De commercie kent geen fouten!?

De commercie kent geen fouten!?

Afstudeeropdracht:

Rijksuniversiteit Groningen, Faculteit Bedrijfskunde,

Verkort Doctoraal Bedrijfskunde auteur:

De commercie kent geen fouten!?

operationeel risicomanagement bij Rabobank Borger-Klenckeland

Afstudeeropdracht:

Rijksuniversiteit Groningen, Faculteit Bedrijfskunde,

Verkort Doctoraal Bedrijfskunde auteur:

A.F. Lok

studentnummer: 1311840 afstudeerbegeleiders:

Dhr. Drs. M.A. Bergervoet (eerste begeleider) Dhr. Drs. A. Smeenge RA (tweede begeleider)

plaats, datum:

Valthe, 17 augustus 2007

Voorwoord

Daar zit je dan, een donderdagavond in augustus 2007, en je moet en mág na een intensieve afstudeerperiode, de laatste hand leggen aan je afstudeerscriptie Verkort Doctoraal Bedrijfskunde bij de Rijksuniversiteit Groningen: het voorwoord.

Natuurlijk had ik daar al eens over nagedacht, meestal onderweg van en naar het werk op de fiets. Maar nu, starend naar het beeldscherm, vliegt de studie vanaf het begin, de kennismaking op een van de waddeneilanden, tot het eind, het afstudeertraject met de bul in het vooruitzicht, in gedachten voorbij.

In die lange periode is veel gebeurd, zowel privé als zakelijk. We hebben er drie kindjes bij gekregen, hebben een nieuw huis laten bouwen en op zakelijk gebied ligt, na een fusie, mijn uitdaging nu in een nieuwe functie. Die laatste twee zijn trouwens niet bevorderlijk voor de doorlooptijd van het afstudeertraject. Dit als tip voor de afstudeerder die dit leest.

Mijn afstudeeropdracht is beleidsondersteunend van aard en uitgevoerd bij de lokale Rabobank Borger-Klenckeland, waar ik tevens werkzaam ben. De begeleiding vanuit de faculteit

Bedrijfskunde bestond uit de eerste begeleider drs. M.M. Bergervoet en de tweede begeleider drs. A. Smeenge RA.

Op deze plaats wil ik de heer Bergervoet bedanken voor zijn tijd, steun, motivatie en het stellen van de juiste vragen. In het begin kwam ik vaak met meer vragen dan antwoorden bij je vandaan, maar zoals je zelf al eens aangaf: “de beste onderzoeker is er een die in staat van vertwijfeling verkeerd”. De heer Smeenge wil ik bedanken voor zijn inbreng en rol bij de beoordeling. Daarnaast wil ik Rien Smits, als begeleider uit de organisatie, bedanken voor zijn steun en de ruimte die ik kreeg om het afstuderen tot een goed einde te brengen. In verband daarmee ook dank aan Anne, Joan en Marieke die me op het juiste moment de spiegel voorhielden en prikkelden tot het maken van keuzes.

Ook familie, vrienden en collega’s, die belangstellend vroegen hoe het stond met het afstuderen en me motiveerden om het af te ronden, wil ik bedanken.

Ten slotte wil ik het thuisfront bedanken: Mirjam en de kinderen. Mirjam voor je steun en geduld, het luisterend oor, maar ook al die keren dat je er niet naar vroeg. Kiara, Elwin, Arben en Loran voor de energie de jullie me gaven, soms ontnamen…, maar vooral voor de broodnodige afleiding om het te relativeren. Jullie geduld is beloond: “papa moet aan de studie” is voorbij, “drs. kom spelen” kan beginnen!

Afsluitend wil ik stellen dat het afstudeertraject voor mij hetzelfde was als de donkere toren voor Roland. En daarbij is het net als met risico’s: “als je het niet kent, zie je het niet”.

Valthe, 17 augustus 2007

Samenvatting

Aanleiding: Het managen van operationele risico’s is bij financiële instellingen door de Bazel-II akkoorden verworden tot een concurrentiewapen en van groot belang voor de rentabiliteit, zo ook bij lokale Rabobanken. In directe zin om afboekingen tegen te gaan, en indirect om het

solvabiliteitsbeslag van de gehele Rabobank Groep zo laag mogelijk te houden.

Vanuit die optiek worden aan de beheersing steeds hogere eisen gesteld en ligt op het voorkomen van fouten, die leiden tot operationele risico’s, steeds meer de nadruk. De Algemeen Directeur en de Manager Risicomanagement & Control bij Rabobank Borger-Klenckeland stelden dat bij externe en interne audits te vaak bij herhaling dezelfde verbeterpunten werden geconstateerd. Doelstelling en vraagstelling: Naar aanleiding van het voorgaande is een vooronderzoek gestart en de volgende doelstelling geformuleerd: Doel van dit onderzoek is het leveren van een bijdrage aan het verbeteren van de inrichting en werking van het Operationeel Risicomanagementsysteem bij de afdeling Particulieren van Rabobank Borger-Klenckeland, zodanig dat de beheersing van de operationele risico’s wordt verbeterd.

De hoofdvraag naar aanleiding van de doelstelling is als volgt verwoord: Welke aanpassingen in de inrichting en werking van het Operationeel Risicomanagementsysteem bij de afdeling Particulieren van Rabobank Borger-Klenckeland zijn noodzakelijk om bij herhaling geconstateerde, operationele fouten, die leiden tot operationele risico’s, te voorkomen?

