Succesfactoren ORM-systeem

Inrichting

Bij de in paragraaf 2.2.4 benoemde succesfactoren voor het implementeren van een ORM-systeem is de inrichting als volgt.

1. Senior management support

In het Strategisch plan 2007-2009, het Jaarplan 2007 en het Segmentplan CA 2007 wordt ORM gebracht als een vereiste waaraan we vanwege externe regelgeving aan moeten voldoen om de risico’s te beheersen. In het Segmentplan CA en het Segmentplan RMC voor 2007 wordt ORM genoemd bij het speerpunt Alles in één keer goed, maar alleen in het kader van het beheersen van risico’s.

In het ORM-beleid wordt ORM, naast verplichting vanuit RN, benoemd als middel om klanten beter te bedienen. Het overkoepelend doel van ORM is het beter beheersen van risico’s, het terugdringen van kwaliteitskosten door het verbeteren van de kwaliteit van de dienstverlening waardoor er minder klachten ontstaan en behoeven te worden afgewerkt.

In het “Kader voor risicomanagement bij de lokale bank” van april 2001 wordt risicomanagement gedefinieerd als het identificeren, evalueren en omgaan met risico’s verbonden aan de producten en dienstverlening door de lokale bank en het treffen van maatregelen gericht op het beheersen van die risico’s.

Risicomanagement wordt vanuit deze definitie benoemd als belangrijk onderdeel van het “in control” zijn. Gesteld wordt: Commercieel succesvol zijn betekent naast het formuleren van sterke commerciële plannen ook zicht hebben op de risico’s die het behalen van deze doelen in gevaar brengen en maatregelen nemen om deze risico’s te beheersen. Daarnaast wordt het belang van risicomanagement aangegeven door te wijzen op de eisen vanuit de ROB op dit gebied. Eisen waaraan moet worden voldaan om als financiële instelling in Nederland werkzaam te mogen zijn.

2. Toegevoegde waarde voor organisatieonderdelen

In het ORM-beleid is gesteld dat het leren van fouten ook moet leiden tot het treffen van

beheermaatregelen die er daarvoor niet waren, opdat herhaling van de gemaakte fout kan worden voorkomen. Benadrukt wordt dat dit direct geld bespaart. Expliciet wordt gesteld dat het gaat om medewerkers, die in staat zijn het werk in één keer goed te doen. Hierdoor wordt meer klantwaarde geleverd en kan efficiënter en effectiever gewerkt worden.

3. Prestatiebeloning

Een kosten-baten benadering voor risicoreductie wordt niet gehanteerd.

4. Consistente risicodefinities

Er worden verschillende indelingen naar risicosoorten (zie tabel 6 hiervoor) en definities van operationeel risico gehanteerd. Voor de risicocategorieën bij operationele risico’s worden de zeven event-types uit Bazel-II gehanteerd, zowel in beleidsstukken als in hulpmiddelen zoals de ORM-risicomatrix voor de ORM-risicoanalyses en WORLD voor de ORM-rapportages. In de RISK Risicofoto en de Zelfscan-ORM wordt geen onderscheid in categorieën van operationele risico’s gemaakt. In de procesbeschrijvingen worden risico’s ingedeeld naar de categorieën uit de ROB.

5. Kwaliteit van medewerkers in ORM-proces

Speerpunt voor de komende jaren is “de juiste persoon op de juiste plek”. De kwaliteit van medewerkers staat daarbij voorop. Voor dit speerpunt is voor 2007 een groter budget aan

opleidingskosten en reorganisatiekosten in de begroting opgenomen dan in 2006. Specifiek voor ORM bestaat geen certificering en worden in de functieprofielen geen eisen gesteld.

6. Het moet een dynamisch proces zijn

De risicoanalyse dient periodiek te worden uitgevoerd en bij belangrijke wijzigingen in organisatie, systemen, processen en producten. De Zelfscan-ORM is ingezet als periodieke voortgangsmeting, om jaarlijks in de planfase van de planning- en controlcyclus de zwakke en sterke punten ten aanzien van ORM in beeld te brengen. Sinds maart 2005 is de Zelfscan-ORM in juli 2006 een keer

gewijzigd.

7. Resultaten moeten gedeeld worden

De ORM-resultaten van de verschillende afdelingen zijn beschikbaar voor de gehele organisatie. Het kwartaalrapport waar de ORM-rapportage onderdeel van is, wordt in een vergadering van het MT samen met de Controllers (RISK-committee) besproken. De RISK Risicofoto geeft een vergelijk bij de scores van de RISK-drivers en de KRI’s tussen de lokale Rabobank en de andere lokale

Rabobanken. Daarnaast worden incidenten van andere lokale Rabobanken als voorbeeldcasussen beschikbaar gesteld.

