.png){kind=small}
Risicomanagement gaat niet over alle risico’s uitsluiten. Het draait om het maken van bewuste keuzes: waar geven we ruimte aan ondernemerschap, waar trekken we een heldere lijn en wanneer grijpen we in. In dat spanningsveld spelen twee begrippen de hoofdrol: risk appetite (of risicobereidheid) en risk tolerances. In theorie lijken ze overzichtelijk, in de praktijk lopen ze vaak door elkaar. Zonde, want organisaties die hun risicohouding scherp formuleren én vertalen naar hanteerbare grenzen, nemen sneller betere beslissingen en sturen beter.
Laten we daarom niet in opsommingen vervallen, maar het verhaal vertellen van hoe risk appetite en risk tolerances tot leven komen, van de bestuurskamer tot op de werkvloer.
In deze blog leggen we het verschil uit tussen de twee begrippen, laten we zien hoe je risk appetite en risk tolerances inricht, en geven we praktische voorbeelden en valkuilen.
Risk appetite en risk tolerances. Het strategisch kompas en de vangrails langs de weg.
Stel je een organisatie voor die hard wil groeien met digitale diensten. In de bestuurskamer wordt gesproken over innovaties, marktaandeel, klantveiligheid en toezicht. Er is ambitie, maar ook onzekerheid. Op dat moment helpt risk appetite: het bestuurlijke kompas dat aangeeft hoeveel risico acceptabel is om strategische doelen te bereiken. Risicobereidheid is geen tabel met percentages, maar een richtinggevende uitspraak. Het bestuur kan zeggen: we zijn bereid enige reputatierisico’s te nemen bij baanbrekende innovaties, zolang klantveiligheid en wet- en regelgeving niet in het geding komen. Of: we hebben geen enkele tolerantie voor fraude en ernstige veiligheidsincidenten. Zulke zinnen klinken eenvoudig, maar ze geven in één keer richting aan talloze dagelijkse keuzes.
Dat kompas alleen is niet genoeg. Gedurende de dagelijkse uitvoering wil je weten: waar ligt de grens precies? Daar komen risk tolerances in beeld. Dat zijn de concrete, operationele vangrails, vaak gekoppeld aan operationele doelen. Waar risk appetite zegt “we willen geen langdurige uitval van kritieke systemen”, maken tolerances dat praktisch: uptime van 99,9 procent per maand, een hersteldoel van maximaal één uur, beveiligingspatches binnen 72 uur. De combinatie is krachtig: een duidelijke intentie aan de top, vertaald naar meetbare bandbreedtes in de operatie.
Waarom het verschil ertoe doet
Zonder uitgesproken risk appetite gaan beslissingen op gevoel. De ene keer kiest men voor snelheid, de andere keer voor veiligheid, afhankelijk van wie er aan tafel zit. En zonder risk tolerances wordt sturen moeilijker: teams zien wel dat “het beter moet”, maar niet wanneer er echt een grens is overschreden. Het gevolg is herkenbaar: discussies over cijfers in plaats van over risico’s, verrassingen in rapportages en irritatie tussen “de business” en “risk”.
Het onderscheid haalt die ruis weg. Het bestuur zegt in heldere taal op welke risico’s acceptabel zijn en welke niet. De organisatie krijgt concrete bandbreedtes om binnen te handelen. Internal audit kan vervolgens toetsen of het raamwerk klopt én werkt: sluiten de grenzen aan op de strategie, zijn de indicatoren betrouwbaar, worden overschrijdingen tijdig opgevolgd?
Van de bestuurskamer naar de werkvloer
Neem een fictieve organisatie, DeltaNova, actief in de energiesector. De strategie is scherp: versnellen met digitale dienstverlening, de keten verduurzamen en de operationele betrouwbaarheid verhogen. In een werksessie bespreekt het bestuur geen vragenlijst, maar concrete dilemma’s. Zijn we bereid een deel van de marge in te ruilen voor versnelde CO₂-reductie? Willen we de time-to-market met dertig procent verkorten, ook als de eerste release dan meer kwaliteitsissues kent? Hoeveel afhankelijkheid van één toeleverancier vinden we acceptabel wanneer de prijs fors lager is?
