Waarom Risicoappetijt belangrijk is

Written by Manu Steens in Risicomanagement 
De risicoappetijt (aka risicobereidheid) van een individu of een groep is de neiging van dat individu of die groep om risico’s te nemen in een bepaalde situatie. Dit is belangrijk omdat werken naar een nulrisico een utopie is. Hoe minder risico dat je neemt, hoe duurder de maatregelen zijn om daar te geraken. Omgekeerd, als de restrisico die je neemt te groot is, is dat gevaarlijk voor de organisatie, het project, het proces of de dienst die je organisatie levert. Het optimum ligt dus ergens tussenin.In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.
Auteur: Manu Steens

Risicoappetijt – een verplicht nummertje ?

Een uitspraak die misschien boud lijkt is dat je niet aan risicobeheer kan doen zonder dat je een goede bepaling hebt van je risicoappetijt en zonder dat je de risicocapaciteit kent van je organisatie, of je Business unit.

De risicocapaciteit is daarbij het vermogen van een organisatie om risico’s te dragen, gekwantificeerd aan de hand van de doelstellingen.

(Deze definities komen uit ‘A short guide to risk appetite’ van David Hillson en Ruth Murray-Webster)

Waarom zijn risicoappetijt en -capaciteit belangrijk?

Laat ik eerst argumenteren waarom deze begrippen nodig zijn in risicomanagement.

De redenering is eigenlijk eenvoudig: als je de grenzen van je risicomanagement niet kent noch verantwoord bepaalt, kan je ook niet zinvol aan risicomanagement doen. Dan blijft risicomanagement een papieren tijger, die Audit gewijs afgevinkt kan worden maar die geen zeggingskracht heeft als er problemen om de hoek komen kijken.

Het belangrijkste risico van het niet ernstig invulling geven aan risico appetijt en risicocapaciteit door het topmanagement, als het al een getal op deze begrippen plakt, is dat wanneer een risico zich materialiseert, de schade groter is dan de risicoappetijt en misschien ook de feitelijke risicocapaciteit waardoor de organisatie in de financiële problemen kan komen. Het lijdt dan reputatieschade en wordt bekend als een organisatie die zich niet voorbereid op tegenspoed. Nochtans leek het op papier in orde. Maar de papieren oefening bleek onvoldoende en gaf naast een auditvinkje een dure bezigheidstherapie.

Wat dit betekent is dat het risicobeheer zeer ineffectief kan zijn zonder de risicoappetijt en risicocapaciteit verantwoord te definiëren.

Wat betekent dit als het topmanagement de risicoappetijt en risicocapaciteit weigert te bepalen?

Dit betekent dat als het topmanagement deze definities niet invult, zij het risicobeheer onbelangrijk vindt. Waarschijnlijk vindt het dan ook de uitvoering van de gehele resiliencewerking, waartoe ook BCM en crisisbeheer behoren, onbelangrijk. Dat betekent dat het leveren van kwaliteitsvolle producten en diensten aan de klant onbelangrijk bevonden wordt door het topmanagement. Van het topmanagement wordt verwacht dat het een zeer goed idee heeft van de belangen en wensen en noden van de klanten. (Het bepaalt daarom ook de strategische missie en visie en doelstellingen.) Daarom betekent dit dat het topmanagement meent te weten dat de klant deze diensten en producten onbelangrijk vindt. Dan volgt automatisch de vraag of de organisatie wel belangrijk is, en of die bestaansrecht heeft.

Een mogelijk antwoord op deze redenering zou kunnen zijn dat het topmanagement zich hiervan niet bewust was. Dat antwoord zou ik 30 jaar geleden geloven. Maar gezien de risicovolle omstandigheden in een steeds meer VUCA-wereld waar steeds meer over gecommuniceerd wordt op de media, is dit geen afdoend argument meer.

Welke acties neem je rond risicoappetijt en risicocapaciteit?

Vooreerst bepaal je enkele zaken.

