Analyse van het ORM-systeem

In deze paragraaf wordt aan de hand van de in hoofdstuk 2 benoemde aspecten en de beschrijving daarvan in hoofdstuk 3, een nadere analyse van het ORM-systeem gegeven.

Operationeel risico

Er worden verschillende definities gehanteerd. In het ORM-beleid wordt de definitie van Bazel-II gehanteerd, dat naast mensen en processen ook systemen en externe gebeurtenissen noemt. Dit komt doordat het ORM-beleid eind 2006 ad hoc is ingevoerd onder druk van RN om te voldoen aan eisen van Bazel-II, waarbij onvoldoende afstemming met andere beleidsstukken heeft plaatsgevonden. Dit heeft geen grote consequenties, omdat het ORM-systeem zich in de praktijk hoofdzakelijk richt op de mensen en de processen en in mindere mate op externe gebeurtenissen.

9 7 6 5 4 3 1 8

Raamwerk Operationeel Risicomanagement

De inrichting van het ORM-systeem benoemt een periodieke risicoanalyse als onderdeel van het planningsproces en een risicoanalyse bij projecten en nieuwe of gewijzigde processen.

De risicoanalyse bij projecten wordt echter niet structureel gemaakt door onbekendheid bij projectleiders. Bij nieuwe of gewijzigde processen vindt geen risicoanalyse plaats door capaciteitsgebrek bij procesondersteuning.

Dit leidt er toe dat operationele risico’s niet geïdentificeerd worden, men zich niet van die risico’s bewust is en deze risico’s niet beheerst worden.

Daar waar het ORM-proces wel wordt doorlopen krijgt dit onvoldoende invulling door het volgende.

1. Risk identification

Voor het werken aan de risicoperceptie van de medewerkers Particulieren zijn in het ORM-systeem specifieke punten ingericht. In de praktijk worden echter geen casussen in het werkoverleg

besproken, wordt het ORM-discussiespel niet gebruikt en worden de risico’s en beheersmaatregelen in processen niet met medewerkers doorgesproken. De Verkoopleider Particulieren a.i. geeft aan onbekend te zijn met de voorbeeldcasussen van andere Rabobanken. Daarnaast blijkt in het

werkoverleg geen ruimte voor beheersing, de nadruk ligt op onderwerpen aangaande de commercie. Het woord “risico” of “risicomanagement” komt in de notulen van de werkoverleggen van CA in de eerste zes maanden van 2007 niet voor.

Om te voorkomen dat bij de risico-inventarisatie belangrijke risico’s niet worden geïdentificeerd is een hulpmiddel beschikbaar waarbij diverse invalshoeken worden gehanteerd. Dit hulpmiddel is wel gehanteerd bij het planningsproces in 2006, maar alleen door de toenmalige Verkoopleider

Particulieren in samenwerking met de controller Particulieren. Door prioriteit te geven aan

commercie en niet aan beheersing is er voor gekozen Teamleiders en medewerkers daar niet bij te betrekken. Daardoor is de volledigheid van de risico-inventarisatie minder waarschijnlijk dan als dit wel zou zijn gebeurd.

Om te voorkomen dat de geïnventariseerde risico’s niet juist worden ingeschat, zijn diverse bronnen als input voor de risicoanalyse benoemd. Doordat deze bronnen door onbekendheid met de

werkwijze, bij de periodieke risicoanalyse niet structureel zijn gehanteerd is de kans groter dat risico’s niet de juiste aandacht krijgen.

3. Assessment

De inrichting van het ORM-systeem benoemt alleen de Zelfscan-ORM voor het initieel vaststellen van de kwaliteit van het ORM en als jaarlijkse voortgangsmeting op dit gebied. De inrichting voorziet echter niet in een assessment waarin wordt vastgesteld welke van de geïdentificeerde risico’s zijn gelopen en of de daarbij benoemde beheersmaatregelen voldoende werken. Men verlaat zich volkomen op het inrichtingsadvies van RN met daarin alleen het topdown benoemen van werkwijzen en het inzicht dat met behulp van de KRI’s wordt verkregen. Er is, geheel conform “het geloof in de machine”, die zo kenmerkend is voor een machinebureaucratie, geen aandacht voor de kwalitatieve informatie die uit de assessments met medewerkers kan komen.

In de praktijk zijn de resultaten en de verbeteracties vanuit de Zelfscan-ORM, door onbekendheid met het instrument, onvoldoende gebruikt. De resultaten zijn niet gerapporteerd aan en besproken in het MT-overleg, waardoor het beleggen van de verantwoordelijkheid hiermee geen invulling krijgt. De belangrijke items uit de Zelfscan-ORM zijn niet besproken met de medewerkers, waardoor deze niet bewust gemaakt worden van de geconstateerde control gaps, waardoor de kans dat ze daarbij in de fout gaan groter wordt.

4. Measurement and monitoring

De Risk drivers worden door onbekendheid met het hulpmiddel en vraagtekens bij de voorspellende waarde van de indicatoren in RISK, die pas twee maanden na het kwartaal beschikbaar komen, maar in beperkte mate gebruikt om toekomstige aandachtspunten te benoemen. Daardoor kan het

gebeuren dat de beheersing van operationele risico’s niet tijdig wordt aangepast en operationele verliezen worden geleden.

De registratie van de Loss history wordt door onbekendheid met het instrument niet gebruikt om concentraties van operationele risico’s te signaleren, waardoor ineffectieve beheersmaatregelen of niet uitgevoerde beheersmaatregelen daarmee niet worden gesignaleerd en herhaling van deze operationele verliezen niet wordt tegengegaan.