Conclusies: Naast een aantal kleinere aanpassingen met betrekking tot de inrichting van het ORM-systeem draait het om de volgende punten:

1.Het belang van ORM is onvoldoende: De focus op commercie is dermate groot dat de beheersing, en daarmee het ORM, onvoldoende aandacht krijgt, mede door de te grote span of control van de Verkoopleider Particulieren a.i.;

2.De bekendheid van ORM is onvoldoende: Het ORM-beleid en de ORM-hulpmiddelen zijn onvoldoende geïmplementeerd waardoor een aantal stappen uit het ORM-proces niet of slechts gedeeltelijk invulling krijgt;

3.De werking van procesmanagement is onvoldoende: De capaciteit bij procesondersteuning, de afstemming met de Teamleiders en de wijze van communiceren is onvoldoende. Daardoor is het niet naleven van de beheersmaatregelen bij operationele risico’s niet of niet tijdig bijgestuurd. Bij het voorgaande gaat het om cultuur en communicatie, maar ook om kennis en kunde. Daarbij komen vragen als “Wat mag je van de medewerker verwachten?”en “Wat mag je van de aansturing verwachten?”. Vanuit die optiek lijkt bij het managen van de voornaamste productiefactor - de medewerker - binnen het speelveld HRM dan ook nog veel te winnen. De manager, integraal verantwoordelijk, had op dit gebied (tot voor kort) geen ondersteuning van een HRM-specialist. Aanbevelingen: Naar aanleiding van het onderzoek worden de volgende aanbevelingen gegeven:

- Een deel van de voorgestelde aanpassingen dient met RN overlegd te worden.

- De afdeling Private Banking is nu ook onderdeel van de afdeling Particulieren. Het is aan te bevelen om het onderzoek ook bij dit team uit te voeren en zeker niet klakkeloos de resultaten van dit onderzoek, toe te passen op die afdeling.

- Aangezien een aantal van de oorzaken binnen de gehele organisatie speelt, lijkt het zinvol om dit onderzoek ook bij de overige afdelingen uit te voeren.

- Uit het onderzoek naar het procesmanagement blijkt dat niet wordt gestuurd op processen. Voor een goede werking van het procesmanagement als instrument voor de strategie-implementatie dient procesprestatiemonitoring ingevoerd te worden.

Inhoudsopgave

1.4.2 Analyse van het vooronderzoek ... 5

1.5 Probleemstelling ... 5 1.5.1 Doelstelling ... 6 1.5.2 Vraagstelling ... 6 1.5.3 Randvoorwaarden... 6 1.6 Conceptueel model ... 6 1.7 Onderzoeksvragen ... 8 1.8 Theoretische verantwoording ... 8 1.9 Methodische verantwoording ... 11 1.10 Resumé... 14 2 Theoretisch Kader... 15 2.1 Inleiding... 15 2.2 ORM-systeem ... 15 2.2.1 Risico... 15 2.2.2 Operationeel risico ... 15

2.2.3 Raamwerk Operationeel Risicomanagement ... 16

2.2.4 Succesfactoren Operationeel Risicomanagement ... 19

2.3 Procesmanagement ... 20

2.3.1 Besturen en beheersen van processen ... 20

2.4 Omgeving ... 23

2.4.1 De externe omgeving ... 23

2.5 Context van het ORM-systeem... 23

2.5.1 Beleid ... 23

2.5.2 Organisatiestructuur ... 25

2.5.3 Organisatiecultuur ... 26

2.6 Samenhang in het theoretisch kader ... 28

2.7 Resumé ... 30 3 Beschrijving ... 31 3.1 Inleiding... 31 3.2 Het ORM-systeem ... 31 3.2.1 Risico... 31 3.2.2 Operationeel risico ... 31

