Rabobank
Het nieuwe Control
Framework van de
Rabobank
Een eerste beschrijving na de invoering van het nieuwe Control Framework
Student: R.B.M. Minnema
Studentnummer: 2041324
Universiteit: Rijksuniversiteit Groningen Faculteit: Economie en Bedrijfskunde Studie: MSc Accountancy
Datum: 23-1-2017 Aantal woorden: 14.138
Supervisor: Prof. Dr. Ir. P.M.G. van Veen-Dirks RC Co-assessor: drs. W.G. de Munnik RA
Notitie: de inhoud van deze scriptie bevat vertrouwelijke informatie. Het mag dan ook niet zonder de nadrukkelijke toestemming van Rabobank, openbaar worden gemaakt, of worden verspreid aan derden.
Abstract
Aanleiding voor dit onderzoek is de landelijke implementatie van een nieuw Control Framework binnen de Rabobank organisatie. In dit onderzoek worden de implementatie en de eerste
resultaten beschreven aan de hand van 12 semigestructureerde interviews met betrokkenen binnen deze implementatie. De groep geïnterviewden bestaat uit betrokkenen vanuit de projectgroep verantwoordelijk voor het nieuwe Control Framework, betrokkenen vanuit het management van twee lokale banken en betrokkenen vanuit de controletak zowel lokaal, regionaal als landelijk.
Dit onderzoek draagt bij aan de wetenschap omdat het de implementatie beschrijft van een non-financial risk ERM implementatie binnen de bancaire sector. Bestaand onderzoek waarin ERM implementaties onderzocht zijn beschrijven de situatie vaak vanuit financial risk optiek. Dit onderzoek beschrijft de implementatie van een non-financial risk ERM binnen een bank. De combinatie van een non-financial risk ERM implementatie met als object van onderzoek een bank is nog niet eerder uitgevoerd. Hiermee levert dit onderzoek een bijdrage aan de wetenschap. Uit de resultaten blijkt dat de aanleiding voor het nieuwe Control Framework een interne
oorzaak heeft. Tevens blijkt dat de doelstellingen die vooraf door de organisatie bepaald zijn in de praktijk ook gehaald zijn. Zo ervaren de geïnterviewden minimaal een zelfde mate van in control zijn als in het oude Control Framework en de medewerkers ervaren meer tijd voor de klant en minder controledruk.
Eén van de punten die unaniem door de geïnterviewden als verbetering werd aangegeven ten opzichte van het oude Control Framework is het kort cyclisch sturen. Door de controleperiodes te verkorten wordt er nu vaker per jaar naar posten gekeken waardoor er ook sneller getoetst kan worden of de bijsturing effectief is. Verbeterpunten zijn diverse maar er zijn twee bevindingen die het meest frequent genoemd worden. Er wordt door de geïnterviewde aangegeven dat de SLM nog wel eens te veel naar details kijkt die in het nieuwe Control Framework niet meer relevant zijn. Het andere verbeterpunt dat uit dit onderzoek naar voren komt betreft het toepassen van een uniform toetskader. Dit leidt nu nog te vaak tot discussies die over details gaan in plaats van materiele zaken.
Kernwoorden: Increased Customer Focus, Internal Control Framework, implementatie, werking en opzet Internal Control Framework, kwalitatief onderzoek, Rabobank
1. Introductie………... 4
1.1 Introductie……….……….……….. 4
1.2 Relevantie van het onderzoek ………... 5
1.3 Methode van onderzoek en onderzoeksvragen………. 5
1.4 Onderzoeksverslag………..…… 6
1.5 Conceptueel model onderzoek………..7
2. Theoretisch kader…………..……….. 8
2.1. Risk management.………... 8
2.2 Risk management binnen banken ……….…... 9
2.3. ERM + Internal Control modellen ……….……… 11
2.3.1. COSO model………... 11
2.3.2. Three Lines of Defence model ………... 13
2.4 Change management ……… 15
3. Onderzoeksmethode……… 18
3.1. Type onderzoek……….……….. 18
3.2. Ontwerp onderzoeksopzet………. 19
3.2.1. Doel van het interview……….………. 19
3.2.2. Informatiebehoefte/theoretische variabelen en indiceringsmethoden 1 ……….……… 20
3.3 . Interviewopzet………..……….. 21
3.3.1. Genodigden voor interview……….. 21
3.3.2. Opzet interview……….……….. 22
3.4 Data beperkingen ……….. 23
3.5 Rabobank ………. 23
3.5.1. Historie Rabobank en wijziging governance………. 23
3.5.2. ICF programma ……….. 24
3.5.2.1. ICF algemeen ……….. 24
3.5.2.2. Nieuw Control Framework ……….. 25
4. Onderzoeksresultaten ……… 29 4.1 Onderzoeksresultaten subvragen …... 29 4.2 Onderzoeksresultaten hoofdvraag ……… 33 5. Conclusie en aanbevelingen ……… 36 5.1 Conclusie………... 36 5.2 Beperkingen onderzoek ……… 38
5.3 Input voor vervolgonderzoek ……….. 39
Referenties……… 40
1. Introductie
1.1 Introductie
Deze thesis gaat over de invulling van het nieuwe Control Framework binnen Rabobank Nederland. De onderzoeker is werkzaam bij Rabobank Sneek in de functie van First Line Monitor Specialist. Uit hoofde van deze functie is de onderzoeker betrokken bij de lokale implementatie van het nieuwe Control Framework (hierna: CF) binnen Rabobank Sneek. Eerst zal er worden ingegaan op de aanleiding om dit onderwerp te onderzoeken. Vervolgens zullen de onderzoeksvragen en de relevantie van dit onderzoek nader toegelicht worden. Als laatste zal de structuur van de thesis verklaard worden.
Recente wereldwijde gebeurtenissen, mede veroorzaakt door de financiële crisis in 2008, hebben er voor gezorgd dat er meer aandacht is voor risk management. Binnen de wetenschap is risk management een relatief nieuw aandachtsgebied waarover steeds meer literatuur begint te verschijnen. Hierdoor is risk management niet langer voornamelijk gerelateerd aan (een afdeling) Finance binnen een bedrijf maar ingebed in de hele organisatiestructuur (Collier and Soin, 2013).
De verscherpte aandacht voor risk management is niet (uitsluitend) te danken aan dat er tegenwoordig veel meer risico’s zich afspelen dan vroeger, maar is meer gelegen in
ontwikkelingen van de afgelopen decennia die dit versterken. Volgens Collier en Sion (2013) komt dit door drie ontwikkelingen: als eerste de toegenomen interesse in corporate governance en de daaruit volgende aandacht vanuit de directie voor identificatie, signaleren en monitoren van risico’s. Als tweede punt de toegenomen internationale focus op internal control dankzij onder andere wetgeving als SOX, Basel en Corporate Governance codes en als derde de media aandacht ten aanzien van schandalen binnen het bedrijfsleven.
Deze thesis focust zich op risk management binnen banken en dan specifiek op de Rabobank. Voor banken is enterprise risk management met name relevant omdat bij banken het
identificeren van risico’s hun core business is (Caldarelli et al., 2012).
Een bank fungeert in principe als tussenpartij tussen twee partijen, namelijk een partij die geld over heeft en een partij die geld nodig heeft (Caldarelli et al., 2012). Omdat het
identficieren van risico’s de core business van banken is, is het cruciaal om te zorgen dat de bank in control blijft en dat de risico’s juist ingeschat worden. Aanvullend speelt een bank een fundamentele rol in de economie (Levine 2004) en in duurzame ontwikkeling (Scholtens, 2006). De Rabobank is de op één na grootste bank (gemeten naar som van totaal assets) van
Nederland1. De structuur waar binnen de Rabobank opereert is wezenlijk anders dan die van
haar concurrenten. De bank opereerde tot voor kort als allemaal zelfstandige banken die opereren onder uiteindelijk één grote naam. Hierdoor heeft dus elke lokale bank ook zijn eigen directie, eigen afdeling Control, eigen callcenter afdeling etcetera. Met de invoering van de nieuwe governance structuur per 1 januari 2016 opereert de Rabobank onder één
bankvergunning. Vanwege de oorspronkelijke situatie verschilt echter de inrichting per bank nog wel waarbij wel de vraag is hoe lang deze verschillen nog blijven bestaan. De ECB wil de komende jaren de kapitaalseisen verder verhogen. De Rabobank organisatie heeft daar meer last van dan haar direct concurrenten ING en ABN AMRO vanwege de grote overheadkosten die de organisatie structuur van de Rabobank met zich mee brengt.
De ECB wil de peilers waar de Rabobank zich op focust, namelijk MKB en particuliere
hypotheken, een zwaardere kapitaaleis opleggen2. Om de organisatie hiervoor klaar te maken
zullen de kosten aanzienlijk naar beneden moeten en de opbrengsten omhoog. Dit feit gecombineerd met de kritiek op de omvang en efficiency van het bestaande Control Framework (hierna: CF) heeft ervoor gezorgd dat er een projectgroep opgestart is die een nieuw CF ontworpen heeft.
