Van theorie naar praktijk binnen een bancaire instelling

MANAGEMENT VAN OPERATIONELE RISICO’S

OP HET GEBIED VAN ASSURANTIEBEMIDDELING

Van theorie naar praktijk binnen een bancaire instelling

VOORWOORD

De klus is bijna geklaard. Na afronding van de vakken vormt deze afstudeerscriptie het sluitstuk op weg naar het felbegeerde diploma Msc BA. Belangrijker dan het diploma vind ik echter de opgedane kennis. Terugkijkend op de laatste tweeënhalf jaar kan ik niet anders concluderen dat deze studie een verrijking is, zowel zakelijk als menselijk.

Zonder een aantal mensen had ik dit resultaat echter niet kunnen bereiken. Langs deze weg wil ik hen dan ook graag bedanken. Allereerst de Rabobank voor de wijze waarop zij mij hebben gefaciliteerd om deze studie naast een fulltime baan überhaupt te kunnen volgen. Daarnaast heeft de studiebelasting een behoorlijke invloed op het privéleven gehad. Petra, Mike en Luuk: hartelijk bedankt voor alle ondersteuning en het getoonde begrip. Papa zal de komende tijd in de weekenden en avonduren vaker voor jullie beschikbaar zijn. Tevens een woord van dank aan mijn afstudeerbegeleider Henk von Eije voor de wijze waarop hij mij begeleid heeft bij deze scriptie. Ik heb de samenwerking als erg prettig ervaren. Voor het verrichte onderzoek heb ik ook dankbaar gebruik gemaakt van de diensten van een collega Rabobank. Bedankt voor jullie medewerking.

INHOUDSOPGAVE SAMENVATTING ... 4 1. INLEIDING ... 9 1.1. Achtergrond... 9 1.2. Opbouw paper ... 9 1.3. Organisatiebeschrijving... 10 1.4. Probleembeschrijving... 11 2. METHODOLOGIE ... 12

2.1. De aanleiding voor het onderzoek... 12

2.2. Doel van het onderzoek... 13

2.3. Afbakening ... 13

2.4. Vraagstelling ... 14

2.5. Deelvragen ... 14

2.7. Onderzoeksmethode ... 17

2.8. Methodologische verantwoording... 19

3. THEORIE OPERATIONEEL RISICOMANAGEMENT... 20

3.1. Operationeel risico vanuit de theorie ... 20

3.2. Risicobeheersing vanuit de theorie ... 25

4. HET ASSURANTIEBEMIDDELINGSPROCES BINNEN DE RABOBANK ... 32

4.1. Het assurantiebemiddelingsproces volgens advies Rabobank Nederland... 32

4.2. Lokale afwijkingen binnen Rabobank A... 35

5. OPERATIONELE RISICO’S ASSURANTIEBEMIDDELING... 37

6. HUIDIGE BEHEERSOMGEVING RABOBANK A ... 44

7. EXTERNE EISEN ... 51

8. INTERNE EISEN ... 62

9. PRAKTIJK ANDERE LOKALE RABOBANK ... 66

9.1. Beheersomgeving Rabobank X ... 66

9.2. Leerpunten voor Rabobank A ... 72

10. GEWENSTE BEHEERSOMGEVING RABOBANK A ... 76

11. EINDANALYSE, CONCLUSIES EN AANBEVELINGEN... 84

11.1. Eindanalyse ... 84

11.2. Conclusies en aanbevelingen ... 88

11.3. Richtingen voor verder onderzoek ... 90

12. LITERATUUR... 91

BIJLAGE 1 - Vertrouwelijk ... 94

BIJLAGE 2 – Definities en afkortingen... 95

SAMENVATTING

Binnen banken is een toenemend belang van Operational Risk Management te onderkennen, onder andere als gevolg van Basel-II. Op het gebied van assurantiebemiddeling heeft met name de komst van de Wet financiële dienstverlening (Wfd) en diens opvolger, de Wet financieel toezicht (Wft), grote gevolgen voor de risicobeheersing. Deze wetgeving stelt hoge eisen aan financiële instellingen (bijvoorbeeld op het gebied van transparantie en zorgplicht) ter bescherming van de consument. Doordat Rabobank A1 tot dusverre moeite heeft om aan de toegenomen eisen te voldoen, worden operationele risico’s momenteel onvoldoende beheerst. Doel van deze scriptie is om te onderzoeken in hoeverre Rabobank A de operationele risico’s op het gebied van assurantiebemiddeling in beeld heeft en haar

beheersomgeving adequaat heeft ingericht. Het onderkennen van risico’s en het treffen van beheersmaatregelen dient er toe te leiden dat (toekomstige) schades worden beperkt. Sluitstuk van het onderzoek vormen dan ook conclusies en aanbevelingen om verbetering aan te

brengen in de beheersomgeving.

Het onderzoek is uitgevoerd aan de hand van de centrale onderzoeksvraag:

Welke verbeteringen kunnen worden doorgevoerd in de beheersomgeving van Rabobank A zodat operationele risico’s op het gebied van assurantiebemiddeling worden beperkt?

Aan de hand van een onderzoeksmodel zijn deelvragen geformuleerd om hier uiteindelijk antwoord op te kunnen geven.

Allereerst is gestart met bestudering van theorie om te komen tot een definiëring en

afbakening van het begrip operationeel risico en een beschrijving van de wijze waarop deze risicosoort kan worden beheerst. Hierbij is gebleken dat er vele risicosoorten zijn te

onderkennen. Operationeel risico is beschreven als het risico van verliezen als gevolg van tekortkomingen in interne processen, mensen, systemen of door externe gebeurtenissen. In het Basel II-akkoord is dit uitgewerkt naar zogenaamde eventtypes, waarbij opvalt dat de meeste eventtypes voortvloeien uit menselijk handelen en het niet beheersen van processen.

Over de beheersing van (operationele) risico’s zijn in de literatuur diverse theorieën te vinden. Meestal wordt gestart met een risicoanalyse waarbij risico’s worden geïdentificeerd en een inschatting wordt gemaakt van de kans en omvang van mogelijke schades. Daarna vindt

1 _{In verband met het (deels) vertrouwelijke karakter van het onderzoek zijn de namen van de onderzochte banken}

risicoreductie plaats (verkleinen ‘kans x omvang’) door het treffen van beheersmaatregelen, het vermijden van activiteiten en/of het afsluiten van verzekeringen tegen risico’s. Bij de beheersmaatregelen wordt onderscheid gemaakt tussen hard controls en soft controls. Hard controls betreffen bijvoorbeeld het opstellen van standaarden, het vaststellen van

bevoegdheden en limieten en het opstellen van rapportages in het kader van de

managementinformatievoorziening. Bij soft controls valt te denken aan het aantrekken en kwalificeren van goede personeelsleden en het aankweken van passende normen en waarden binnen de organisatie (bijvoorbeeld risicohouding). Om de opzet en werking van

beheersmaatregelen te toetsen zijn audits van belang zodat een gefundeerd oordeel over de werking van de managementcyclus kan worden gegeven en waar nodig kan worden bijgestuurd.

Vervolgens is het assurantiebemiddelingsproces binnen de Rabobank in kaart gebracht. Kernprocessen op het gebied van verzekeren betreffen het adviserings- en verkoopproces, het portefeuilleonderhoud, signaalmanagement en de administratieve processen (bijvoorbeeld polisadministratie en debiteurenbeheer). De belegging van processtappen verschilt per proces en is mede afhankelijk van de gekozen organisatie-inrichting, de klantsegmentering en het productassortiment. Afwijkingen die de onderzochte organisatie kent ten opzichte van het inrichtingsadvies van Rabobank Nederland betreffen de inrichting van de mid-office en back-office (lokaal Service Centrum Verzekeren) en de lagere frequentie van

onderhoudsgesprekken.

Om de lokaal onderkende risico’s te mitigeren heeft Rabobank A reeds beheersmaatregelen getroffen. Middels een inventarisatie zijn de huidige beheersmaatregelen in kaart gebracht, waarbij tevens een oordeel is gegeven over de opzet en de werking. Hiervoor is gebruik gemaakt van auditverslagen en interne controlerapportages die reeds binnen de organisatie aanwezig zijn. Bestaande beheersmaatregelen zijn onder andere functiescheiding, aantoonbare deskundigheid van adviseurs, richtlijnen omtrent dossiervorming en een bezoekplanning ten behoeve van onderhoudsgesprekken. Voor een totaaloverzicht wordt verwezen naar tabel 4 in hoofdstuk 6. De opzet van de beheersmaatregelen is over het algemeen in orde, maar de werking laat op onderdelen nog te wensen over. Naar beheersmaatregelen heeft Rabobank A zich ook verzekerd tegen bepaalde risico’s via de Vereveningsregeling voor

Beroepsaansprakelijkheid.

