In de nieuwe governance code is risk appetite een sleutelwoord. Kort gezegd, dient het bestuur -na een risicoanalyse- te bepalen welke risico’s het bereid is te nemen in de realisatie van haar strategische doelstellingen. Deze risicobereidheid wordt aangeduid als “risk appetite”.
Gevolg zal zijn dat bestuurders vanaf 2017 een extern “risk appetite statement” dienen af te geven. De vraag hierbij is hoe transparant een bestuurder daadwerkelijk kan zijn. Maar belangrijker wat wel of niet extern transparant wordt gemaakt is dat het bestuur de risico-grenzen voor haar eigen organisatie vaststelt. Dit zijn de grenzen waarbinnen het management wordt geacht te werken en waarbinnen risico’s genomen kunnen worden.
Welke stappen?
Om als bestuur je risk appetite te kunnen bepalen zijn mijn inziens de volgende stappen te kunnen zetten:
- Wat is onze groei en innovatie strategie?
- autonome groei of groei door overnames? Nieuwe producten nieuwe landen?
- Wat zijn onze risico’s?
- een brede dialoog met oog voor de interne, strategische en externe risico’s
- Kaplans model helpt hierbij
- Wat is het worst case scenario financieel?
- een gekwantificeerd risicoprofiel is hiervoor noodzakelijk
- Hoeveel risico’s kunnen wij financieel dragen (risico-tollerantie)?
- welke risicobuffer (of weerstandsvermogen) heeft de organisatie
- hoe wendbaar/agile is de organisatie?
- Wat mag absoluut nooit in de krant staan?
- Imago en kwaliteitsrisico’s zijn steeds belangrijker
- Hoe effectief is onze huidige risicobeheersing?
- welke signalen komen er van internal control, compliance, audit, communicatie en contractmanagement?
Kaplan
Eigenlijk denk ik dat veel gemeenteraden eigenlijk al een risk appetite statement afgeven met hun paragraaf weerstandsvermogen. Op zoek naar voorbeelden uit het bedrijfsleven zie ik toch vooral de risk appetite statements rondom de harde en te kwantificeren risico’s van banken.
Gelukkig heeft Kaplan recent een artikel geschreven waarin ook ruimte is voor de niet financiële voorbeelden.