In deze thesis zal het nieuw ontworpen CF onderwerp van onderzoek zijn. Hierin wordt zowel de ontwerpfase van het nieuwe CF in kaart gebracht alswel de uitvoering en de eerste
resultaten met het werken onder het nieuwe CF.
1.2 Relevantie van het onderzoek
Dit onderzoek focust zich op het nieuwe Control Framework van de Rabobank. Deze beweging is al een tijd geleden ingezet om de bank klaar te maken voor de toekomst.
De landelijke uitrol van deze nieuwe aanpak is afgelopen juni (2016) afgerond waardoor er nu een geschikt moment ontstaat om de eerste bevindingen vanuit deze nieuwe aanpak te toetsen.
Kern van het onderzoek is om vast te stellen of de doelstellingen die geformuleerd zijn voor invoering van het nieuwe CF behaald zijn. Dit zal gedaan worden door te onderzoeken waarom de bank overgegaan is op een nieuw CF, de implementatie te beschrijven, te onderzoeken of het beoogde resultaat bereikt is en eventuele verbeterpunten binnen het nieuwe CF aan te dragen.
De combinatie van object van onderzoek (bank) en implementatie van een nieuw CF binnen dit object van onderzoek is heeft nog niet eerder plaatsgevonden. Onderzoek naar implementatie van Enterprise Risk Management (hierna: ERM) modellen binnen banken heeft eerder plaatsgevonden. Dit is bijna altijd een onderzoek geweest als ERM in de zin van kredietrisico en niet vanuit het non-financial risk benadering. Dit onderzoek kijkt juist uitsluitend naar het non-financial risk component. Hierdoor levert dit onderzoek een bijdrage aan de wetenschap.
1.3 Methode van onderzoek en onderzoeksvragen
Het uitgevoerde onderzoek is van descriptieve aard en zal een aantal interviews omvatten met relevante gebruikers/ontwerpers in en van het nieuwe CF. Er is gekozen voor een descriptief onderzoek in combinatie met interviewvragen aangezien de onderzoeker werkzaam is binnen de Rabobank organisatie en betrokken is geweest bij de implementatie van het nieuwe CF binnen de lokale bank. In dit onderzoek is bewust gekozen voor interviews als brondata in plaats van enquêtes. Juist vanwege de recentheid van invoering van het nieuwe CF geven interviews de mogelijkheid om ad hoc verdiepingsvragen te stellen aan de geïnterviewde waardoor er relevante informatie opgehaald kan worden.
De volgende onderzoeksvragen zijn onderdeel van dit onderzoek:
1.4 Onderzoeksverslag
Dit onderzoek is opgezet volgens de volgende structuur:
I. Introductie + onderzoeksvragen
II. Theoretische achtergond
III.
Onderzoeksmethode IV. Resulaten
V. Discussie + aanbevelingen
Hoofdvraag:
Waarom is er een nieuw Control Framework ontworpen en zijn de vooraf gestelde doelen van het project gehaald?
Subvragen:
Hoe is het ontwerp van het nieuwe Control Framework tot stand gekomen?
Hoe is het implementatieproces en de overgang naar het nieuwe Control Framework ervaren?
Welke verschillen worden ervaren tussen het nieuwe en oude Control Framework? Wat zijn de meest genoemde verbeterpunten voor het nieuwe Control Framework?
In het volgende hoofdstuk zal de theoretische achtergrond achter het onderzoek besproken worden. In hoofdstuk 3 zal de opzet en object van onderzoek beschreven worden. In hoofdstuk 4 zullen de resultaten uit deze interviews geanalyseerd worden. Hoofdstuk 5 sluit ten slotte af met de discussie en aanbevelingen voor verder onderzoek.
1.5 Conceptueel model onderzoek
Hieronder wordt het conceptueel model van dit onderzoek weergegeven. Dit model is onder verdeeld in de onderdelen aanleiding, verandering, doelstelling project en onderzoeksdoel. Deze onderdelen komen in hoofdstuk 3 aan bod en na afsluiting van het desbetreffende hoofdstuk zal het model aangevuld worden.
2. Theoretisch kader
In dit hoofdstuk zal het theoretisch fundament van dit onderzoek verder uiteengezet worden. Eerst zal risk management in het algemeen behandeld worden waarna er verder ingezoomd wordt op risk management binnen banken. Aansluitend worden de meest gebruikte risk management modellen kort behandeld waarna invulling van risk management bij het object van onderzoek, Rabobank, verder toegelicht wordt.
2.1 Risk management
Risk management is een verschijnsel van alle tijden wat zich tevens in vele processen in ons dagelijks leven afspeelt. Dit doet zich zowel voor in ons privé leven als in ons zakelijke leven. De term “risk” refereert aan situaties waarin er verschillende uitkomsten mogelijk zijn die min of meer met zekerheid te voorspellen zijn. Risk verschilt materieel van de term onzekerheid aangezien die term refereert aan situaties of kansen op situaties die niet bekend zijn danwel niet met enige mate van nauwkeurigheid bepaald kunnen worden (Guill 2016).
De effectiviteit van risk management is ondanks de aanwezigheid van risk concepten en de huidige risk management modellen nog altijd twijfelachtig (Aaker & Jacobson, 1990; Baird & Thomas, 1990; Collins & Ruefli., 1992).
In de literatuur wordt risk omschreven als de onvoorspelbaarheid van economische en financiële resultaten (Miller and Power, 1992; Sitkin and Pablo, 1992), en dan met name de variatie in resultaten die vooraf niet voorspeld waren (March and Shapira, 1987; Miller and Power., 1992) Het concept van risk is gebaseerd op het voorspellen van de kans op een
gebeurtenis en dit meetbaar en berekenbaar maken. Volgens Ewald (1986) is de omschrijving als volgt:
“ the calculus of risk makes the incalculable ‘calculable’, with the help of accident statistics, probabilities and through generalized statistical formulae”.
Volgens Wahlstrom (2009) worden cijfers en berekeningen gebruikt om complexe relaties aan te tonen met behulp van ratio’s en andere kwantitatieve methoden.
Een ander issue is dat, met name in de financiële sector, het concept van risk een negatieve invulling heeft vanwege de invloed op de corporate performance (Caldarelli et al., 2012). Afwijkend van de hierboven beschreven objectieve meting van risk zijn er ook onderzoekers die juist het gebruik stimuleren van de subjectieve en intersubjectieve zaken (Kleindorfer and Saad, 2005). Als gevolg van deze benadering in combinatie met de toenemende turbulentie en complexiteit in een concurrerende omgeving wordt het concept van risk gezien in een breder perspectief van onvoorspelbaarheid genaamd onzekerheid (Beasley et al., 2005; Gordon et al., 2009; Pagach and Warr., 2010).
Hieronder vallen ook de omgevings- en organisatieaspecten die invloed hebben op de totale performance van een onderneming (Mikes, 2011; Arena et al., 2010; Gephart et al., 2009; Miller et al and Beasley., 2008).
Een gevolg van deze benadering is dat, ondanks dat de economische en financiële aspecten wel meegenomen worden, er culturele-, sociale- en omgevingsfactoren zijn die niet meetbaar zijn in getallen (Keindorfer, 2010).
Een belangrijk criterium om vast te stellen of risk management geïmplementeerd moet worden binnen een bedrijf ligt eraan in hoeverre een onderneming een waarde creërend effect kan bereiken (Li et al., 2015).
Stulz (1996) benadrukt dat ondernemingen last hebben van hoge kosten en daardoor waardevolle belegging strategieën laten liggen. Risico management biedt een mogelijke bescherming om goed om te kunnen gaan met een dergelijke negatieve mogelijkheid.
Daarmee kan gesteld worden dat het primaire doel van risk management het reduceren van de volatiliteit van de cashflow is in combinatie met het vergroten van de waarde van de onderneming (Li et al., 2015).
Curell (2008) geeft aan dat risk management een onderneming de mogelijkheid geeft om een balans te vinden tussen omzet en risico’s, en de garantie aan de aandeelhouder dat de waarde van de onderneming op zijn minst gelijk blijft en bij voorkeur verhoogd.
Risk management kan ook bekeken worden vanuit het perspectief van strategisch risico management. Beasley and Frigo (2007) geven aan dat het doel van risk management is om de onderneming in staat te stellen, binnen de door de aandeelhouder gestelde risicograad, haar doelen te bereiken. Derhalve concluderen zij dan ook dat risk management de
aandeelhoudersbelangen beschermt of mogelijkerwijs zelfs versterkt.
Manab et al. (2010) stellen dat risk management dermate belangrijk is voor de
bedrijfsprestaties en de ondernemingswaarde dat ondernemingen aangemoedigd worden om permanent hun risk management programma te verbeteren. Andere onderzoekers geven aan dat risk management inderdaad ook beschermende invloed heeft op de ondernemingswaarde maar dat dit wel afhangt van de manier waarop risk management gemeten wordt (Lien & Lie 2013, Bose & Leung 2014).
