In dit hoofdstuk wordt deelvraag 8 beantwoord: hoe ziet de gewenste beheersomgeving van Rabobank A op het gebied van assurantiebemiddeling eruit? Op basis van de operationele risico’s, de externe eisen, de interne eisen en de vergelijking met een andere lokale Rabobank wordt in dit hoofdstuk de gewenste situatie voor Rabobank A beschreven op het gebied van assurantiebemiddeling (nieuwe SOLL-positie). Daarnaast wordt tevens een link gelegd met de theorie zoals beschreven in hoofdstuk 3.
Als kapstok voor de beheersing van operationele risico’s op het gebied van
assurantiebemiddeling is de managementcyclus gehanteerd (zie figuur 3). Analoog aan het risicozorgproces van Hoving & Keulemans (2000) is hierbij onderscheid gemaakt naar het besturende proces (beleid, inrichting en toetsing) en het primaire proces (uitvoering).
a.) Beleid
In de beleidsstukken van Rabobank A dienen de eisen te worden geborgd die intern worden gesteld aan zowel risicobeheersing als aan assurantiebemiddeling. De huidige beleidsstukken voorzien hier in. Hierdoor wordt voldaan aan de eisen uit wet- en regelgeving op dit gebied. Op papier is de beheersomgeving inzake beleid op orde. Uit het oordeel m.b.t. de werking van het lokale beleid verzekeren (tabel 5) valt af te leiden dat echter strakker dient te worden gestuurd op naleving. Hiervoor zullen in het volgende hoofdstuk handvatten worden aangereikt.
b.) Inrichting
Vanuit de externe omgeving worden vele eisen gesteld ten aanzien van de inrichting van de AO/IC-omgeving. Dit houdt in dat de bank dient te beschikken over procesbeschrijvingen, functiebeschrijvingen en een interne bevoegdhedenregeling. Binnen Rabobank A zijn al deze stukken aanwezig. Uit controles is gebleken dat de naleving van procesbeschrijvingen op onderdelen echter nog verbetering behoeft. Ook hiervoor zullen in het volgende hoofdstuk handvatten worden aangereikt. Om het risico op interne fraude in te perken is daarnaast functiescheiding vereist. De functiescheiding is met name van belang bij processen waarbij de geldstromen een rol spelen in de vorm van verzekeringspremie, provisie en
schade-uitkeringen. Waar mogelijk dient de functiescheiding tevens tot uitdrukking te komen in de autorisaties binnen de geautomatiseerde systemen. Volgens de huidige functieprofielen, procesbeschrijvingen en toegekende autorisaties is de functiescheiding in opzet afdoende georganiseerd. Om een oordeel te kunnen geven over de werking van bovenstaande beheersmaatregelen dienen deze periodiek te worden getoetst middels controles.
Voor wat betreft de organisatie-inrichting heeft Rabobank A meer vrijheden. Zolang de vereiste functiescheiding in acht wordt genomen kan zij diverse keuzes maken ten aanzien van de inrichting van de front-, mid- en back-office. Na de vergelijking met Rabobank X verdient het vanuit risico-oogpunt de voorkeur om de meer beheersmatige taken die gepaard gaan met de bediening van klanten te beleggen bij de commerciële binnendienst cq. het lokale Service Centrum Verzekeren (bijvoorbeeld dossiervorming en regierol
portefeuilleonderhoud). Voor de inrichting van de back-office zijn meerdere keuzes mogelijk: (1) handhaven huidige Service Centrum Verzekeren, (2) clusteren front-, mid- en back-office tot één afdeling conform model Rabobank X en (3) uitbesteden back-office aan Rabobank Nederland. Bij de keuze uit deze alternatieven spelen meerdere factoren mee zoals
risicobeheersing, kennisontwikkeling, personele consequenties en efficiency-overwegingen. Welke keuze de directie ook maakt, men zal in ieder geval de bureau-overdrachten dusdanig moeten regelen dat het risico op fouten wordt beperkt. Indien men besluit om de back-office ‘in house’ te houden zal moeten worden gewaarborgd dat de kennis met betrekking tot klanten en verzekeringsproducten op peil blijft, ook binnen het lokale Service Centrum Verzekeren (met name ten aanzien van de complexere wholesale-omgeving).
