Risk als strategische partner

Maar voor veel risico’s bestaat een grijs gebied. Neem de huidige Covid-19-pandemie. De samenleving als geheel en farmaceutische bedrijven in het bijzonder moesten in korte tijd veel risico’s heroverwegen. Welke risico’s zijn we bereid te accepteren om zo snel mogelijk goede vaccins bij de mensen te krijgen? Dit is een typisch geval waarbij Risk kan helpen bij het uittekenen van een gebalanceerde aanpak. Een aanpak die afstemming zoekt tussen risicomanagement en strategie, bedrijfsdoelstellingen en -waarden en de manier waarop u met uw klanten en de samenleving omgaat.

Eerder sprak ik over Risk als adviseur en sparringpartner voor commerciële afdelingen. In dit blog probeer ik u te helpen dit in de praktijk te brengen. Ik heb vijf vragen geformuleerd die u kunt gebruiken om te beoordelen hoe u ervoor staat wat betreft afstemming en synergie tussen risicomanagement en de uitvoering van uw strategie. Kunt u vijf vinkjes zetten, dan zit het er dik in dat uw risicomanagement en uw strategie op dezelfde golflengte zitten.

1. Is er een vertaling van de bedrijfsstrategie naar een ‘risicostrategie’ en naar het risk appetite framework, als basis voor alle risicomanagementprocessen?

Begin met de afstemming tussen uw bedrijfsstrategie en uw raamwerk voor risicomanagement door uw organisatiestrategie te vertalen naar een ‘risicostrategie’. In dit proces moet u de bedrijfsstrategie en de bijbehorende risk appetite doortrekken tot in uw risicomanagement, tot aan het niveau van beleidsstukken, processen en procedures.

Tegelijkertijd is het nodig dat u uw risicostrategie harmoniseert met uw risicotaxonomie en dat de strategie binnen de kaders van de risicobereidheid blijft. Want dit is geen eenrichtingsverkeer; de afstemming moet beide kanten op plaatsvinden.

Om te zorgen dat uw risicostrategie niet zomaar een stuk (digitaal) papier wordt, is het belangrijk dat u haar regelmatig herziet en waar nodig aanpast, zodat interne en externe veranderingen erin terugkomen. Er moet ook sprake zijn van een terugkoppeling tussen de verschillende stappen van het raamwerk voor risicomanagement en de bedrijfsstrategie. 

Risk is in staat een bedrijfsbrede visie te formuleren. Het identificeren, beoordelen, mitigeren en monitoren van risico’s kunnen leiden tot waardevolle inzichten voor uw hele bedrijf. Het is belangrijk dat die inzichten terugkomen in de bedrijfsstrategie, of dat u de strategie zelf hierop aanpast. Als dit te complex klinkt, raad ik u aan het te zien als een cirkel van feedback en in elk geval niet als een rechte lijn. 

2. Is uw risk appetite framework toekomstgericht en alomvattend, en is het afgestemd op uw doelstellingen en waarden?

Uw risk appetite framework zou net als uw risicotaxonomie toekomstgericht, alomvattend, doelgericht en waardegedreven moeten zijn. U moet de mate van risicobereidheid afbakenen voor alle risico’s, inclusief nieuwe en opkomende. Want alleen dan is risicomanagement effectief en kan Risk ondersteunen bij de sturing van uw bedrijf. De mate van risico moet worden gedefinieerd en vervolgens adequaat worden gemeten, gemonitord en teruggekoppeld.

De risk appetite zelf moet u afstemmen op uw bedrijfsstrategie, uw doelstellingen en uw waarden, de behoeften van uw klanten en het klimaat waarin u opereert. Uw risicobereidheid bepaalt u niet alleen met behulp van financiële indicatoren op de korte termijn, maar ook met duurzame uitkomsten op de lange termijn.