Geconcludeerd kan worden dat er op basis van de literatuur een correlatie bestaat tussen risk management en ondernemingswaarde. Echter consensus over hoe en wanneer risk
management de ondernemingswaarde kan vergroten is niet vastomlijnd aan te geven.
2.2 Risk management binnen banken
In dit hoofdstuk zal verder ingegaan worden op de invulling van risk management binnen het bankwezen in het algemeen. Hierbij zal zowel ingegaan worden op risk management in de zin van kredietrisico (financial risk) alswel risk management buiten het kredietrisico om (non-financial risk).
Sinds het uitbreken van de kredietcrisis in 2008 is het besef bij van de importantie van risk management bij het nemen van strategische beslissingen steeds duidelijker geworden (Mikes 2011). Zoals de Wall Street Journal op 15 november 2015 schreef: “na een periode waarin groei en nog meer groei de hoofdtoon voerde waardoor banken zich steeds meer gingen toeleggen op riskante maar winstgevende producten als gesecuriseerde hypotheken, is nu het besef
gekomen dat een directeur die risk management verstaat op zijn plek is”.
De kredietcrisis vond zijn oorsprong bij Amerikaanse financiële instellingen maar al vrij snel sloeg de paniek wereldwijd toe (Li et al., 2015).
Financiële instellingen verschillen van de andere bedrijven omdat ze niet alleen de reguliere bedrijfsrisico’s hebben maar ook externe risico’s naar binnen halen, denk hierbij aan het verstrekken van een lening. Met de kredietcrisis werd duidelijk dat passief risicomanagement haar beperkingen kende waardoor de interesse in actief risico management aanzienlijk
groeide. Volgens Li et al. (2015) zorgt dit ervoor dat financiële instellingen meer belang hebben bij actief risk management zoals risk self assessments dan passief risicomanagement.
Aanvullend hierop zijn er ook artikelen zoals die van Beltratti & Stulz (2012) die aantonen dat banken met een shareholder-friendly board slechter presteerden tijdens de crisis dan andere banken. Fahlenbrach & Stulz (2011) vinden geen causaal verband tussen goed rendererende investeringen en betere aandeelhouderswaarde gedurende de financiële crisis.
Guill (2016) geeft aan dat succesvolle ondernemingen net zo goed zijn in het managen van risico’s als ze zijn in het managen van omzet/opbrengsten. Gevolg hiervan is dan ook dat ondernemingen die risico’s goed managen, doorgaans een voordeel ten opzichte van hun concurrenten hebben.
Ondernemingen die goed hun risico’s in beeld hebben danwel deze in kunnen schatten, kunnen dit volgens Guill (2016) gebruiken om: bewuste keuzes te maken om wel/geen risico te
accepteren, een redelijke prijs voor de risico’s te berekenen, het beschikbare kapitaal inzetten in de beste, voor risico gecorrigeerde, activiteiten en het nauwkeurig bepalen van welke buffer aangehouden dient te worden voor onvoorziene verliezen. Guill (2016) geeft tevens aan dat dit concurrenten die op de oude manier nog zaken doen, op basis van onderbuikgevoel en
resultaten uit het verleden, wellicht op korte termijn een wedstrijd winnen maar op lange termijn niet. Omdat zij niet de volledige vergoeding voor het risico doorrekenen richting de klant kan het zijn dat ze te maken krijgen met onverwachte verliezen die dan vervolgens niet gedekt kunnen worden door de opbrengsten. Met als gevolg dat klanten weglopen naar een concurrent die een stabielere vermogenspositie heeft.
Een relevant item in het kader van risk management blijkt ook de manier van funding van een bank te zijn. Uit onderzoek van Bekkum (2015) blijkt dat banken die eind 2006 meer intern gefinancierd zijn in de periode 1 juli 2007 tot maart 2009 een lager risicoprofiel hebben dan banken die meer extern gefinancierd zijn. Daarnaast worden meer intern gefinancierde banken ook sneller geassocieerd met meer conservatieve investeringen, lange termijn investeringsvisie en minder non-financial bank activiteiten.
De resultaten van dit onderzoek tonen aan dat intern gefunde banken het risico mitigeren door meer conservatieve beslissingen te maken.
Voor het financiële risico worden de Basel kapitaalstandaarden gebruikt. Het Basel II akkoord identificeert drie materiele risico’s waar een bank zijn exposure tegen zou moeten beschermen. Dit zijn kredietrisico, marktrisico en operationeel risico (Basel Committee on Banking
Supervision, 2006b). Operationeel risico wordt door Basel II gedefinieerd als:
‘… the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk’ (Basel Committee on Banking Supervision, 2006b, p. 144).
Operationeel risico is een groot risico binnen banken en kan voor financiële onbalans zorgen (Barakat & Hussainey 2013). Mede daarom is operationeel risico management binnen banken vol in de aandacht van academici, professionals en regelgevers (Ford et al., 2009, Helbok & Wagner 2006).
Het Basel II akkoord bestaat uit drie pilaren waar operationeel risico uit bestaat.
Pilaar 1 is het minimale eigen vermogen dat een bank aan dient te houden en dit afzet tegen het operationele risico dat gelopen wordt. Pilaar 2 bestaat uit het berekenen in hoeverre additioneel risico kapitaal nog toegevoegd kan worden.
Dit wordt ook wel het economic capital genoemd. Pilaar 2 wordt door de toezichthouder gecontroleerd indien deze afwijkt van pilaar 1.
Pilaar 3 bestaat uit het openbaar maken van de operationele risico’s. Ondanks dat dit beschouwd wordt als een belangrijke stap in het verbeteren van de openbaring van operationele risico’s binnen het bankwezen zijn veel professionals en academici hier niet zonder meer van overtuigd. Zij zien deze verplichtingen vooral als erg algemeen en kwalitatief van aard (Ford et al., 2009).
2.3 ERM + Internal Control modellen
In dit hoofdstuk zal het COSO ERM model behandeld worden met aansluiting een beschrijving van het Three Lines of Defence model.
2.3.1. COSO model
Tot halverwege de vorige eeuw werd risk management door zakelijke, non-profit en
overheidssector vooral gezien als een risico/onzekerheid en het gevolg was een eenzijdig beeld waarop gestuurd werd (Reijntjes 2007). Daardoor concentreerde men zich ook voornamelijk op specifieke zorgen en gebeurtenissen met als gevolg dat er een focus kwam op de negatieve kanten van risico zonder de voordelen daarin mee te nemen. Met de oprichting van
samenwerkingen in de professionele sfeer zoals The Treadway Commission werden nieuwe normen en richtlijnen voor risico gecreëerd. Gevolg van deze samenwerking is onder andere de formulering van COSO richtlijnen in 1987. COSO (in Reijntjes 2007) definitieert risk
management als volgt:
“Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.” (COSO, 2004, p.7)
COSO is een samenwerking die bestaat uit een aantal organisaties die als doel hebben om de kwaliteit te verbeteren van goed werkende interne controles, corportage governance en financiële verslaggeving. COSO hanteert het uitgangspunt dat ERM begint op het hoogste niveau en vanuit daar naar lagere niveau’s in de organisatie stroomt.
COSO onderschrijft het belang van interne controles en organisatorische infrastructuur voor het uitvoeren van de functies van ERM. Uitgangspunt is om de vastgestelde doelstellingen te behalen om hiermee een graadmeter te kunnen zijn voor de effectiviteit ERM.
In figuurvorm ziet het COSO model er als volgt uit:
Figuur 1: COSO model
Deze kubus is oorspronkelijk ontworpen zodat de drie zichtbare kanten de belangrijke keuzes die binnen ERM gemaakt moeten worden zichtbaar zijn. Het meest prominent in beeld springende deel bestaat uit acht typische ERM processen die organisaties kunnen gebruiken om risico’s te managen. De acht onderdelen betreffen van boven naar onder:
Internal environment: geeft aan wat de attitude van de organisatie jegens risk is en hoe een organisatie haar mensen tegen risk aankijken (risk appetite).
Objective setting: geetf aan dat een organisaties doelen en doelstellingen moeten hebben om te kunnen evalueren welke risico’s mogelijk een succesvol einddoel in de weg kunnen staan. Event identification: refereert aan het totaal aan aanwezige internal/external gebeurtenissen die kunnen helpen of de organisatie kunnen hinderen.
Goal attainment: binnen het risk assessment worden de aanwezige risico’s beoordeeld op waarschijnlijk en potentiele impact voor de organisatie zodat prioriteiten van de risico’s vastgesteld kunnen worden.
Risk response: beschrijft het proces waarbij het management dient aan te geven of de risico’s geaccepteerd, ontweken, geminimaliseerd of gedeeld zullen worden op basis van de vooraf door de organisatie opgestelde risk appetite.
