Risk appetite: Risico’s op het menu
Organisaties staan vaak bloot aan tal van risico’s. Het is zaak om zowel de waarschijnlijkheid als de impact ervan correct in te schatten. En dan moet ook nog de afweging worden gemaakt of de kosten van de beschermende maatregelen opwegen tegen de kosten van een risico.
In 2011 maakte de openbare vervoersmaatschappij MIVB een ranglijst op van ruim tachtig risico’s. Die lopen uiteen in diverse aspecten als exploitatie, infrastructuur, veiligheid, cybersecurity, noem maar op. “Die werden aan de hand van een Enterprise Risk Management (ERM)-proces gedefinieerd”, zegt Béchir Tahanti. Als Head of General Staff bij de MIVB overziet hij het risicodepartement dat bestaat uit verschillende community’s uit de verscheidene afdelingen. “Er zijn veel verschillende soorten risico’s. Het is onze taak om deze correct in te schatten en de nodige processen te voorzien om ermee om te gaan”, duidt Béchir Tahanti.
‘Schaal’
Risk appetite, of de risicobereidheid van een organisatie, is de geijkte terminologie. Zeker in de financiële wereld is risicobeheer stevig ingeburgerd. Nieuwe regels (met namen als Code Tabaksblat, Europese Transparantie Richtlijn, Code Banken, Basel III, Solvency II) zorgen voor extra druk als het gaat om risicomanagement. De fraudegevoeligheid en gereglementeerde omgeving met tal van toezichthouders maken dat de sector van banken en verzekeraars daar bijzonder ver in staat.
“En toch is ook daar nog ruimte voor verbetering”, zegt Napatsorn Kraiwong. Ze is project consultant bij de divisie Financial Institutions van TriFinance Nederland. Momenteel werkt ze in de verzekeringssector aan de inrichting van een zogeheten GRC (Governance, Risk & Compliance) tooling, waarbij de risico’s in kaart worden gebracht, geïnventariseerd, de risicobereidheid geanalyseerd, en de specifieke maatregelen daaraan worden gekoppeld. Zo wordt risicomanagement geïntegreerd in de reguliere bedrijfsvoering en managementactiviteiten, en wordt het toepassen en monitoren ervan op één geïntegreerd platform gefaciliteerd.
Elke risicogebeurtenis heeft twee kenmerken: de waarschijnlijkheid dat het zou kunnen gebeuren en de impact die het zou hebben als het zou gebeuren. Napatsorn Kraiwong: “De risk appetite wordt uiteraard door het bestuur gemaakt, zij geven betekenis aan de ranking (1 tot en met 5) en geven aan wanneer het buiten de risk appetite valt. In dat geval moeten er specifieke maatregelen worden genomen.”
Wij challengen constant mensen en systemen. Tegelijk beseft iedereen het belang ervan.
‘Paranoïde’
Bij de MIVB hebben ze zich voor die analyse geïnspireerd op ISO 31000, een reeks normen met betrekking tot risicobeheer, gecodificeerd door de International Organization for Standardization. “Zo hoefden we het warm water niet opnieuw uit te vinden”, zegt Béchir Tahanti glimlachend. “We zijn wellicht iets te voorzichtig in ons risicobeleid, maar het is tegelijk onze cultuur. Niets is onmogelijk, dus zijn we wat paranoïde, in de goede zin van het woord.” Het menselijk handelen is en blijft de zwakke schakel in elke organisatie. “Dat menselijke aspect is cruciaal”, erkent Béchir Tahanti. “Bij problemen analyseren we elke situatie grondig, en met de nodige afstand. Er is geen cultuur van blaming, maar tegelijk zijn er wel controles.”
Napatsorn Kraiwong: “Bij software kun je fouten uitfilteren. Bij handmatige handelingen moet je zorgen voor extra controles en via gerichte checks proberen de impact te verlagen.”
De vervoersmaatschappij kreeg in 2011 het duidelijke signaal én de middelen van de algemene directie om haar risicobeheer te professionaliseren. “Het is niet nice to have, het is een must, onze taak en onze verantwoordelijkheid”, bezweert Béchir Tahanti. Napatsorn Kraiwong ervaart een tweestrijd. “Het behaalde rendement dient immers afgezet te worden tegen de hoeveelheid genomen risico en de kosten van vermogen. Wij challengen dan ook constant mensen en systemen. Tegelijk beseft iedereen het belang ervan.”