Middels nader onderzoek in de externe omgeving is in kaart gebracht welke eisen door derden aan de beheersomgeving van assurantiebemiddeling worden gesteld via wet- en regelgeving. Hierbij is aandacht besteed aan de Wet financiële dienstverlening (Wfd) cq. Wet financieel toezicht (Wft), het Basel II-akkoord, de Regeling Organisatie en Beheersing (ROB) en de Algemene GoedkeuringsRegelingen (AGRB en AGRP). De externe eisen hebben zowel gevolgen voor het primaire proces als het besturende proces. Voor het primaire proces betreft dit de omgang van incidenten (bijvoorbeeld klachten) en de verzekeringsmaatschappijen waarvoor wordt bemiddeld. Voor het besturende proces betreft dit de inrichting van de AO/IC-omgeving (administratieve organisatie en interne controle) en de

managementinformatievoorziening. Daarnaast dient vanuit de Wft verplicht een

beroepsaansprakelijkheidsverzekering te worden afgesloten tegen schades met materiële invloed op de Jaarrekening. Ook ten aanzien van de beheersmaatregelen die een gevolg zijn van wet-en regelgeving kan worden gesteld dat de opzet voldoende is, maar dat de werking op onderdelen kan worden verbeterd, zoals de naleving van beleid en procedures.

Naast Rabobank A heeft ook onderzoek plaatsgevonden bij een vergelijkbare collegabank, Rabobank X. Het doel hiervan was tweeledig. Ten eerste om zicht te krijgen op risico’s die door een vergelijkbare andere Rabobank zijn geadresseerd, maar wellicht nog niet binnen Rabobank A zijn onderkend (‘blinde vlekken’). En ten tweede om uit de vergelijking met een andere Rabobank leerpunten te kunnen distilleren. De verschillen tussen de onderkende risico’s zijn beperkt. Op basis van de ervaringen van Rabobank X zijn echter wel leerpunten af te leiden voor Rabobank A. Deze leerpunten hebben betrekking op de

organisatie-inrichting (front-/mid-/back-office), de belegging van taken (adviseur versus commerciële binnendienst), het portefeuilleonderhoud, de consequente hantering van hulpmiddelen die door Rabobank Nederland beschikbaar zijn gesteld en de sturing op cultuur en houding en gedrag bij medewerkers ten aanzien van risico’s.

Op basis van de operationele risico’s, de externe eisen, de interne eisen en de vergelijking met een andere lokale Rabobank wordt in hoofdstuk 10 de gewenste situatie voor Rabobank A beschreven op het gebied van assurantiebemiddeling (nieuwe SOLL-positie) aan de hand van de managementcyclus. Vervolgens is de gewenste situatie kort getoetst aan de theorie met betrekking tot risicobeheersing.

Uiteindelijk zijn de huidige situatie (IST-positie) en de gewenste situatie (SOLL-positie) tegen elkaar afgezet teneinde verschillen inzichtelijk te maken en te analyseren, waarbij tevens ideeën aan de hand zijn gedaan om verbeteringen aan te brengen. De aanbevolen verbeteringen hebben onder andere betrekking op de volgende issues:

- Sturing op naleving van beleid en procedures;

- Taakverdeling tussen adviseurs en commerciële binnendienst; - Inrichting van de back-office;

- Opleidingen van medewerkers;

- Hantering hulpmiddelen van Rabobank Nederland; - Controles bij dossieroverdrachten;

- Digitale dossiervorming;

- Registratie, monitoring en managementinformatie portefeuilleonderhoud; - Frequentie portefeuilleonderhoud;

- Inrichting signaalmanagement; - Aanvullende inzet van soft controls;

1. INLEIDING

1.1. Achtergrond

“Als alles onder controle is, rijd je gewoon niet hard genoeg” Mario Andretti (ex-formule 1 coureur)

Hoewel bovenstaand citaat uit de racewereld komt, is zij ook relevant voor de bancaire dienstverlening. Risico’s zijn immers onlosmakelijk verbonden aan ondernemerschap en kunnen niet altijd worden vermeden. Sterker nog: in vele gevallen is het zelfs niet wenselijk dat ze worden vermeden, omdat dit ten koste gaat van de commerciële activiteiten. Vraag is echter wel hoe risico’s kunnen worden beheerst. We willen immers als eerste over de finish komen en niet in de grindbak eindigen.

Een belangrijk onderdeel van de bancaire dienstverlening betreft assurantiebemiddeling. Door externe ontwikkelingen is dit vakgebied de laatste jaren behoorlijk in beweging. Deze

dynamiek, aangevuld met de complexiteit van producten en processen maakt

assurantiebemiddeling lastig beheersbaar, vooral op het gebied van operationele risico’s. Middels deze scriptie wordt getracht om deze risico’s inzichtelijk te maken en handvatten aan te reiken waardoor de beheersomgeving van Rabobank A2 op dit gebied verder kan worden verbeterd.

Deze afstudeerscriptie is geschreven als onderdeel van de opleiding Verkort Doctoraal Bedrijfskunde. Zij vormt het sluitstuk van het Masterprogramma Business Administration – General Management.

1.2. Opbouw paper

De opbouw van deze paper is als volgt: In hoofdstuk 1 wordt de organisatie van Rabobank A en het probleem beschreven. In hoofdstuk 2 wordt de onderzoeksopzet en het gehanteerde onderzoeksmodel behandeld. Hier vindt u ook de centrale vraagstelling die de basis vormt voor het onderzoek. In hoofdstuk 3 wordt het theoretische kader omtrent operational risk management nader toegelicht aan de hand van het verrichte literatuuronderzoek. In hoofdstuk 4 wordt het assurantiebemiddelingsproces binnen de Rabobank in kaart gebracht. In

hoofdstuk 5 worden de operationele risico’s specifiek vertaald naar het vakgebied

2 _{In verband met het (deels) vertrouwelijke karakter van het onderzoek zijn de namen van de onderzochte banken}

assurantiebemiddeling. In hoofdstuk 6 wordt de huidige beheersomgeving van Rabobank A beschreven op basis van het verrichte onderzoek. In hoofdstuk 7 en 8 worden de externe en interne eisen in kaart gebracht die door derden en de bank zelf aan de beheersomgeving worden gesteld. In hoofdstuk 9 wordt de beheersomgeving van een vergelijkbare andere lokale Rabobank beschreven en hieruit worden leerpunten voor Rabobank A gedistilleerd. Op basis van de voorgaande hoofdstukken wordt de gewenste situatie voor Rabobank A geschetst in hoofdstuk 10. En tenslotte worden in hoofdstuk 11 de huidige en de gewenste

beheersomgeving van Rabobank A op het gebied van assurantiebemiddeling tegen elkaar afgezet, waarna conclusies en aanbevelingen worden geformuleerd.

1.3. Organisatiebeschrijving

Deze scriptie is primair geschreven ten behoeve van Rabobank A. Het grootste gedeelte van het verrichtte onderzoek heeft zich dan ook binnen deze organisatie afgespeeld.

Rabobank A is een zelfstandige lokale bank behorend tot de Rabobank Groep. Met ±280 personeelsleden en een balanstotaal van € 2 miljard behoort zij tot de grotere lokale

Rabobanken in Nederland. De hoofdactiviteit betreft het verlenen van financiële diensten aan particuliere en zakelijke klanten door middel van advisering en verkoop van bancaire

producten en diensten. De organisatie bestaat uit 3 commerciële business units die primair staan opgesteld voor de bediening van klanten en een ondersteunende afdeling

Bedrijfsmanagement waar zaken zijn ondergebracht als het Service Centrum, Facilitaire Services, ICT en Control. Naast deze verticale structuur kent de bank ook een horizontale structuur op basis van procesaandachtsgebieden zoals zakelijke kredietverlening, particuliere kredietverlening, effectendienstverlening, betalen & sparen, verzekeren en treasury. De verticale en horizontale structuur leiden tezamen tot een matrixorganisatie. Rabobank A bedient de markt vanuit meerdere vestigingen (fysieke kantoren) en via directe kanalen zoals internet (Telebankieren) en telefoon (Rabofoon).

De lokale Rabobank is zelf geen verzekeringsmaatschappij. Dat wil zeggen dat zij een intermediairfunctie heeft en handelt als tussenpersoon namens verzekeringsmaatschappijen. Voor het overgrote gedeelte wordt bemiddeld voor Interpolis (dochtermaatschappij Rabobank Groep), maar bij maatwerkconstructies worden ook producten van derde maatschappijen zoals Aegon, Allianz, Winterthur, De Amersfoortse en dergelijke aangeboden.

1.4. Probleembeschrijving

2. METHODOLOGIE

2.1. De aanleiding voor het onderzoek

De aanleiding voor dit onderzoek is drieledig. Ten eerste is binnen banken een toenemend belang te onderkennen van Operational Risk Management (ORM). Waar in het verleden de aandacht vooral uitging naar kredietrisico’s, is momenteel een trend waarneembaar waarbij er meer aandacht is voor andere vormen van risico in zijn algemeenheid en operationele risico’s in het bijzonder. De verscherpte aandacht voor operationele risico’s is mede ingegeven door geleden schades en toename van wet- en regelgeving op dit gebied. Een goed voorbeeld van dit laatste is het Basel II-akkoord. De toegenomen aandacht voor operationele risico’s blijkt onder andere uit de Jaarverslagen 2006 van Rabobank Groep, ING, ABN AMRO en Fortis. De Rabobank Groep vermeldt bijvoorbeeld dat het sturen op niet-financiële risico’s niet nieuw is, maar dat het uit hoofde van het Basel II-akkoord aan te houden kapitaal tot veel extra aandacht en inspanningen heeft geleid (p. 77). Van het economisch kapitaal3 is 20% bestemd voor operationeel risico en bedrijfsrisico (p. 71). Ook ING bereidt zich middels een Basel II groepsprogramma voor om aan de meest geavanceerde methode van operationeel risicokapitaal, de Advanced Measurement Approach, te kunnen voldoen (p. 209). Daarnaast heeft men veel aandacht besteed aan compliance (voldoen aan wet- en regelgeving) middels beleid, procedures, processen en versterking van het compliance-bewustzijn (p. 209). Fortis heeft in het licht van Basel II en corporate governance codes een compleet operationeel risicobeheerkader gedefinieerd waarin alle dimensies van operationeel risico aan de orde komen (p. 59). ABN AMRO tenslotte heeft functionarissen aangesteld om het

lijnmanagement te ondersteunen bij het sturen en beheren van operationele risico’s. Tevens heeft men ter ondersteuning programma’s en instrumenten beschikbaar gesteld zoals risk self-assessment, interne en externe verliescijfers en key risk indicators (p. 85). Naast wet- en regelgeving die gericht is op risico- en kapitaalbeheer bij banken (Basel II) wordt ten tweede de positie van de consument steeds sterker. Niet alleen wordt de klant mondiger waardoor er vaker claims worden ingediend, maar ook de overheid en toezichthoudende instanties stellen steeds hogere eisen aan de transparantie en zorgplicht van financiële instellingen ter

bescherming van de consument. Vooral de komst van de Wet financiële dienstverlening (Wfd), die per 1 januari 2006 van kracht is geworden, heeft hierin een belangrijke rol gespeeld. Overigens is de Wfd per 1 januari 2007 alweer vervangen door de Wet financieel