c.) Uitvoering
Zoals uit tabel 4, 5 en 6 blijkt, worden de meeste operationele risico’s gelopen in het primaire proces. Om interne fraude te voorkomen is het belang van functiescheiding reeds beschreven. De grootste risico’s in het contactmoment met de klant zitten in het advies- en verkooptraject. Om inadequate advisering te voorkomen dienen de betrokken medewerkers aantoonbaar deskundig te zijn. Behoudens het voldoen aan de deskundigheidseisen uit de Wft (categorie 1, minimale wettelijke norm) is het wenselijk dat ook aan de aanvullende eisen wordt voldaan zoals beschreven in de leerplanners van Rabobank Nederland (categorie 2, Rabonorm). Daarnaast dient middels permanente educatie de deskundigheid op peil te worden gehouden conform de eisen uit de Wft. Naast de leerplanners blijkt uit de ervaringen van Rabobank X dat ook de overige hulpmiddelen die Rabobank Nederland beschikbaar heeft gesteld goed
bruikbaar zijn in de praktijk. Hierbij valt niet alleen te denken aan procesbeschrijvingen (WP’s en IB’s), maar ook aan formulieren in het kader van de zorgplicht en vaste tekstblokken bij afwijking van het advies. Daarnaast dient de klant in het adviestraject voldoende productinformatie te ontvangen zodat wordt voldaan uit de informatieplicht uit de Wft. Met name bij verzekeringen met een beleggingscomponent dient transparant te zijn wat de kostenbelading is en hoeveel (koers)risico de klant loopt. Conform de aanbeveling van de Accountantsdienst Rabobank Groep dient het traject klantprofiel – klantbehoefte – advisering – verkoop sluitend te zijn. Belangrijke afwijkingen van gegeven adviezen dienen schriftelijk aan de klant te worden bevestigd. Bemiddeling voor derde maatschappijen mag alleen plaatsvinden voor verzekeringsmaatschappijen die op de shortlist van Rabobank Nederland staan of waarmee lokaal een toegestane overeenkomst is afgesloten.
De dossiervorming dient plaats te vinden conform de eisen zoals deze door Rabobank Nederland zijn verwoord in instructieblad IB198. Indien gevolg wordt gegeven aan dit instructieblad, wordt tevens voldaan aan de reproduceerbaarheidseisen uit de Wft. Om dossierstukken voor meerdere medewerkers inzichtelijk te maken biedt digitale
dossiervorming diverse voordelen.
Gedurende de looptijd van de verzekering is portefeuilleonderhoud nodig, zodat de verzekering passend blijft bij de (veranderende) omstandigheden van de klant. Om hier structuur in aan te brengen wordt gewerkt met een bezoekplanning waarbij de frequentie is afgestemd op het klantsegment en de dynamiek en complexiteit van de klant. Vanuit risico-oogpunt is het in verband met de zorgplicht verstandig om in ieder geval niet te veel af te wijken van de door Rabobank Nederland geadviseerde contactfrequentie. Rekening houdende met efficiency-overwegingen kan hier aan de onderkant van de verzekeringsportefeuille eventueel ook middels een brief in worden voorzien. Gezien het belang van
portefeuilleonderhoud dient de realisatie van de bezoekplanning periodiek te worden gemonitord, bijvoorbeeld middels managementinformatie. Het systeem Siebel biedt de mogelijkheid om dit middels query’s inzichtelijk te maken tot op adviseurs- en klantniveau. Voorwaarde is dan wel dat zowel de planning als realisatie bankbreed in Siebel wordt geregistreerd.
Naast contactmomenten die worden geïnitieerd vanuit de bank kan de klant ook zelf
tussentijds informatie aan de bank verstrekken waaruit blijkt dat hij mogelijk risico loopt. In hoofdstuk 4 is het belang van signaalmanagement reeds toegelicht. Om de risico’s die hiermee gepaard gaan af te dekken worden eisen gesteld aan zowel het herkennen van signalen, als aan de doorleiding en afhandeling van signalen. In de praktijk betekent dit
stimulering van het risicobewustzijn bij medewerkers en (wederom) registratie en monitoring via Siebel. Om te zorgen dat de signalen bij de juiste medewerkers terecht komen ter
afhandeling, kan worden overwogen om de routing van signalen via een (centrale)
signaalcoördinator te laten lopen. Daarnaast kan ook de verkoop van een ander bankproduct reden zijn om verzekeringen onder de aandacht bij klanten te brengen, zowel vanuit risico-optiek (afdekken risico’s) als vanuit commerciële risico-optiek (cross-sell). Een goed voorbeeld hiervan is de woonhuis- en inboedelverzekering bij het verstrekken van een
woningfinanciering.