De antwoorden worden gevat in korte risk appetite-uitspraken. Voor innovatie luidt die bijvoorbeeld: “Gematigde risk appetite voor reputatierisico bij marktintroducties, mits klantveiligheid en compliance onaangetast blijven.” Voor cybersecurity: “Zeer lage risk appetite voor vertrouwelijkheids- en beschikbaarheidsincidenten op kritieke systemen.” Voor compliance: “geen risk appetite voor opzettelijke overtredingen; zeer laag voor materiële tekortkomingen.” En voor ESG en veiligheid: “Nul risk appetite voor ernstige veiligheidsincidenten en mensenrechtenschendingen in de keten.”
Daarna komt het echte werk: de cascade naar de operatie. Samen met IT, productie, commercie en HR vertaalt de tweede lijn (risk & compliance) de uitspraken naar indicatoren en drempels die ertoe doen. Niet vijftien signalen per domein, maar een handvol die echt sturen. Bij cybersecurity worden uptime, hersteldoel, patch-achterstanden en phishing-klikpercentages gekozen. Bij compliance gaat het om het aantal materiële bevindingen, de tijdigheid van training en de doorlooptijd van KYC-dossiers. Bij veiligheid kijkt men bijvoorbeeld naar near-miss meldingen en de afhandeling van acties binnen afgesproken termijnen. Zo wordt de risicohouding zichtbaar in het dagelijks werk.
Groen, oranje, rood, maar dan met consequenties
DeltaNova werkt met duidelijke bandbreedtes. Zolang indicatoren in het groen staan, is er vrijheid om binnen de kaders te optimaliseren. Oranje betekent: er is spanning op de lijn, er moet worden bijgestuurd en de eigenaar legt vast welke acties volgen en wanneer effect zichtbaar moet zijn. Rood is geen “we houden het in de gaten”, maar een verplicht escalatiemoment: het management stelt een herstelplan op, de tweede lijn monitort en er wordt een keuze vastgelegd. Soms hoort daar risk acceptance of risico accepatie bij, een bewuste, gedocumenteerde afwijking van de tolerantie, ondertekend door iemand met de juiste bevoegdheid. Niet om het dashboard mooi te houden, maar omdat omstandigheden veranderen en ondernemerschap ook het nemen van verantwoorde afwijkingen vergt.
Cruciaal is dat eigenaarschap glashelder is. Voor iedere indicator is vastgelegd wie meet, uit welke bron, hoe vaak, welke definities gelden en welk escalatiepad wordt gevolgd. Dat voorkomt het bekende “iedereen is verantwoordelijk”-syndroom, waarbij uiteindelijk niemand het is.
Ook het zachte wordt concreet
Niet alles laat zich vangen in cijfers, maar ook voor gedrag, cultuur en reputatie zijn werkbare afspraken te maken. DeltaNova heeft bijvoorbeeld “zeer lage risk appetite voor integriteitsschendingen” vertaald naar: alle meldingen worden binnen dertig dagen onderzocht en afgerond; periodiek wordt cultuur gemeten en afgezet tegen een sectorbenchmark; elke ‘substantiated’ melding kent een passende maatregel die zichtbaar wordt teruggekoppeld. Voor reputatie kiest men proxies die ertoe doen: het trendmatige sentiment in klantfeedback, de klachtenratio per productlijn en het aantal klachten op sociale kanalen. Het zijn geen perfecte maatstaven, maar ze maken bespreekbaar wat anders abstract blijft.
De drie lijnen zonder schotten
In de praktijk werkt het raamwerk alleen als de rolverdeling natuurlijk aanvoelt. De eerste lijn, business en operatie, stuurt binnen de afgesproken grenzen, monitort de indicatoren en handelt afwijkingen af. De tweede lijn ontwerpt en kalibreert het raamwerk, bewaakt onafhankelijk de overschrijdingen en adviseert over risk acceptance. De derde lijn toetst of ontwerp én werking deugen: sluiten de risk appetite-uitspraken aan op de strategie, zijn de tolerances logisch ten opzichte van de draagkracht van de organisatie, is datakwaliteit op orde en gebeurt escalatie op tijd en volgens afspraak?
Een illustratief moment: in het eerste kwartaal na invoering kleurt het phishing-klikpercentage oranje. IT en HR starten een gerichte awareness-campagne, passen de testfrequentie aan en leggen vast binnen welke termijn verbetering zichtbaar moet zijn. Een maand later is het lampje groen. Even later kleurt het klachtenratio bij een nieuw digitaal product rood. Commercie wil door, maar de risk appetite statement over klantveiligheid biedt houvast. Er volgt een beperkte release-pauze, een bugfix-sprint en een heldere communicatie naar klanten. Niet leuk, wel consequent. Het is precies wat een goed raamwerk doet: sneller en consistenter besluiten mogelijk maken.
