3 stappen om eenvoudig uw Risk Appetite vast te stellen

Veel organisaties vinden het moeilijk om concreet te worden inzake Risk Appetite; uw bereidheid om risico’s te nemen. En dat is een gebrek want het is cruciaal voor echt een integrale werking van Risk Based Management.

Het ontbreken van een eenduidig door de board vastgesteld kader maakt dat de organisatie geen richtlijn heeft over wat wel en niet acceptabel is. En dus niet weet wanneer er gezocht moet worden naar aanvullende beheersing alvorens een risicovol traject doorgang kan vinden. Als de board al niet weet wat wel en niet acceptabel is……

Stap 1: bepaal de kernwaarden van de organisatie

Er kunnen maar een bepaald aantal waarden zijn die uw organisatie echt belangrijk vindt. Deze kunnen veranderen indien het businessmodel verandert maar dit kan niet regelmatig zijn. In deze context bedoel ik met kernwaarden zaken als klanttevredenheid, financiële continuïteit, voldoen aan wet- en regelgeving, veiligheid van medewerkers en klanten, reputatie, enz. 

Kernwaarden zijn iets anders dan doelstellingen en kunnen ook niet door elkaar gebruikt worden. Kernwaarden zijn de randvoorwaarden die goed moet zijn om de doelstellingen te bereiken.

Stap 2: laat de Board individueel stemmen

Een eenvoudige stap is om alle boardleden individueel aan te laten geven (op een schaal van 1-5  bijvoorbeeld) hoeveel risico acceptabel is voor de organisatie in hun ogen. Op dit moment komen de verschillen boven water. De recente ervaringen zullen in hoge mate invloed hebben op de score. Indien men net uit een financieel roerige periode komt zal de appetite lager liggen. Vervolgens is het zaak om op basis van een zorgvuldige onderbouwing gezamenlijk de appetite vast te stellen. Zorg er wel voor dat de schaalverdeling duidelijk is omschreven.

Stap 3: Eenvoudige toelichting per kernwaarde

Beschrijf in eenvoudige woorden per kernwaarde wat de organisatie wil wat er niet mag gebeuren. De volgende vragen kunnen hierbij helpen (indien mogelijk zo concreet mogelijk met cijfers onderbouwen):

  1. Wat mag er nog wel gebeuren?
  2. Wat mag er niet gebeuren?
  3. Wat moet er minstens tegenover staan?
  4. Welke actie verwacht je bij het nemen van een risico?
  5. Welke escalatie is gewenst?

Let op!

Het kan dus heel goed gebeuren dat er in een noodzakelijk project risico’s worden geïdentificeerd die de Risk Appetite te boven gaan. Dit betekent niet dat het project stopgezet moet worden. Er moet wel een alternatief bedacht worden om toch het doel te bereiken zonder At Risk te zijn op de belangrijke kernwaarden. Deze kunnen immers de organisatie omver trekken.

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on email
Email
Share on print
Print

In het kort:

Over de auteur
Over de auteur

Robert ’t Hart is directeur van Naris. Hij is een veel gevraagde spreker op congressen vanwege zijn positieve kijk op het onderwerp risicomanagement. Daarnaast is hij een enthousiaste blogger over de nieuwste ontwikkelingen. Als docent is Robert verbonden aan de Universiteit Twente en Haagse Hogeschool en tevens is hij trainer aan de Naris Risk Academy. Hij is thuis op het gebied van governance en risicomanagement en helpt organisaties bij het daadwerkelijk implementeren daarvan. Risico-cultuur en het creëren van draagvlak behoort tot zijn expertise.

Meer artikelen: