In dit hoofdstuk wordt deelvraag 3 beantwoord: welke operationele risico’s zijn op het gebied van assurantiebemiddeling het meest van belang? Dit geschiedt door de algemene
operationele risico’s zoals deze zijn beschreven in hoofdstuk 3 te vertalen naar operationele risico’s die specifiek geldend zijn voor assurantiebemiddeling, rekening houdend met de organisatie- en procesinrichting zoals beschreven in hoofdstuk 4. Aanvullend is gebruik gemaakt van documentatie van de Audit Rabobank Groep en risicoanalyses die zijn opgesteld door Rabobank Nederland (centraal) en Rabobank A (lokaal). De risico’s in het primaire proces zijn ingedeeld naar de eventtypes uit Basel II. Uitdrukkelijk wordt gesteld dat gefocust is op de belangrijkste risico’s zonder daarmee volledigheid na te streven.
a.) Operationele risico’s geïdentificeerd door de onderzoeker
Eventtype 1 – Interne fraude
Grootste risico wat interne fraude betreft heeft te maken met de girale geldstromen tussen de verzekeringsmaatschappijen, de bank en de klant. Het risico bestaat dat deze geldstromen in de vorm van premies en provisies (inkomende geldstromen), en/of uitbetalingen (uitgaande geldstromen) door medewerkers aan de bank cq. klant worden onttrokken voor eigen gewin.
Eventtype 4 – Klanten, producten en ondernemerschap
Bij eventtype 4 zit het grootste risico in het contactmoment tussen klant en bank bij de advisering. Hierbij kunnen diverse zaken mis gaan met mogelijke claims van klanten, of interventies van toezichthouders als gevolg. Een inadequaat advies kan meerdere oorzaken hebben. Ter illustratie enkele voorbeelden: geen aansluiting met het klantprofiel,
productspecialist niet tijdig ingeschakeld, of onvoldoende koppeling gelegd met andere producten zoals de woninghypotheek. Verder bestaat het risico dat bij het klantcontact niet wordt voldaan aan de informatieplicht (bijvoorbeeld productinformatie en financiële bijsluiter wordt niet verstrekt) of aan de zorgplicht (bijvoorbeeld geen bevestiging bij afwijking van advies). In de advisering speelt kennis en kunde van de adviseur dus een cruciale rol. Hoe complexer het advies (vooral bij maatwerkconstructies), hoe groter de eisen die aan de deskundigheid van de adviseur worden gesteld.
In het verkoopproces is beschreven dat het totale adviestraject reproduceerbaar dient te zijn. Grootste risico hier is dus een inadequate dossiervorming. De dossiervorming is voor
Rabobank A lastig beheersbaar om twee redenen. Ten eerste beschikt de bank over meerdere vestigingen met meerdere archieven en ten tweede vinden door de gekozen organisatie-inrichting veelvuldig bureau-overdrachten in de processen plaats.
In hoofdstuk 3 is naast verkoop ook het belang van portefeuilleonderhoud beschreven. In het kader van zorgplicht liggen hier met name risico’s als de bank onvoldoende op de hoogte is van wijzigingen bij de klant doordat de vereiste onderhoudsgesprekken op initiatief van de bank niet of niet frequent genoeg plaatsvinden. Tevens kan het inadequaat oppakken en afhandelen van klantsignalen er toe leiden dat klanten niet passend zijn verzekerd.
Door wijzigingen in wet- en regelgeving zijn de externe eisen die aan de bank worden gesteld in de loop der jaren flink toegenomen. De toename van eisen heeft echter ook tot gevolg dat de kans groter is geworden dat wet- en regelgeving ontoereikend wordt nageleefd
(non-compliance risico). Voor beheersing van dit risico is daarom een verdiepingsslag noodzakelijk zodat het management van de bank gericht kan sturen op de onderliggende eisen. Voor een nadere uitwerking van de gevolgen van deze externe eisen wordt verwezen naar hoofdstuk 7. Hier wordt onder andere het zorgplichtrisico nader toegelicht.