3 _{Economic capital kan worden gezien als de minimale vermogensbuffer die nodig is om alle extreme}

toezicht (Wft). Voor banken heeft deze wetgeving veel gevolgen op het gebied van

assurantiebemiddeling. Ten derde is het risicogebied assurantiebemiddeling binnen Rabobank A bij de laatste operational audit van de Audit Rabobank Groep (interne accountantsdienst Rabobank Groep) over 2006 gekwalificeerd als ‘onvoldoende’ vanwege tekortkomingen in de risicobeheersing. Dit beeld is nogmaals bevestigd door lokale auditor4) bij de interne audit binnen Rabobank A in 2007. Er is binnen de bank dus een ‘sense of urgency’ aanwezig om verbeteringen door te voeren.

2.2. Doel van het onderzoek

Het doel van dit onderzoek is om te onderzoeken in hoeverre Rabobank A de operationele risico’s op het gebied van assurantiebemiddeling in beeld heeft en haar beheersomgeving adequaat heeft ingericht. Het onderkennen van risico’s en het treffen van beheersmaatregelen dient er toe te leiden dat (toekomstige) schades worden beperkt. Het voorkomen/beperken van schades kan zowel een positief effect op de verlies- en winstrekening hebben, als op de

vermogenspositie van Rabobank A. De verwachting is dat door dit onderzoek nieuwe inzichten worden gegenereerd vanuit een breed blikveld, waardoor verbeteringen in de beheersomgeving kunnen worden doorgevoerd.

2.3. Afbakening

In verband met de beschikbare tijd voor het onderzoek worden alleen operationele risico’s op het gebied van assurantiebemiddeling bestudeerd. De overige vakgebieden die binnen de bank te onderkennen zijn (zie paragraaf 1.3) blijven buiten beschouwing. De keuze voor

assurantiebemiddeling is ingegeven door zowel het verbeterpotentieel binnen de bank

(probleemhebber) als de dynamiek van dit vakgebied door veranderende wet- en regelgeving.

Omdat er onvoldoende kwantitatieve data aanwezig zijn en operationeel risico überhaupt moeilijk kwantificeerbaar is (waarover later meer), is dit onderzoek kwalitatief ingestoken. Dit betekent dat kwantitatieve cijfers over premies en provisies ontbreken en dat geen aandacht wordt geschonken aan kwantitatieve risicomeettechnieken zoals Risk Adjusted Return of Capital (RAROC) en Value at Risk (VAR). Daarnaast zal ook geen aandacht

worden geschonken aan de financiering van risico’s (bijvoorbeeld in de vorm van hedging). Als gevolg van deze keuzes ligt de nadruk op beheersing van risico’s middels risk control en management control.

2.4. Vraagstelling

Het doel van het onderzoek leidt tot de volgende centrale onderzoeksvraag:

Welke verbeteringen kunnen worden doorgevoerd in de beheersomgeving van Rabobank A zodat operationele risico’s op het gebied van assurantiebemiddeling worden beperkt?

2.5. Deelvragen

Uit de probleembeschrijving en de centrale onderzoeksvraag zijn de volgende deelvragen af te leiden:

1. Wat is operationeel risico en hoe kan operationeel risico worden beheerst?

Doel van deze vraag is om vanuit de theorie te komen tot een definiëring en afbakening van het begrip operationeel risico en een beschrijving van de wijze waarop deze

risicosoort kan worden beheerst.

Deelvraag 1 wordt uitgewerkt in hoofdstuk 3.

2. Hoe ziet het assurantiebemiddelingsproces binnen de Rabobank eruit?

Doel van deze vraag is om in kaart te brengen hoe de procesgang op het gebied van

assurantiebemiddeling binnen de lokale bank in elkaar steekt. In de operationele processen (bijvoorbeeld verkoop en onderhoud) en de besturingsprocessen komen de operationele risico’s immers tot uiting. In de organisatie-inrichting en procesinrichting van

assurantiebemiddeling worden zowel het inrichtingsadvies van Rabobank Nederland, als de lokale afwijkingen hierop binnen Rabobank A betrokken.

Deelvraag 2 wordt uitgewerkt in hoofdstuk 4.

3. Welke operationele risico’s zijn op het gebied van assurantiebemiddeling het meest van belang?

Door beantwoording van deze vraag worden de algemene operationele risico’s specifiek vertaald naar het vakgebied assurantiebemiddeling, rekening houdend met de inrichting van processen op dit gebied.

Deelvraag 3 wordt uitgewerkt in hoofdstuk 5.

4. Hoe is de huidige beheersomgeving van Rabobank A ingericht op het gebied van assurantiebemiddeling?

Rabobank A op het gebied van assurantiebemiddeling in kaart gebracht. Welke

operationele risico’s heeft de bank zelf onderkend en welke beheersmaatregelen zijn tot dusverre getroffen om deze risico’s te mitigeren?

Deelvraag 4 wordt uitgewerkt in hoofdstuk 6.

5. Welke externe eisen worden aan de beheersomgeving van assurantiebemiddeling gesteld? Uit deze vraag moet blijken welke eisen door derden (overheid, toezichthouders en Rabobank Nederland) worden gesteld aan de inrichting van de beheersomgeving. Deelvraag 5 wordt uitgewerkt in hoofdstuk 7.

6. Welke interne eisen worden aan de beheersomgeving van assurantiebemiddeling gesteld? Uit deze vraag moet blijken welke eisen Rabobank A zelf stelt aan de beheersomgeving (huidige SOLL-positie).

Deelvraag 6 wordt uitgewerkt in hoofdstuk 8.

7. Hoe is de beheersomgeving van andere Rabobanken ingericht op het gebied van assurantiebemiddeling?

Met deze vraag worden twee zaken beoogd. Ten eerste om zicht te krijgen op risico’s die door een vergelijkbare andere Rabobank zijn geadresseerd, maar wellicht nog niet binnen Rabobank A zijn onderkend (‘blinde vlekken’). En ten tweede om door vergelijking met een andere Rabobank leerpunten te kunnen distilleren m.b.t. de beheersomgeving. Dit zou aanleiding kunnen geven tot aanpassing van de SOLL-positie van Rabobank A.

Deelvraag 7 wordt beantwoord in hoofdstuk 9.

8. Hoe ziet de gewenste beheersomgeving van Rabobank A op het gebied van assurantiebemiddeling eruit?

Op basis van de operationele risico’s, de externe eisen, de interne eisen en de vergelijking met een andere lokale Rabobank kan de gewenste beheersomgeving voor de Rabobank A op het gebied van assurantiebemiddeling worden beschreven (nieuwe SOLL-positie). Hierbij wordt tevens een link gelegd met de theorie uit hoofdstuk 3.

Deelvraag 8 wordt beantwoord in hoofdstuk 10.

9. Welke verbeteringen in de beheersomgeving op het gebied van assurantiebemiddeling kunnen bij Rabobank A worden doorgevoerd?

Door de huidige beheersomgeving van de Rabobank A (deelvraag 4) af te zetten tegen de gewenste situatie (deelvraag 8) kunnen aanbevelingen worden opgesteld ter verbetering van de beheersomgeving waardoor operationele risico’s op het gebied van

2.6. Onderzoeksmodel

Visueel kan het onderzoek aan de hand van onderstaand model worden weergegeven.

FIGUUR 1 Onderzoeksmodel

Kanttekening: uiteraard hebben de externe eisen uit wet- en regelgeving en de interne eisen van Rabobank A ook hun invloed op de huidige beheersomgeving. In verband met de overzichtelijkheid van het onderzoek wordt dit echter beperkt behandeld. De nadruk in hoofdstuk 7 en 8 ligt derhalve op de gevolgen voor de gewenste beheersomgeving.

2.7. Onderzoeksmethode

Door middel van nader onderzoek is antwoord te geven op de centrale vraag en de deelvragen. Dit onderzoek bestond deels uit literatuuronderzoek een deels uit empirisch onderzoek middels exemplarische casestudies bij een tweetal lokale Rabobanken. Onderstaand worden de onderzoeksmethoden per deelvraag specifiek toegelicht.