Bij de beschrijving van de assurantiebemiddelingsprocessen in hoofdstuk 4 bleek dat er vele overdrachtsmomenten tussen front-, mid- en back-office zijn. Door de fysieke scheiding van afdelingen is de kans op miscommunicatie reëel, waardoor mogelijk fouten op kunnen treden in het afhandelingsproces. De in de procesbeschrijvingen opgenomen controlemomenten bij overdracht van het verkoopdossier zijn dan ook essentieel. Indien de huidige organisatie-inrichting van de back-office wordt gehandhaafd vormt de interne Dienstencatalogus een normenkader waarin eisen zijn gesteld aan de benodigde informatie en de aanlevering van stukken richting het lokale Service Centrum Verzekeren. Sluitstuk van het afhandelingsproces vormt in vele gevallen de verzekeringspolis. Conform de huidige werkwijze dient deze vóór verzending naar de klant te worden gecontroleerd (voor niet-Interpolis verzekeringen). Voor de omgang met incidenten worden vanuit wet-en regelgeving eisen gesteld aan de afhandeling van klachten en het registreren van operationele schades. Klachten dienen te worden afgehandeld via de bestaande procedure. Voor de registratie van klachten wordt gebruik gemaakt van Siebel. Mocht de klant niet tevreden zijn over de afhandeling van de klacht door Rabobank A, dan kan hij/zij een vervolgtraject starten via de Klachtenservice van Rabobank Nederland, de Ombudsman Financiële Dienstverlening tot uiteindelijk het
Klachteninstituut Financiële Dienstverlening (Kifid). Operationele verliezen vanaf € 4.500,- worden geregistreerd via de toepassing WORLD zodat de centrale database van Rabobank Nederland ten behoeve van Basel II wordt gevuld.
Naast bovenstaande ‘hard controls’ is het belangrijk om ook ‘soft controls’ in te zetten om de houding en het gedrag van medewerkers omtrent risico’s in de gewenste richting te
beïnvloeden. Om het risicobewustzijn en de risicohouding te stimuleren dient invulling te worden gegeven aan de in de beleidsstukken beschreven maatregelen zoals voorbeeldgedrag van het management, zorgvuldige interne communicatie en het periodiek bespreken van casuïstiek. Uit de vergelijk met Rabobank X is echter gebleken dat er meer
van Performance Management als beoordelings- en beloningssysteem. Hiermee wordt invulling gegeven aan de door Merchant & Van Der Stede (2003) beschreven cultural controls en personnel controls.
d.) Toetsing
Om sturing te kunnen geven aan de beheersing van risico’s is managementinformatie noodzakelijk. Op het gebied van operationele risico’s wordt deze managementinformatie onder andere opgeleverd door rapportages naar aanleiding van verrichte periodieke controles en audits. Een samenvatting van deze rapportages worden weergegeven in het kwartaalverslag Control. Controles met een kwalificatie ‘onvoldoende’ worden toegelicht en bij hiaten worden verbetervoorstellen geformuleerd ten behoeve van bijsturing. De in opzet aanwezige cq. gewenste beheersmaatregelen dienen periodiek te worden getoetst op hun werking. De basis voor het controleplan vormt de reeds aanwezige bankbrede risicoanalyse die op onderdelen nog verder kan worden aangescherpt. Voor verzekeringsmaatschappijen waarvoor wordt bemiddeld wordt jaarlijks gecontroleerd of zij over de juiste Wfd/Wft-vergunning beschikken. Daarnaast zijn rapportages nodig op het gebied van klachten, operationele verliezen
(WORLD-posten) en naleving van wet- en regelgeving (Compliancefoto LCO) en realisatie van het portefeuilleonderhoud. Hierdoor kunnen de lokale toezichthouders invulling geven aan hun verantwoordelijkheid.