Werking

De invulling van de gevonden succesfactoren voor het implementeren van een ORM-systeem hebben de volgende werking.

1. Senior management support

De eerste communicatie over ORM richting de medewerkers bestond uit het projectplan BORIS eind 2005. Als doelstelling werd genoemd dat de bank aan het eind van het project compliant moest zijn

De Manager Particulieren geeft aan dat risico’s goed moeten worden beheerst en dat je in deze tijd niet meer weg komt met onvoldoende aandacht voor risicomanagement. De Teamleider CA Inloop stelt dat de processen en het bewustzijn van risico’s de basis zijn voor het leveren van klantwaarde op lange termijn.

In het jaarplan voor 2007 is geen Bankbrede Risicoanalyse (BBRA) opgenomen. Dit is vanwege tijdsdruk uitgesteld tot na de planningscyclus en is afgerond in januari 2007. De resultaten van de BBRA zijn niet gecommuniceerd en worden niet gevolgd in enig rapport.

De “Segmentbrede Risicoanalyse” voor Particulieren, als onderdeel van de BBRA is wel opgenomen in het segmentplan Particulieren. Daar zijn de Teamleiders en medewerkers niet bij betrokken geweest. De Teamleider CA Inloop geeft aan dit wel te willen en dit heel belangrijk te vinden. In juni blijkt een aantal acties op het gebied van operationeel risicomanagement (ORM) bij Particulieren dat gepland stond voor januari, nog steeds niet gereed te zijn. In de werkoverleggen van Particulieren in het laatste half jaar is “risico” en “risicomanagement” volgens de notulen geen punt van aandacht geweest.

2. Toegevoegde waarde voor organisatieonderdelen

De Manager Particulieren en de Teamleider CA Inloop stellen dat de toegevoegde waarde met name zit in het voorkomen van incidenten die leiden tot schades of het beperken van het effect van deze incidenten. Door zowel de Manager Particulieren als de Teamleider CA Inloop, wordt aangegeven dat de registratie van (verwachte) verliezen in WORLD tot nu toe niets toevoegt voor de afdeling Particulieren.

3. Prestatiebeloning

De prestatiebeloning leidt, door het werken volgens procedures en richtlijnen te belonen, indirect wel tot meer aandacht voor operationele risico’s. De nadruk ligt echter op commercie. Het

deelnemen aan activiteiten in het ORM-proces wordt niet gestimuleerd door de prestatiebeloning.

4. Consistente risicodefinities

ORM-resultaten die uit diverse bronnen komen, worden niet geaggregeerd en met elkaar vergeleken. Dit zou wel moeten volgens de Manager Particulieren, maar dit staat nog in de kinderschoenen volgens de Teamleider CA Inloop.

5. Kwaliteit van de medewerkers in het ORM-proces

De onbekendheid met de relatief nieuwe opzet van ORM maakt dat er nog verschillende beelden zijn ten aanzien van de invulling van ORM. Aangegeven wordt dat “de bewustwording van het hele ORM-proces nog niet al te best is” bij de betrokkenen, “laat staan bij de andere medewerkers”. En verder: “Doordat de leidinggevenden het proces niet optimaal uitdragen en uitvoeren heeft dit zeker invloed op de andere medewerkers.”

In de praktijk wordt het opleidingsbudget niet strikt gehanteerd en overschreden als opleidingen noodzakelijk blijken.

6. Het moet een dynamisch proces zijn

Het ORM-proces is niet dynamisch, de periodieke risicoanalyse en de Zelfscan-ORM worden een keer in het jaar uitgevoerd. Vaak worden risico’s bij wijzigingen in de omgeving door RN

gesignaleerd en niet door een actieve kijk op de externe omgeving door de lokale Rabobank. Middels projecten of proceswijzigingen vanuit RN worden vervolgens de eventuele extra beheersmaatregelen bij lokale Rabobanken ingevoerd.

De Teamleider CA Inloop geeft aan dat het niet levendig is. De medewerkers worden er niet bij betrokken, assessments zoals de Zelfscan-ORM vinden bij CA Inloop niet plaats.

Naar aanleiding van de eerste rapportage over KRI’s is gesignaleerd dat een bepaalde KRI niet het gewenste inzicht biedt. Daarvoor is een betere KRI geselecteerd.

7. Resultaten moeten gedeeld worden

Het beschikbaar stellen aan de gehele bank van de ORM-resultaten van de verschillende segmenten in het kwartaalverslag leidt niet tot een vergelijking of het vaststellen van best practices op dit gebied. Bij de analyse van de RISK Risicofoto wordt wel gekeken naar de mate waarin de resultaten bij de indicatoren afwijken van de overige Rabobanken. De voorbeeldcasussen op basis van

incidenten bij andere lokale Rabobanken zijn het laatste half jaar niet meer in werkoverleggen aan de orde geweest.