Deelvraag 1

De theorie omtrent Operational Risk Management (ORM) is beschreven aan de hand van literatuuronderzoek. Als bronnen van literatuur is gebruik gemaakt van

universiteitsbibliotheken, Nestor (de elektronische leeromgeving van de Rijksuniversiteit Groningen) en wetenschappelijke en praktische artikelen op internet.

Deelvraag 2

Het assurantiebemiddelingsproces binnen de Rabobank is in kaart gebracht door inventarisering en bestudering van bestaande procedures. Dit betreft zowel

procesbeschrijvingen vanuit Rabobank Nederland (advies richting lokale banken) als afwijkingen hierop (lokale afwijkingen binnen Rabobank A).

Deelvraag 3

Op basis van de output uit deelvraag 1 en 2 zijn de operationele risico’s specifiek te vertalen naar het vakgebied assurantiebemiddeling. Aanvullend is gebruik gemaakt van documentatie van de Audit Rabobank Groep en risicoanalyses op het gebied van assurantiebemiddeling die zijn opgesteld door Rabobank Nederland (centraal) en Rabobank A (lokaal).

Deelvraag 4

De huidige beheersomgeving van Rabobank A omtrent assurantiebemiddeling is in kaart gebracht middels deskresearch op basis van bestaande stukken die reeds binnen de organisatie aanwezig zijn zoals het organogram, het lokaal beleid verzekeren, procesbeschrijvingen (procedures en werkinstructies), de bevoegdhedenregeling, de lokale risicoanalyse, controlerapportages en informatie omtrent incidenten (operationele verliezen en klachtenrapportages). Bij onduidelijkheden is intern navraag gedaan.

Deelvraag 5

De externe eisen aan de beheersomgeving zijn geïnventariseerd aan de hand van documentatie op het Raboweb (intranet Rabobank Groep) en aan de hand van internetsites van

wet- en regelgeving door de overheid en toezichthouders en regelgeving door Rabobank Nederland.

Deelvraag 6

De interne eisen aan de beheersomgeving zijn afgeleid uit interne beleidsstukken van

Rabobank A zoals het strategisch beleidsplan, het lokaal kader risicomanagement, het lokaal beleid Operational Risk Management (ORM) en het lokaal beleid verzekeren.

Deelvraag 7

De beheersomgeving van de andere vergelijkbare lokale Rabobank is beschreven aan de hand interne stukken die de betreffende bank beschikbaar heeft gesteld en gevoerde interviews met experts binnen deze bank. De interne stukken betreffen bijvoorbeeld beleidsstukken,

risicoanalyses en controlerapportages. De interviews zijn afzonderlijk gevoerd met twee functionarissen van de desbetreffende bank: de manager/teamleider die verantwoordelijk is voor het vakgebied assurantiebemiddeling en de controller die ondersteuning biedt bij en toezicht houdt op de beheersing van de risico’s op dit gebied. Bij de beschrijving is vooral gefocust op de verschillen met Rabobank A en de extra inzichten die hierdoor worden verkregen.

Deelvraag 8

Op basis van de beschrijving van de operationele risico’s, de externe eisen, de interne eisen en de vergelijking met de andere lokale Rabobank op het gebied van assurantiebemiddeling is door de onderzoeker de gewenste beheersomgeving voor de Rabobank A op het gebied van assurantiebemiddeling beschreven. De gewenste beheerpositie is bewust beperkt afgestemd met het verantwoordelijk management binnen Rabobank A. Hieraan ligt een afweging tussen objectiviteit en draagvlak ten grondslag. In verband met het wetenschappelijke karakter van deze paper heeft de onderzoeker5 er voor gekozen om de SOLL-positie zoveel mogelijk te baseren op de uitkomsten van het onderzoek in plaats van op meningen van managers. Deelvraag 9

Door de huidige beheersomgeving van de Rabobank A (deelvraag 4) af te zetten tegen de gewenste situatie (deelvraag 8) en dit nader te analyseren zijn tenslotte aanbevelingen opgesteld ter verbetering.

5

2.8. Methodologische verantwoording

Belangrijke eisen die aan onderzoek worden gesteld betreffen betrouwbaarheid en validiteit (Blumberg et al, 2005). Een kritiekpunt op de validiteit en betrouwbaarheid zou de omvang van het aantal interviews bij deelvraag 7 kunnen zijn. Om hierin tegemoet te komen zijn de interviews bij de betreffende Rabobank zowel gevoerd met de verantwoordelijke

manager/teamleider als de controller (toezichthoudende functie).

De controleerbaarheid is vergroot door na afloop van de interviews een verslag uit te werken en terug te koppelen aan de geïnterviewden. Hierdoor is gewaarborgd dat de verslaglegging in overeenstemming is met de mondeling gedane uitspraken. Om de reproduceerbaarheid en verifieerbaarheid verder te verbeteren is gedurende het empirische onderzoek een logboek6 bijgehouden.

Door het feit dat de onderzoeker (althans voor Rabobank A) geen “buitenstaander” is, is de objectiviteit van het onderzoek voor dit gedeelte in negatieve zin beïnvloed. De onderzoeker is wel werkzaam binnen Rabobank A, maar is in zijn dagelijkse werkzaamheden echter niet betrokken bij het vakgebied assurantiebemiddeling. Voor Rabobank X is de onderzoeker een volledige “buitenstaander”.

De betrouwbaarheid is in positieve zin beïnvloed door gebruik te maken van triangulatie (Jonker & Pennink, 2004). Bij triangulatie worden meerdere facetten van de werkelijkheid tegelijkertijd vanuit verschillende bronnen belicht. Binnen dit onderzoek is hier invulling aan gegeven door naast interviews ook gebruik te maken van stukken die reeds binnen de

onderzochte organisaties aanwezig zijn (bijvoorbeeld lokale beleidsstukken, auditrapportages en managementinformatie omtrent incidentenbeheer).

Vanwege het beperkt aantal onderzochte organisaties ontstaat de vraag in hoeverre de onderzoeksresultaten generaliseerbaar zijn. Hoewel de eisen die aan de beheersomgeving worden gesteld grotendeels identiek zijn, is de uitgangspositie van elke bank uniek

(bijvoorbeeld door verschillen in organisatiestructuur). Conform het doel van het onderzoek zijn de conclusies en aanbevelingen dan ook specifiek geldig voor Rabobank A. Het

theoretisch kader, de beschrijving van de externe eisen en de vergelijking met een andere Rabobank kunnen echter ook voor andere lokale Rabobanken waardevol zijn.

6

3. THEORIE OPERATIONEEL RISICOMANAGEMENT

In dit hoofdstuk wordt deelvraag 1 beantwoord vanuit de theorie: wat is operationeel risico en hoe kan operationeel risico worden beheerst? In paragraaf 3.1 wordt het begrip operationeel risico gedefinieerd en afgebakend en in paragraaf 3.2 wordt het onderwerp risicobeheersing belicht. De theorie omtrent operationeel risico (paragraaf 3.1) wordt in hoofdstuk 5 gebruikt om operationele risico’s op het gebied van assurantiebemiddeling te identificeren. De theorie omtrent risicobeheersing (paragraaf 3.2) wordt in hoofdstuk 10 gebruikt om de gewenste beheersomgeving voor Rabobank A op het gebied van assurantiebemiddeling te toetsen.

3.1. Operationeel risico vanuit de theorie

Op basis van het onderwerp van deze scriptie is de eerste vraag wat eigenlijk wordt verstaan onder operationeel risico. Alvorens hier concreet antwoord op wordt gegeven, zal eerst vanuit een breder perspectief stil worden gestaan bij de begrippen schade en risico en de te

onderscheiden risicosoorten.

De begrippen schade en risico hangen nauw met elkaar samen, maar zijn toch verschillend. Hoving & Keulemans (2000) definiëren schade als vermindering van waarde door

voorval(len) in het verleden, meestal uitgedrukt in geld. Terwijl schades betrekking hebben op het verleden, hebben risico’s betrekking op de toekomst. Risico’s betreffen eventuele schades door voorvallen die mogelijk gaan plaatsvinden. Hierbij is er dus zowel onzekerheid ten aanzien van het voorval (iets gebeurt wel of niet), als ten aanzien van de hoogte van de schade. Risico wordt dan ook vaak weergegeven via de formule ‘risico = kans x omvang’.

Over het begrip risico is in de literatuur veel geschreven. Globaal is een tweedeling te

beleggingen kan zowel tot verlies als winst leiden). Bij beide vormen is er echter onzekerheid over de kans op en de omvang van verliezen/inkomsten.

In de praktijk komen risico’s in vele vormen voor. In diverse studies is dan ook getracht om de risico’s onder te verdelen in categorieën. Voor banken heeft Doff (2004) de diverse risicocategorieën beschreven aan de hand van onderstaande figuur.

Figuur 2

Risicocategorieën (Doff, 2004)

- Kredietrisico: het risico van verliezen doordat tegenpartijen niet kunnen voldoen aan hun verplichtingen jegens de bank.

- Marktrisico: het risico van waardeveranderingen die in de handelsportefeuille kunnen optreden als gevolg van prijsveranderingen in de markt.

- Renterisico: het risico van veranderingen in het renteresultaat en/of de waarde van on- en off-balancesheet producten als gevolg van onverwachte veranderingen in de rente. - Liquiditeitsrisico: het risico om op enig moment niet in staat te zijn de groei van activa te

financieren, of om tijdig aan alle (terug-)betalingsverplichtingen te voldoen.

