De termen ‘risk appetite’ en ‘risk tolerance’ worden als synoniemen gebruikt, terwijl zij verschillende zaken duiden.
  • Er worden verschillende definities van ‘risk appetite’ gehanteerd.

De Committee Of Sponsoring Organizations of the Treadway Commision (COSO), in Nederland een gezaghebbend instituut op het gebied van risicomanagement, geeft een uitgebreide definitie van risk appetite:[2]

"De mate van risico, op een breed niveau, die een entiteit wil accepteren in het streven naar waarde. Het reflecteert de risicomanagementfilosofie van de entiteit en beïnvloedt de cultuur en stijl van functioneren in de entiteit. ... Risk appetite bepaalt de allocatie van middelen. ... Risk appetite helpt de organisatie in het richten van de organisatie, mensen en processen op het ontwerpen van de infrastructuur die nodig is om effectief op risico’s te reageren en deze te monitoren."

Risk tolerance wordt door COSO geduid als de toepassing van risk appetite op specifieke doelstellingen.

Doel en voordelen

Door haar risk appetite te bepalen, kan een organisatie een balans vinden tussen ongecontroleerde innovatie en excessieve voorzichtigheid. Het werkt als een richtlijn voor mensen om hun handelen in overeenstemming te brengen met de toegestane mate van risico en kan een consistente benadering van risico in de gehele organisatie bevorderen. Het bepalen van een acceptabele mate van risico zorgt ervoor dat de allocatie van middelen wordt geoptimaliseerd: ze worden niet ingezet voor het verminderen van risico’s die al op een acceptabel niveau zijn en juist wel voor het nemen van maatregelen tegen risico’s die de tolerantiegrenzen overschrijden. Het creëert bovendien een lerende organisatie, omdat directie en management met elkaar een dialoog aangaan over wat wel en niet gewenst is.

Mate van risk appetite

In de theoretische economie, de psychologie en de financiering en beleggingsleer wordt gebruikgemaakt van de begrippen risico-afkerigheid, risico-neutraliteit en risico-preferentie om de houding van een economisch agent ten opzichte van risico's te beschrijven. Risk appetite voor organisaties wordt vaak uitgedrukt met een afgeleide van die begrippen. In de Risk Appetite Value Chain-methodologie (RAVC),[3] die is ontwikkeld door V. Gangadin, wordt de mate van risicobereidheid uitgedrukt in een keuze voor een van de vijf categorieën:

  • Zero tolerance
  • Critical tolerance
  • Balanced tolerance
  • Opportune tolerance
  • Maximized tolerance

Aandachtsgebieden van risk appetite

Risk appetite sluit integraal aan bij de strategische planning en de planning en control cyclus van organisaties. Voor het gewenste effect moet het betrekking hebben op strategisch, tactisch en operationeel niveau.[4]

Bij het vaststellen van de risicobereidheid kan men verschillende aandachtsgebieden onderscheiden. In de RAVC-methodologie zijn dat de volgende vier:[3]

Bepalen van risk appetite

Een organisatie kan aan de verschillende aandachtsgebieden een andere risicobereidheid toekennen. Hieronder volgen een aantal cruciale elementen om de risk appetite te bepalen:

  • Risk appetite-raamwerk: de generieke benadering, waaronder beleid, processen, controls en systemen, waardoor risk appetite wordt vastgesteld, gecommuniceerd en gemonitord. Hierbij horen een risk appetite-verklaring, risicolimieten en de hoofdlijnen van de rollen en verantwoordelijkheden van zij die toezicht houden op de implementatie en monitoring. Er dient rekening te worden gehouden met verschillende financiële risico's, materiële risico's en reputatierisico’s. Risk appetite moet samenhangen met de strategie van de organisatie.[5]
  • ‘Risk universe’: alle risico’s die van belang zijn voor een organisatie. Hiertoe behoren ook de ‘zwarte zwanen’: risico's die door hun onzekerheid niet meetbaar zijn.[4]
  • Risicodoelstelling: de gewenste mate van risico waarvan de organisatie verwacht dat het optimaal is om haar doelstellingen te verwezenlijken.
  • Risicocapaciteit: de mate van risico die een organisatie daadwerkelijk kan dragen.
  • Risicohouding: de visie/het perspectief van de organisatie of het individu op de waargenomen kwalitatieve en kwantitatieve waarde die kan worden gewonnen vergeleken met het gerelateerde potentiële verlies.
  • Stakeholders en risk appetite: organisaties moeten rekening houden met de verschillen die bestaan in de risicohouding van hun stakeholders.[1]

Het Institute for Risk Management (IRM) beveelt aan dat risk appetite wordt bepaald door vier factoren:[4]

  • Debat in de bestuurskamer: er moet een afweging vanuit verschillende perspectieven plaatsvinden en niet lijstjes worden afgevinkt.
  • Consultatie: overleg met verschillende stakeholders en herziening in het proces organiseren.
  • Risicocomités: in hun rol past goedkeuring, risicoanalyse, monitoring en bijdragen aan en lerende organisatie.
  • Flexibiliteit: veranderende omstandigheden zullen een aanpassing van de risk appetite nodig maken.

In de RAVC-methodologie wordt in aanvulling op bovenstaande benadrukt dat de afweging tussen ‘risk & reward’ van belang is om de risicobereidheid te bepalen. Met een optimale ‘risk/reward’-balans of -ratio wordt bedoeld dat middelen zodanig worden ingezet dat het hoogst mogelijke rendement kan worden behaald met een acceptabele mate van risico’s die daarmee gepaard gaan.[1]

Monitoren van risk appetite

Aan de hand van risk appetite-indicatoren, (kritische) risicoïndicatoren, risicolimieten en tolerantiegrenzen wordt het vastgestelde risk appetite-beleid gestuurd en gemonitord.