3.2.3 Raamwerk Operationeel Risicomanagement ... 32

3.2.4 Succesfactoren ORM-systeem ... 37

3.3 Het procesmanagement... 40

3.3.1 Besturen en beheersen van processen ... 40

3.4 De omgeving... 46

3.5 De context van het ORM-systeem... 46

3.5.1 Beleid ... 47

3.5.2 Organisatiestructuur ... 48

3.6 Resumé ... 53

4 Analyse ... 54

4.1 Inleiding... 54

4.2 Knelpunten in het huidige ORM-systeem ... 54

4.3 Analyse van het ORM-systeem ... 55

4.4 Analyse van het procesmanagement... 58

4.5 Analyse van de context van het ORM-systeem... 60

4.5.1 Analyse van het beleid ... 60

4.5.2 Analyse van de organisatiestructuur ... 61

4.5.3 Analyse van de organisatiecultuur ... 61

4.6 Samenhang tussen de gevonden oorzaken... 61

4.7 Resumé ... 65

5 Wat moet er veranderen? ... 67

5.1 Inleiding... 67

5.2 Welke aanpassingen zijn noodzakelijk? ... 67

5.2.1 Aanpassingen in de inrichting van het ORM-systeem ... 67

5.2.2 Aanpassingen ten behoeve van de werking van het ORM-systeem... 67

5.3 Aandachtspunten bij het doorvoeren van de veranderingen... 70

5.4 Resumé ... 71

6 Conclusies en aanbevelingen ... 72

6.1 Inleiding... 72

6.2 Conclusies en aanbevelingen uit het onderzoek ... 72

6.2.1 Conclusies ... 72

6.2.2 Tegenlicht... 73

6.2.3 Aanbevelingen... 73

6.3 Conclusies over het onderzoek ... 74

6.3.1 Eisen aan Bedrijfskundige kennis ... 74

6.3.2 Bijdrage aan de wetenschap ... 75

6.4 Afsluiting ... 75

Bronnen ... 76

Bijlagen ... 77

Bijlage 1: Organogram Rabobank Groep ... 78

Bijlage 2: 188 Lokale Rabobanken na fusies in 2006 ... 79

Bijlage 3: Organogram Rabobank Borger-Klenckeland ... 80

Bijlage 4: Interviews vooronderzoek ... 82

Bijlage 5: Bronnenontsluiting in detail ... 83

Bijlage 6: Opzet interviews... 87

Bijlage 7: Gehanteerde definities risicosoorten ... 93

Bijlage 8: Voorbeelden beïnvloedende factoren bij events... 94

Bijlage 9: ORM-risicomatrix ... 96

Bijlage 9a: Rabobank Sturingsmodel ... 96

Bijlage 10: Invalshoeken risico-inventarisatie ... 97

Bijlage 11: Primair proces CA Gepland ... 98

Bijlage 12: Primair proces CA Inloop... 99

Bijlage 13: Planningsproces lokale Rabobanken ... 100

Bijlage 14: Doelen uit het segmentplan Particulieren 2007... 101

Bijlage 15: Analyse functieprofielen Particulieren ... 102

1 Onderzoeksopzet

1.1 Inleiding

In dit hoofdstuk wordt eerst de context waarin het onderzoek zich afspeelt geschetst, met daarbij de aanleiding voor dit onderzoek. Vervolgens wordt het vooronderzoek met een probleemhebbers-analyse beschreven en een probleemhebbers-analyse van het handelingsprobleem geschetst.

Daarna worden de probleemstelling, het conceptueel model en de onderzoeksvragen verwoord. Met de theoretische en methodische verantwoording wordt de verdere invulling van de onderzoeksopzet aangegeven. Afsluitend volgt een korte samenvatting waarbij tevens aangegeven wordt wat de verdere opbouw van dit onderzoeksverslag is.

1.2 Context

De Rabobank begon ruim 100 jaar geleden als een verzameling kleine plattelandsbanken, maar is in de afgelopen eeuw door samenwerking uitgegroeid tot een omvangrijke financiële groep. Een brede coöperatieve financiële dienstverlener die - net als de lokale banken van weleer - primair tot doel heeft waarde te scheppen voor haar klanten en hun omgeving.

Nederland telt begin 2006 zo'n 248 lokale Rabobanken. Deze banken zijn allemaal zelfstandige coöperaties met een eigen bestuur. Het werkgebied van de Rabobanken is beperkt tot de eigen directe omgeving. Alle Lokale Rabobanken hebben de krachten gebundeld in een coöperatieve vereniging op aandelen: Rabobank Nederland. Deze aandelen zijn in handen van de leden: de lokale Rabobanken. Rabobank Nederland is de dochter van honderden moeders in plaats van omgekeerd. De lokale Rabobanken zijn ook coöperaties, maar zonder aandelenkapitaal.

Rabobank Nederland ondersteunt en adviseert de lokale Rabobanken, bijvoorbeeld op het gebied van strategie, beleid, marketing, productontwikkeling en informatietechnologie. Rabobank Nederland is de huisbankier, stemt liquiditeitsverschillen van de Rabobanken op elkaar af en doet zo nodig een beroep op de kapitaalmarkt. Namens De Nederlandsche Bank (DNB) houdt Rabobank Nederland toezicht op de plaatselijke Rabobanken.

Daarnaast beschikt Rabobank Nederland over gespecialiseerde dochters, waarmee de Rabobank organisatie invulling kan geven aan haar Allfinanz-strategie (zie bijlage 1).

Sinds 2004 vindt binnen de Rabobank Groep een opschaling van de lokale Rabobanken plaats naar aanleiding van de behandeling van de discussienota “Visie 2005+” en de daar uit voortkomende nota “De nieuwe Rabobank” van begin 2004.

Het bovenstaande heeft er toe geleid dat veel lokale Rabobanken met een kleiner werkgebied zijn gefuseerd met een of meer omliggende lokale Rabobanken om gezamenlijk tot deze “comfortabele marktmaat” te komen. Van de 397 zelfstandige lokale Rabobanken begin 2002 zijn er begin 2006 nog 248 over, waarbij verwacht wordt dat dit na de geplande fusies in 2006 zal uitkomen op 188 (zie bijlage 2).