Moet een retailbank lenen aan mensen met een lage kredietwaardigheid om ze een kans te geven op participate in de samenleving? Moet een investeerder focussen op groene producten die een lage winstgevendheid hebben, maar wel bijdrage leveren aan een versnelde energietransitie?

Puur vanuit financieel en traditioneel risicoperspectief waarschijnlijk niet. Maar als inclusiviteit en duurzaamheid onderdeel zijn van uw strategie en doelstellingen, is uw risicobereidheid onder dergelijke omstandigheden misschien genuanceerder. U bent dan vast in staat om manieren te vinden om meer risico te accepteren, op een verantwoorde en gecontroleerde manier. En op de langere termijn kunt u misschien wel risico’s zoals sociale onrust en klimaatverandering mitigeren.

3. Wordt uw risk appetite framework daadwerkelijk in de praktijk gebracht, begrepen en geïmplementeerd, en gebruikt om de dagelijkse bedrijfsvoering bij te sturen?

Doe wat u belooft. Uw risk appetite moet u doorvertalen naar kwantitatieve en kwalitatieve drempels en criteria, per bedrijfsonderdeel, product en bedrijfslocatie. Vervolgens koppelt u hieraan risicobudgetten die dienen als een raamwerk voor het maximale, maar ook voor het minimale risico dat genomen mag worden. En als iemand tijdelijk meer risicobudget nodig heeft, om bijvoorbeeld te investeren in groei in een competitieve markt, zal iemand anders het moeten doen met minder risico. Een zero-sum risk appetite game. 

Maar hebt u de inzichten om dit goed te managen? Bovendien moet u risk appetite vertalen naar stimulansen en een beloningsmodel voor senior management en medewerkers (vooral van commerciële afdelingen). 

Daarbij wil ik meteen aangeven dat u dergelijke meetbare criteria niet altijd blind moet opvolgen. Hoewel het cruciaal is om uw risicobereidheid tastbaar te maken, moet u de doelstellingen achter de concrete criteria regelmatig herzien. Op die manier voorkomt u dat de getallen geen vervanging worden voor het tot leven wekken van de risicostrategie, doelstellingen en waarden. 

Vraag uzelf af: zijn al uw mensen zich bewust van de bedrijfs- en risicostrategie, voorbij de risk appetite en de bijbehorende drempels, criteria en beloningsstructuren? En belangrijker nog, snappen ze wat dit betekent voor hun eigen dagelijkse werkzaamheden?

4. Is uw risk appetite zo gekalibreerd dat u op een gezonde manier risico’s kunt nemen, terwijl u wegblijft van ongewenste risico’s?

De drempels en de criteria voortkomend uit uw risk appetite statements zijn bedoeld om een gezonde hoeveelheid risico te nemen. En om tegelijkertijd onacceptabele risico’s te vermijden. Maar gek genoeg zie ik vaak in de praktijk dat de kalibratie van de risk appetite geen drempels bevat die zeggen: als je voorbij deze grens gaat, ben je te voorzichtig en zou je meer risico moeten  nemen.

In de risk appetite van banken zie ik vaak statements als ‘onze doelstelling is een liquidity coverage ratio (LCR) groter dan 160 procent’. Maar ik mis vaak: ‘een LCR hoger dan 180 procent is te duur en onnodig risicomijdend, dus als we een dergelijke barrière overschrijden, vergroten we onze risicopositie om zo extra inkomen vergaren’. In plaats van extra winst maken, kunt u die extra financiële ruimte ook inzetten als investering in het creëren van maatschappelijke waarde.

Of neem het voorbeeld van regulatory risk. Zero tolerance voor overtredingen van wet- en regelgeving klinkt aanlokkelijk, maar is niet realistisch. Het is simpelweg te duur om daadwerkelijk nul appetite te hebben - en te handhaven - voor regulatory breaches. 