- Operationeel risico: het risico van verliezen als gevolg van tekortkomingen in interne processen, mensen, systemen of door externe gebeurtenissen.

- Bedrijfsrisico: het risico van verliezen die ontstaan uit veranderingen in de concurrentieomgeving of het tekortschieten van de interne flexibiliteit.

De bancair-specifieke risico’s hebben te maken met het transformeren van middelen. De algemene risico’s worden gelopen omdat een bedrijf wordt uitgeoefend.

Dit is vergelijkbaar met de indeling die Van den Tillaart (2003) maakt op basis van het Basel Committee on Banking Supervision. Aan de bancair specifieke risico’s (die zij overigens aanduidt als financiële of speculatieve risico’s) voegt zij nog het landenrisico toe. Hierbij valt bijvoorbeeld te denken aan politieke risico’s door invloed van de overheid. In de categorie algemene risico’s (die zij aanduidt als niet-financiële of pure risico’s) wordt reputatierisico toegevoegd. Hieronder valt bijvoorbeeld imagoschade als gevolg van het openbaar worden van interne fraudes.

Een derde indeling in risicocategorieën komt voort uit de Regeling Organisatie Beheersing (ROB) zoals deze in 2001 is gepubliceerd door De Nederlandsche Bank (DNB). Deze

regeling heeft tot doel richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen bij financiële instellingen. Binnen de ROB worden de volgende acht risicosoorten onderscheiden: kredietrisico, marktrisico, liquiditeitsrisico, operationeel risico, informatietechnologie (IT), uitbesteden van (dele van) bedrijfsprocessen , integriteitsrisico en rechten & plichten van (potentiële) cliënten. Ten opzichte van de vorige risicocategorieën zijn in het kader van deze scriptie met name de laatste twee risicosoorten aanvullend.

Integriteitsrisico wordt beschreven als de aantasting van de reputatie, alsmede de bestaande of toekomstige bedreiging van vermogen en resultaat als gevolg van non-compliance. Non-compliance wordt in dit kader bedoeld als ontoereikende naleving van wet- en regelgeving of van door de instelling zelf opgestelde normen, voorschriften of gedragsregels. Bij rechten en plichten van (potentiële) cliënten tenslotte, gaat het om de invulling van de zorgplicht jegens klanten middels een zorgvuldige informatieverstrekking en de correcte uitvoering van

transacties, aangevuld met een adequaat klachtenmanagement in gevallen waarbij klanten niet tevreden zijn. In het vervolg van deze paper zal blijken dat op het gebied van

assurantiebemiddeling hoge eisen worden gesteld aan compliance en zorgplicht. Overigens is de ROB uit 2001 inmiddels opgegaan in de Wft.

Zoals beschreven in paragraaf 2.3 wordt binnen deze scriptie verder alleen aandacht geschonken aan de risicosoort operationeel risico. Ook dit begrip kent in de literatuur meerdere definities.

events. This definition includes legal risk from the failure to comply with laws as well as prudent ethical standards and contractual obligations, but excludes strategic and

reputational risk”. Volgens Jobst is er binnen het domein van operationeel risico dus een onderscheid aan te brengen tussen internal operational risk (beïnvloedbare factoren zoals mensen, systemen en processen) en external operational risk (factoren buiten de invloedssfeer van de organisatie zoals rampen en terrorisme).

De definitie van Jobst lijkt veel op de definitie die in het Basel II-akkoord is vastgelegd. Omdat dit regelgeving betreft die met ingang van 01-01-2007 van kracht is geworden in alle EU-landen, is deze definitie voor het bankwezen het meest relevant. In het Basel II-akkoord is operationeel risico gedefinieerd als “the risk of direct and indirect loss resulting from

inadequate of failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk” (Basel Committee on Banking Supervision, 2001). In het Basel II-akkoord wordt operationeel risico verder geoperationaliseerd naar 7 zogenaamde eventtypes welke door Rabobank Nederland vertaald zijn naar de eigen organisatie. Omdat de eventtypes in hoofdstuk 5 terugkomen, worden ze in tabel 1 kort beschreven.

Tabel 1

Eventtypes Basel (Rabobank Nederland, ORM risicoanalyse 2008)

1. Interne fraude

Ongeautoriseerde activiteiten, verduistering, diefstal en fraude door eigen medewerker(s). Bij interne fraude is er sprake van doelbewuste misleiding van een medewerker van de Rabobank, meestal gericht op persoonlijk gewin.

2. Externe fraude

Diefstal en fraude, hacken van systemen, skimming van geldautomaten. Vervalsing met cheques en creditcards ook via internet, witwastransacties.

Bij externe fraude is er sprake van doelbewuste misleiding door een persoon, die niet in dienst is van de Rabobank, gericht op persoonlijk gewin.

3. Arbeidsomstandigheden en veiligheid op de werkplek

Arbeidsgeschillen over arbeidsvoorwaarden, ontslag en discriminatie, aansprakelijkheid voor ongevallen en beheer van personeelsgegevens.

4. Klanten, producten en ondernemerschap

Als gevolg van het contact van de medewerker met de klant ontstaat er een claim van of coulance uitkering aan klanten.

NB: hier is sprake van fouten, niet gericht op persoonlijk gewin van de medewerker, maar ten faveure van het bedrijf.

Mogelijke oorzaken:

• gebreken in product, • inadequaat advies,

• tekortschieten in beheer vertrouwelijke klantgegevens, • niet voldoen aan informatieplicht aan klant,

• onzorgvuldig omgaan met klachten van de klant,

• ontoereikende naleving Rabobanknormen, -voorschriften of –gedragsregels, • ontoereikende naleving externe voorschriften,

5. Beschadiging van materiële goederen

Natuurrampen, terrorisme, vandalisme, vernielingen zonder doel om te stelen. Kenmerk is dat de veroorzaker buiten de verantwoordelijkheid (en vaak ook buiten de

beheersmogelijkheden) van de organisatie ligt.

6. Bedrijfsonderbreking en systeemuitval

Onderbreking van bedrijfsactiviteiten als gevolg van specifieke gebeurtenissen, zoals uitval of verstoring van voorzieningen (stroom, gas en water).

Systeemuitval door falen van hardware, software, telecommunicatie en stroomstoring. Kenmerk is dat in tegenstelling tot de vorige categorie, de veroorzaker binnen de verantwoordelijkheid en beheersmogelijkheden van het organisatieonderdeel ligt.

7. Uitvoer, overdracht en procesbeheer

Verliezen ontstaan door onbedoelde fouten in transactieprocessing of procesbeheer, relaties met handelspartijen en toeleveranciers.

A. Mogelijke oorzaken in transactieprocessen en procesbeheer: • foutieve invoer, uitvoering en beheer van transacties; • miscommunicatie;

• overschrijdingen deadline of verantwoordelijkheid; • foutieve werking van een model of systeem;

• administratieve fouten of toerekeningsfouten aan entiteiten; • tekortschietend beheer van zekerheden;

• tekortschietend beheer van de database;

• fouten in rapportageverplichting, onnauwkeurige externe rapportage (inzake verliezen);

• ontbrekende disclaimer, ontbrekende wettelijke documenten; • ongeautoriseerd toegang verlenen tot rekeningen;

• incorrecte klantrapportage inzake verliezen;

• onachtzaam verlies of beschadiging van middelen van klanten; • onvoldoende of onzorgvuldig projectmanagement.

B. Mogelijke oorzaken in relaties met handelspartijen en toeleveranciers: • tekortschietende prestaties van niet-klanten,

• geschillen met niet-klanten.

Opvallend is dat de meeste eventtypes voortvloeien uit menselijk handelen en het niet beheersen van processen. In het kader van assurantiebemiddeling zijn de eventtypes interne fraude (1), klanten, producten en ondernemerschap (4) en uitvoer, overdracht en procesbeheer (7) het meest van belang. De eventtypes 3, 5 en 6 vallen grotendeels buiten de invloedssfeer van de bank (external operational risk), of zijn vanuit de intermediairsfunctie voor de bank minder relevant. Op het gebied van externe fraude (eventtype 2) ligt het risico grotendeels bij de verzekeringsmaatschappijen, bijvoorbeeld bij het frauduleus declareren van schades. In het vervolg van deze paper zullen dan ook alleen de eventtypes 1, 4 en 7 worden behandeld.

investeringen die vereist zijn op het gebied van processen en procedures. Hier staat echter een lager kapitaalbeslag als incentive tegenover. Bij de Basic Indicator Approach wordt gerekend met een vast percentage (vereist kapitaal voor operationeel risico is 15% van het gemiddelde van de som van het netto rente- en niet rente-inkomen over de afgelopen drie jaar). Bij de Standardized Approach wordt het vereiste kapitaal berekend per business line (bijvoorbeeld 18% voor corporate finance + 12% voor retail brokerage + 15% voor retail banking, etcetera). De Rabobank Groep heeft gekozen voor het hoogste ambitieniveau: de Advanced

Measurement Approach (AMA). Zij heeft zich hiervoor onlangs gekwalificeerd, wat inhoudt dat zij mag werken met interne risicomodellen. Op basis van deze goedgekeurde modellen mag de Rabobank (centraal) zelf de hoogte van het kapitaalbeslag berekenen, uiteraard onder toezicht van De Nederlandsche Bank.