De aangescherpte eisen t.a.v. de kwaliteit en kwantiteit van bezetting zijn aanleiding geweest voor de lokale Rabobanken Klenckeland en Borger-Odoorn om te fuseren per 1-1-2004. De gefuseerde lokale Rabobank Borger-Klenckeland had op dat moment 115 medewerkers (omgerekend 100 FTE), acht locaties, waaronder twee grotere adviescentra, een marktpenetratie van 63,5% in de particuliere markt en 66,7% in de zakelijke markt, bediende in totaal 13.526 particuliere en 1.316 zakelijke klanten, waarvan 2.475 leden.

te laten bestaan en alleen de ondersteunende afdeling Bedrijfsvoering daadwerkelijk te laten fuseren. De manager Bedrijfsvoering van Borger-Odoorn was al waarnemend manager bij de afdeling

Bedrijfsvoering van Klenckeland. Omdat daarnaast de directeur van Borger-Odoorn zijn carrière door ziekte moest opgeven en de directeur van Klenckeland als waarnemend directeur al was aangesteld bij Borger-Odoorn, had de fusie voor de directeur en het managementteam, door het vormen van de BU’s geen consequenties. Het organogram met BU’s is opgenomen in bijlage 3-A. De opdracht voor het managementteam (en de medewerkers) was om bij het certificeringsonderzoek door de Auditgroep Rabobank Groep (ARG) in juni 2004 te voldoen aan de hogere eisen die in het kader van Visie 2005+ aan de lokale Rabobanken worden gesteld. Afhankelijk van de rating van de ARG krijgt de lokale Rabobank een hogere of lagere zelfstandige bevoegdheid t.a.v. financieringen. In oktober 2004 werd een certificeringsonderzoek door de Auditgroep gehouden waarbij particuliere kredietverlening, zakelijke kredietverlening, zakelijk kredietbeheer, treasurydienstverlening en de effectendienstverlening als voldoende zijn gekwalificeerd, maar waarbij het onderdeel

Bankmanagement als onvoldoende werd gekwalificeerd. Dit heeft geresulteerd in een lager dan gewenste zelfstandige bevoegdheid van de lokale Rabobank en extra toezicht vanuit Rabobank Nederland.

De voornaamste reden voor de onvoldoende voor Bankmanagement was de verzwaring van de norm die de Auditgroep hanteert voor Management Control (met name het onderdeel Risicomanagement) en het nog niet aanpassen van de organisatie daarop. Vanuit regelgeving (Bazel-II akkoorden, Regeling Organisatie en Beheersing, Commissie Tabaksblad) worden meer eisen gesteld aan risicomanagement. Met name het operationeel risicomanagement was zwaarder aangezet door de ambitie om als Rabobank Groep te voldoen aan normen hoger dan het Bazel-II ambitieniveau Standardized Approach, het zogenaamde Rabobank Standardised Plus (RN-ORT; 2003).

Naar aanleiding van de bevindingen van de Auditgroep is zwaar ingestoken op risicomanagement en procesmanagement, waarbij de nadruk op interne controles en interne audits lag. Doel hiervan was het vergroten van het inzicht in de kwaliteit van uitvoering van processen, ten behoeve van een “in control” verklaring door het management.

benoeming van een externe kandidaat als Verkoopleider Particulieren ad interim, die direct leiding zal geven aan de adviseurs, dus zonder Teamleider Advies. Per april 2007 stopte de tijdelijke invulling van de Teamleider Binnendienst, waardoor de Verkoopleider Particulieren a.i. geheel CA Gepland aanstuurde en daarnaast alleen nog de Teamleider CA Inloop als leidinggevende tot zijn beschikking had.

In maart 2007 is een nieuw formatieplan vastgesteld, waarin qua leidinggevende posities bij Particulieren bijna dezelfde situatie wordt voorgestaan als in het organogram bijlage 3-B, met een uitzondering van de directe aansturing van het team Private Banking door de Manager Particulieren (zie bijlage 3-D).

1.3 Aanleiding

In oktober 2005 is opnieuw een certificeringsonderzoek door de Auditgroep Rabobank Groep gehouden. Alle onderdelen hebben een voldoende gekregen, ook het onderdeel Bankmanagement. Wel zijn nog de nodige verbeterpunten geconstateerd. Wederom zijn de eisen aan operationeel risicomanagement verhoogd, de Raad van Bestuur van de Rabobank Groep heeft uitgesproken dat zij de ambitie verhoogt naar het hoogste ambitieniveau in het Bazel-II akkoord: de Advanced

Measurement Approach (RN-GRM; 2005).

Dit betekent concreet dat de verliezen, voortvloeiend uit operationele fouten, moeten worden

geregistreerd volgens door DNB goedgekeurde methoden. De historie van deze verliescijfers bepaalt mede de door de Rabobank Groep aan te houden financiële buffer, het zogenaamde

solvabiliteitsbeslag, hetgeen van grote invloed is op de rentabiliteit.

Het managen van operationele risico’s is daarmee verworden tot een concurrentiewapen en is van groot belang voor de rentabiliteit, ook voor een lokale Rabobank. In directe zin om afboekingen tegen te gaan, en indirect om het solvabiliteitsbeslag van de gehele Rabobank Groep zo laag mogelijk te houden.

Intern leeft het idee bij de Algemeen Directeur en de Manager Risicomanagement & Control (RMC) dat de verbeterpunten voldoende in beeld zijn, maar dat te vaak geconstateerd wordt dat de gewenste verbeteringen nog niet gerealiseerd zijn.

Voorbeeld hiervan is het niet voldoen aan regelgeving op het gebied van identificatie. Dit wordt per kwartaal getoetst en al langere tijd wordt dit gekwalificeerd als onvoldoende. Een ander voorbeeld is het vastleggen van de adviezen bij financieringsaanvragen. Al meerdere jaren is gesteld in zowel interne als externe audits dat toelichtingen niet altijd toereikende informatie bevatten, waardoor onvoldoende duidelijk wordt waarom de adviseur de financiering verantwoord acht.

