Overzicht › Domein 1 · Foundations › Les 8 · AI Risk Taxonomy

Risk Appetite, Tolerance & Treatment-autoriteit

Domein 1 · Risk Taxonomy lec 10 Appetite = het board-plafond. Tolerance = de operationele marge waarbinnen je stuurt.

Het kernverschil

Appetite vs. Tolerance — worden constant verwisseld

	Risk Appetite	Risk Tolerance
Niveau	Board-approved strategisch plafond	Operationele marge rond appetite
Beantwoordt	Wat accepteren we in principe?	Bij welk specifiek metric-niveau escaleren we?
Vorm	Narratief + testbaar plafond	Specifieke metrics & drempels
Voorbeeld	"Geen residual high bias-risk in hiring zonder board-sign-off"	"Demographic parity ratio < 1.2 vóór escalatie naar ethics board"

De vertaalketen
Appetite vormt de grenzen → Tolerance definieert de operating-range erbinnen → KRI's maken tolerance real-time zichtbaar. Elk vertaalt het niveau erboven naar iets meetbaarders.

BOARD

Appetite

Strategisch plafond voor residual, alle categorieën.

→

PROGRAMMA

Tolerance

Vertaald naar ranges met specifieke metric-drempels.

→

MONITORING

KRI's

Drempels geoperationaliseerd in response-zones.

↕ Omgekeerd: aanhoudend amber → tolerance aanscherpen; onoplosbaar rood → appetite-review op board-niveau.

Board-level appetite-statements

Drie types — elk testbaar

Per categorie

Category-level

Acceptabele residual per categorie. "Geen residual high security-risk in customer-facing AI zonder board-exception."

Portfolio

Portfolio-level

Aggregaat-limieten. "Max 10% van AI-systemen mag op enig moment unmitigated high inherent risk dragen."

Escalatie

Escalation-threshold

Triggert automatische committee-rapportage. "Incident met mogelijke boete > $1M → audit committee binnen 24u."

✅ De test

Kun je het checken tegen een register, rapport of KRI? Zo niet → het is narratief, geen governance.

Vier valkuilen bij appetite-statements
① Onmeetbare taal ("we hebben lage tolerantie") · ② Categorie-omissie (security/compliance wél, bias/privacy niet) · ③ Stale (nooit herzien — review minstens jaarlijks) · ④ Geen escalatiepad (geen trigger-metric + benoemd orgaan = onhandhaafbaar).

Wie tekent wat

Treatment authority matrix

Definieert wie elke treatment mag goedkeuren bij elk residual-niveau — én welke documentatie vereist is.

Residual	Goedkeuringsautoriteit	Documentatie
Low	Risk owner / department manager	Record in het register
Medium	Risk committee-review vóór acceptatie	Committee-besluit
High	C-suite sign-off	Acceptance-memo → board risk committee (ter info)
Critical / appetite-breach	Board-level escalatie	Treatment-plan + response-timeline

Regel
Mondelinge acceptaties zijn geen geldige treatment-records — het zijn ongedocumenteerde beslissingen die de audit trail niet kan dragen.

Tolerance op monitoring-niveau

De vier response-zones

Verdeel de risicoruimte in zones — elk gekoppeld aan een vooraf vastgelegde respons, niet enkel een alert.

🟢 Green

Onder de tolerance-drempel. Normale operatie, standaard review-cadans.

🟡 Amber

Nadert de grens. Monitoring-frequentie omhoog, risk owner genotificeerd.

🟠 Red

Op/voorbij de tolerance-drempel. Onmiddellijke escalatie naar risk committee / executive sponsor.

⚫ Black

Appetite-breach. Board-level escalatie; treatment-beslissing binnen een vast window.

De geplande cadans is voor normale operatie. Escalatie-triggers zijn voor al de rest.

Bij overschrijding van appetite

De escalatie-verplichting — niet optioneel

Documenteer breach

Welk risico, categorie, wanneer ontdekt, huidige residual.

→

Escaleer meteen

Naar de autoriteit uit de authority matrix.

→

3 opties + cost-benefit

Verdere mitigatie · transfer · board-accepted exception.

→

Besluit + update

Gedocumenteerd binnen het window; register bijwerken.

Meest voorkomende governance-falen
Een breach die wél gedocumenteerd maar níét geëscaleerd wordt. De breach is opgemerkt — maar niemand wil een high-risk finding naar de board brengen. Vooraf vastgelegde triggers + timelines halen die politiek uit het moment.

Begrippen

Glossarium

Risk appetite: Board-approved strategisch plafond voor residual risk.
Risk tolerance: Operationele marge rond appetite, in specifieke metrics/drempels.
Treatment authority matrix: Wie welke treatment mag goedkeuren per residual-niveau + vereiste documentatie.
Response-zones: Green / Amber / Red / Black — elk met vooraf vastgelegde respons.
Appetite-breach: Residual boven het board-plafond → black zone → board-escalatie.
Escalatie-trigger: Vooraf bepaalde drempel + benoemd orgaan dat de melding ontvangt.

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

"Demographic parity disparity ratio moet onder 1.2 blijven vóór escalatie." Wat is dit?

Een risk appetite-statement

Een risk tolerance-drempel (operationele marge, specifieke metric)

Een treatment authority matrix

Een board-exception

Juist: tolerance. Het is een specifieke, meetbare drempel waarbij escalatie afgaat. Appetite is het bredere board-plafond ("geen residual high bias-risk zonder sign-off").

VRAAG 2

Wat is het meest voorkomende governance-falen rond appetite-breaches?

Te veel escaleren

De KRI-drempel te laag zetten

De breach wordt wél gedocumenteerd maar niet geëscaleerd — niemand wil de finding naar de board brengen

Mondelinge acceptatie is altijd voldoende

Juist. Vooraf vastgelegde escalatie-triggers met timelines voorkomen dat escalatie politiek of vertraagd wordt op basis van wie de breach ontdekt en onder welke druk die staat.

← Terug naar overzicht