De functie van risicomanagement en de rol van de RE hierbinnen 25

De theoretische uitkomsten zoals opgenomen in 5.1 zijn opgedeeld in relevante onderdelen en getoetst in de praktijk, zoals beschreven in paragraaf 5.3. Hieronder volgt een samenvatting hieruit

- 26 - en een deelconclusie op de uitkomst. Criterium om de conclusie aan te passen, is of deze invloed heeft op de positie of de competenties voor de RE werkzaam in RM.

De afdeling risicomanagement is relatief nieuw binnen de financiële sector wat o.a. blijkt uit het ontbreken van algemeen geaccepteerde normen voor de inrichting van de functie. De functie is een tweedelijns functie en faciliteert en monitort de organisatie op het gebied van risico’s.

RM-afdelingen: Het relatief jong zijn van het vakgebied operational RM wordt door geïnterviewden herkend en komt bijvoorbeeld terug in het ontbreken van een duidelijke beroepsvereniging. Veel van de standaarden worden overgenomen uit het vakgebied van auditing en zoals geïnterviewden aangeven “aangevuld met gezond verstand”. Belangrijkste doel voor het opzetten van een verbijzonderde functie voor

risicomanagement is het hebben van focus op dit onderwerp.

Alle geïnterviewde functies passen binnen het three Lines of defence model. De functies faciliteren en monitoren de organisatie (eerste lijn) op het gebied van risicomanagement. Monitoring door RM vindt o.a. plaats door het testen van de werking, het beoordelen van incidenten en vaststellen van follow-up hierop. De functies rapporteren direct aan de CFRO of de CIO. De RM-functies rapporteren niet rechtstreeks aan de CEO of aan de toezichthoudende functies.

Expert opinion: Het beeld wordt in het algemeen herkend. “Risicomanagement vindt overal verschillend plaats en is niet uitgekristalliseerd (…) Risicomanagement is meer een operationele spiegel voor de organisatie terwijl audit meer beeldvormend of strategisch is.”(van Gamelen).

Deelconclusie: theorie en praktijk sluiten op elkaar aan.

Binnen deze functie is meer aandacht gekomen voor de kwalitatieve aandachtsgebieden van

risicomanagement. ICT maakt hier nadrukkelijk deel van uit waardoor ook meer ICT-specialisten (RE’s) binnen RM werkzaam zijn. Als belangrijk fundament voor effectief risicomanagement zijn sinds de kredietcrisis ook ‘soft controls’ duidelijker bij RM-functies in beeld gekomen.

RM-afdelingen: Operationeel Risicomanagement (incl. ICT) is bij twee van de organisaties langer dan vijf jaar aanwezig en groeit qua FTE’s de afgelopen jaren. Bij de bank heeft de noodzaak voor kwalitatief

risicomanagement op het gebied van ICT geleid tot het opzetten van een specialistische RM-functie naast Operational RM. Deze aparte IT RM-functie is ontstaan door de hoge afhankelijkheid van de bank op het gebied van ICT. Bij de pensioenuitvoerder is de RM- functie ongeveer 4 jaar geleden ontstaan vanuit de Finance & Control functie.

De IT-specialisten werkzaam binnen RM zijn veelal RE’s, daartoe in opleiding of kennen een soortgelijke opleiding (bijvoorbeeld ISACA). Met name binnen de bank is een deel van de IT-specialisten afkomstig uit de IT en heeft vervolgens een auditopleiding gevolgd. De algemene proceskennis die RE’s hebben met daarbij IT- vakkennis wordt als onderscheidend beschouwd. Het hebben van veel technische IT-kennis wordt niet belangrijk gezien voor de functie van RM. Eerder als beperkend.

Aandacht en instrumenten op het gebied van soft controls komt binnen RM sterk ‘aanwaaien’ vanuit audit. De medewerkers worden hier niet specifiek op getraind of geselecteerd, anders dan het bezoeken van specifieke seminars en cursussen.

