
Risk appetite is de tegenpool van uw doelen. Het geeft aan hoe ver u wilt gaan om doelen te bereiken. En het maakt duidelijk wat de ultieme kostprijs van het nemen van risico volgens uw organisatie mag zijn.
Het concept risk appetite is bedacht door professionals om een organisatie beheersbaar of ook wel ‘in control’ te houden. In het kader van risicomanagement wordt het begrip voor het eerst gedefinieerd in het COSO-ERM-raamwerk (2004): ‘De risicoacceptatiegraad is de hoeveelheid risico die een organisatie bereid is te nemen in het bereiken van haar doelstellingen.’

Deze definitie geeft aan wat risk appetite is. Maar de belangrijkste vraag is niet wat iets is of hoe u het gebruikt, maar waarom het bestaat. Dat zegt Simon Sinek in zijn boek Begin met waarom (2012). Het antwoord op de waarom-vraag bepaalt of we de goede dingen doen. De antwoorden op de hoe- en wat-vragen bepalen of we de dingen goed doen. In dit artikel laten we anoniem een aantal risicomanagers aan het woord om antwoord te geven op deze waarom-, hoe- en watvragen. Aan de hand van hun verhalen ontdekten we dat risk appetite meer is dan de balans tussen risico en rendement. Het is ook balanceren tussen het beperken of versterken van medewerkers en tussen durven loslaten en blijven vasthouden.
Beperken of versterken?
Unaniem stellen de tien bedrijven die we interviewden dat het doel van risk appetite is de organisatie of de medewerkers te sturen. Iedere geïnterviewde gelooft dus dat risk appetite dit mogelijk maakt. Dit laat echter niet de verschillen zien in wat men gelooft. Neem bijvoorbeeld een van de geïnterviewden, werkzaam bij een handelsbedrijf. Het bedrijf is omzetgericht, heeft een verkoopafdeling met een cowboymentaliteit en heeft personeel in dienst dat continu de grenzen van het toelaatbare opzoekt om doelen te realiseren. Over risk appetite

zegt deze risicomanager: ‘Het is elke keer weer afwegen hoe kort kan ik de bocht afsnijden, zonder dat ik me daar later een buil aan val.’ Blijkbaar heeft men behoefte aan een ethische en financiële grens die niet mag worden overschreden, anders ontstaan er problemen. Risk appetite laat dus zien hoe ver men mag gaan, het is grensstellend. De metafoor voor risk appetite in dit type organisatie is de medewerker als autocoureur die met raceregels en vlaggen van de raad van bestuur veilig kan racen op een circuit.
Lijnen van het veld
De risicomanager van een vastgoedbedrijf spreekt ook over risk appetite als grens maar in heel andere bewoordingen: ‘Wat wij er onder verstaan is eigenlijk, een parallel trekkend met voetbal, de lijnen van het veld. Waar willen we binnen blijven?’ Deze lijnen zijn ethische en financiële grenzen vertaald en verankerd in de dagelijkse bedrijfsvoering. Binnen deze lijnen werkt het team autonoom en in onderling vertrouwen samen aan het bereiken van de teamdoelen. Risk appetite helpt om samen te werken, om sterker te worden als team. De metafoor voor risk appetite in dit type organisatie is de medewerker als speler in een voetbalteam met de raad van bestuur als trainer aan de zijlijn. Het is duidelijk dat in deze voorbeelden het handelsbedrijf veel meer risico accepteert dan het vastgoedbedrijf. De risk appetite die men kiest, moet geloofwaardig zijn voor de medewerkers. Het sturen van de organisatie en medewerkers is alleen mogelijk als u een geloofwaardig verhaal kunt vertellen over het waarom van

risk appetite binnen uw organisatie. Dit maakt duidelijk hoe uw organisatie stuurt op ‘in control’ zijn: door te beperken of door te versterken. Tip: Bedenk een metafoor voor de rol die risk appetite speelt in uw organisatie. Past die meer bij voetballen of racen? Dan weet u waarom uw organisatie risk appetite nodig heeft.
Durven loslaten of blijven vasthouden?
Als u weet waarom uw organisatie aan de slag moet met risk appetite, hoe geeft u dat dan vorm? Aan de hand van de interviews distilleerden we drie normen die bedrijven hanteren.
Norm 1: Wie een doelstelling bepaalt, bepaalt ook de daarbij behorende risk appetite. Wanneer u verantwoordelijk bent voor het behalen van doelen, kiest u daarvoor een bepaalde strategie en de mate van risico die daarmee samenhangt.
Norm 2: Doelstellingen en risk appetite worden op meerdere lagen in de organisatie bepaald. Hoe lager in de organisatie, hoe kleiner en specifieker de doelstellingen en de risk appetite.
Norm 3: Het geheel van doelstellingen en de risk appetite van alle lagen samen sluiten aan bij die van de top. Uiteindelijk legt de top verantwoording af aan de belanghebbenden, dus die heeft de finale zeggenschap.
In de interviews ontdekten we vier manieren waarop bedrijven vormgeven aan doelstellingen en risk appetite.
1. Bottom-up
Bij de bottom-upvariant bereidt de risicomanager of de functioneel verantwoordelijke directeur de risk appetite voor en stelt de raad van bestuur deze vast. Bij een IT-bedrijf die deze bottom-upvariant hanteert, worden van bovenaf kaders gesteld door middel van verantwoordelijkheden, limieten en escalatieniveaus. Het initiatief voor het bepalen van risk appetite ligt echter op lagere niveaus. Door interactie komt men tot overeenstemming. Een lokale risicomanager van het Itbedrijf verwoordt dit als volgt: ‘Het is aan mij om iets te vinden over risk appetite en mijn standpunt te bepalen, maar het is niet aan mij om finaal te besluiten. Dus moet ik het afstemmen op directieniveau.’ Men handelt dan in lijn met alle drie normen.
2. Topless
Bij de toplessvariant stelt een staflid de risk appetite vast zonder ruggespraak met de raad van bestuur. Bij een productiebedrijf waar dit gebeurde, vond de risicomanager die de risk appetite had ontwikkeld dit zelf een onwenselijke situatie. Duidelijk is dat in deze variant men niet volgens norm 1 en 3 handelt. Het volgende citaat van de risicomanager suggereert dat hij de voorkeur geeft aan de bottom-upvariant. ‘Ik kan een voorstel doen en dan moet de ondernemingsleiding uiteindelijk zeggen: “oké, dit is onze risk appetite” en zij moet daarvoor dan verantwoordelijk zijn.’
3. Topdown
Bij de topdownvariant stelt de raad van bestuur de doelen en risk appetite vast voor de dochterondernemingen of de

lijn. Bij een energiebedrijf was daardoor de invloed van de businessunits op de doelstellingen en de risk appetite zeer gering. De risk appetite werd ‘van de bovenkant opgelegd via de planning- en controlcyclus door de CFO en aan de onderkant gemasseerd door workshops’. Naast een van boven opgelegde risicomatrix en risicolimiet kreeg men ook nog eens het beheer over een zeer risicovol bedrijfsonderdeel. Er werden dus behoorlijke prestatietargets en een kleine risk appetite opgelegd. Omdat in deze variant lagere niveaus niet zelf doelstellingen en risk appetite mogen bepalen, komt norm 2 in de knel.
4. Top-up
Het eerdergenoemde vastgoedbedrijf past een methode toe die lijkt op de top-downmethode maar tegelijk veel beslissingsbevoegdheid neerlegt op lagere niveaus. Van bovenaf stuurt men de lijn aan met autorisatielimieten, wet- en regelgeving en ethische normen. Aan de hand hiervan en hun eigen kennis van zaken beslissen medewerkers of risico’s acceptabel zijn. De verantwoordelijkheid voor risicomanagement, ook het bepalen wat acceptabel is, is daarmee belegd bij de medewerkers, erop vertrouwend dat zij juist oordelen. De risicomanager vertaalde norm 2 als volgt: ‘De persoon die op dagelijkse basis de beslissingen neemt dat is de persoon die de risk appetite moet inschatten op de door hem gestelde doelen.’ De basis van de organisatie beslist, de top faciliteert. De top vult dus aan: top-up. Een belangrijke voorwaarde voor succes bij deze variant is dat medewerkers bewust of onbewust bekwaam zijn dit te doen. Alleen als dit vertrouwen terecht is, komt norm 3 niet in het geding.
Boundary, belief en diagnostic controls
Bij alle varianten ontdekten we dat risk appetite is vertaald in een AO-IC omgeving. Deze geeft men vorm met procedures, processen, autorisatielimieten, taken, verantwoordelijkheden en bevoegdheden. Daarnaast tracht men normen en waarden te sturen en om te vormen tot een bedrijfscultuur via risk policies en codes of conduct. Dit helpt de top om op het gebied van risk appetite in control te zijn door middel van wat Simons (1995) boundary controls noemt.
Bij de top-downmethode stelt de top daarnaast ook kwantitatieve diagnostic controls voor risk appetite vast. Deze diagnostic controls operationaliseert men met risicomatrices, risicobeheersingsmethodieken en risicolimieten. Bij de bottom-up en toplessvarianten laat men het initiatief voor het bepalen van deze diagnostic controls voor risk appetite over aan lagere niveaus in de organisatie. Daarbij ontbreekt bij de toplessvariant echter het mandaat van de top. De top is niet betrokken en is dus niet in staat verantwoording af te leggen over de risk appetite.
Alleen bij de top-upvariant bepaalt men de risk appetite voor specifieke risico’s niet vooraf maar achteraf on the job.
Men geeft medewerkers een duidelijke visie mee en maakt dus gebruik van belief controls. In de top-upvariant kan de top achteraf diagnostic controls uitvoeren door een overzicht te genereren van de op lagere niveaus geaccepteerde risico’s en te meten of deze binnen de overall risk appetite van de top vallen. Het ontwikkelen van risk appetite is niet alleen het balanceren tussen risico en rendement. Het vraagt allereerst van de top dat hij een balans vindt tussen het beperken en versterken van zijn medewerkers. Vervolgens balanceert de top tussen het durven loslaten of vast blijven houden van beslissingsbevoegdheden rond risk appetite. Dat lijkt een groot risico maar het kan ook veel rendement opleveren.
Dr. Arie de Wild is lector Gedragseconomie aan Hogeschool Rotterdam en gepromoveerd op het proefschrift Unraveling risk appetite.
Rick Duits BBA is assistent accountant bij Alfa Accountants en Adviseurs en bij Hogeschool Rotterdam afgestudeerd met een honours degree.
Literatuur
The Committee of Sponsoring Organizations, Enterprise Risk Management – Integrated Framework. Executive Summary. Framework, september 2004.
Sinek, S, Begin met het waarom – De gouden cirkel van ondernemen, Business
Contact, 2012.
Simons, R, Levers of Control: How Managers Use Innovative Control Systems to Drive
Strategic Renewal, Harvard Business School Press, 1995.