Van de PDCA-cyclus, die binnen de organisatie veel als denkkader wordt gebruikt, worden de Plan-, Do- en Check-fase wel, maar de Act-fase volgens de manager RMC niet effectief genoeg ingevuld. Om werkelijk “in control” te zijn zullen op termijn de verbeterpunten gerealiseerd moeten worden en mag de Check-fase niet steeds tot dezelfde constateringen leiden. Daarom zijn zij benieuwd naar de reden voor het uitblijven van de verbeteringen en het bij herhaling constateren van dezelfde

verbeterpunten.

1.4 Vooronderzoek

1.4.1 Probleemhebbersanalyse

1 probleemmakers

De managers, de directeur en de beheerscolleges zijn bij machte om een probleem op de

organisatorische agenda te plaatsen. De Controllers in mindere mate ook, maar dan meestal via de manager van hun afdeling. In dit geval is het de manager RMC die het “probleem” signaleert, van prioriteit voorziet en op de agenda zet.

2 probleemsponsors:

De personen zonder wie geen ‘draagvlak’ voor het probleem bestaat en het probleem van de agenda verdwijnt zijn de probleemsponsoren, in dit geval de Manager Risicomanagement & Control en de directeur.

3 probleembezitters

De personen die het eigendomsrecht van een probleem krijgen, vrijwillig of verplicht. Door het probleem te labelen als een “risicomanagementprobleem”, ontstaat het gevaar dat alleen de

stafafdeling Risicomanagement & Control als probleembezitter wordt gezien. Door het probleem te beschouwen als een “besturingsprobleem”, wordt duidelijk dat de managers en Teamleiders bezitter zijn van het functionele probleem dat de operationele fouten binnen de processen waar zij

verantwoordelijk voor zijn, (blijvend) worden gemaakt en waardoor operationele risico’s zich kunnen manifesteren.

4 probleemoplossers

De onderzoeker die (binnen dit onderzoek) concreet wat met het probleem moet doen

(adviseren, onderzoeken), is als Controller Particulieren werkzaam bij de lokale Rabobank Borger-Klenckeland.

5 probleembetrokkenen

De personen waarover het probleem gaat, of die de ‘oorzaak’ van het probleem zijn. Dit zijn aan de ene kant de medewerkers die de operationele fouten maken waardoor operationele risico’s zich kunnen manifesteren, en aan de andere kant de managers die verantwoordelijk zijn voor de aansturing van deze medewerkers en de beheersing van de processen.

Uit de interviews met de managers en Teamleiders (zie bijlage 4) kwam naar voren dat het met name gaat om verbeterpunten die gerelateerd zijn aan operationele fouten, waarbij de kans bestaat dat deze leiden tot operationele verliezen. Bijvoorbeeld gebrekkige identificatie, waardoor een externe fraude tot financiële schade kan leiden. Of bijvoorbeeld onjuiste inkomensbepaling bij een

financieringsaanvraag, waardoor een betalingsprobleem tot financiële schade kan leiden of zelfs imagoschade of boetes van de Autoriteit Financiële Markten (AFM) wegens onvoldoende invulling van de zorgplicht.

Hierbij werd door de geïnterviewden aangegeven dat men denkt dat niet alle operationele risico’s in beeld zijn en dat het risicobewustzijn t.a.v. operationele risico’s onvoldoende is. Het wordt meer als “regeltjesbewustzijn” dan als risicobewustzijn gezien. Een van de geïnterviewden stelde: “We zijn onbewust onbekwaam en daardoor ook onbewust risiconemend”. Een ander noemde het volgende: “Risicobewustzijn is meer opgelegd aan de hand van processen, het doel en de achtergrond is niet bekend. Bijvoorbeeld het waarmerken1 van kopie legitimatiebewijzen die via de post zijn ontvangen. Er wordt een stempel opgezet, want dat moet. Het waarom vraagt men zich niet af”.

De manager Bedrijven vormt een uitzondering, hij gaf aan dat alle operationele risico’s wel in beeld zijn en het risicobewustzijn voldoende is. Omdat beide managers Particulieren aangaven het

probleem wel te herkennen richt dit vooronderzoek zich verder specifiek op het segment Particulieren.

groei”. De oorzaak werd deels gezocht in de aansturing: “te veel operationele taken bij de Manager Particulieren, coaching niet optimaal doordat de ‘span-of-control’ te groot is”.

Daarnaast bestaat het idee dat medewerkers geconstateerde verbeterpunten als niet belangrijk en lastig ervaren. Daarbij wordt gesteld dat de controles en gestelde verbeterpunten door medewerkers worden ervaren als onderdelen van een “afrekencultuur”. Twee geïnterviewden gaven aan te denken dat zelfs sprake is van een “angstcultuur”. Voornamelijk op het gebied van regelgeving en het werken volgens interne procedures wordt gesteld dat de balans risicomanagement – commercie te veel doorslaat naar risicomanagement. Een geïnterviewde gaf aan: “Er is maar een doel: ‘in

control’, af en toe krijgt de klant volkomen aandacht en dan weer ad hoc, intern gericht. Er is sprake van een twee-sporen beleid”.

1.4.2 Analyse van het vooronderzoek

Samen met de managers, de Teamleider Kredietrisicomanagement (KRM) en de collega Controller is een analyse van het handelingsprobleem gemaakt. De volgende afbeelding geeft deze ruwe schets van de probleemkluwen grafisch weer (figuur 1).