Eventtype 7 – Uitvoer, overdracht en procesbeheer
Met betrekking tot eventtype 7 zitten de risico’s met name in de vervolgstappen van het assurantiebemiddelingsproces nadat advisering heeft plaatsgevonden. Uit de
procesbeschrijving blijkt dat de afhandeling van verkoop (nieuwe posten) en mutaties op bestaande posten plaatsvinden in de back-office. Dit betekent dat er overdrachtsmomenten zijn tussen front-office (verzekeringsadviseur), mid-office (interne specialist verzekeren) en back-office (lokale Service Centrum Verzekeren). In principe geldt: hoe meer
overdrachtsmomenten, hoe groter de kans op miscommunicatie, waardoor de uiteindelijke afhandeling mogelijk fouten bevat. Doordat de back-office (lokaal Service Centrum
Verzekeren) fysiek gescheiden gehuisvest is van de commerciële afdelingen, is dit risico reëel aanwezig binnen Rabobank A.
Naast fouten in de overdracht kunnen ook fouten ontstaan in de uitvoering zelf. De administratieve processen zoals de polisadministratie en het debiteurenbeheer verlopen grotendeels via geautomatiseerde systemen. Het grootste risico bij de polisadministratie zit in een foutieve verwerking van aanvragen/mutaties in de systemen waardoor de klant mogelijk een verkeerde polis ontvangt en hij bijvoorbeeld onderverzekerd is of teveel premie betaalt. Het debiteurenbeheer kan meerdere risico’s met zich meebrengen. Vanuit de klant gezien
komt bij non-betaling van premie na verloop van tijd de dekking op schadeverzekeringen te vervallen. Vanuit de bank gezien kan dit echter ook consequenties hebben als bijvoorbeeld deze onderpanden zijn gefinancierd.
Aanvullend is een risico te onderkennen ten aanzien signaalmanagement indien signalen van klanten onvoldoende worden onderkend of signalen intern niet naar de juiste personen worden doorgeleid, bijvoorbeeld door een gebrekkige interne communicatie.
Bovenstaande risico’s zijn beschreven op basis van de theorie omtrent operationele risico’s (onder andere de Basel II eventtypes) zoals beschreven in hoofdstuk 3 en het
assurantiebemiddelingsproces binnen de Rabobank zoals beschreven in hoofdstuk 4. Aanvullend is onderzocht welke risico’s op het gebied van assurantiebemiddeling door Rabobank Nederland (algemeen) en door Rabobank A zelf (bankspecifiek) worden onderkend. Hierbij is gebruik gemaakt van documentatie van de Audit Rabobank Groep (werkprogramma en werkverslag operational audit assurantiebemiddeling), documentatie van Rabobank Nederland Bedrijfsmanagement (inrichtingsadvies risicoanalyse lokale banken) en de lokale risicoanalyse van Rabobank A. De tussen haakjes vermelde prioriteit10 geeft aan welke weging Rabobank A toekent aan de benoemende risico’s op basis van een inschatting van ‘kans x impact’.
b.) Operationele risico’s geïdentificeerd door Rabobank Nederland
In de documentatie van de Audit Rabobank Groep worden negen zogenaamde generieke ‘key risks’ geïdentificeerd die mogelijk van toepassing kunnen zijn bij assurantiebemiddeling binnen een lokale bank:
- Bij overname van portefeuilles worden latente aansprakelijkheden mee overgenomen en komen grotere aantallen derde maatschappijen in de boeken (niet van toepassing binnen Rabobank A);
- Niet correcte klantacceptatie inclusief opvoeren/beheren klantgegevens,
identificatie/legitimatie en customer due dilligence (de WID/CDD-wetgeving valt buiten de afbakening van deze paper);
- Het verzekeringsadvies is niet passend bij de klant waardoor deze verkeerd of onderverzekerd is (prioriteit 2);
10
- Door het grote aantal derde maatschappijen is er een relatief grote kans op fouten zowel in de advisering als in de verwerking (prioriteit 3);
- Het risico van fouten in aanvraag of mutaties waardoor de klant niet of niet adequaat is verzekerd (prioriteit 2);
- Wijzigingen in omstandigheden van de klant leiden tot het inadequaat verzekerd zijn (prioriteit 1);
- Bij verzekeringen met een beleggingscomponent blijft het rendement achter door tegenvallende beurzen (niet geprioriteerd omdat dit een extern niet beïnvloedbaar risico betreft);
- Nieuwe productie en/of wijzigingen m.b.t. de bestaande portefeuille wordt niet of
inadequaat opgenomen in rapportages waardoor op managementniveau de mogelijkheid tot bijsturing ontbreekt (prioriteit 3).
