Hervorm uw risicotaxonomie

Klimaatverandering, technologische vernieuwing, geopolitieke onzekerheden, vergrijzing en afnemend vertrouwen in instituties: al deze ontwikkelingen hebben een ontwrichtende werking op traditionele verdienmodellen en bedreigen zo het voortbestaan van bedrijven. Ondertussen bevinden uw mensen zich in het oog van de storm, waardoor menselijk gedrag een cruciale factor is voor uw succes.

Van globaal tot lokaal: wat heeft dit te maken met mijn risicotaxonomie?

‘Wat heeft dit allemaal te maken met mijn risicotaxonomie? Dit is gewoon weer een risicobeleid, toch?’ Nou, ik zou zeggen dat het er alles mee te maken heeft. En nee, het is niet gewoon een of ander beleidsstuk. Het gaat om de hoeksteen van uw risicomanagement en daarmee om het voortbestaan van uw organisatie in een veranderende wereld.

Het is belangrijk dat u een volledig overzicht hebt van alle risico’s die relevant zijn voor uw organisatie. Vandaag, maar ook morgen. Alleen dan kunt u bepalen hoe u zich moet organiseren, kunt u ervoor zorgen dat u de juiste vaardigheden in huis hebt, kunt u de grootste risico’s prioriteit geven, kunt investeren waar u nodig acht en kunt u goede strategische besluiten nemen.

In dit blog ga ik in op de rol van de risicotaxonomie in het anticiperen en reageren op nieuwe en opkomende risico’s.

Wat is een risicotaxonomie en waarom doet het ertoe?

Taxonomieën vinden hun oorsprong in de wetenschap, bijvoorbeeld in biologie, en zijn een manier om iets te classificeren, bijvoorbeeld planten en dieren. Of als u zoals ik een voorkeur hebt voor scheikunde: het periodieke stelsel van elementen. 

In risicomanagement classificeren we materiële risico’s waarmee een organisatie te maken heeft in een zogeheten risicotaxonomie. Dit helpt bij het prioriteren en beheersen van risico’s. De taxonomie is het startpunt voor uw risicostrategie en risk appetite, uw risicolimieten en -drempels, uw risicobeleid en -procedures.

Zo kan de risicotaxonomie werken als een katalysator voor verandering in andere gebieden van risicomanagement. Als een risicotype expliciet is opgenomen in de taxonomie, zal dit risico bovendien meer aandacht, budget en kundige medewerkers krijgen. Kortom: als een risico een plaats heeft in de risicotaxonomie, wordt het gemanaged.

Huidige risicotaxonomieën zijn verouderd

Waar ga ik heen met dit verhaal? Mijn aanname is dat er grote kans bestaat dat uw risicotaxonomie is verouderd. Waar ik kom in mijn werk als risk consultant zie ik vaak dat taxonomieën zich richten op de risico’s van gisteren en niet op die van morgen. Daardoor zijn ze niet voldoende toekomstgericht. Zelfs als nieuwe en opkomende risicotypes wel zijn opgenomen, zijn  ze vaak verborgen in de traditionele hiërarchie van de risicotaxonomie.

Laten we ons eens focussen op nieuwe bedreigingen als klimaat, cyber en gedrag (de ‘triple c’: climate, cyber en conduct). Vraag uzelf eens af waar deze zich bevinden in uw risicotaxonomie. Is klimaatrisico (en het bredere concept environmental risk) een van de belangrijkste risico in uw taxonomie? Want dat zou het moeten zijn.

Is cyberrisico een subcategorie van technologierisico, wat weer valt onder operationeel risico? Dat is niet goed genoeg. En zijn gedragsrisico’s überhaupt opgenomen in uw taxonomie of zijn ze onder compliancerisico geschoven? Dat is niet hetzelfde. Deze nieuwe risico’s verdienen veel meer aandacht, en dat gebeurt niet. Of in elk geval niet snel genoeg. 

