Het is een veelgehoorde term, maar wat er nou precies mee bedoelt wordt? In deze post leg ik uit wat het is, waarom bijna iedereen het heeft, hoe jet het kunt gebruiken en waarom je het kunt gebruiken.

Wat is risicobereidheid?

Heel simpel: het vaststellen in hoeverre jij bereid bent om (bepaalde) risico’s te nemen. Het wordt ook wel risico tolerantie genoemd: in hoeverre tolereer (accepteer) jij risico’s in het nastreven van je strategische doelstellingen? Sommige mensen zijn van zichzelf vrij risico zoekend; zij worden ook wel risico-preferenten genoemd. Risico-averse mensen vermijden liever (alle) risico’s en houden het graag veilig.

Er is geen officiële vastgestelde definitie van de term, er is ook geen vastgelegde methode. Je kunt dus helemaal zelf beslissen of je het inzet en hoe je dat doet. Voor zover bij mij bekend komt de term voort uit de bankenwereld en is daar zo goed als volledig ingeburgerd.

Waarom hebben veel organisaties een risicobereidheid?

Zoals gezegd komt het voort uit de bankenwereld; daar wordt het gebruikt om concreet aan te geven hoeveel risico men op welke gebieden wil lopen. Nu handelen banken vrijwel exclusief in financiële producten en is het voor een bank dus wat gemakkelijker om hun tolerantie te kwantificeren. Dit houdt in dat je een gegeven als “meetbare grootheid behandeld”. Oftewel, in cijfers uitdrukt. In het jaarverslag 2020 van Rabobank staat de volgende tabel:

Ook hier zie je (nog) geen cijfermatige limieten maar een tekst die omschrijft hoe Rabobank per risico type omgaat met risico’s. Helemaal rechts zie je de KRI’s (key risk indicators) die gebruikt worden om te monitoren of en wanneer de bank over hun eigen limiet heen gaat, en dus meer risico dreigt te nemen dan wenselijk. We zien hier niet wat precies de limieten zijn. Ik vermoed dat er intern wel duidelijke, harde limieten zijn, maar dat die vanwege concurrentiegevoeligheid hier niet gepubliceerd worden.

Hoe werkt dat dan? Een voorbeeld: bij het eerste risico type Credit risk zie je rechts de derde KRI staan genaamd Concentration limits. Credit risk is het krediet risico wat een bank loopt, oftewel de risico’s op uitstaande leningen (bijvoorbeeld hypotheken). De KRI concentratie limieten geeft vervolgens aan in hoeverre de bank haar leningen geconcentreerd wil hebben binnen een bepaalde categorie. Dat kunnen branches zijn, regio’s, leeftijdsgroepen van huiseigenaren, type huizen etc.

Voor veel bedrijven is het lastig om duidelijke kwantitatieve limieten te formuleren, en toch proberen zij zich in dit format te wurmen. Sla er maar een wat jaarverslagen op na, het staan er vaak in, maar of het in de praktijk ook gebruikt wordt? Soms is het zelfs allemaal maar voor de bühne; ik vind het dan zonde van je tijd. Vaak zie je een risicobereidheidtabel die er ongeveer zo uitziet:

Risico categorie	Tolerantie
Compliance	Zero tolerance
Innovatie	Hoog
Financiën	Laag
Reputatie	Zeer laag

In tegenstelling tot de vrij concrete en duidelijke tabel van de Rabobank, is deze tabel nogal vaak. De risico categorie zijn erg kort omschreven zonder duidelijke definitie en ook de tolerantie behoeft meer duiding. Wat is laag? En wat is zeer laag? Rabobank heeft een zogenaamde RAS (risk appetite statement) per risico categorie toegevoegd om te omschrijven wat hun tolerantie is. Dit kan al een goede start zijn om je risico tolerantie scherper te definiëren.

Toepassing van risicobereidheid

Tja, hoe pas je je risico tolerantie vervolgens toe in je beslissingen? Ik heb gemerkt dat als je geen concreet doel hebt, de risicotolerantie in een la verdwijnt. Daarnaast kan de interpretatie van deze woorden verschillen per persoon, waardoor je alsnog overschrijding van toleranties krijgt (ten minste, in minimaal één opzicht dan). M.i. kun je drie manieren toepassen om risico tolerantie te gebruiken:

1. Concrete limieten vaststellen en kwantitatief monitoren.

Bepaal je risico categorieën, types of specifieke risico’s en zet er limieten op. Deze moeten traceerbaar en te monitoren zijn. Dit kan bijvoorbeeld per maand gebeuren, automatisch of handmatig. Veel bedrijven werken met een stoplicht model: groen als je er ruim onder (of boven) blijft, oranje als je er dicht in de buurt komt en rood is erop of eroverheen. KRI’s zijn hierbij belangrijk.

Een limiet voor kredietrisico kan dan bijvoorbeeld op 10% worden gezet (maximaal 10% van onze kredieten worden verstrekt aan bedrijven binnen de glastuinbouw, aan te duiden met SBI codes ###), zodat de bank niet onevenredig hard geraakt wordt als bijvoorbeeld een bepaalde branche erg onder druk staat. Achmea had in juni 2016 zo’n probleem: zij waren zwaar oververtegenwoordigd in de glastuinbouw en toen er een zware hagelstorm veel schade aanrichtte, mocht Achmea 300 miljoen euro uitkeren (bron). Overstromingen in Limburg of aardbevingsschade in Groningen zijn voorbeelden van regio gebonden risico’s.

Je kunt ook vaststellen dat grote klanten niet meer dan bijv. 1% van je portfolio in beslag mogen nemen, of dat je omzet van minimaal 10 verschillende klanten moet komen zodat je niet afhankelijk wordt van één klant. Door je portfolio te verdelen spreidt je de risico’s ook, en met deze KRI kun je je blootstelling (exposure) aan dat risico monitoren.

2. Kwalitatieve limieten vaststellen en elke beslissing hieraan toetsen

Deze methode gaat niet uit van meetbare KRi”s en cijfers, maar van waarden en principes. Triodos Bank is een goed voorbeeld voor deze methode. Op hun website worden de volgende kernwaarden genoemd:

Het schijnt dat bij Triodos Bank elke beslissing aan deze kernwaarden getoetst wordt. Dus ook de bijvoorbeeld de inkoop van pennen of thee voor op kantoor. Zij willen niet in zee met een leveranciers of een product dat niet aan hun kernwaarden voldoet, dit valt buiten hun risico tolerantie.

Dit kun jij ook doen. Uiteraard heb je hiervoor kernwaarden nodig. Om dit goed in praktijk te brengen zijn twee dingen belangrijk: een duidelijke formulering van de kernwaarden én een stevige organisatiecultuur waarin dit gekoesterd wordt. Loze woorden en termen die je niet verder gedefinieerd hebt zullen je hierin niet helpen. Daarnaast: wees ook bereid om dus nee te zeggen als een klant of leverancier niet voldoet; anders heeft het geen zin om deze methode te gebruiken.

3 Sla je beleidstukken na

Je hoeft geen risicobereidheid formeel vast te stellen om er iets mee te doen. Ongemerkt hebben de meeste ondernemers dit vaak al gedaan, door bijvoorbeeld goedkeuringslimieten voor declaraties of facturen toe te passen. Of door incasso bepalingen op te nemen in hun algemene voorwaarden om het risico te voorkomen dat klanten niet betalen. De bankierseed en artseneed zijn ook voorbeelden: zero tolerance op misbruik van macht, het wordt alleen niet als dusdanig bestempeld.

Eigenlijk is dit een voorbeeld van reversed engineering: ga terugzoeken waar jij impliciet al limieten hebt ingesteld om bepaalde risico te voorkomen, te beperken of uit te sluiten. Zet ze op een rijtje en zie een patroon ontstaan op welke gebieden jij bereid bent risico te nemen, en waar niet.

Waarom zou je het inzetten?

In mijn ogen is risicobereidheid niets meer dan een hulpmiddel bij het nemen van beslissingen. Je bedenkt van te voren hoe ver je wilt gaan of waar je minimum is en stelt dat vast. Dit voorkomt dat je grenzen overgaat die je achteraf niet over had willen gaan, of dat je werk doet voor, wat achteraf blijkt, te weinig geld. Het is dus geen heilige graal die eenmaal vastgesteld altijd zo moet blijven. Behandel het als levend document – probeer het uit en als het blijft dat je limieten iets te strak of te los staan, pas ze aan. Doe dat niet iedere keer dat je een besluit moet nemen om dat besluit maar met ja te kunnen beantwoorden – dat heeft geen zin.

Conclusie

Risicobereidheid kan als nuttig hulpmiddel ingezet worden om je eigen risico tolerantie te monitoren en te voorkomen dat je al te veel blootgesteld wordt aan bepaalde risico’s. Niets meer, niet minder.

Beeldwerk via Unsplash