Control activities: borgt dat de risk response stappen goed geimplementeerd worden via interne controles, interne policies en procedures.
Information and communication: zorgt er voor dat alle partijen die gelinkt zijn met risk management tijdig de relevante informatie ontvangen.
Monitoring: zorgt er voor dat het proces continue bewaakt wordt en waar nodig bijsturing plaatsvindt.
De andere gebieden van de kubus geven weer op welk niveau en diepte binnen de organisatie het model toegepast moet worden. COSO wordt wereldwijd toegepast en in diverse branches waaronder het bankwezen (Free et al,. 2014).
zijn waarbij onderzoek keer op keer aantoont dat COSO het meest bekend is (Fraser et al. 2008) en wereldwijd het vaakst toegepast worden (COSO, 2010b).
Kritiek is er ook op het COSO model. Zo stellen Tekathen & Dechow (2013 dat COSO een voorkeur heeft voor risicocontrole, audit en vermijden van risico. Samad Khan (2005) zijn kritiek op het COSO model is dat hij vindt dat de definitie van risk door COSO gebrekkig is, de waarschijnlijkheid dat een risico optreed is eveneens gebrekkig, de methoden die COSO gebruikt zijn subjectief en de risk assessments binnen COSO zijn te complex en vergen te veel tijd.
2.3.2. Three Lines of Defence model
Veel financiële instellingen werken met het three lines of defence model (hierna: 3Lod). Hieronder zal een toelichting gegeven worden op wat het 3Lod model is en de uit de literatuur bekende voor- en nadelen zullen besproken worden.
L. Paape (2013) omschrijft het model als volgt:
“De eerste lijn is het management zelf, de tweede lijn wordt gevormd door functies als risicomanagement en compliance en als derde lijn is de interne accountantsdienst/internal audit.
Tezamen dienen deze drie lijnen een robuust bouwwerk te vormen waarmee problemen tijdig kunnen worden voorkomen dan wel gesignaleerd en aangepakt.”
The institute of Internal Auditors (hierna: IIA) omschrijft 3Lod als volgt:
“Het 3Lod zorgt voor een simpele en effectieve manier van de communicatie over risk
management en control door duidelijk rollenen verplichtingen aan te geven. Het geeft een frisse blik op processen en helpt bij het succesvol uitrollen van risk management initiatieven.
Daarnaast is het toepasbaar voor elke organisatie, ongeacht de omvang. Zelfs binnen organisaties waar geen risk management frameworks gehanteerd worden is het mogelijk om 3Lod toe te passen en duidelijkheid over risico’s en controls te krijgen.”
Figuur 2: grafische weergave van het Three Lines of Defense model
Het IIA geeft aan dat de drie lijnen de volgende functies hebben. First Line is verantwoordelijk voor voor het dagelijks reilen en zeilen en daarmee het in control houden van het bedrijf. Second Line bevat met name compliance en managementfuncties die de First Line (helpen) monitoren. Typische functies waar aan gedacht kan worden zijn: risk manager functies waarbij een effectief risk management systeem geborgd wordt door operationeel management en dit binnen de organisatie gerapporteerd wordt. Compliance functies die specifiek de non-compliance risico’s monitoren. Rapportage hiervan gaat rechtstreeks naar senior management of direct naar de desbetreffende afdeling. Daarnaast worden ook financiële risico’s gemonitord en gerapporteerd.
De Third Line geeft assurance met de hoogste mate van onafhankelijkheid die mogelijk is binnen de organisatie. Deze mate van assurance kan niet afgegeven worden door de Second Line.
In de interne documentatie3 omschrijft Rabobank het model als volgt:
“Het ‘Three Lines of Defence model’ (3LoD) vormt de basis voor het nieuwe Risicocontrole raamwerk. In dit model staan de rollen en taken vermeld van de 1e, 2e en 3e lijn. Zo is er geen onnodige overlap van de 1e, 2e en 3e lijn.”
In de interne documentatie4 wordt de volgende omschrijving gegeven van de invulling van de
rollen van de diverse defence lijnen:
3 Q&A ICF algemeen Rabobank 2016 4 Q&A ICF algemeen Rabobank 2016
De 1e ‘Line of Defence’
De 1e lijn is eigenaar van alle risico’s die zich voordoen in de bedrijfsvoering en is dus primair verantwoordelijk voor het onderkennen, afwegen en beheersen van deze risico’s. Dit betekent dat zij deze risico’s identificeert, mitigeert en de uitvoering van de maatregelen monitort én
eventueel bijstuurt naar aanleiding van de uitkomsten van de monitoring. De 1e en 2e lijn ontwikkelen beleidskaders, advieskaders en procedures ter ondersteuning hiervan.
In de 1e lijn wordt gewerkt met First Line Monitoring (FLM). FLM wil zeggen dat gekeken wordt of het beheersen van de key risks en de uitvoering en het documenteren van de key controls door de 1e lijn is gedaan en of dit goed is gedaan.
De 2e ‘Line of Defence’
De 2e ‘Line of Defence’ bestaat uit Risk management, Compliance en Krediet Risico
Management (KRM). Risk management en Compliance in de 2e lijn monitoren de werking van de 1e lijn. Hierbij maakt de 2e lijn gebruik van de door de 1e lijn vastgelegde uitkomsten van de key risks en key controls en wordt een hertoets op de kwaliteit uitgevoerd. Dit wordt het
basisonderzoek van de Second Line Monitoring (SLM) genoemd. SLM is de onafhankelijke toetsing van de opzet, het bestaan en de werking van de First Line Monitoring. Daarnaast kunnen thematische (diepte)onderzoeken plaatsvinden door SLM om te beoordelen of risico’s voldoende worden beheerst.
Zowel Risk management als Compliance zijn in de nieuwe opzet onderdeel van de centrale organisatie en er wordt gewerkt in regionale teams. Wijzigingen in de organisatie zullen waarschijnlijk in de 2e helft van 2016 plaatsvinden. De Kredietbeoordeling is vanuit wet- en regelgeving onderdeel van de 2e lijn.
De 3e ‘Line of Defence’
De 3e ‘Line of Defence’ betreft Audit Rabobank. De 3e lijn geeft ‘assurance’ over de opzet, bestaan en werking van het gehele Risicocontrole raamwerk.
In de oude situatie gebruikte de Rabobank ook reeds een variant van het Three Lines of Defence model. Op de invulling hiervan is echter vanuit meerdere hoeken kritiek gekomen. Zo stelt Paape (2013) inzake de Rabobank Libor affaire dat “de constatering dat het three lines of defence model heeft gefaald”. Dit sluit ook aan bij de brief die de DNB naar aanleiding van de Libor affaire in 2013 naar de Rabobank bestuur gestuurd heeft.
Hierin staat ook vermeld dat er verbeteringen aangebracht dienen te worden in het 3Lod model zoals Rabobank dat op dat moment gebruikte. De versterking moest volgens de DNB ondermeer de volgende zaken omhelsen: compliance qua bezetting op nivo van andere grootbanken brengen, versterken van functioneren risk management en het afwikkelen van bevindingen in interne audits moeten herzien worden.
DNB stelt dan ook dat met name de second line en de third line hun werk niet goed gedaan hebben.
2.4. Change management
Change management is een relevant onderdeel bij het implementeren van een verandering of nieuwe beleid. Moran and Brightman (2001) definieren change management als volgt:
“The process of continually renewing an organization’s direction, structure, and capabilities to serve the ever-changing needs of external and internal customers.”
Burnes (2004) vult hier nog op aan dat verandering een permanent aanwezige eigenschap is van een organisatie op zowel operationeel als strategisch niveau.
Door de importantie van het veranderen van een organisatie is het van essentieel bealng dat een organisatie beschikt over een directie die zeer capabel is in dit te managen (Senior 2002). Graetz (2000) gaat nog een stapje verder en zegt dat door de globalisatie, de snelheid van technologische ontwikkelingen en de demografische en sociale ontwikkelingen het managen hiervan een dagtaak is voor het huidige management.
Weerstand tegen verandering werd lang als één van de kritische succesfactoren voor het wel of niet slagen van een wijziging binnen een organisatie gezien (Waddell et al. 1998).
Onderzoek gedaan door Maurer (1996) gaf aan dat de helft tot 2/3 van de grote organisatie verandertrajecten niet slaagden vanwege de weerstand tegen verandering. Vergelijkbare succesratio’s kwamen naar voren uit onderzoek uitgevoerd door Balogun and Hope Hailey (2004).