Een meer praktische aanpak is om een beetje risico toe te staan en om tegelijkertijd te zorgen dat er goede tooling voor het detecteren van early warning signals is, die helpt om kleine, immateriële gevallen van non-compliance te registreren. Zo signaleert u gedragspatronen en kunt u tijdig ingrijpen om erger te voorkomen. En dit maakt risicomanagement doelstellingen ook echt haalbaar - want u hebt geen eindeloze budgetten voor Risk. 

5. Komt in uw risicorapportage de impact van risico’s op het halen van strategische doelstellingen terug, en gebruikt u risicorapportages bij besluitvorming?

Laten we het, om de cirkel rond te maken, nog even hebben over risicorapportages. Deze zijn er niet voor de lol, maar moeten direct en expliciet linken aan strategische doelstellingen. Het baart mij zorgen dat in veel bestuursvergaderingen de discussie beperkt blijft tot de oranje en rode velden van een risicorapport, en dat er vervolgens acties worden opgesteld om controls te verscherpen. Maar er is geen gesprek over wat deze red flags betekenen voor het al dan niet behalen van strategische doelen.

Risicorapportages (en risicomanagement) zijn onderdeel van de cirkel en moeten daarom direct laten zien wanneer strategische doelen niet worden behaald. Want dat is belangrijke informatie en leidt misschien wel tot heel andere vormen van interventie - ook vanuit de commerciële afdelingen. Maar zonder die expliciete link kunt u risicorapportages niet gebruiken voor besluitvorming en bijsturen van de business. 

Risicorapportages moeten risicomanagement helpen bij het ondersteunen van uw organisatie om gezond, scherp en competitief te blijven. Discussies over het al dan niet verscherpen van controls zonder verder fundamentele vragen te stellen over kosten en baten in verhouding tot strategische doelen, zijn niet het gesprek dat u moet voeren.

Doelgericht risico’s mitigeren

Zoals ik in het begin schreef: van sommige risico’s moet u ver weg blijven. Maar blijf uzelf afvragen: zijn mijn Risk-processen zo ingericht dat ze me echt helpen om risico’s te vermijden of te mitigeren? Ik kom wel eens risicorapportages tegen met indicatoren die al een tijdje op rood of oranje staan. Dan lijkt in de praktijk niemand zich er echt druk om te maken.

Dit is misschien wel een symptoom van een te risicomijdende risk appetite, want blijkbaar is in de praktijk de bereidheid en mogelijkheid tot het nemen van risico’s een stuk groter. Ik denk dat u dergelijke red flags alleen moet gebruiken als er direct interventie nodig is. En dan moet die interventie ook echt gebeuren. Als u slechts drie rode kaarten kon inzetten, welke problemen kiest u dan?

Even terug naar strategie en ons voorbeeld van de huidige pandemie: kunt u zich voorstellen hoe we er momenteel voor hadden gestaan als overheden en de farmaceutische industrie gezegd hadden dat ze liever wat minder risico wilden nemen bij de ontwikkeling van de vaccins? Terwijl de wereld juist het tegenovergestelde nodig had. 

Als u uw strategische doelstellingen op de juiste manier hebt meegenomen in uw raamwerk voor risicomanagement, en het lukt Risk om hierop goed aan te sturen, kunt u gezonde afwegingen maken als het gaat om risico versus return. Vooral als er een langetermijnvisie en doelgerichte lens nodig is. En andersom: als u resultaten van risicoprocessen gebruikt bij strategische besluitvorming, kan de business een organisatiebrede visie formuleren op waar uw organisatie naar toe moet.

Hoeveel vinkjes kunt u zetten? En laat me vooral weten hoe u hierover denkt!

Lees ook de eerdere delen van deze blogreeks:

• Een nieuwe kijk op risico's
• Zeven ingrediënten voor transformatie van risicomanagement
• Waarde creëren in tijden van kostendruk
• De marketing van risicomanagement
• De rol van taxonomie in de transformatie van risicomanagement
• Hoe u risicomanagement laat slagen
• Uw risicomanagers van de toekomst