Voor deze vraag moeten we terug naar de eerste beginselen en nadenken over het werkelijke doel van risicomanagement. Hiervoor wenden we ons tot de epistemologie, de kennistheorie en in het bijzonder de wetenschap van de grenzen van onze kennis. Vaak wordt er gezocht naar een zeker fundament of criterium, zij het intern in de mens zelf, zij het extern ergens in de buitenwereld, dat als garantie kan dienen voor zekere kennis. Garantie en vermogensbeheer? Dan moeten we dus eerst meer weten over de kennis van risico’s! Niet alleen kennis over risico’s… Want soms kan manipuleren, maskeren en masseren onbewust gebeuren en zullen risico management processen het onderscheid moeten kunnen maken tussen bewust en onbewust. Bekend en onbekend.
Er zijn heel veel soorten risico’s waar we voor staan als financiële dienstverleners – niet in tegenstelling tot risico’s die vroege zeevarende ontdekkingsreizigers moesten trotseren. Waar wij menen te kunnen managen op een risico taxonomie, moesten onze voorvaderen de zeeën trotseren op basis van kaarten – en hoe nauwkeurig kon men daar op varen? In de vroege jaren was Europa wel bekend. Ook in financiële context zijn er risico’s die we kennen – de ‘bekende bekenden’: bijvoorbeeld hoge frequentie – lage impact risico’s. Hoewel deze ons niet failliet zullen doen gaan op korte termijn, is het belangrijk dat wij deze risico’s modelleren om onze inkomstenstroom te beschermen tegen domme fouten.
Er zijn ook risico’s waarvan we weten dat we ze niet kennen – de ‘bekende onbekenden’: bijvoorbeeld de impact van de volgende financiële zeepbel, natuurrampen, terreur aanslagen, et cetera. We hebben een idee hoe ze eruit zien, en we weten dat ze kunnen gebeuren en ons hard kunnen raken, dus moeten we de gevolgen daarvan proberen te begrijpen en er ook kapitaal voor aanhouden om onszelf te beschermen.
In de praktijk is vaak de belangrijkste focus van risicobeheer en toezicht op deze eerste twee categorieën. Echter, in veel gevallen zijn bedrijven in de problemen geraakt door de volgende onherkenbare type risico’s.
Risico’s die we denken te weten, maar we eigenlijk niet weten: zoals het “eiland” van Californië op onze kaart – op de kaarten van Heinrich Scherer uit de 17e eeuw stond Californië op de kaart vermeld als een eiland; inmiddels weten we de geografische locatie wel beter – en dus hoe daarop te varen. In risico terminologie zijn dit onder meer operationele risico’s, integriteitsrisico’s en complexe financiële structuren. Het echte gevaar hier is het over-vertrouwen en de overtuiging dat de risico’s worden beheerst, terwijl ze dat in feite niet zijn. Dit maakt toekomstgerichte operationeel risico technieken des te belangrijker. Operationeel risico in de breedste zin. Want zoals Kaplan al lange tijd geleden schreef: elk (financieel) risico kent z’n oorsprong in operationeel risico.1 En hoe maskerend is nu dit over-vertrouwen?
Dan hebben we nog de risico’s waarvan we niet weten dat we ze niet weten: onbekend per definitie. Dit is de ‘zwarte zwaan’ (een term bedacht door de auteur Nassim Nicholas Taleb), waarvan we ons altijd bewust moeten zijn dat ze bestaan en dus moeten proberen te voorkomen om ons daaraan bloot te stellen. Maar we moeten wel bewust erkennen dat onze modellen nooit op dergelijke risico’s zullen anticiperen door hun aard. In hoeverre heeft uw risk management beleid al een invulling gegeven aan Model Risk Appetite?
Maar nu ook het maskerende binnen de epistemologie. Een vijfde aspect dat niet de neiging heeft om veel aandacht te krijgen, maar uiteindelijk de oorzaak is van (denken wij) de meeste financiële problemen: Risico’s die we liever niet wíllen weten: Dit zijn bijvoorbeeld bedrijf afhankelijke risico’s die enigszins en slechts door weinigen worden herkend, maar niet in detail onderzocht zijn omdat temperende maatregelen een wijziging van het business model zou afdwingen. En dat willen sommigen niet! En kan het maskeren van dergelijke risico’s het (ongewenste!!!) effect zijn. Denk bijvoorbeeld aan het Barings debacle van destijds: er was een accountantsrapport dat vrij vernietigend schreef over functiescheiding ten kantore van Nick Leeson maar zijn bazen in Londen wilden daar niets van weten – het was zeer kort voor ‘bonus pay date’… Het bestaan van deze risico’s is het teken van een ongepaste risico cultuur, waar de risicomanagers niet voldoende steun, macht of prikkel hebben om hun werk goed te doen. Dit kan alleen worden aangepakt door middel van het veranderen van de aard van het risicobeheer in de organisatie en de verdere empowerment van de CRO.
Noot
- Jacob Jacoby and Leon B. Kaplan (1972), “The Components of Perceived Risk”, in SV – Proceedings of the Third Annual Conference of the Association for Consumer Research, eds. M. Venkatesan, Chicago, IL: Association for Consumer Research, Pages: 382-393.
in VBA Journaal door Paul de Beus en Loranne van Lieshout, namens de VBA commissie Risk Management