Ditzelfde beeld kwam ook naar voren in onderzoek uitgevoerd in Groot Britannie door
Oakland & Sohal (1987). Zij onderzochten het optimaliseren van productie technieken door de productie managers te interviewen. Eisen et al. (1992) en Terziovski et al. (1997) kwamen er ook achter dat managers en werknemers de belangrijkste weerstandsfactoren waren bij de implementatie van een nieuw kwaliteitssysteem in de Australische productie industrie. Naast weerstand zijn er nog andere factoren die change management negatief beinvloeden. Volgens Gill (2003) zijn dit mogelijke faalfactoren: slechte planning, monitoring en control van het proces, meer op het doel focussen dan de onderliggende stappen en processen en gebrek aan piketpaaltjes die tijdens de implementatie behaald worden. Oorzaken hiervan zijn volgens Gill het gebrek aan middelen, systemen, tijd, informatie en de benodidge skills en kennis. Aladwani (2001) onderzocht welke strategie het management zou moeten voeren om een Enterprise Resource Planning implementatie succesvol af te ronden. Om de weerstand bij de werknemers te veranderen zou het management de volgende zaken moeten onderzoeken: bestuderen van de structuur en behoeften van de werknemers en de reden van de weerstand die bij hun optreed, met behulp van de juiste strategieen en technieken de implementatie tot een succes maken en het achteraf evalueren van de inspanningen die aangaande change management verricht zijn.
Sirkin et al. (2005) onderzochten 225 bedrijven uit verschillende sectoren om te kijken of er een correlatie bestaat tussen de uitkomst van een change management project. Ze vonden vier gemeenschappelijke factoren: duur van het project, de capaciteiten van het team, commitment vanuit de directie en de afdeling die onderwerp van het onderzoek is en de aanpassing die een werknemer van deze afdeling moet doen om goed te kunnen werken in de nieuwe omgeving. 2/3 van de change management initiatieven slagen niet (Beer & Nohria, 2000), (Sirkin et al, 2005). Onderzoek van Wateridge (1995) en Hartman (1997) tonen aan dat wanneer een projectmanager het met zijn of haar team en andere betrokkenen van tevoren eens is over de manier waarop zij het succes van een project moeten beoordelen, hun kans op succes maximaal is.
Uit deze onderzoeken blijkt dat het belangrijk is om aandacht te besteden aan de randvoorwaarden die nodig zijn voor een succesvolle implementatie.
Kotter (1995) en Beer et al. (1990) gaan allebei uit van een stappenplan dat gevolgd zou moeten worden om een organisatie door de change management fase heen te helpen. Communicatie omtrent de aankomende veranderingen, verantwoordelijkheden en
relatiemanagement is volgens Beer et al. (1990) de meest effectieve manier om verandering in gedrag te bewerkstelligen. Dit bestaat uit een zes stappen plan waarbij stap 1 het meenemen van medewerkers in de aankomende veranderingen is. Stap 2 bestaat dan uit het creëren van een gezamenlijke visie op hoe deze verbetering tot stand zou moeten komen. Stap 3 is het consensus bereiken met de uiteindelijke gebruiker van het nieuwe product/proces. Hierbij is het van cruciaal belang dat het management dit goed begeleidt en hier ook volledig achter staat om de benodigde commitment bij de medewerkers te krijgen. Het is hierbij belangrijk dat elke afdeling zelf uitvindt hoe de nieuwe situatie voor hun werkt om op deze manier meer commitment te verkrijgen. Stap 5 is dan het uitrollen van de nieuwe rollen/veranderingen zoals in de vorige stappen is omschreven. De laatste stap betreft het monitoren van het proces en eventueel veranderingen doorvoeren indien dit nodig is.
3. Onderzoeksmethode
In dit hoofdstuk wordt de onderzoeksmethodiek beschreven. Eerst zal het type onderzoek in paragraaf 3.1 behandeld worden, aansluitend wordt het ontwerp daarvan besproken worden in paragraaf 3.2 en daarna de interviewopzet in paragraaf 3.3. Paragraaf 3.4 geeft de data
beperkingen aan en in paragraaf 3.5 zal een stuk toegelicht worden over het object van onderzoek, de Rabobank.
3.1 Type onderzoek
In deze paragraaf wordt de gekozen onderzoeksmethode besproken. Voor het vast stellen van de onderzoeksmethode zijn geen criteria of indelingsregels. De keuze van de
onderzoeksmethode is afhankelijk van de onderzoeksvraag, beschikbaarheid van de data, de vaardigheden van de onderzoeker en de voorkeur voor een bepaald type methode (Gilbert 2008 p. 34-37). In dit onderzoek wordt achtereenvolgens het kwalitatief onderzoek behandeld
waarna er verdere verdieping zal plaatsvinden op de specifiek gekozen case study methode van dit onderzoek.
Het type onderzoek dat uitgevoerd gaat worden, betreft een kwalitatief case onderzoek. In dit onderzoek staat de Rabobank centraal waarbij er een onderzoek zal worden uitgevoerd naar de werking van het nieuw geïmplementeerde CF zoals de bank dat sinds 2016 kent.
De data die gebruikt wordt komt voort uit interne documentatie van de Rabobank en
interviews die met direct betrokkenen gehouden worden. Het voordeel van deze opzet is dat de data goed bruikbaar is voor het achterhalen van hoe en waarom processen in organisaties plaatsvinden (Gilbert 2008 p. 35).
Yin (2003) geeft aan dat er zes mogelijke informatiebronnen zijn in het kader van case studies. Van deze zes mogelijke informatiebronnen worden er in deze scriptie twee vormen gebruikt te weten interviews en documentatie. Interne documentatie van de Rabobank wordt gebruikt evenals papers die over dit onderwerp gaan. De interviews zullen met diverse mensen binnen de Rabobank gehouden worden. Er wordt gebruik gemaakt van gestructureerde interviews waarbij, indien nodig, aanvullende verdiepingsvragen gesteld kunnen worden. Voordeel van deze methode is dat onderzoek veel gedetailleerder kan plaatsvinden dan bij een grote steekproef (Gilbert 2008). Doel hiervan is om zo inzicht te verkrijgen in de werking van het nieuwe Control Framework van de Rabobank.
3.2 Ontwerp onderzoeksopzet
Hieronder zal de onderzoeksopzet toegelicht worden met behulp van de tien stappen in de constructie van een interview (Emans, 2002):
1. Doel van het interview
2. Informatiebehoefte/theoretische variabelen 3. Indiceringsmethoden
4. Ruwe variabelen
5. Antwoord- en noteersystemen
6. Instructies voor het stellen van vragen 7. Vragen op volgorde
8. Lay-out, introductie en afsluiting 9. Test van concept schema
10. Definitief schema
In deze casus zullen alleen stap 1,2,3 en 5 behandeld worden. Stap 4 is niet van toepassing aangezien de methode van onderzoek een interview is. Stap 6,7,8,9 en 10 zullen wel uitgevoerd maar niet behandeld worden in dit hoofdstuk.
3.2.1 Doel van het interview (stap 1)
Miller (1992) zijn definitie voor een interview is de volgende:
“A face-to-face dyadic interaction in which one individual plays the role of the interviewer and the other takes on the role of interviewee, and both of these roles carry clear expectations concerning behavioral and attitudinal approach. The interview is requested by one of the participants for a specific purpose and both participants are willing contributors.”
Het doel van dit onderzoek is het in kaart brengen of er met de invoering van het nieuwe Control Framework de doelstellingen behaald zijn. Deze doelstellingen zullen in hoofdstuk 3.5 besproken worden. Zoals beschreven in het begin van dit hoofdstuk zal dit onderzocht worden door middel van interviews met diverse betrokkenen in dit proces.
Emans (2002) geeft aan dat stap 1 vaak overgeslagen wordt maar zeer cruciaal is om de juiste informatie boven tafel te krijgen. Om dit proces goed te doorlopen is het belangrijk om de onderzoeksvragen duidelijk te hebben. In deze casus gaat dat om:
1. Wat is de aanleiding en wat zijn de motieven om een nieuw CF te implementeren? 2. Hoe hebben de betrokkenen het proces van de overgang naar het nieuwe CF ervaren? 3. Zijn de beoogde doelstellingen behaald?
4. Wat zijn de verbeterpunten in het nieuwe CF? 5. Hoe wordt het nieuwe CF ervaren?
Om dit goed te doen geeft hij aan dat stap 1 moet bestaan uit het verzamelen van variabelen en deze onderverdelen in een verzameling A (verzameling personen of objecten waarop ze van toepassing zijn) en verzameling B (verzameling manieren waarop de personen of objecten uit A de eigenschap kunnen hebben). In dit onderzoek is de tabel als volgt:
Toelichting terminologie:
FLM = First Line Monitor Specialist (hierna: FLM) SLM = Second Line Monitor Specialist (hierna: SLM) AR = Audit Groep Rabobank (hierna: AR)
3.2.2 Informatiebehoefte/theoretische variabelen en indiceringsmethoden (stap 2, 3 en 5)
De interviews zullen voornamelijk door middel van de indiceringsmethode zelfbeschrijving uitgevoerd te worden. Dit omdat het veelal situaties betreft die niet in feiten te omvatten zijn. De tabel is eveneens verrijkt met de antwoord- en noteersystemen (stap 5). Voor meer
toelichting daaromtrent zie het volgende subhoofdstuk. Voor het definitieve schema met interviewvragen zie bijlage I.