Overigens wijken operationele risico’s qua karakter sterk af van andere risicosoorten. Herring (2002) beschrijft bijvoorbeeld dat door het nemen van grotere risico’s op het gebied van marktrisico of kredietrisico wellicht extra opbrengsten kunnen worden gegenereerd. Volgens hem geldt dit niet voor operationele risico’s omdat deze alleen een downside risk kennen. In termen van Doherty (1985) is er bij operationeel risico dus alleen sprake van pure risk. Een tweede verschil in karakter heeft te maken met de omvang van een eventueel verlies. Zo zijn kredietrisico’s gelimiteerd tot het uitstaande obligo. Indien een klant niet meer aan zijn rente- en aflossingsverplichtingen kan voldoen is het verlies voor de bank bij bijvoorbeeld een hypotheek maximaal het bedrag aan uitstaande leningen. In de praktijk wordt dit verlies nog verder beperkt doordat hier zekerheden tegenover staan (bijvoorbeeld executiewaarde woning). Operationele risico’s daarentegen zijn in principe ongelimiteerd, waardoor onvoorziene schades tot hoge verliezen kunnen leiden. Mooie voorbeelden om dit te

illustreren betreffen de Nick Leeson-affaire bij Barings, de boekhoudschandalen bij Enron en Ahold, en recenter het miljardenverlies bij Société Générale door beursspeculaties van een medewerker. Dit maakt operationeel risico zeer moeilijk kwantificeerbaar.

3.2. Risicobeheersing vanuit de theorie

Babbel & Santomero (1996) beschrijven vanuit het managementperspectief drie vormen van risico’s: “(1) risks that can be eliminated or avoided by standard business practices, (2) risks that can be transferred to other participants, en (3) risks that must be actively managed at the firm level”. Voor het managen van risico’s dient een risico management system volgens hun minimaal te bestaan uit (a) standaarden en rapportages, (b) bevoegdheden en limieten, (c) richtlijnen voor investeringen en (d) een passend beloningssysteem. (De richtlijnen voor investeringen hebben betrekken op balansmanagement en zijn in het kader van operationele risico’s minder relevant. De overige onderdelen zijn in het kader van deze paper wel van toepassing).

Volgens Doherty (1985) verloopt de traditionele risk management structuur volgens de volgende stappen: (1) risks should be identified, (2) risks should be measured en (3) risks should be ‘handled’. Bij de laatste stap kan gekozen worden uit de volgende mogelijkheden: (a) by insuring the risk, (b) by retention of the risk, (c) by transfer to a party other than the insurer, e.g. a subcontractor, (d) by reducing the probability or magnitude of loss, en (e) by avoiding the activity that gives rise to loss.

Hoving & Keulemans (2000) hebben het managen van risico’s nader uitgewerkt in de vorm van een risicozorgproces. Zij beschrijven dit risicozorgproces aan de hand van vier stappen. De hoofdstappen betreffen (1) risicoanalyse, (2) risicoreductie en (3) risicofinanciering, aangevuld met een overkoepelend en integrerend deelproces (4) dat wordt aangeduid met risicobeheer. De processtap risicoanalyse is opgebouwd uit drie onderdelen: identificatie, evaluatie en classificatie. Het doel van de identificatiestap is om alle voor de betreffende onderneming relevante risico’s op te sporen (onderkenning). Hierbij kan gebruik worden gemaakt van checklists, brainstorm-bijeenkomsten of speciale technieken zoals de

middels het nemen van bepaalde maatregelen te beheersen. Onder primaire beheersing verstaan Hoving & Keulemans (2000) beheersingsmaatregelen die in het kader van de normale bedrijfsuitoefening worden getroffen. Deze kunnen zowel preventief, protectief, als correctief van aard zijn, dat wil zeggen voorkomen van de oorzaak, minimalieren van de uitwerking, of achteraf herstellen. De secundaire beheersing van risico’s heeft een

opvangende (‘back-up’) functie wanneer de normale bedrijfsuitoefening ten aanzien van de beheersing van risico’s niet aan de gestelde eisen voldoet. De secundaire beheersing vormt een tweede verdedigingslinie, bijvoorbeeld in de vorm van een calamiteitenplan of audits. De derde hoofdstap is risicofinanciering. Dit betreft alle maatregelen met betrekking tot de financiering van de eventuele uit risico’s voortvloeiende schades. Aangezien

risicofinanciering buiten de afbakening van deze scriptie valt (zie paragraaf 2.3) zal deze niet verder worden behandeld, met uitzondering van risico-overdracht. Belangrijkste vorm van risico-overdracht betreft het afsluiten van verzekeringen tegen bepaalde risico’s. De vierde en overkoepelende processtap betreft beheer. Hieronder verstaan Hoving & Keulemans (2000) het bestuurlijke kader van alle beleidsmatige, organisatorische, procedurele, methodische, planmatige, informatieve en andere maatregelen en systematische activiteiten in de omgang met risico’s. Voorbeelden hiervan zijn beleid, belegging van taken, verantwoordelijkheden en bevoegdheden, procedures en deskundigheidseisen.

Uit de eerder besproken eventtypes is gebleken dat operationele risico’s meestal voortvloeien uit menselijk handelen en het niet beheersen van processen. Voor de beheersing van

operationele risico’s is management control dan ook zeer relevant!

Een van de bekendste auteurs op dit gebied is Anthony. Hij beschrijft management control als “the process by which managers influence other members of the organisation to implement the organisation’s strategy” (Anthony & Govindarajan, 1998). Doff (2004) sluit zich hier bij aan door te stellen dat management control tot doel heeft om de leden van een organisatie dusdanig aan te sturen dat de doelstellingen van de organisatie worden bereikt.

Merchant & Van der Stede (2003) beschrijven in hun boek over Management Control Systems vier typen van controls die kunnen ondersteunen bij het behalen van de

organisatiedoelstellingen: action controls, result controls, personnel controls en cultural controls. Results control (1) is te vertalen als resultaatsbeheersing, waarbij de beheersing wordt gericht op de te bereiken resultaten van managers of medewerkers, dus op de

(handelingsvoorschriften). Personnel control (3) is te vertalen als personele beheersing, gericht op het aantrekken en kwalificeren van goede personeelsleden. Cultural control (4) is te vertalen als waardenbeheersing, waarbij het gaat om het aankweken van de passende normen en waarden binnen de organisatie. Bovenstaande vier vormen van control kunnen zowel tight (strak) als loose (los) worden ingezet. Naast deze vier controls kan ook avoidance worden toegepast door activiteiten te elimineren, problemen te automatiseren, besluitvorming te centraliseren, of door het delen van risico’s.

Results control en action control worden beschouwd als hard controls en personnel en cultural control als soft controls. Ook Doff (2004) benadrukt dit onderscheid. Hij stelt dat bij de beheersing van operationele risico’s administratieve organisatie en interne controle (AO/IC) een belangrijke rol spelen, met name voor het beheersen van menselijke fouten en fraude. Daarnaast is echter ook het risicobewustzijn bij medewerkers van cruciaal belang, zodat wordt beseft waarom bepaalde maatregelen belangrijk zijn. Indien medewerkers het belang van maatregelen inzien, is de kans immers groter dat zij conform handelen.

Naast bovenstaande bredere interpretatie van management control waarbij de nadruk op het sturen zelf ligt, is er ook een nauwere interpretatie waarbij vooral de

managementinformatievoorziening voorop staat. Een mooi voorbeeld hiervan is de omschrijving die Izeboud (1993) hanteert voor management control: “het formuleren,

interpreteren en analyseren van informatie zowel financieel als niet-financieel, kwantitatief en kwalitatief, ten aanzien van verleden, heden en toekomst en het op basis daarvan gevraagd en ongevraagd verstrekken van informatie aan het management ten behoeve van het kiezen van de economische activiteiten en het plannen, beheersen en evalueren van de economische managementprestaties binnen organisaties”. Om te kunnen sturen kan dan ook gesteld worden dat een goede managementinformatievoorziening over de gang van zaken binnen de

organisatie een vereiste is.

In het kader van managementinformatie op het gebied van operationele risico’s spelen auditrapportages een belangrijke rol. Door middel van audits kunnen bijvoorbeeld afwijkingen van de norm worden getraceerd die extra risico met zich meebrengen. Denk hierbij bijvoorbeeld aan het doorbreken van functiescheidingen, het verrichten van

toegevoegde waarde van operational audits groot is. Dit betreft situaties waarbij

verantwoordelijkheden lager in de organisatie zijn belegd bij functies die het contact met ‘de markt’ onderhouden. Operational auditing is voor het topmanagement dan een toetsende schakel om grip op de organisatie te houden. Onder een operational audit verstaan Driessen et al. “het onderzoek naar de inrichting en werking van de kwaliteit van het gehele complex van beheersingsmaatregelen dat het management treft om er zeker van te zijn dat de doelstellingen van de organisatie kunnen worden gerealiseerd, overeenkomstig de beheersingskaders die door het bovenliggende management zijn geformuleerd”. Naast interne beheersing kunnen audits ook ondersteunend zijn bij externe verantwoording, bijvoorbeeld ten aanzien van naleving van wet- en regelgeving (compliance).

Een van de belangrijkste onderzoeksobjecten bij een audit betreft de beheersing van de managementcyclus.