Toetsing gewenste beheersomgeving aan de theorie
In paragraaf 3.2 is de theorie omtrent risicobeheersing behandeld. Auteurs die hierbij zijn behandeld betreffen Babbel & Santomero (1996), Doherty (1985), Hoving & Keulemans (2000), Merchant en Van der Stede (2003), Izeboud (1993), en Driessen et al. (1997). Indien de beschreven theorie wordt geprojecteerd op de gewenste beheersomgeving vallen de volgende zaken op.
Bovenstaande beschrijving van de gewenste beheersomgeving voldoet aan het
risicomanagementsysteem zoals beschreven door Babbel & Santomero (1996). Volgens hun dient er minimaal sprake te zijn van standaarden en rapportages, bevoegdheden en limieten en een passend beloningssysteem. Middels beleidsstukken, procesbeschrijvingen, de interne bevoegdhedenregeling, autorisaties en de inzet van Performance Management als
Doherty (1985) stelt dat risico’s allereerst dienen de worden geïdentificeerd en gemeten. Via de bestaande bankbrede risicoanalyse zijn risico’s op het gebied van assurantiebemiddeling geïdentificeerd. In hoofdstuk 5 worden door de onderzoeker nog een aantal aanbevelingen gedaan ter aanvulling en verbetering. Middels prioritering (hoog - midden - laag) zijn de risico’s gewogen op basis van ‘kans x schade’. Dit betreft echter een inschatting van het risico door enkele functionarissen binnen de bank en is dus grotendeels subjectief. Daadwerkelijke schades in de vorm van coulance-uitkeringen bij klachten en operationele verliezen in het kader van Basel II (WORLD-posten) worden wel gemeten middels registratie en rapportage. Voor de omgang met risico’s wordt gebruik gemaakt van meerdere keuzemogelijkheden die Doherty biedt. Door de beheersmaatregelen wordt de kans op en de uitwerking van schade beperkt. Tevens wordt gebruik gemaakt van verzekering tegen risico’s. Er wordt tot dusverre echter geen gebruik gemaakt van risicovermijding en/of risico-overdracht door activiteiten niet uit te voeren of uit te besteden aan derden.
Ook het risicozorgproces van Hoving & Keulemans (2000) is te projecteren op bovenstaande beschrijving van de gewenste beheersomgeving. Zowel in risicoanalyse, risicoreductie, als risicobeheer wordt voorzien. In de bankbrede risicoanalyse worden risico’s onderkend en gewogen (zie ook hoofdstuk 5). Risicoreductie vindt plaats via de primaire beheersing van de normale bedrijfsuitoefening, inclusief correctieve maatregelen achteraf voor gevallen waarin het fout is gegaan (bijv. klachtenbehandeling). Risico-overdracht kan plaatsvinden door het afsluiten van verzekeringen (overdracht risico aan verzekeraar) of door uitbesteding van activiteiten (overdracht risico aan derde partij). Via de Vereveningsregeling voor
Beroepsaansprakelijkheid vindt voor een deel risico-overdracht plaats voor zover schades onder de dekking vallen. Tot dusverre maakt Rabobank A tot geen gebruik van uitbesteding van activiteiten, hoewel Rabobank Nederland deze optie wel biedt voor de back-office op het gebied van verzekeren. Aan het risicobeheer wordt invulling gegeven in het besturende
proces, vooral door de beschreven maatregelen in de AO/IC-omgeving zoals de belegging van taken, verantwoordelijkheden en bevoegdheden.
Na aanpassing van de huidige beheersomgeving komen de door Merchant & Van der Stede (2003) beschreven typen van controls terug in de gewenste beheersomgeving. Results control is gericht op de resultaten van handelingen (output). Via diverse rapportages kan inzicht worden verkregen in de uitkomsten op het gebied van assurantiebemiddeling (bijvoorbeeld
kwalificaties naar aanleiding van controlebevindingen). Ook via het beoordelings- en
beloningssysteem Performance Management kan op de gewenste resultaten worden gestuurd door het opnemen van prestatie-indicatoren die gericht zijn op de output van het handelen van medewerkers (bijvoorbeeld cross-sell verzekeringen en realisatie portefeuilleonderhoud). In de action control wordt onder andere voorzien door de toekenning van bevoegdheden en autorisaties en de procesbeschrijvingen waarin de te verrichten handelingen per processtap staan beschreven. Aan personnel control wordt op twee manieren invulling gegeven.