Veranderende Regelgeving DNB/BAZEL Wijziging product of formule RN Veranderende eisen stakeholders Veranderingen organisatie/ Product en dus nieuw of gewijzigde proces/werkwijze Operationele risico’s onbekend Risicobewustzijn onvoldoende Operationele fouten Operationele risico’s

onderbelicht Niet structureel

leren van fouten,

maar ad-hoc achteraf oplossen Operationeel risico-mngmt betrekkelijk nieuw Niet goed geïmplementeerd Kwaliteit van medewerkers Inwerken van medewerkers Aanstellen van medewerkers Risicohouding onvoldoende Afrekencultuur ipv aanspreekcultuur

figuur 1: analyse handelingsprobleem

De uitkomst van dit vooronderzoek is een ordening van de probleemkluwen, waaruit blijkt wat door de probleemhebbers als probleem wordt gezien en welke factoren volgens hen dit probleem

beïnvloeden. In de volgende paragraaf is op basis van dit vooronderzoek de probleemstelling voor dit onderzoek uitgewerkt.

Omdat de manager Bedrijven het probleem niet onderkent, de beide managers Particulieren wel en de onderzoeker als Controller Particulieren is opgesteld, richt de probleemstelling zich op het segment Particulieren.

1.5 Probleemstelling

1.5.1 Doelstelling

In een doelstelling wordt vastgelegd wat er in het onderzoek wordt gedaan en voor wie dat wordt gedaan, wat daar waarschijnlijk uitkomt en waarom dat relevant is (Jonker en Pennink, 2000: 11).

Doel van dit onderzoek is het leveren van een bijdrage aan het verbeteren van de inrichting en werking van het Operationeel Risicomanagementsysteem bij de afdeling Particulieren van Rabobank

Borger-Klenckeland, zodanig dat de beheersing van de operationele risico’s wordt verbeterd.

1.5.2 Vraagstelling

In de vraagstelling wordt de hoofdvraag die aansluit bij de doelstelling van het onderzoek vastgelegd in voor onderzoek toegankelijke woorden (Jonker en Pennink, 2000: 11). De vraagstelling luidt als volgt:

Welke aanpassingen in de inrichting en werking van het Operationeel Risicomanagementsysteem bij de afdeling Particulieren van Rabobank Borger-Klenckeland zijn noodzakelijk om bij

herhaling geconstateerde, operationele fouten, die leiden tot operationele risico’s, te voorkomen?

In de volgende paragrafen is met behulp van een conceptueel model de gekozen centrale vraagstelling vertaald naar onderzoeksvragen.

1.5.3 Randvoorwaarden

De randvoorwaarden geven beperkingen respectievelijk eisen waaraan een onderzoek respectievelijk de onderzoeksresultaten – en in het verlengde daarvan te gebruiken methoden en technieken – onderhevig zijn (Jonker en Pennink, 2000: 12).

De volgende randvoorwaarden zijn bij dit onderzoek gesteld: - voldoen aan wet- en regelgeving DNB en Bazel;

- zoveel mogelijk aansluiten bij door Rabobank Nederland aangeleverde systemen; - voldoen aan eisen afstudeerscriptie Verkort Doctoraal Bedrijfskunde;

- gereed voor 31 augustus 2007 in verband met einde afstudeerperiode.

1.6 Conceptueel model

In het conceptueel model wordt de WAT-vraag (Wat wordt onderzocht?) beantwoord. Het

conceptueel model geeft een voorlopig antwoord op de eerder geformuleerde vraagstelling. Het heeft betrekking op de onderzoekseenheden, de eigenschappen van onderzoekseenheden en de relatie tussen eigenschappen van onderzoekseenheden (Braster, 2000: 10).

Bij de vorming van het conceptueel model zijn inhoudelijke hulpmiddelen gebruikt. Er is uitgegaan van theorieën en conceptuele modellen van algemene aard, die tezamen een op maat gemaakt conceptueel model voor dit onderzoek vormen (De Leeuw, 2003: 144). Uitgangspunt is de

Beleid Processen / Mensen Cultuur Structuur ORM- systeem Operationele Risico’s Input Output Interne Omgeving

Rabo Borger-Klenckeland: Particulieren

Externe Omgeving

figuur 2: conceptueel model

Het conceptueel model in figuur 2 geeft aan dat bij het onderzoek gekeken wordt naar de wijze waarop het Operationeel Risicomanagementsysteem (ORM-systeem), in samenhang met de driehoek beleid-structuur-cultuur, onder invloed van de omgeving, de processen en mensen bestuurt met als doel het beheersen van de operationele risico’s.

Het ORM-systeem binnen de afdeling Particulieren is het centrale onderzoeksobject. Net zoals een Management Control systeem er op gericht is het gedrag van mensen zodanig te beïnvloeden dat dit leidt tot het halen van de doelen uit het beleid, zal het ORM-systeem het risicogedrag van mensen moeten beïnvloeden. En wel zodanig dat operationele risico’s geen bedreiging vormen voor het behalen van de doelen uit het beleid. Het beleid is daarmee van invloed op de werking en inrichting van het ORM-systeem.

De organisatiestructuur heeft te maken met zaken als verantwoordelijkheden, taakverdeling en de wijze van coördinatie. Spanningsvelden tussen de opzet van de organisatiestructuur en de inrichting van het ORM-systeem worden beoordeeld op hun invloed op de werking van het ORM-systeem. De organisatiecultuur, de “zachte” kant van de organisatie, wordt als sterk bepalend voor het gedrag van de mensen binnen de organisatie beschouwd. Spanningsvelden tussen de cultuur en het doel en de inrichting van het ORM-systeem hebben invloed op de werking van het ORM-systeem. Hieronder valt bijvoorbeeld de mate waarin het maken van fouten wordt getolereerd.