De vraagstelling is gestructureerd in een aantal vragen die aan elke geinterviewde voorgelegd wordt en een set vragen waarbij specifiek ingezoomd zal worden op de functie die de
geinterviewde binnen het Control Framework heeft.
De interviews worden opgenomen door middel van een recorder en zullen in het geheel uitgeschreven worden. De antwoorden zullen tijdens de interviews niet gecodeerd worden maar achteraf. Hiervoor zal gebruik worden gemaakt van axiaal coderen. Dit houdt de volgende wijze van verwerken van de interviewdata in:
1. De belangrijkste opmerkingen bij een vraag worden geselecteerd en gekopieerd uit het interview (tekst).
2. Vervolgens zullen de hoofdpunten/samenvatting hieruit gehaald worden en gecodeerd (open codering).
3. Hoofdpunten zullen vervolgens door middel van axiale codering naar voren gebracht worden en deze dienen dan als input voor de conclusies van het onderzoek.
Zodra er meerdere interviews gecodeerd zijn kan er beter vastgesteld worden of er ook rode draad bevindingen zijn. Indien dit het geval is kan er eventueel nog een selectieve codering aan toegevoegd worden om te voorkomen dat er teveel gedetailleerde bevindingen uitkomen en de hoofdconclusies daardoor moeilijker te leggen zijn.
Voor de volledige interviewvragen wordt verwezen naar bijlage II.
3.3 Interviewopzet
De interviews zijn gehouden met lokaal management, mensen uit de stuurgroep ICF en een aantal specialisten uit de 1Lod, 2Lod en 3Lod. Tijdens het proces is er een punt bereikt waarin er sprake was van informatieverzadiging. Dit betekent dat er tijdens interviews geen nieuwe inzichten naar boven komen. Op dat moment kan de onderzoeker vaststellen dat er voldoende interviews gehouden zijn (Baarda et al. 1997).
Er is bewust gekozen om ook een aantal collega’s van een andere bank te interviewen in plaats van alleen collega’s van Rabobank Sneek. Dit om de betrouwbaarheid van de interviews te verhogen aangezien de collega’s van Rabobank Sneek indirect iets over de werkzaamheden van de onderzoeker in deze casus gaan zeggen.
Binnen het Control Framework wordt weliswaar segment overstijgend geopereerd maar om te kijken of binnen, zowel het particuliere- als het zakelijke segment, dit ook als zodanig wordt ervaren worden zowel mensen die betrokken zijn in het zakelijke segment alswel het
particuliere segment geïnterviewd. Bij hoofdstuk 3.3.1 wordt aangeven tot welk segment de geintervieuwde behoort. Voor de naam zal in het geval van segment particulieren een (P) komen te staan en in het geval van bedrijven een (B). Mensen die in segment overstijgend opereren krijgen de notitie (P/B).
3.3.1 Genodigden voor interview
De geinterviewden worden onder verdeeld in relevante groepen. Dit is gedaan om zo de antwoorden die uit de interviews naar voren komen makkelijker te coderen/analyseren.
Tevens kan hiermee goed vergeleken worden in hoeverre de mensen uit de projectgroep ICF en de mensen die daadwerkelijk met ICF werken dit proces ervaren. De volgende 12 mensen zullen geïnterviewd worden:
First Line Monitor Specialisten Particulieren (P) FLM FZ – Rabobank Sneek (P) FLM SD – Rabobank Leek
Second Line Monitor Specialisten Bedrijven/Particulieren
(B) SLM MS – SLM Bedrijven Rabobank Nederland (B/P) SLM WT – SLM Compliance Rabobank Nederland Third Line Specialisten
(B) ARG KO – Audit Rabobank Nederland Lokaal management
(B) WN – Manager MKB Rabobank Sneek (B) EN – Manager GZ Rabobank Sneek
(B) JR – Manager Food&Agri Rabobank Leeuwarden (B) BZ – directeur Bedrijven Rabobank Sneek
Projectgroep ICF Rabobank Nederland (allen B/P)
EW – Projectmanager ICF
BR – Stuurgroep ICF/directievoorzitter Rabobank Sneek
AJ – Stuurgroep ICF/directeur Bedrijfsmanagement Rabo Sneek
3.3.2. Opzet interview
Voor elke groep worden de voor hun relevante vragen gesteld. Dit betekent dat de interviews opgedeeld worden in twee groepen: stuurgroep ICF en de gebruikers zoals 1Lod/2Lod/3Lod en het lokale management. De analyse op de uitkomst van de interviews zal ook op deze manier plaatsvinden zodat er onderling vergeleken kan worden.
Elk interview zal aanvangen met een openingsstuk waarbij de volgende vragen/beschrijvingen zullen plaatsvinden:
- Wat is je functie en wat is je achtergrond binnen de bank - Hoe omschrijf je ICF in een notendop?
- Hoe ben je betrokken geraakt bij ICF/wat is je connectie met ICF? Voor de volledige vragenlijst zie de bijlage 1.
De vragen zijn gestructureerd in een aantal vragen die aan elke interviewer voorgelegd worden en een set vragen waarbij specifiek ingezoomd zal worden op de functie die de geinterviewde binnen het Control Framework heeft.
De interviews worden opgenomen door middel van een recorder en zullen in het geheel uitgeschreven worden. De antwoorden zullen tijdens de interviews niet gecodeerd worden maar achteraf. Hiervoor zal gebruik worden gemaakt van axiaal coderen. Dit houdt de volgende wijze van verwerken van de interviewdata in:
1. De belangrijkste opmerkingen bij een vraag zullen worden geselecteerd en gekopieerd uit het interview (tekst).
2. Vervolgens zullen de hoofdpunten/samenvatting hieruit gehaald worden en gecodeerd (open codering).
3. Hoofdpunten zullen vervolgens door middel van axiale codering naar voren gebracht worden en deze dienen dan als input voor de conclusies van het onderzoek.
Zodra er meerdere interviews gecodeerd zijn kan er beter vastgesteld worden of er ook rode draad bevindingen zijn. Indien dit het geval is kan er eventueel nog een selectieve codering aan toegevoegd worden om te voorkomen dat er teveel gedetailleerde bevindingen uitkomen en de hoofdconclusies daardoor moeilijker te leggen zijn.
3.4 Data beperkingen
Dit onderzoek kent een aantal beperkingen. Om te beginnen voldoet het onderzoek niet aan de eisen van generaliseerbaarheid doordat het onderzoek slechts uit 12 interviews bestaat. Dit is echter ook niet de doelstelling van dit onderzoek. Aangezien het Control Framework landelijk gezien pas medio 2016 uitgerold is, is dit onderzoek primair bedoeld om een eerste indicatie te geven of de doelstellingen die ten grondslag lagen aan het project tot op heden gehaald zijn danwel dat deze binnenkort haalbaar geacht worden.
Alhoewel de vragen zo objectief mogelijk geformuleerd zijn kan het zijn dat er sociaal
wenselijke antwoorden gegeven worden (Fernandes & Randall 1992). Dit is een risico dat niet uit te sluiten is.
3.5 Rabobank
Hieronder zal de Rabobank organisatie beschreven worden en tevens zal de aanleiding voor dit onderzoek toegelicht worden.
3.5.1. Historie Rabobank en wijziging governance
De Rabobank is in deze thesis onderwerp van onderzoek. Hieronder zal kort stil gestaan worden bij de historie van de bank en zal deze in het kort beschreven worden.
De Rabobank is voortgekomen uit kleine boerenleenbanken die vanaf het einde van de
negentiende eeuw werden opgericht door boeren en tuinders. Dit om zo tezamen te zorgen voor krediet voor de leden. Hier komt dan ook de coöperatieve basis van de Rabobank vandaan, een structuur die geen enkele andere bank in Nederland kent5. Dit zal nader besproken worden bij
de volgende paragraaf.
De structuur van samen sterk sloeg overal aan. Overal op het Nederlandse platteland
begonnen boeren en tuinders hun plaatselijke boerenleenbank en werden daar lid, eigenaar en bestuurder. In 1898 richtten de eerste Nederlandse lokale banken twee overkoepelende organisaties op: de Coöperatieve Centrale Raiffeisen-Bank in Utrecht en de Coöperatieve Centrale Boerenleenbank in Eindhoven Vele jaren later, in 1955, waren op het hoogtepunt 1.324 lokale Rabobanken aangesloten bij één van de twee centrales. Dankzij diverse fusies is dit aantal langzaamaan teruggelopen tot de huidige circa 100 lokale banken die er nu nog over zijn.