Figuur 3

De managementcyclus (Driessen et al., 1997)

Dit generieke model voor het managen van de organisatie is ook goed bruikbaar op het gebied van assurantiebemiddeling. Onder het beleid vallen alle zaken die te maken hebben met besturing en beheersing, zoals het formuleren van doelstellingen, het aangeven van kaders waarbinnen de doelstellingen bereikt moeten worden en (eventueel) de weg waarlangs de realisatie van de doelstellingen plaats moet vinden. De inrichtingsactiviteiten zijn erop gericht het geheel aan beheersingskaders en beheersingsmaatregelen te ontwikkelen en te

implementeren, voornamelijk op het gebied van processen. De realisatie van doelstellingen vindt plaats in de uitvoeringsfase. Daarbij is het uiteraard van belang dat processen worden beheerst en effectief en efficiënt verlopen. De toetsingsfase is een evaluatiemoment waarop wordt bezien of de organisatie nog functioneert zoals bedoeld en of de gestelde doelen ook daadwerkelijk worden bereikt.

Beleid formuleren

Inrichten

De managementcyclus vertoont een grote overlap met de PDCA-cirkel van Deming die wordt gebruikt in het INK7-managementmodel (Hardjono & Bakker, 2004). Deze cyclus die

voorkomt uit het kwaliteitsmanagement bestaat uit de stappen Plan – Do – Check – Act en is vooral gericht op het doorvoeren van verbeteringen. Plan is het plannen van activiteiten en het stellen van doelen. Do is het uitvoeren van de geplande activiteiten. Check is het nagaan in hoeverre de afgesproken doelen zijn gerealiseerd. En Act is de analyse van afwijkingen en het aanpassen van het proces. Binnen de Rabobank wordt de PDCA-cyclus vaak gebruikt als kapstok voor managementvraagstukken, ook op het gebied van risicobeheersing en assurantiebemiddeling (bron: Raboweb8).

Resumé

In de theorie zijn meerdere definities van risico beschreven. Gemeenschappelijk kenmerk is dat (in tegenstelling tot schades) risico’s betrekking hebben op de toekomst waarbij er onzekerheid is over de kans op en de omvang van verliezen. Omdat risico’s in vele vormen voorkomen is in diverse studies getracht om ze onder te verdelen in categorieën. Een van deze categorieën betreft operationeel risico met zijn eigen specifieke kenmerken. In het kader van deze scriptie is de definitie van operationeel risico uit het Basel II-akkoord het meest relevant: “the risk of direct and indirect loss resulting from inadequate of failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk”. Ook over de beheersing van (operationele) risico’s zijn in de literatuur diverse theorieën te vinden. De meeste starten met een risicoanalyse waarbij risico’s worden geïdentificeerd en een inschatting wordt gemaakt van de kans en omvang van

mogelijke schades. Daarna vindt risicoreductie plaats (verkleinen ‘kans x omvang’) door het treffen van beheersmaatregelen, het vermijden van activiteiten en/of het afsluiten van

verzekeringen tegen risico’s. Voor het treffen van beheersmaatregelen geven de behandelde auteurs diverse mogelijkheden zoals het opstellen van standaarden, het vaststellen van bevoegdheden en limieten en het opstellen van rapportages in het kader van de

managementinformatievoorziening. Naast deze hard controls worden ook soft controls beschreven in de vorm van personele beheersing en waardenbeheersing waarbij het belang van risicobewustzijn bij medewerkers wordt onderkend. Om de opzet en werking van beheersmaatregelen te toetsen zijn audits van belang zodat een gefundeerd oordeel over de

7 _{Instituut Nederlandse Kwaliteit} 8

werking van de managementcyclus kan worden gegeven en waar nodig

4. HET ASSURANTIEBEMIDDELINGSPROCES BINNEN DE RABOBANK

In dit hoofdstuk wordt deelvraag 2 beantwoord: hoe ziet het assurantiebemiddelingsproces binnen de Rabobank eruit? Om deze vraag te beantwoorden wordt het

assurantiebemiddelingsproces binnen de Rabobank in kaart gebracht. Hierbij wordt zowel aandacht geschonken aan het advies van Rabobank Nederland omtrent de organisatie en procesinrichting van assurantiebemiddeling (paragraaf 4.1), als de lokale afwijkingen van Rabobank A ten opzichte van dit advies (paragraaf 4.2). De lokale afwijkingen worden beschreven omdat deze risicoverhogend zijn.

4.1. Het assurantiebemiddelingsproces volgens advies Rabobank Nederland

In de vorm van Werkprocessen (WP’s) en Instructiebladen (IB’s) stelt Rabobank Nederland procesbeschrijvingen beschikbaar aan de lokale banken. Deze procesbeschrijvingen hebben een advieskarakter, waarbij lokale Rabobanken de mogelijkheid hebben om hier

(gemotiveerd) van af te wijken. Onderstaande beschrijving van het

assurantiebemiddelingsproces is gebaseerd op de Werkprocessen en Instructiebladen vanuit Rabobank Nederland.

Het verkoopproces omtrent verzekeringen kan schematisch als volgt worden weergegeven, waarbij de uitvoerenden per klantsegment9 kunnen verschillen:

9

In stap 1 en 2 wordt het verkoopgesprek voorbereid. Bij stap 3 vindt het contact met de klant plaats. Na identificatie van de klant inventariseert de verzekeringsadviseur de gegevens van de klant en analyseert deze. Dit mondt uit in het zogenaamde klantprofiel. Het klantprofiel dient minimaal te bestaan uit: het doel en de behoefte van de klant, de financiële situatie, zijn kennis en ervaring en zijn risicobereidheid. Op basis van het klantprofiel brengt de adviseur een onderbouwd advies uit richting klant in de vorm van een offerte/aanbieding met

mondelinge toelichting. Tevens wordt hierbij productinformatie verstrekt zodat de klant geïnformeerd is over de kenmerken en risico’s van het product. Nadat de offerte is ondertekend door de klant wordt het dossier overgedragen aan de verkoopondersteuner (lokale commerciële binnendienst) die zorgt voor afhandeling en archivering (stap 4 en 5). Uiteindelijk mondt het verkoopproces uit in het versturen van de verzekeringspolis.

Indien de klant afwijkt van het advies moet dit vanuit zorgplicht schriftelijk worden bevestigd. In de brief wordt benadrukt dat de klant mogelijk extra risico loopt door af te wijken van het advies (bijvoorbeeld minder dekking dan wordt aangeraden). Gedurende alle stappen vindt dossiervorming plaats zodat het totale traject reproduceerbaar is. De eisen die aan het klantdossier worden gesteld zijn afgeleid uit de Wft.

Naast verkoop is bij assurantiebemiddeling ook onderhoud zeer relevant om te waarborgen dat de verzekering gedurende de looptijd passend blijft bij de situatie van de klant. Hierdoor kan bijvoorbeeld het risico van onderverzekering beter worden beheerst indien zich

wijzigingen in het risicoprofiel van de klant voordoen. Via een bezoekschema vindt periodiek contact met de klant plaats, waarbij de contactfrequentie is afgestemd op het risicoprofiel en het segment van de klant. De uitkomsten van onderhoudsgesprekken dienen te worden vastgelegd in gespreksverslagen.

(ander verzekerd object). Indien een verbouwing aan een woonhuis door de bank wordt gefinancierd, is zij op de hoogte van de waardevermeerdering van het woonhuis. De klant dient dan ook te worden geïnformeerd over de verzekering, omdat het verzekerde bedrag waarschijnlijk dient te worden aangepast. Naast onderhoudsgesprekken vormt

signaalmanagement dan ook een belangrijk aandachtspunt in het kader van zorgplicht.

Naast verkoop en onderhoud (van klantcontact tot contract) vinden op het gebied van verzekeren ook administratieve processen plaats. Enerzijds kunnen deze administratieve processen voortvloeien uit verkoop en onderhoud, bijvoorbeeld de verwerking van aanvragen en wijzigingen (polisadministratie). Anderzijds kunnen de administratieve processen ook zijn gerelateerd aan beheer, bijvoorbeeld bij non-betaling van premies (debiteurenbeheer). De administratieve processen vinden plaats in de back-office, vaak na overdracht uit de front-office.

Een verhaal apart vormen schademeldingen. Indien de schade valt onder een verzekering van Interpolis (dochtermaatschappij Rabobank Groep), dan wordt dit rechtstreeks doorgeleid naar de verzekeringsmaatschappij. Indien de schade echter valt onder een verzekering van een derde maatschappij, dan is de bank zelf verantwoordelijk voor de afhandeling en uitbetaling. Omdat de Rabobank alleen een intermediairsfunctie heeft, dient de uitbetaling uiteraard wel via de desbetreffende verzekeringsmaatschappij te worden geaccordeerd.

Wat de verzekeringsadministratie betreft hebben Rabobanken de mogelijkheid om hun back-office activiteiten uit te besteden aan het Fulfilment Service Centrum van Rabobank

Nederland die de dienst Centrale Administratie Verzekeringen (CAV) aanbiedt. Dit is echter niet verplicht. Lokale banken kunnen er dus ook voor kiezen om dit ‘in company’ te houden. In dit laatste geval verlopen echter ook alle geldstromen tussen klant, bank en

verzekeringsmaatschappij (bijvoorbeeld premies, provisies en uitbetalingen) via de lokale Rabobank. De geldstromen tussen de lokale Rabobank en de diverse

verzekeringsmaatschappijen verlopen via tussenrekeningen en onderlinge rekening courant-verhoudingen.