De incidenten die in de Loss history worden geregistreerd worden, doordat de nadruk in de

werkoverleggen ligt op onderwerpen aangaande de commercie, niet besproken. Daardoor wordt er niet geleerd van de incidenten, wordt de risicoperceptie van medewerkers niet gewijzigd en wordt herhaling van dergelijke incidenten niet tegengegaan.

5. Reporting

De inrichting voorziet niet in Risk maps op basis van de resultaten uit assessments, zoals bij punt 3 hiervoor al benoemd. Wel wordt een Risk map op basis van de Loss history als hulpmiddel

aangereikt.

Over de resultaten van assessments wordt niet gerapporteerd, zie punt 3 hiervoor.

Over de voortgang van benoemde acties op het gebied van ORM wordt wel gerapporteerd, maar dit heeft niet geleid tot tijdige bijsturing. De betreffende acties zijn eind 2006 door de toenmalige Verkoopleider Particulieren benoemd en door de Verkoopleider Particulieren a.i. daarna niet opgepakt door tijdgebrek in combinatie met de focus op “scoren” en de wisseling van de wacht bij de leidinggevenden.

Succesfactoren Operationeel Risicomanagement

Redenerend vanuit de gestelde succesfactoren voor het implementeren van ORM, ligt de oorzaak voor de onvolledige werking van het ORM-proces in het volgende.

1. Senior management support

In beleidsstukken wordt ORM vooral benadrukt vanuit de noodzaak om te voldoen aan regelgeving. Slechts in beperkte mate wordt de invloed van ORM op kwaliteitsverbetering en de verlaging van het vermogensbeslag benadrukt.

Het belang van risicomanagement als beleidsinstrument tot het veiligstellen van de

ondernemingsdoelstellingen komt in de inrichting duidelijk naar voren. Dit belang wordt door de leidinggevenden wel erkend, maar krijgt in de praktijk op onderdelen onvoldoende invulling door tijdgebrek in combinatie met de focus op “scoren”.

2. Toegevoegde waarde voor organisatieonderdelen

De registratie van (verwachte) verliezen wordt onvoldoende gebruikt om van toegevoegde waarde te zijn voor de afdeling Particulieren. Daardoor zijn de medewerkers die een rol spelen in het ORM-proces binnen de afdeling Particulieren, vanuit de gedachte: “what’s in it for me?”, minder geneigd hun tijd aan ORM te besteden.

3. Prestatiebeloning

Het deelnemen aan activiteiten in het ORM-proces wordt niet gestimuleerd met prestatiebeloning vanuit een kosten-baten benadering. Doordat de nadruk bij de vertaling van speerpunten uit het segmentplan naar PM-doelen op commercie ligt, is de beheersing en daarmee het deelnemen aan activiteiten in het ORM-proces, niet in de PM-doelen opgenomen. Doordat dit niet is opgenomen in de PM-doelen krijgt het ORM-proces, vanuit het perspectief “What gets rewarded, really counts!”

4. Consistente risicodefinities

Er worden verschillende risicodefinities en verschillende indelingen naar categorieën van operationeel risico gehanteerd, waardoor het niet mogelijk is om de resultaten uit verschillende bronnen te aggregeren en met elkaar te vergelijken. Dit komt doordat in de hulpmiddelen die vanuit RN worden aangereikt, enerzijds wordt voldaan aan de indeling naar risicocategorieën volgens de ROB en anderzijds aan de indeling volgens de Bazel-II akkoorden.

De consequentie hiervan is dat het signaleren van “best practices” bij andere afdelingen niet plaatsvindt en ineffectieve beheersmaatregelen of niet uitgevoerde beheersmaatregelen niet of niet tijdig worden gesignaleerd, waardoor herhaling van operationele verliezen kan plaatsvinden.

5. Kwaliteit van de medewerkers in het ORM-proces

De medewerkers die een rol spelen in het ORM-proces zijn niet of onvoldoende bekend met het ORM-beleid en de hulpmiddelen die voor het ORM-proces zijn aangedragen. Door de wisseling van de wacht en de topdown implementatie van het ORM-beleid is geen van de direct leidinggevenden van Particulieren daarbij betrokken geweest en door de focus op “scoren” is daarna onvoldoende aandacht hieraan gegeven. Daarnaast is er geen opleiding voor ORM opgenomen in de leerplanners, die bij de verschillende functies binnen de Rabobank bestaan. Deze onbekendheid met de

hulpmiddelen maakt dat het ORM-proces op onderdelen onvoldoende invulling krijgt.

6. Het moet een dynamisch proces zijn

Er wordt maar een keer in het jaar gedurende het planningsproces een ORM-risicoanalyse gemaakt, waardoor niet constant naar nieuwe risico’s wordt gezocht. Er is gekozen voor een jaarlijkse ORM-risicoanalyse bij het segmentplan, aangezien bij projecten en bij nieuwe of gewijzigde processen ook ORM-risicoanalyses plaats moeten vinden.

Zoals al bij punt 3 hiervoor is aangegeven vinden assessments niet plaats, waardoor niet actief naar verbeteringen in metingen en controls wordt gezocht.

7. Resultaten moeten gedeeld worden

De resultaten van het ORM-proces bij de verschillende organisatieonderdelen worden, voor zover mogelijk, wel met elkaar gedeeld, maar niet met elkaar vergeleken. De wijze van rapporteren laat een gemakkelijk vergelijk niet toe en de Risk maps zijn bij de behandeling van de rapportages door onbekendheid met het hulpmiddel niet op deze manier gebruikt.

De voorbeeldcasussen vanuit incidenten bij andere lokale Rabobanken worden niet in het

werkoverleg behandeld. De Verkoopleider Particulieren a.i. geeft aan niet met deze bekend te zijn. Het voorgaande leidt er toe dat vanuit de resultaten bij de verschillende afdelingen geen best practices worden vastgesteld en gehanteerd.