Experts: Grotere aandacht voor kwantitatief RM (incl ICT) wordt herkend door geïnterviewden. Ook de aandacht voor ‘soft controls’ is in de gehele sector duidelijker op de kaart gekomen. Hierbij wordt opgemerkt dat dit meer extern gedreven lijkt te zijn dan vanuit de RM-functie zelf. Peeperkorn merkt op: “Het is frappant dat cultuur binnen de organisatie sterk wordt aangedragen uit de gereedschapskist van de accountant en vaak niet uit RM zelf. Je verwacht dat op dit gebied meer sociologen werkzaam zijn (ook binnen audit/ risk

- 27 - functies). Auditors / accountants pakken het van nature vanuit de harde controls waarbij dan krampachtig gezocht vanuit deze instrumenten. Accountants benaderen dit gebied vanuit hun COS richtlijnen waarbij ze de (risico-)omgeving inschatten. Hierbinnen valt voor hun ook cultuur.”

Deelconclusie: praktijk en theorie sluiten op elkaar aan. Het beoordelen van de soft controls is nog in ontwikkeling binnen risicomanagement. Definitie wordt hiermee verrijkt om te duiden dat de werkomgeving op dit gebied binnen RM niet uitgekristalliseerd is.

De functie van RM is sterker betrokken bij het faciliteren van de eerste lijn dan audit. Dit maakt RM-functie (en de RE hierbinnen) pro actiever richting de organisatie maar maakt de functie ook minder onafhankelijk. Dit onderscheidt RM van een IAF. Een IAF is sterk op de onafhankelijkheid gericht en kent primair een toetsende rol. Gericht op het geven van een opinie aan de (hoogste) leiding.

RM-afdelingen: De RM-functies kennen een sterk faciliterend karakter, bijvoorbeeld door actief deel uit te maken van projecten. Alle geïnterviewden wijzen er wel op dat management zelf de keuzes moet maken. Het faciliterende karakter komt ook sterk naar voren door “voor te doen” en “samen te doen”. Je hebt hiervoor veel operationele kennis nodig. De derde lijn toetst hierop aan de hand van de bestaande normen.

Expert opinion: De experts herkennen het beeld dat de RM-functie een meer proactief karakter kent dan audit. De RM wordt gezien als ‘changemanager’ op het gebied van beheersing van de organisatie.

“Veelal kent de 1e lijn haar risico’s wel. De functie van RM zit op het creëren van een gemeenschappelijk kader voor het uitvoeren van RM en hierover te communiceren”(Peeperkorn). De functie van RM wordt als lastig gezien omdat de RM voldoende organisatie specifieke kennis moet hebben om echt mee te kunnen denken met de 1e lijn. “RM moet denken in termen als hoe het bij te sturen en hoe op te lossen” (Terpoorten). “Toch zijn er ook nog steeds veel RM-functies die sterk op een audit afdeling lijken. Toetsend op bestaande normen of sterk op compliance gericht”(Schoevaart). Voor de uitvoering van de functie van RM speelt de ‘risk maturity’ van de organisatie een belangrijke rol: “Als het risicoraamwerk eenmaal staat en ook actief wordt beleefd door de 1e lijn, dan kun je als RM sterker op het monitoren zitten”(de Kok). In het algemeen komt uit de interviews het beeld dat de RM-functies te dienend zijn. “RM heeft een poortwachtersfunctie. Dit komt in het algemeen onvoldoende uit de verf. De 2e lijn is erg gevoelig voor risk appetite van management. Je mag daar een meer onafhankelijke opinie verwachten van RM” (Peeperkorn).

Deelconclusie: praktijk en theorie sluiten op elkaar aan. Wel komt uit de interviews een voor de RE als belangrijke aandachtspunt wanneer hij komt te werken in deze functie: het hebben van relatief specifieke kennis van het risico-object om daarmee de eerste lijn inhoudelijk te coachen. Dit heeft invloed op benodigde competentie voor de RE in RM.