- Er wordt geen of een te lage provisie berekend (prioriteit 3).
Deze (niet bankspecifieke) risico’s komen grotendeels ook terug in de centrale risicoanalyse van Rabobank Nederland.
c.) Operationele risico’s geïdentificeerd door Rabobank A
Rabobank A heeft de centraal geïdentificeerde risico’s beoordeeld en heeft hier twaalf lokaal onderkende risico’s aan toegevoegd zodat de lokale risicoanalyse bankspecifiek is. De lokale risicoanalyse van Rabobank A is tot stand gekomen na overleg tussen de proceseigenaar op het gebied van assurantiebemiddeling en de procescontroller met dit aandachtsgebied.
Uiteindelijk is de risicoanalyse goedgekeurd in het Risk Committee van de bank waarin onder andere de statutaire directie is vertegenwoordigd. Kort samengevat worden in dit interne stuk aanvullend de volgende risico’s genoemd11:
- Onvoldoende naleving regelgeving Wft - Deskundigheid (prioriteit 3);
- Het verzekeringsadvies is niet passend bij de klant waardoor deze verkeerd en/of onderverzekerd is (prioriteit 2);
- Onvoldoende naleving Wft - Zorgplicht in combinatie met toenemende claimcultuur (prioriteit 2);
- Onvoldoende klantonderhoud (prioriteit 2);
11
- Het incompleet zijn van dossiers. Onvoldoende naleving Wft – Reproduceerbaarheid (prioriteit 2);
- Onvoldoende cross-selling bij verkoop andere producten (commercieel risico). Onvoldoende afdekking verzekerbare risico's bij financieringen (prioriteit 2);
- Interne communicatie: onvoldoende doorleiden signalen m.b.t. ontwikkelingen bij klant (prioriteit 1);
- Afwijkende inrichting t.o.v. advies RN: eigen Service Centrum Verzekeren (prioriteit 3); - Bijsturen is niet mogelijk door het ontbreken van juiste, tijdige en volledige management
informatie (prioriteit 3).
- Het ontbreken van een adequate beheersomgeving in verhouding tot de derde maatschappijen (prioriteit 3);
- Fouten bij bureau-overdrachten waardoor doelstelling 'snel en foutloos' wordt bedreigd (prioriteit 2);
- Onvoldoende beheer werkvoorraden Alles-in-één-Polis en Bedrijven Compact Polis (prioriteit 3).
Na vergelijking van de verschillende risicoanalyses kan worden gesteld dat Rabobank A op basis van haar eigen lokale risicoanalyse de operationele risico’s binnen het
assurantiebemiddelingsproces vrij goed in beeld heeft. Ten opzichte van de door de
onderzoeker geïdentificeerde risico’s ontbreken slechts enkele punten. Opvallend is echter dat de eisen uit de Wft in de documenten van Rabobank Nederland slechts beperkt zijn
doorvertaald. In hoofdstuk 7 zal blijken dat deze externe eisen een belangrijk normenkader vormen. Lokaal is dit dus beter beschreven dan centraal.