Kenmerkend aan de Rabobank is de coöperatieve structuur. Een definitie van een coöperatieve bank is als volgt:
Een coöperatieve bank is een financiële instelling die behoort tot haar leden, die op hetzelfde moment eigenaar en klant van de bank kunnen zijn. Een coöperatieve bank heeft dus geen aandeelhouders. Coöperatieve banken worden vaak opgericht door personen die behoren tot dezelfde lokale of professionele gemeenschap of die een gemeenschappelijk belang hebben. Coöperatieve banken bieden hun leden een breed scala van bancaire en financiële diensten6.
Volgens San Jose (2009) kunnen deze banken gedefinieerd worden als ethische banken
aangezien zij werken volgens de uitgangspunten van sociale en economische winstgevendheid. Daarbij komt nog dat een ethische bank feitelijk werkt aan twee zijden want het werkt ook aan de sociale winstgevendheid aangezien de funding opgehaald wordt bij leden. Tevens ligt de focus binnen ethische banken op het in stand houden van een gelijkmatige economie waarbij investeringen in sociale en voor de omgeving relevant projecten (San Jose 2009).
Nederland kent maar één coöperatieve bank en dat is de Rabobank. Tot voor kort bestond de bank uit 136 zelfstandige coöperaties die allen over een eigen bankvergunning beschikten. Met ingang van 2016 is een deel van dit model veranderd; de 106 lokale Rabobanken en Rabobank Nederland zijn gefuseerd tot een coöperatieve Rabobank, die nu opereert
met één bankvergunning en één bestuursverslag7.
3.5.2 ICF Programma
Met ingang van 1-6-2016 werkt de gehele Rabobank organisatie onder een nieuw gedefinieerd Control Framework. Dit programma is onderdeel van een intern project wat ICF genoemd wat voluit Increased Customer Focus (hierna: ICF) betekent. Hieronder zal in het kort toegelicht worden hoe dit tot stand is gekomen, wat de doelstellingen van het programma zijn en hoe het Framework er nu uit ziet.
3.5.2.1 ICF algemeen
Het programma Increased Customer Focus (ICF) heeft tot doel een bijdrage te leveren aan het herstel van het evenwicht tussen interne risicobeheersing en de focus op de klant binnen de Rabobank in Nederland. De twee interactieve en geïntegreerde pijlers zijn Vakmanschap en het Risicocontrol raamwerk.
Medewerkers in de 1e lijn ervaren de realisatie van dit doel door een verlaging van de controledruk en een verhoging van de commerciële slagkracht.
Het nieuwe Risicocontrol raamwerk vormt voor ICF een belangrijk fundament, naast het met vakmanschap toepassen van het beleid.
Er zijn twee belangrijke overwegingen voor het ontwerpen van een nieuw risicocontrole raamwerk voor de Rabobank in Nederland:
1. Het gegeven dat Rabobank en de Lokale Banken fuseren tot één bank met één
bankvergunning. Teneinde in deze nieuwe organisatie alle relevante risico’s te beheersen, zowel de kredietrisico’s als de niet-financiële risico’s, wordt een nieuw raamwerk voor
risicocontroles geïmplementeerd. Een raamwerk dat in lijn is met internationale standaarden en uniform is voor de Rabobank Groep.
2. De sterke behoefte om de kwaliteit van risicocontroles te verhogen en het optimum te hervinden tussen de focus op klanten en de interne risicobeheersing. In de huidige situatie is de controledruk, met name bij de Lokale Banken, te hoog. Er bestaan te veel controles die veelal dubbel of zelfs drievoudig worden uitgevoerd. Dit frustreert medewerkers en gaat ten koste van de aandacht voor klanten. In het nieuwe risicocontrole raamwerk dienen
risicocontroles effectief en efficiënt te zijn, opdat de commerciële slagkracht van de Lokale Banken wordt verhoogd.
ICF bestaat uit twee onderdelen namelijk vakmanschap en het risicocontrole framework. De ambities aangaande vakmanschap zijn als volgt:
- Verhogen vakmanschap en vakmanschap weer leidend laten zijn. Door: risicogericht werken in te bedden in het primaire proces en het toepassen van beleid met het klantbelang voorop. - Versterken sturing door aan de voorkant kortcyclisch te sturen op de CER driehoek (Commercie, Efficiency, Risico).
7 Bron: Rabobank jaarverslag 2015
De uitgangspunten en opzet van de beoogde organisatie voor risicocontroles sluiten aan bij het visiedocument van de stuurgroep Risk & Control Framework. Hierin zijn de ambities ten aanzien van het globale en bankbrede risicobeheersingsframework, ontworpen op basis van de 16 COSO-principes, vastgelegd. Startpunt voor dit nieuwe risicocontrole raamwerk zijn de Baselrichtlijnen ten aanzien van de governance structuur van banken, als ook de
uitgangspunten voor de nieuwe governance zoals beschreven in de preambule bij de nieuwe Statuten en Reglementen Rabobank. Hiermee past de Rabobank in het nieuwe risicocontrole raamwerk de principes van het 'Three Lines of Defence Model' toe.
De kwaliteitsslag op korte termijn wordt gemaakt met het aanbrengen van een focus op Key Risks en Key Controls en het formuleren van uniforme normen, werkwijze en toelichtingen. Op middellange termijn kan verdere efficiency bereikt worden door onder andere
automatisering van Key Controls. De efficiency verbetering met als resultaat het minimaliseren van de controledruk blijft van significant belang.
3.5.2.2 Nieuw Control Framework
Basis voor het nieuwe Control Framework is het Three Lines of Defence model. Hierin worden functies op een andere manier ingevuld dan in het oude CF. In deze paragraaf zullen eerst de nieuwe functies toegelicht worden en daarna zal de opzet van het nieuwe CF doorgenomen worden.
Eerste lijnsmanagement 1Lod
De eerste lijn is eigenaar van alle risico’s die zich voordoen in de bedrijfsvoering van haar processen en is dus primair verantwoordelijk voor het onderkennen, afwegen en beheersen van deze risico’s. Dit betekent dat zij de financiële en niet-financiële risico’s identificeert, mitigeert en de uitvoering van de maatregelen monitort én eventueel bijstuurt naar aanleiding van de uitkomsten van de monitoring. De eerste lijn richt ter ondersteuning FLM in op de processen waar zij verantwoordelijk voor is. De toegevoegde waarde van de FLM is om daar waar de processen worden uitgevoerd, een beeld te creëren over de kwaliteit van deze uitvoering. Dit beeld is bedoeld voor het lijnmanagement om kort cyclisch te kunnen (bij)sturen op de
kwaliteit van de interne risicobeheersing. Ook kan de eerste lijn de FLM inzetten op specifieke thema’s die binnen de eigen Lokale Bank (extra) aandacht vragen. Kortom de FLM fungeert als de rechterhand van het lijnmanagement op de R van de CER-driehoek. De Lokale Banken richten FLM in voor de processen die lokaal plaatsvinden.
Om uniformiteit en daarmee efficiency te borgen zijn voor alle processen de Key Risks en Key Controls gedefinieerd door de centrale ketens. De Key Risks en Key Controls kunnen worden aangepast indien het jaarlijks centraal uitgevoerd risk assessment daartoe aanleiding geeft. Daarnaast worden de directieteams van Lokale Banken daar waar gewenst, vanuit de ketens ondersteund door gespecialiseerde kwaliteitsteams bij zowel de uitvoering als de monitoring van de Key Controls. Deze kwaliteitsteams dragen bij aan het - waar nodig - tijdig bijsturen op de werkwijze in de uitvoering, het documenteren en de monitoring van de Key Controls8.
De inrichting en ondersteuning van de FLM moet bijdragen aan het beheersen van risico’s. Het beoogd resultaat is dat op een verantwoorde manier de commerciële slagkracht wordt vergroot en de 9+ klantbeleving kan worden gerealiseerd. Door het vergroten van
vakmanschap en verminderen van de controledruk kunnen medewerkers meer tijd besteden aan de klant. De FLM is gepositioneerd onder de vakdirecteur:
Figuur 3: positionering FLM binnen Rabobank Tweede lijnsmanagement 2Lod
De eerste lijn wordt vanuit de tweede lijn ondersteund door de onafhankelijke tweede lijns risicomanagement functies. Deze tweede lijns functies worden ingevuld door de afdelingen Krediet Risico Management en Risk ABB (rapporterend aan de CRO) en de afdeling Risk Compliance (rapporterend aan de voorzitter van de raad van bestuur).
SLM hertoetst op basis van steekproeven de werkzaamheden van de First Line Monitoring; dit is het basisonderzoek. Daarnaast voert SLM thema onderzoeken uit. De uitkomsten van de SLM geven de directies van de Lokale Banken inzicht in de kwaliteit van de First Line
Monitoring binnen de eigen bank. Op basis van de uitkomsten kan de eerste lijn daarop (bij)sturen. Bovendien draagt de Second Line Monitoring op deze manier bij aan de kalibratie tussen Lokale Banken. De gecombineerde uitkomsten van de First Line Monitoring en van de Second Line Monitoring geven de lokale raden van commissarissen en de kringdirecteuren inzicht in de kwaliteit van de interne risicobeheersing van de Lokale Banken. Op basis van deze uitkomsten gaan zij, indien nodig, het gesprek aan met de directie van de Lokale Bank over de versterking van de R binnen de CER-driehoek9.
Derde lijnsmanagement 3Lod
De derde lijn geeft ‘assurance’ aan de raad van commissarissen en raad van bestuur Conform het ‘Three Lines of Defence Model’ geeft Audit Rabobank (AR) een onafhankelijke ‘assurance’ over de opzet, het bestaan en de werking van het totale Risk & Control Framework. Zij toetst
9 Bron: Het nieuwe raamwerk voor risicocontroles van de Rabobank. Adviesaanvraag Medezeggenschap
specifiek de effectiviteit van alle risicomanagementactiviteiten van de eerste en de tweede lijn. Door de gewijzigde Governance hoeft AR niet meer verplicht elke 12 maanden per Lokale Bank een volledige audit uit te voeren. AR stelt, op basis van een eigen risicoanalyse over de gehele Rabobank Groep, een auditplan op. Dit plan wordt na overleg met de raad van bestuur door de Audit Committee van de raad van commissarissen vastgesteld. Het auditplan geeft het aantal en de aard van de uit te voeren audits weer. De uitkomsten van deze audits bieden voor zowel de raad van bestuur als voor de raad van commissarissen de benodigde assurance over de mate van robuustheid van de risicobeheersing in de eerste en tweede lijn. De AR gaat meer thema- en ketengericht auditen. Daarnaast wordt nadrukkelijker geborgd dat de normen en kaders die de lokale banken hebben voor het uitvoeren van de monitoring aansluiten op wat AR hanteert tijdens de audits. Ook gaat de AR nadrukkelijker acteren vanuit het
uitgangspunt dat de 3e lijn zoveel mogelijk gebruik maakt van de uitgevoerde werkzaamheden van de eerste en tweede lijns monitoring. Er wordt momenteel een risicogericht auditplan opgesteld dat aansluit op de nieuwe Governance en het nieuwe raamwerk voor
risicocontroles10.
Opzet nieuw Control Framework
Per proces zijn de Key Risks en de Key Controls geïdentificeerd, hierbij is mede gekeken naar de huidige mate van procesinrichting en –ondersteuning. De Key Controls zijn vervolgens in 33 sub processen geordend. Per sub proces worden minimaal 20 deelwaarnemingen per jaar uitgevoerd door de ‘Specialist First Line Monitoring’ (hierna: FLM). Dit betekent dat per Lokale Bank er 660 deelwaarnemingen per jaar worden uitgevoerd. Vanuit de Second Line Monitoring volgt een hertoetsing van de uitgevoerde werkzaamheden vanuit First Line Monitoring. Concreet betekent dit in de startsituatie, dat van de 4 uitgevoerde
deelwaarnemingen, er door de Second Line Monitoring een hertoetsing van 1 deelwaarneming plaatsvindt. Per Lokale Bank vinden er dus 165 hertoetsingen plaats van de 660 uitgevoerde deelwaarnemingen door de FLM. De uitkomsten vanuit de Second Line Monitoring
verschaffen het lokale directieteam inzicht in de kwaliteit van de FLM en indien van toepassing, aanbevelingen voor bijsturing op de kwaliteit hiervan binnen de eigen Lokale Bank.
AR komt in deze startsituatie niet meer standaard in de 12 maanden een audit per Lokale Bank uitvoeren. Het Auditplan van AR wordt risicogericht opgesteld en door het Audit Committee van de raad van commissarissen vastgesteld.
Beweegredenen inrichting FLM/SLM
De eerste lijn in de huidige situatie stuurt vormvrij. De manier waarop het huidige management van de eerste lijn zichzelf inzicht verschaft in de risicobeheersing, wordt niet aantoonbaar vastgelegd. Een van de middelen om het beeld te verkrijgen is een eerste
lijnscontrole. De wijze waarop de eerste lijnscontrole wordt uitgevoerd is momenteel vormvrij. Dat geldt ook voor de wijze van vastlegging van de resultaten. Deze wijze van sturen en vastleggen sluit echter niet aan op de guidelines zoals ze zijn geformuleerd in het document ‘Corporate governance principles for banks’, d.d. 8 juli 2015, van het ‘Basel Committee on Banking Supervision’.
De tweede lijns monitoring functies voor de Lokale Banken worden centraal aangestuurd en in de regio georganiseerd. Dit vanuit de noodzaak tot onderlinge afstemming met de Lokale Banken en het geven van feedback op de kwaliteit van de uitvoering van de FLM om zo bij te dragen aan kort cyclisch sturen. Ook voor de overige Risk en Compliance ondersteuning (advies, incidentmanagement, training) is regionale aanwezigheid gewenst vanuit de optiek van relatiemanagement en efficiency.
Op basis van de theorie behandeld in hoofdstuk 2 en 3 kan nu het conceptueel model verder gevuld worden waardoor het er nu als volgt uitziet:
Toelichting op het model: dit onderzoek concentreert zich op twee vragen: waarom is er een nieuw CF ontworpen en zijn de beoogde doelstellingen bereikt? Dit wordt onderzocht om door middel van interviews met de betrokkenen in dit proces vast te stellen of de controles onder het nieuwe CF inderdaad effectief en efficient zijn met behoud van dezelfde mate van in control zijn. Tevens wordt gekeken of er door commercie inderdaad meer tijd voor klanten ervaren wordt en minder controledruk.
Hoofdstuk 4 Onderzoeksresultaten
In dit hoofdstuk zullen de onderzoeksresultaten besproken worden. In hoofdstuk 4.1 zal een antwoord gegeven worden op de subvragen die in hoofdstuk 1 geformuleerd zijn. In hoofdstuk 4.2 zal de hoofdvraag besproken worden.
4.1 Onderzoeksresultaat subvragen
Na het houden van de interviews is duidelijk geworden dat het project ICF één van de vele projecten is die momenteel lopen danwel gelopen hebben bij Rabobank Nederland. Het is dan ook lastig om sommige ontwikkelingen te kunnen toekennen aan specifiek het ICF project. Er blijkt ook dat met de governance wijziging (1 bankvergunning voor alle Rabobanken tezamen in plaats van lokale bankvergunningen) een materiele impact heeft binnen het ICF project. Zoals een van de projectleiders binnen ICF aangaf:
“Leidend was een op de nieuwe governance gebaseerd Control Framework te maken”
Gevolg van deze nieuwe governance is dat ook niet elke bank zijn eigen in control statement meer hoeft te hebben maar dat dit alleen voor Rabobank Nederland geldt. Hierdoor zijn de controletoleranties ook hoger en daarmee zou een logische verwachting zijn dat het nieuwe CF dan ook als minder “zwaar beladen” ervaren wordt. Dit sluit ook aan bij het beeld wat
geschetst werd door een geinterviewde FLM:
“Doordat we natuurlijk nu ook één bankvergunning hebben zijn de controletoleranties ook aanmerkelijk hoger en hoef je ook lokaal veel minder te zien”
Aangezien de grootbanken11 in Nederland volgens het Three Lines of Defence model hun
risicomanagement ingericht hebben is er in de interviews ook gevraagd aan de mensen van de ICF projectgroep of bij het ontwerp hier nog rekening mee gehouden is. Dit mede omdat met de invoer van de nieuwe governance de Rabobank nu ook één bankvergunning heeft. Hieruit komt wel uit naar voren dat de basis het oude CF van de Rabobank is geweest en dat dit aangepast is aan de nieuwe opzet en niet dat hierbij gekeken naar de invulling van het model zoals ING/ABN dat doen.
In het nieuwe CF is de functie inrichting van de 1Lod, 2Lod en 3Lod anders dan in de oude situatie. In de oude situatie was een procescontroller verantwoordelijk voor de toetsing van de risico’s binnen een lokale bank. Een functie van 2Lod bestond in deze opzet niet. 3Lod toetste eens per jaar op elke lokale bank of deze de risico’s goed in beeld hadden.
In het nieuwe CF is de invulling van 1Lod, 2Lod en 3Lod anders geworden. 1Lod is net zoals vroeger verantwoordelijk voor de lokale risico’s maar wel volgens een andere opzet. In het huidige CF wordt de controleplanning door Rabobank Nederland bepaald en dient deze lokaal door 1Lod maandelijks uitgevoerd te worden. 2Lod is een nieuwe functie in het huidige CF. 2Lod opereert regionaal en controleert onafhankelijk steeksproefsgewijs de controles van 1Lod door 1/5 dossiers te doubleren.
11
ABN werkt sinds 2010 met 3Lod model: https://www.abnamro.com/nl/duurzaam-bankieren/risicomanagement/index.html
ING werkt ook met 3Lod model: https://www.ing.com/about-us/profile-fast-facts/the-role-of-banks/five-things-to-know-about-the-size-of-banks.htm