  • Je bepaalt de maximale risicocapaciteit van de organisatie of per business unit.
  • Je bepaalt dan de risicoappetijt per project, proces en dienst.
  • Je kijkt of de som van alle risicoappetijt binnen de maximale risicocapaciteit blijft, of dat je kan zorgen dat dit het geval wordt.

Risicocapaciteit bepalen.

Risicocapaciteit bepalen is niet altijd simpel. Een grote financiële instelling of een petrochemisch bedrijf heeft andere mogelijkheden dan een kleinere KMO met een beperkt financieel en menselijk kapitaal.

Een mogelijkheid is het oprichten van een captive. Daarmee bouwt de organisatie voor een stuk aan haar eigen verzekering.

Een andere mogelijkheid is dat elk jaar de doelstellingen bepaald en regelmatig herbekeken worden om te beslissen welke projecten, processen en diensten “must haves” zijn, en welke de “nice to haves” zijn. Ook binnen projecten kan gekeken worden welke deliverables “must haves” zijn, en welke “nice to haves”. De middelen voor die “nice to haves” worden een onderdeel van de risicocapaciteit. Als dan een risico optreedt op project- of op een ander niveau kan de organisatie kannibaliseren op de “nice to haves” ten voordele van de “must haves”. Dit betekent onder andere dat de projecten die “nice to have” zijn moeten kunnen uitgesteld worden tot na de projecten die “must have” zijn. Dus relatief later starten in het jaar. En dat is een werk voor het topmanagement dat dan moeilijke knopen moet doorhakken.

Risicoappetijt bepalen.

Elk project, proces en elke dienst heeft risico’s. Daartoe bestaan risicobeheertechnieken die de risico’s in kaart brengen, analyseren, evalueren, maatregelen voorstellen, restrisico bepalen enzovoort. De (financiële) impact van deze restrisico’s bepalen de (financiële) risicoappetijt indicator van deze projecten, processen en diensten. Deze inschatting staat in risico-indicatoren, waarvan de som de risicocapaciteit niet mag overschrijden. Deze risico-impact moet door de projectleider / proceseigenaar aangeleverd worden aan het topmanagement, die er kritisch naar moet kijken. Samen met de CRO en eventueel de projectleider en proceseigenaar overlegt het topmanagement hoe het totale risico van de business unit of de organisatie binnen de risicocapaciteit kan blijven.

Risicoappetijt afstemmen op risicocapaciteit.

Als de risicoappetijt de risicocapaciteit overschrijdt, moeten er extra risicomaatregelen genomen worden, of moet er geschrapt worden in processen, projecten, diensten. Misschien kunnen “must haves” herbekeken worden of het “nice to haves” kunnen worden. Misschien kunnen ze uitgesteld worden naar een latere datum, zodat er budgetten kunnen vrijkomen in het lopende financiële jaar.

Conclusie

Als we de redenering hierboven omdraaien, is het idee dat de noden van de klant belangrijk zijn voldoende aanleiding om aan risicobeheer te doen en om de risicoappetijt en risicocapaciteit te bepalen door het topmanagement.

Merk op dat deze begrippen niet ten volle uitgewerkt worden in de meeste normen en standaarden, als deze ze al vermelden.

Mee daardoor is deze opdracht lang terra incognita geweest voor de CRO en de projectleiders, proceseigenaars en het topmanagement. De laatste jaren zijn deze begrippen in opgang, echter zonder veel handvaten van ‘hoe dit te doen’. Men kan dus altijd weten dat dit belangrijke risicobeheer aspecten zijn. Maar het blijft een uitdaging om het te implementeren.

In deze blog suggereerde ik enkele ideeën om risicocapaciteit te creëren, en de eis dat de som van alle risicoappetijt daarbinnen moet blijven.

Vraag aan de lezer

Ik zou graag meer gevoel krijgen van in welke organisaties risico-appetijt wordt toegepast, en hoe jullie dit doen. Kunnen jullie een antwoord geven daarover in de comments hieronder?

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts