En kontinuerlig diskussion om rätt riskaptit behövs - men inte för teoretiskt, tack!
Begreppet riskaptit har bland både riskexperter och lekmän i många år skapat livliga och kontroversiella diskussioner om dess nytta i det praktiska riskarbetet. Experterna bakom den globala riskhanteringsstandarden ISO 31000 gick 2009 till och med så långt att inte ens definiera eller nämna begreppet eftersom man tyckte att begreppet var för akademiskt, inte har någon praktisk betydelse och bara skapar förvirring. Min erfarenhet säger mig att det säkert ligger något i det. Samtidigt tycker jag det en brist i standarden eftersom man inte kan bortse från att detta metaforiska begrepp ofta används i riskdiskussioner och försöker sätta ord på något som kanske är svårt att definiera – just som en metafor borde göra. Därför används begreppet i diskussioner ofta också av icke-riskexperter som beskriver sin eller organisationens vilja att ta vissa risker och vissa inte. Det är tecken på att de flesta människorna skulle snabbt förstå vad riskaptit ger uttryck för nämligen den risknivån man är beredd att acceptera när man vill uppnå sina mål. Med andra ord är man inte bara beredd att lukta på risken utan också att svälja den så länge den bedöms vara värd det i förhållande till vad man vill åstadkomma.
I juli i år publicerades ännu ett papper om riskaptit. Den gången var det Financial Stability Board FSB som publicerade en Consultative Document med titeln ”Principles for An Effective Risk Appetite Framework” . Utgångspunkten för pappret var att man efter den senaste finanskrisen upptäckte att många banker inte hade en uppfattning om vilken risknivå som var acceptabel och vilken inte. Å andra sidan hade vissa banker definierat en acceptabel risknivå men inte hade någon övervakning på plats för att säkerställa att beslut som togs exponerade banken bara inom den accepterade ramen. Intressant är att FSB i dokumentet inför begreppet Risk Appetite Framework som jag tycker är svårt att avgränsa från Risk Management Framework. Dessutom används begreppet Risk Limits i stället för Risk Tolerance i ett försök att göra det lättare att förstå hur Risk Tolerance förhåller sig till riskaptit. ”Begreppsstriden” tar upp fart igen…
Ytterligare organisationer som de senaste åren har skrivit om eller gett vägledning till definition, implementering och övervakning av riskaptit är COSO och IRM . European Bank Agency EBA kräver i sina GL44-regler att riskaptit ska definieras för samtliga risktyper, och Finansinspektionen FI har i sitt remissutkast till nya regler för styrning, riskhantering och kontroll i kreditinstitut i sin nuvarande version gått med på det. Alla dessa avhandlingar är i stort sett överens om att ett definierat mått för den accepterade risknivån ska för alla i organisationen ge en bindande ram att förhålla sig till i sina beslut vilket i längden kan skapa ”rätt” kultur av risktagandet.
I teorin låter det bra men i verkligheten har det trots alla förklaringsförsök visat sig att en enda övergripande riskaptit för en hel organisation må vara lättdefinierad men svårhanterbar. Det hänger bland annat ihop med problemet att inte kunna mäta alla typer av risker i pengavärde. Dessutom kan den acceptabla risknivån vara väldigt rörlig beroende på riskområdet vilket gör det svårt att alltid ha koll på hur mycket riskvilja redan har utnyttjats.
Ni ser att problematiken är komplex. Men det finns hopp!
Här vill jag inte bli för detaljerad utan bara dela med mig några lärdomar som jag lärt mig under alla år i samband med diskussioner kring riskaptit. Dessa lärdomar stämmer i många fall väl överens med avhandlingarna ovan:
- Det finns fler än bara en riskaptit. Jag tycker det är svårt att top-down definiera en enda riskaptit för en hel organisation. Det är däremot enklare att bottom-up utifrån en övergripande riskanalys definiera de viktigaste eller mest kritiska riskerna först och sedan sätta en acceptabel risknivå för var och en av dem, som till exempel ”Vi har en noll-tolerans vad gäller mutor”, eller ”En enskild kund ska inte utgöra mer en 30 % av våra årliga intäkter”, eller ”Vi gör inga affärer som utsätter mer än 10 % av vårt eget kapital för risk”. Av erfarenhet är det ett konkret och handfast tillvägagångssätt vilket skapar en förståelig ram som medarbetarna har lättare att förhålla sig till. Den samlade bilden av alla definierade ”riskaptiter” utgör till slut organisationens aggregerade men ”virtuella” riskaptit.
- Befintliga policys och styrande dokument är en bra källa för att identifiera den redan implementerade eller önskade risknivån i en organisation. Policys förväntas ge uttryck för hur vissa risker ska bemötas via regler, processer och rutiner. Att se över befintliga policys ger vägledning i arbetet kring vilka acceptansnivåer redan är definierade eller bör definieras.
- Det räcker tyvärr inte att definiera och kommunicera acceptabla risknivåer. Ett robust internkontrollsystem är nödvändigt för att över tiden etablera en kultur av risktagande som sitter i väggen och ligger i linje med organisationens riskaptit.
- För mig finns det ingen tvekan om nyttan med en organisationsövergripande uppfattning om vilken riskaptit som gäller. Dock har jag lärt mig att inte ens nämna begreppet riskaptit så länge inte mina kunder nämner det eller vill att vi ska prata om just riskaptit. Beroende på organisationens mognadsnivå i riskhanteringen kan det nämligen leda till förvirring från första början vilket måste undvikas. Jag försöker i stället att närma mig begreppet genom att till exempel fråga:
o ”Finns det exempel på att ni tagit för mycket risk eller för lite risk? Vad hängde det ihop med?”
o ”Är styrelsen och ledningen alltid överens om vilka risker ska accepteras och vilka inte? Finns det olika mått på riskacceptans?”
o ”På vilka risker har ni identifierat ett gap mellan befintlig och önskad kontrollnivå?”
o ”För vilka av era mål är ni beredda att ta större risker än för andra?”, etc.
Som jag ser på det är det fullt möjligt att etablera rätt riskaptit i en organisation utan att ens nämna begreppet. Bra va’?
Jag ser fram emot den fortsatta diskussionen kring ämnet med mina kunder!