Geplaatst op Door Jack P. Kruf

Risk Appetite & Tolerance

Guidance Paper

Richard Anderson | september 2011

Anderson: “Er wordt vaak gezegd dat geen enkel bedrijf winst kan maken zonder risico te nemen. Hetzelfde geldt voor alle organisaties: geen enkele organisatie in de private, publieke of derde sector kan haar doelstellingen bereiken zonder risico te nemen. De vraag is alleen hoeveel risico ze moeten nemen. En toch kan het nemen van risico’s zonder het bewust managen van die risico’s leiden tot de ondergang van organisaties…”

Principes en benadering

De volgende uitgangspunten liggen ten grondslag aan ons werk op het gebied van risicobereidheid:

    1. Risicobereidheid kan complex zijn. Overdreven eenvoud, hoewel oppervlakkig gezien aantrekkelijk, leidt tot gevaarlijke wateren: het is veel beter om de complexiteit te erkennen en ermee om te gaan, in plaats van deze te negeren.
    2. Risicobereidheid moet meetbaar zijn. Anders bestaat het risico dat uitspraken leeg en nietszeggend worden. We promoten geen individuele meetbenadering, maar fundamenteel is het belangrijk dat bestuurders begrijpen hoe hun prestatiebepalende factoren worden beïnvloed door risico. Aandeelhouderswaarde kan een geschikt uitgangspunt zijn voor sommige particuliere organisaties, stakeholderwaarde of ‘Economic Value Added’ kan geschikt zijn voor andere. We verwachten ook dat er meer gebruik zal worden gemaakt van belangrijke risico-indicatoren en belangrijke controle-indicatoren die binnen of buiten de organisatie beschikbaar moeten zijn. Relevante en nauwkeurige gegevens zijn van vitaal belang voor dit proces en we dringen er bij bestuurders op aan om ervoor te zorgen dat er hetzelfde niveau van gegevensbeheer is voor deze indicatoren als voor routinematige boekhoudkundige gegevens.
    3. Risicobereidheid is niet één vast concept. Er zal een reeks van bereidheid zijn voor verschillende risico’s die op elkaar moeten worden afgestemd en deze bereidheid kan in de loop van de tijd veranderen: het tijdsaspect van risicobereidheid is een belangrijk kenmerk van deze hele ontwikkeling.
    4. Risicobereidheid moet worden ontwikkeld in de context van de risicomanagementcapaciteit van een organisatie, die een functie is van risicocapaciteit en risicomanagement-volwassenheid. Risicomanagement blijft een discipline in opkomst en sommige organisaties, ongeacht hun omvang of complexiteit, doen het veel beter dan andere. Dit is deels te wijten aan hun risicomanagementcultuur (een onderdeel van de algemene cultuur), deels aan hun systemen en processen, en deels aan de aard van hun activiteiten. Zolang een organisatie echter geen duidelijk beeld heeft van zowel haar risicocapaciteit als haar risicomanagementvolwassenheid, is het niet duidelijk welke aanpak zou werken of hoe deze geïmplementeerd zou moeten worden.
    5. Risicobereidheid moet rekening houden met verschillende visies op strategisch, tactisch en operationeel niveau. Met andere woorden, hoewel de UK Corporate Governance Code een strategische visie op risicobereidheid voor ogen heeft, moet risicobereidheid in feite in de hele organisatie aan de orde komen om praktisch zinvol te zijn.
    6. Risicobereidheid moet worden geïntegreerd met de controlecultuur van de organisatie. Ons raamwerk onderzoekt dit door te kijken naar zowel de neiging om risico te nemen als de neiging om controle uit te oefenen. Het raamwerk bevordert het idee dat het op strategisch niveau verhoudingsgewijs meer gaat om het nemen van risico’s dan om het uitoefenen van controle, terwijl op operationeel niveau de verhoudingen grofweg omgekeerd zijn. Het is duidelijk dat de relatieve verhoudingen afhangen van de organisatie zelf, de aard van de risico’s die zij loopt en de regelgeving waarin zij opereert.

Risico en controle

Wij denken dat deze tweeledige focus op het nemen van risico’s en het uitoefenen van controle zowel vernieuwend als cruciaal is voor een goed begrip van risicobereidheid en risicotolerantie. De innovatie zit niet in het kijken naar risico en controle – dat doen alle raden van bestuur.

De innovatie zit in het kijken naar de interactie van risico en controle als onderdeel van het bepalen van risicobereidheid. Op strategisch niveau wordt waarschijnlijk verhoudingsgewijs meer tijd besteed aan het nemen van risico’s dan op operationeel niveau, waar de focus waarschijnlijk meer ligt op het uitoefenen van controle. Maar één waarschuwing: we stellen strategie niet gelijk aan het bestuursniveau en operationeel niet aan de lagere niveaus van de organisatie.

Een raad van bestuur zal net zo graag willen weten of de operaties onder controle zijn als dat hij toezicht wil houden op de ontwikkeling en implementatie van de strategie. In het gedetailleerde document hebben we enkele suggesties opgenomen over hoe raden van bestuur deze dubbele verantwoordelijkheid zouden kunnen overwegen. Bovenal zijn we erg gericht op de noodzaak om risico’s te nemen en niet zozeer op de traditionele vooringenomenheid van veel risicomanagementprogramma’s, namelijk het vermijden van schade.

Bibliografie

Anderson, R. (2011). Risk Appetite & Tolerance Guidance Paper. Crow Horwath for Institute of Risk Management.

Download Risk Appetite & Tolerance. (Engels)

Selectie en vertaling door Jack Kruf