Van gevoel naar getal: kalibreren en leren
Risk appetite en risk tolerances bepaal je niet eenmalig op onderbuikgevoel. DeltaNova combineert top-down richting met bottom-up data. Historische variatie, externe benchmarks en incidentanalyses vormen het startpunt. Voor financiële en operationele drempels worden simpele stresstesten gedaan: wat betekent een drempel voor liquiditeit, voor levertijden, voor klantvertrouwen? Voor nieuwe indicatoren draait men een dry run mee: een kwartaal lang meten zonder harde consequenties, zodat de organisatie leert hoe de bandbreedtes uitpakken. Is alles permanent rood, dan is de lat te strak; staat alles groen, dan scherpt men aan. Zo groeit het raamwerk met de werkelijkheid mee.
Belangrijk daarbij is het onderscheid tussen risk appetite en capacity. Risk appetite is wat je wílt dragen; capacity is wat je kúnt dragen zonder dat continuïteit in gevaar komt. De tolerances moeten binnen die capacity blijven. Anders klinkt de ambitie stoer op papier, maar blijkt ze in de praktijk onhoudbaar.
De verleiding en de valkuilen
Elke organisatie herkent ze. De eerste is de poster-appetite: fraaie volzinnen die niet landen in de operatie. De tweede is de dashboard-inflatie: zoveel indicatoren dat niemand ze nog kan duiden. De derde is de datadiscussie: onduidelijke definities leiden tot eindeloze debatten over de meter in plaats van over het risico. En dan is er nog de verdwijntruc: overschrijdingen zonder helder escalatiepad die in het luchtledige blijven hangen.
De remedie is: vertaal elke uitspraak naar enkele kernindicatoren met heldere definities; leg bron, eigenaar en escalatie vast; oefen het gesprek aan de top met concrete scenario’s in plaats van abstracte vragen; en plan elk jaar een risk appetite-review, of eerder als de strategie of het speelveld verandert. Daarmee wordt risk appetite geen eenmalige exercitie, maar een vast onderdeel van het bestuurlijke ritme.
Stakeholders als kompasnaald
Een werkend raamwerk kijkt niet alleen naar interne doelen, maar ook naar wat stakeholders verwachten. Klanten willen leverbetrouwbaarheid en eerlijke communicatie; toezichthouders vragen aantoonbare beheersing; medewerkers verlangen een veilige werkomgeving en duidelijke keuzes; de samenleving kijkt naar milieu en mensenrechten. Door die verwachtingen expliciet te betrekken en de onvermijdelijke trade-offs uit te spreken, voorkom je verrassingen. Het maakt het bovendien makkelijker om bij incidenten transparant te communiceren: je kunt laten zien welke grenzen je hanteert en waarom je bepaalde keuzes maakt.
Eerst kiezen, dan meten
Wie appetite en tolerances goed inricht, merkt het in de dagelijkse praktijk. Vergaderingen duren korter, omdat de richting vooraf is bepaald. Dashboards worden dunner, maar betekenisvoller. Discussies verschuiven van “is dit cijfer wel goed?” naar “wat zegt dit over ons risico en welke keuze hoort daarbij?”. En internal audit kan haar rol waarmaken door met objectieve blik te toetsen of het systeem doet wat het belooft.
De kern is eenvoudig: eerst kiezen, dan meten. Formuleer in begrijpelijke taal waar je wél en niet voor gaat. Vertaal dat naar hanteerbare grenzen met duidelijke eigenaars. Organiseer een strak escalatiepad en een jaarlijkse herijking. En zorg dat het verhaal klopt voor iedereen: van de bestuurder die koers zet tot de collega die dagelijks de indicatoren bijstuurt.
Wil je die stap zetten en risk appetite en risk tolerances laten werken voor jouw organisatie? Ferocia helpt bij het formuleren van scherpe uitspraken, het kiezen van relevante indicatoren en het verankeren ervan in besluitvorming en rapportage. Zodat risicomanagement geen papieren tijger is, maar een praktische manier om met vertrouwen te durven, te doen en tijdig bij te sturen.
Neem contact met ons op
Meer weten? Neem dan contact met ons op. Wij helpen je graag verder!