Enerzijds door invulling te geven aan de opleidingsvereisten waardoor de deskundigheid kan worden gewaarborgd en anderzijds door bij het aantrekken van nieuwe personeelsleden aandacht te schenken aan een juiste mix van commerciële en beheermatige competenties. Uit de vergelijking met Rabobank X is het belang van het aankweken van de juiste normen en waarden naar voren gekomen. Indien hier op gepaste wijze invulling aan wordt gegeven binnen Rabobank A, zal dit van positieve invloed zijn op het risicobewustzijn en de risicohouding bij medewerkers. Hierdoor krijgt de component cultural control die tot dusverre onderbelicht is gebleven meer aandacht.
Izeboud (1993) benadrukt vooral het belang van managementinformatie. Op basis van de beschikbare rapportages omtrent assurantiebemiddeling mag worden gesteld dat hierin op het gebied van risicobeheersing in voldoende mate wordt voorzien door audit- en
controlerapportages en het kwartaalverslag Control. Naast het belang van audits voor de interne beheersing zoals beschreven door Driessen et al. (1997) geven bovenstaande
rapportages tevens inzicht in de naleving van wet- en regelgeving (compliance) ten behoeve van de externe verantwoording. Aanvullend aan de verslaglegging op achteraf-basis kan ook gedurende het jaar monitoring plaatsvinden door gebruik te maken van de
selectiemogelijkheden in Siebel. Hierdoor kan bijvoorbeeld de realisatie van het portefeuilleonderhoud op elk gewenst moment inzichtelijk worden gemaakt.
Resumé
Om de operationele risico’s op het gebied van assurantiebemiddeling beheersbaar te houden dient Rabobank A een verscheidenheid aan maatregelen te treffen. Deels zijn deze verplicht vanuit wet- en regelgeving, maar voor het grootste gedeelte kan zij hierin zelf haar keuzes maken. In het besturende proces betreft dit bijvoorbeeld het beleid, de inrichting van procesbeschrijvingen, functiebeschrijvingen, de interne bevoegdhedenregeling en
verdient de naleving (met name van beleid en procedures) nog nadere aandacht. Wat de inrichting van de organisatie betreft verdient het de voorkeur om de commerciële binnendienst een grotere rol toe te kennen bij de meer beheersmatige taken. Voor de inrichting van de back-office zijn naast de huidige keuze (lokaal Service Centrum
Verzekeren) meer alternatieven aanwezig die de moeite van het onderzoeken waard zijn. In het primaire proces zijn maatregelen als waarborging van deskundigheid, consequent gebruik van hulpmiddelen, adequate dossiervorming, gestructureerd portefeuilleonderhoud, adequaat signaalmanagement en controlemomenten binnen het proces essentieel. In gevallen waarin het toch mis is gegaan, staat een correcte afhandeling van klachten cq. registratie van operationele schades voorop. Naast deze ‘hard controls’ verdient de gelijktijdige inzet van ‘soft controls’ meer aandacht binnen Rabobank A. Uit de vergelijking met Rabobank X is gebleken dat er meerdere methodieken kunnen worden ingezet om het gedrag van medewerkers in de gewenste richting te beïnvloeden. Om de werking van de beheersmaatregelen te toetsen zijn audits en interne controles essentieel zodat het management aan de hand van rapportages inzicht krijgt in de beheersing van risico’s en waar nodig bijsturingsmaatregelen kan treffen. Uit een eerste beoordeling van de beschreven gewenste beheersomgeving mag worden gesteld dat deze ook vanuit de theorie de toets der kritiek kan doorstaan.
Hiermee is deelvraag 8 beantwoord.
In hoofdstuk 11 zal de gewenste beheersomgeving zoals beschreven in dit hoofdstuk worden afgezet tegen de huidige beheersomgeving zoals beschreven in hoofdstuk 6, zodat hieruit aanbevelingen ter verbetering kunnen worden gedistilleerd.