Geen tweedeling tussen financiële en niet-financiële risico’s

Bij financiële instellingen zie ik vaak taxonomieën die beginnen met een onderscheid tussen financiële en niet-financiële risico’s. Ik denk niet dat die splitsing nog veel zin heeft. Is klimaatrisico bijvoorbeeld financieel of niet-financieel? En is de impact van gedragsrisico niet vaak ook financieel? Je kunt beweren dat bij deze voorbeelden de classificering van risico’s is gebaseerd op hun oorsprong en niet op het soort impact.

Maar is de oorsprong van kredietrisico eigenlijk wel financieel? De aanleidingen voor een voorziene lening kunnen veelvuldig zijn, ook niet-financieel.

Mijn punt is dat deze niet-financiële risico’s, en andere nieuwe risicotypes, worden ondergewaardeerd. Een ander voorbeeld om dit te illustreren is dat vooral in het bankwezen ik nog vaak zie dat risicotaxonomiën (en daarbij behorende organogrammen van risicofuncties) alleen onderscheid maken in krediet-, markt- en operationeel risico. Onder dit laatste staan dan de  overige risicotypes. Dit sluit niet genoeg aan bij het risicolandschap behorend bij de hedendaagse samenleving en leidt tot onvoldoende aandacht voor risicotypes als klimaat, cyber en gedrag.

En classificering doet er toe. Denkt u eens aan het periodieke stelsel van elementen. Zou het hebben uitgemaakt voor de wetenschap en onze levens als we gestopt waren bij gassen, metalen en ‘andere elementen’? Of als we als mensen onderdeel hadden uitgemaakt van de familie van de grote apen en, vervolgens alles binnen die familie hetzelfde hadden behandeld? 

Van theorie naar praktijk

Dit klinkt misschien wat theoretisch. En inderdaad, de risicotaxonomie zou zeker geen doel op zich moeten zijn, maar een middel waarbij het doel is om alle risico’s waarmee uw organisatie te maken heeft, te beheersen. Inclusief een aantal grote opkomende risico’s. Mijn zorg is dat dat niet gebeurt. Of dat Risk het tempo van de veranderende wereld niet bijhoudt.

Stelt u zichzelf eens de volgende vragen:

• Hebt u uw risk appetite bepaald voor klimaat-, cyber- en gedragsrisico’s, met bijbehorende limieten, early warning levels en drempels?
• Hebt u data, modellen en scenarioanalyse tot uw beschikking om deze risico’s te meten?
• Hebt u budget en cost of risk gealloceerd voor deze risico’s aan uw verschillende businesslijnen, producten en gebieden?
• Hebt u cijfers voor deze risico’s in de beloningsstructuur van uw management en staf?
• Hebt u risicobeleid en -procedures doorgevoerd om deze risico’s te beoordelen en waar nodig te mitigeren, en erover te rapporteren en zijn de noodzakelijke controls aanwezig en effectief?
• Hebben uw medewerkers de juiste vaardigheden om daadwerkelijk een grip te krijgen op deze risico’s, en beschikken uw bestuursleden over dergelijke capaciteiten?
• En mocht dit niet het geval zijn, is er dan in elk geval een duidelijke roadmap om al dit bovenstaande te gaan implementeren?

Om eerlijk te zijn denk ik van niet. Ik realiseer me ook dat ik nu generaliseer en niet iedere lezer van dit blog recht doe. Zoals het gezegde luidt: wie de schoen past, trekke hem aan. 

Het zou fantastisch zijn om goede voorbeelden te hebben waar we allemaal van kunnen leren. Ik weet dat ze er zijn. Het enige wat ik zeg is dat er een duidelijke noodzaak is om nieuwe en opkomende risico’s beter te managen. Een revisie van uw risicotaxonomie is de eerste stap. De wereld verandert en risicomanagement moet zich aanpassen.

Lees ook de eerdere delen van deze blogreeks:

• Een nieuwe kijk op risico's
• Zeven ingrediënten voor transformatie van risicomanagement
• Waarde creëren in tijden van kostendruk
• De marketing van risicomanagement