Bovenstaande beschrijving van assurantiebemiddeling komt voort vanuit het

banking, of cliëntadviseur). Afhankelijk van de complexiteit van het verzekeringsproduct kan de primaire adviseur terugvallen op een productspecialist verzekeren (secundaire adviseur). Vanuit het productperspectief zijn verzekeringen te categoriseren naar schadeverzekeringen particulier, schadeverzekeringen zakelijk, levensverzekeringen en collectieve

pensioenverzekeringen. Deze verzekeringen kunnen ‘los’ worden verkocht, maar kunnen ook onderdeel zijn van een totaaladvies, waarbij koppelingen zijn gelegd met andersoortige producten. Bij de verstrekking van een hypothecaire lening bijvoorbeeld kan ook een overlijdensrisicoverzekering en een woonhuis-/inboedelverzekering van belang zijn voor de klant. Daarnaast worden regelmatig levensverzekeringen verkocht waarbij een deel van de premie wordt belegd. Er is dan sprake van een koppeling tussen verzekeringen en beleggingen (combiproduct).

Overigens is het klantsegment en de complexiteit van de klant(wensen) ook leidend voor de verzekeringsmaatschappij waarmee zaken wordt gedaan. In de klantsegmenten Bedrijven Advies en Cliënten Advies kan meestal met een standaardproduct in de behoefte van de klant worden voorzien. Uitgangspunt hier is dat in principe alleen Interpolis-producten worden aangeboden. In de klantsegmenten Zakelijke Relaties en Private Banking is vaak behoefte aan maatwerkconstructies. Bij maatwerkconstructies worden naast verzekeringen van Interpolis ook verzekeringen van derde maatschappijen aangeboden. Vanuit risico-oogpunt zijn

verzekeringen van derde maatschappijen risicoverhogend om twee redenen. Ten eerste zijn de producten vaak complexer omdat ze moeten voorzien in maatwerk en ten tweede komt de verkoop van verzekeringen van derde maatschappijen minder vaak voor. Hierdoor is het lastiger om de productkennis op peil te houden.

4.2. Lokale afwijkingen binnen Rabobank A

Grootste afwijking binnen Rabobank A ten opzichte van het advies van Rabobank Nederland is de inrichting van de mid-office en de back-office. Rabobank A heeft er voor gekozen om de afhandeling van verkochte verzekeringen niet te beleggen bij de lokale commerciële

binnendienst, maar onder te brengen in het lokale Service Centrum Verzekeren (SCV). Het Service Centrum Verzekeren vormt samen met het Service Centrum Bedrijven en het Service Centrum Particulieren de lokale back-office van Rabobank A (Lokaal Administratie

schademeldingen. De mid-office bestaat uit interne specialisten verzekeringen (commerciële binnendienst), waarbij Rabobank A onderscheid heeft gemaakt tussen de wholesale- en de retail-omgeving. Binnen de wholesale-omgeving zijn de interne specialisten ondergebracht in de commerciële afdelingen bij de verzekeringsadviseurs. Binnen de retail-omgeving zijn de interne specialisten ondergebracht in het lokale Service Centrum Verzekeren. In beide

gevallen verricht de mid-office commercieel ondersteunende taken zoals het voorbereiden van adviesgesprekken en het telefonisch beantwoorden van klantvragen. Daar waar de front- en mid-office met name klantgericht is ingestoken, is de back-office vooral taakgericht.

De tweede afwijking ten opzichte van het advies van Rabobank Nederland betreft de frequentie van onderhoudsgesprekken. Rabobank A heeft vanuit efficiencyoverwegingen besloten om een lagere frequentie aan te houden voor minder risicovolle klantgroepen. Voor klanten uit het segment Cliënten Advies wordt een frequentie van één keer per drie jaar gehanteerd (in plaats van één keer per twee jaar) en voor Private Banking één keer per twee jaar (in plaats van jaarlijks). Daarnaast heeft Rabobank A uit efficiencyoverwegingen onlangs besloten om onder een bepaald bedrag aan verzekeringspremie geen periodiek onderhoud uit hoofde van zorgplicht meer uit te voeren (project Quick Wins). Voor deze groep klanten vindt alleen reactief onderhoud plaats op basis van klantsignalen. Rabobank Nederland biedt deze ruimte zolang dit lokaal beleidsmatig wordt geborgd en nageleefd.

Resumé

Het assurantiebemiddelingsproces binnen de Rabobank kent een aantal kernprocessen zoals advisering en verkoop, portefeuilleonderhoud, signaalmanagement en administratieve

processen. De belegging van processtappen verschilt per proces en is mede afhankelijk van de door Rabobank A gekozen organisatie-inrichting, klantsegmentering en het

productassortiment. Hiermee is deelvraag 2 beantwoord. In hoofdstuk 5 zal blijken dat de vermelde kernprocessen ieder hun eigen specifieke operationele risico’s met zich

5. OPERATIONELE RISICO’S ASSURANTIEBEMIDDELING

In dit hoofdstuk wordt deelvraag 3 beantwoord: welke operationele risico’s zijn op het gebied van assurantiebemiddeling het meest van belang? Dit geschiedt door de algemene

operationele risico’s zoals deze zijn beschreven in hoofdstuk 3 te vertalen naar operationele risico’s die specifiek geldend zijn voor assurantiebemiddeling, rekening houdend met de organisatie- en procesinrichting zoals beschreven in hoofdstuk 4. Aanvullend is gebruik gemaakt van documentatie van de Audit Rabobank Groep en risicoanalyses die zijn opgesteld door Rabobank Nederland (centraal) en Rabobank A (lokaal). De risico’s in het primaire proces zijn ingedeeld naar de eventtypes uit Basel II. Uitdrukkelijk wordt gesteld dat gefocust is op de belangrijkste risico’s zonder daarmee volledigheid na te streven.

a.) Operationele risico’s geïdentificeerd door de onderzoeker

Eventtype 1 – Interne fraude

Grootste risico wat interne fraude betreft heeft te maken met de girale geldstromen tussen de verzekeringsmaatschappijen, de bank en de klant. Het risico bestaat dat deze geldstromen in de vorm van premies en provisies (inkomende geldstromen), en/of uitbetalingen (uitgaande geldstromen) door medewerkers aan de bank cq. klant worden onttrokken voor eigen gewin.

Eventtype 4 – Klanten, producten en ondernemerschap

Bij eventtype 4 zit het grootste risico in het contactmoment tussen klant en bank bij de advisering. Hierbij kunnen diverse zaken mis gaan met mogelijke claims van klanten, of interventies van toezichthouders als gevolg. Een inadequaat advies kan meerdere oorzaken hebben. Ter illustratie enkele voorbeelden: geen aansluiting met het klantprofiel,

productspecialist niet tijdig ingeschakeld, of onvoldoende koppeling gelegd met andere producten zoals de woninghypotheek. Verder bestaat het risico dat bij het klantcontact niet wordt voldaan aan de informatieplicht (bijvoorbeeld productinformatie en financiële bijsluiter wordt niet verstrekt) of aan de zorgplicht (bijvoorbeeld geen bevestiging bij afwijking van advies). In de advisering speelt kennis en kunde van de adviseur dus een cruciale rol. Hoe complexer het advies (vooral bij maatwerkconstructies), hoe groter de eisen die aan de deskundigheid van de adviseur worden gesteld.

Rabobank A lastig beheersbaar om twee redenen. Ten eerste beschikt de bank over meerdere vestigingen met meerdere archieven en ten tweede vinden door de gekozen organisatie-inrichting veelvuldig bureau-overdrachten in de processen plaats.

In hoofdstuk 3 is naast verkoop ook het belang van portefeuilleonderhoud beschreven. In het kader van zorgplicht liggen hier met name risico’s als de bank onvoldoende op de hoogte is van wijzigingen bij de klant doordat de vereiste onderhoudsgesprekken op initiatief van de bank niet of niet frequent genoeg plaatsvinden. Tevens kan het inadequaat oppakken en afhandelen van klantsignalen er toe leiden dat klanten niet passend zijn verzekerd.

Door wijzigingen in wet- en regelgeving zijn de externe eisen die aan de bank worden gesteld in de loop der jaren flink toegenomen. De toename van eisen heeft echter ook tot gevolg dat de kans groter is geworden dat wet- en regelgeving ontoereikend wordt nageleefd

(non-compliance risico). Voor beheersing van dit risico is daarom een verdiepingsslag noodzakelijk zodat het management van de bank gericht kan sturen op de onderliggende eisen. Voor een nadere uitwerking van de gevolgen van deze externe eisen wordt verwezen naar hoofdstuk 7. Hier wordt onder andere het zorgplichtrisico nader toegelicht.

Eventtype 7 – Uitvoer, overdracht en procesbeheer

Met betrekking tot eventtype 7 zitten de risico’s met name in de vervolgstappen van het assurantiebemiddelingsproces nadat advisering heeft plaatsgevonden. Uit de

procesbeschrijving blijkt dat de afhandeling van verkoop (nieuwe posten) en mutaties op bestaande posten plaatsvinden in de back-office. Dit betekent dat er overdrachtsmomenten zijn tussen front-office (verzekeringsadviseur), mid-office (interne specialist verzekeren) en back-office (lokale Service Centrum Verzekeren). In principe geldt: hoe meer

overdrachtsmomenten, hoe groter de kans op miscommunicatie, waardoor de uiteindelijke afhandeling mogelijk fouten bevat. Doordat de back-office (lokaal Service Centrum

Verzekeren) fysiek gescheiden gehuisvest is van de commerciële afdelingen, is dit risico reëel aanwezig binnen Rabobank A.