Procesmanagement, dat is gericht op het besturen van de processen en mensen, is een belangrijk aspect binnen het ORM-systeem.

De omgeving van de gehele organisatie wordt als externe omgeving gezien. Daarin worden de klanten, de concurrentie en RN als facilitator en als toezichthouder op de naleving van de wet- en regelgeving onderscheiden.

Het gekozen conceptueel model komt op verschillende manieren terug in diverse vormen van het Raamwerk Operationeel Risicomanagement, bijvoorbeeld in die van Haubenstock (Alexander, 2003: 243). Daarnaast blijkt uit een onderzoek van PriceWaterhouseCoopers en de Rijksuniversiteit

Groningen dat 77% van de door hun ondervraagde organisaties het risicomanagement geheel of gedeeltelijk in de planning-&controlcyclus heeft geïntegreerd (Freriksen, 2005: 36).

1.7 Onderzoeksvragen

De onderzoeksvragen zijn afgeleid van de centrale vraagstelling met behulp van de Ondersteunende Kennissoorten, zoals die door Verschuren en Doorewaard (2000: 78) worden onderscheiden. Daarbij is rekening gehouden met de stelregel dat de mate van complexiteit van de ondersteunende

onderzoeksvragen lager moet zijn dan die van de bovenliggende deelvraag of centrale vraag. beschrijvende kennis

1. Hoe ziet de huidige invulling van het ORM-systeem bij de afdeling Particulieren van Rabobank Borger-Klenckeland er uit?

1.1 Hoe ziet het huidige ORM-systeem er uit?

1.2 Hoe werkt het ORM-systeem door in het procesmanagement? 1.3 Welke ontwikkelingen in de omgeving bepalen het systeem?

1.4 Hoe ziet het beleid, de organisatiestructuur en de organisatiecultuur van de afdeling Particulieren bij Rabobank Borger-Klenckeland er uit?

analytische kennis

2. Welke knelpunten spelen in het huidige ORM-systeem van de afdeling Particulieren bij Rabobank Borger-Klenckeland en wat is de oorzaak?

2.1 Welke knelpunten spelen er?

2.2 In welke mate ligt dit aan de inrichting van het ORM-systeem? 2.3 In welke mate ligt dit aan de besturing van de processen?

2.4 In welke mate ligt dit aan het beleid, de organisatiestructuur en de organisatiecultuur? prescriptieve kennis

3. Welke aanpassingen in de inrichting en werking van het ORM-systeem van de afdeling Particulieren bij Rabobank Borger-Klenckeland zijn noodzakelijk om bij herhaling geconstateerde fouten te voorkomen?

3.1 Welke aanpassingen in de inrichting van het ORM-systeem zijn noodzakelijk? 3.2 Wat moet er veranderen in de werking van het ORM-systeem?

3.3 Wat zijn belangrijke aandachtspunten bij het doorvoeren van de veranderingen?

1.8 Theoretische verantwoording

Kernbegrip Theoretisch kader Beheersing/besturing Management control

Strategisch management Organisatiestructuur Organisatiecultuur Risicomanagement / Operationeel risico Risicomanagement

Operationele fouten Procesmanagement

Tabel 1: Kernbegrippen

Omdat de betekenisverlening aan de kernbegrippen volgens Verschuren en Doorewaard van invloed is op de soort kennis die in het onderzoek wordt geproduceerd, het conceptuele ontwerp en het soort materiaal dat moet worden verzameld, is bij elk kernbegrip een zogenaamde stipulatieve definitie weergegeven (2000: 95). Bij elke definitie wordt ingegaan op de bruikbaarheid door te kijken naar:

- de afbakening van een begrip tot haalbare proporties;

- de aansluiting bij de doel- en vraagstelling van het onderzoek; en

- duidelijkheid over de vraag welke waarneembare zaken in de werkelijkheid onder de definitie vallen.

definitie besturing

In dit onderzoek staat het begrip besturing voor het gericht beïnvloeden van de mensen en processen.

Deze definitie is gebaseerd op de definitie van De Leeuw (2000: 14), die daarbij stelt dat zowel beslissing als beheersing onderdeel zijn van besturing. Dit in tegenstelling tot de definitie van beheersing zoals Hardjono en Bakker die onderscheiden naast besturing (2001: 158). De beheersing van Hardjono en Bakker is gericht op de borging en naleving van processen en de besturing is gericht op het verbeteren van het proces teneinde de organisatiedoelen te behalen.

Het proces met behulp waarvan managers andere leden van de organisatie (proberen te) beïnvloeden ten einde de strategie van de organisatie uit de voeren wordt Management control genoemd

(Anthony en Govindarajan, 2001: 6). In het opleidingstraject is de theorie van Anthony en Govindarajan aangereikt. Daarnaast is gebruik gemaakt van artikelen van Simons en door Bergervoet aangereikt lesmateriaal.

In het door Anthony en Govindarajan aangegeven raamwerk (2001: 8) en het door Bergervoet aangereikte management-control proces hangt Management control sterk samen met de Strategie, de Organisatiestructuur en de Organisatiecultuur. Dit zijn de algemene theorieën die in samenhang met de functionele theorieën het conceptueel model vormen.