Bij vergelijking tussen door de onderzoeker beschreven risico’s en de lokaal onderkende risico’s met prioriteit 1 en 2 valt op, dat door Rabobank A geen aandacht is besteed aan het risico op interne fraude (eventtype 1). Door de omvang van de girale geldstromen en de wijze waarop dit is ingericht (tussenrekeningen en rekening courant-verhoudingen met diverse verzekeringsmaatschappijen) kan dit een reëel risico zijn indien onvoldoende
beheersmaatregelen zijn getroffen, bijvoorbeeld in de vorm van functiescheidingen. Ten tweede wordt geen aandacht besteed aan het risico van onvoldoende invulling van de informatieplicht bij advisering. Door de toenemende externe eisen op het gebied van transparantie (een van de kwaliteitskenmerken van de Wft) dient aan klanten voldoende productinformatie te worden verstrekt bij de advisering, zodat de klant zich een oordeel kan vormen over het aangeboden product. Met name bij complexere financiële producten waarbij
een deel van de premie wordt belegd kan dit een risico zijn indien de klant onvoldoende wordt gewezen op het risicoprofiel van de fondsen waarin belegd wordt. Daarnaast dient transparant te zijn hoeveel van de premie wordt belegd en hoeveel aan kosten wordt ingehouden. Op het gebied van woningfinancieringen heeft onvoldoende transparantie in combinatie met
tegenvallende rendementen bij de Op Maat Hypotheek (woningfinancieringsconstructie met koppeling tussen hypotheek, overlijdensrisicoverzekering en beleggingen) dit jaar reeds tot claims van klanten geleid. Hetzelfde dreigt nu te gebeuren bij beleggingsverzekeringen die in het verleden zijn verkocht. Naar aanleiding van een kritisch rapport van de AFM uit 2006 en reacties van consumentenorganisaties hebben gedupeerden zich verenigd. Via de stichting Verliespolis (die landelijk meer dan 80.000 gedupeerden vertegenwoordigt) en de stichting Woekerpolis Claim zijn zij verwikkeld in onderhandelingen met verzekeraars om tot een schadevergoeding te komen. Door de aandacht in de media (onder andere Tros Radar en dagbladen) is dit geschil inmiddels uitgegroeid tot de “woekerpolis-affaire“. Naar aanleiding van deze maatschappelijke discussie heeft de Ombudsman (mr. J.W. Wabeke) nader
onderzoek verricht. Op 4 maart 2008 heeft hij een algemene aanbeveling uitgebracht. Hierin concludeert hij dat consumenten onvoldoende geïnformeerd zijn over de hoogte van de kosten van een beleggingsverzekering (intransparantie). Voor beleggingsverzekeringen gesloten voor 1 januari 2008 zou de hoogte van de kosten maximaal 3,5% van het opgebouwde vermogen mogen zijn, exclusief premies voor eventuele overlijdensrisico- en
arbeidsongeschiktheidsdekkingen. Verzekeraars zouden hun klanten moeten compenseren voor die gevallen waar meer kosten in rekening zijn gebracht. In de aanbeveling is de
intermediair, en dus ook de lokale Rabobank nog geen partij. Vraag is echter of dit ook in de toekomst zo blijft. Naast de verzekeringsmaatschappijen die de producten ontwikkelen
hebben immers ook de tussenpersonen de wettelijke plicht om de klant voor te lichten over de aangeboden producten.
Resumé
Indien de operationele risico’s uit Basel II worden vertaald naar het
assurantiebemiddelingsproces binnen de Rabobank zijn diverse risico’s in het primaire proces te onderkennen. Vanuit eventtype 1 betreft dit interne fraude in verband met de geldstromen. Vanuit eventtype 4 zitten er zowel risico’s in het adviserings- en verkooptraject, als in het beheer gedurende de looptijd van de verzekering. Vanuit eventtype 7 zitten de risico’s met name in het verwerkingstraject na verkoop (overdracht en uitvoering). De belangrijkste
risico’s zijn samengevat in tabel 3. Hierbij ligt de nadruk op zwaarwegendheid en niet op volledigheid van risico’s.
Tabel 3
Belangrijkste operationele risico’s op basis van Bazel II en het assurantiebemiddelingsproces binnen Rabobank A
Risico
Primaire proces:
- Interne fraude m.b.t. geldstromen
- Inadequate advisering (incl. verstrekking productinformatie) - Advies- en verkooptraject onvoldoende reproduceerbaar - Onvoldoende portefeuilleonderhoud
- Onvoldoende signaalmanagement (herkennen, doorleiden en afhandelen) - Fouten bij bureau-overdrachten
- Fouten in verwerking aanvragen/mutaties