- Voor Strategisch management worden de theorieën van Mintzberg ( 2001) gebruikt omdat deze een overzicht geeft van verschillende benaderingen in het denken over strategie en bij elk van deze benaderingen ingaat op de relatie met de omgeving en de organisatiestructuur.

- Voor Organisatiestructuur worden de theorieën van Mintzberg (2000) gebruikt omdat deze ingaat op de relatie van de structuur met de omgeving en de cultuur en de spanningsvelden die ontstaan bij combinaties met bepaalde structuurparameters.

definitie risicomanagement

In dit onderzoek staat het begrip risicomanagement voor een systematisch en regelmatig onderzoek naar de risico's die mensen, materiële en immateriële belangen en activiteiten bedreigen, en de formulering en implementering van een geïntegreerd beleid met betrekking tot risicoreductie,

risico-overdracht en risicofinanciering.

Bij deze definitie van risicomanagement volgens Claes (2004: 14) wordt geen onderscheid gemaakt naar soorten risico’s. In wezen gaat het om een algemene manier van omgaan met risico’s, waarbij in dit onderzoek specifiek wordt gekeken naar de operationele risico’s.

In de literatuur wordt een onderscheid gemaakt tussen kwalitatief en kwantitatief operationeel risicomanagement. Het kwantitatief risicomanagement richt zich op het berekenen van de kans dat een bepaald operationeel risico zich voordoet met behulp van vastgelegde gegevens over

operationele verliezen. Voor de bepaling van het solvabiliteitsbeslag volgens het Bazel-II akkoord, zijn deze berekeningen noodzakelijk, maar gelden voor de gehele Rabo Groep en vinden plaats bij een gespecialiseerde afdeling bij Rabobank Nederland.

Dit onderzoek richt zich op het kwalitatief operationeel risicomanagement, dat zich richt op het beheersen van operationele risico’s.

definitie operationeel risico

In dit onderzoek staat het begrip operationeel risico voor het risico van de directe

(of indirecte) verliezen veroorzaakt door ontoereikende of falende mensen, onvoldoende beheer op processen en externe gebeurtenissen.

Dit naar de definitie van Robert Morris Associates (Alexander, 2003: 243):

Het risico van de directe (of indirecte) verliezen veroorzaakt door ontoereikende of falende mensen, systemen en processen of door externe gebeurtenissen.

De definitie die in de Bazel-II akkoorden wordt gehanteerd (BCBS, 2003: 2) is daarop gebaseerd, maar daarbij zijn de indirecte verliezen om reden van de kwantificeerbaarheid weggelaten. Voor intern gebruik moeten indirecte verliezen als service, reputatie en “business interruption” wel meegenomen worden. Dit wordt specifiek genoemd in de ROB, die tot 2007 als eis voor de beheersomgeving van financiële instellingen gold (DNB, 2004: art 4201) en waarvan de principes zijn overgenomen in de Wet op het Financieel Toezicht (WFT).

De definitie spreekt van ontoereikende of falende systemen. Rabobank Nederland bepaalt en beheert deze systemen. De werking (of het niet werken) van de systemen valt daarmee buiten de

beïnvloedingsfeer van Rabobank Borger-Klenckeland, het gebruik van systemen weer wel. Daarnaast noemt de definitie ontoereikende processen. Aangezien Rabobank Nederland de meest kritische processen voorschrijft middels dwingende richtlijnen, valt ook de kwaliteit van de processen buiten de directe beïnvloedingsfeer van de lokale bank.

-definitie operationele fout

In dit onderzoek staat het begrip operationele fout voor non-conformiteit aan de voorschreven werkwijze op operationeel niveau, die leidt tot een materieel operationeel risico.

Dit is ontleend aan theorieën over procesmanagement op het gebied van procesbeheersing en kwaliteitsbeheersing. Vanuit de procesbeheersing gaat het erom de uitkomsten binnen de regelgrenzen te doen blijven (Hardjono en Bakker, 2001: 192), waarbij gekeken wordt naar de afwijking van de norm. Kwaliteitsbeheersing, volgens de definitie van Juran, zorgt voor een voortdurende controle van gegevens over het proces en vergelijkt deze met gedefinieerde normen. Interne audits als instrument van kwaliteitsborging hebben als primair doel de conformiteit vaststellen; de mate waarin de uitvoering van werkzaamheden overeenkomt met de binnen de organisatie overeengekomen werkwijze (Hardjono en Bakker, 2001: 196).

Een operationeel risico kan echter ook ontstaan doordat de voorgeschreven werkwijze onjuist is, of zelfs ontbreekt. Om die reden wordt gewezen op het belang van het toetsen op de effectiviteit en op de aanwezigheid van voorgeschreven werkwijzen binnen operationeel risicomanagement.

Vanuit het vooronderzoek en de theorie over procesbeheersing wordt een operationele fout in dit onderzoek gezien als non-conformiteit aan de voorgeschreven werkwijze op operationeel niveau. De definitie is uitgebreid met de tekst “die leidt tot een materieel operationeel risico” om te voorkomen dat onnodig energie wordt gestoken in operationele fouten waarvan de ernst gering is; immers: “waar gehakt wordt vallen spaanders”. De ernst van een operationele fout wordt bepaald door te kijken naar de kans dat een risico zich door die fout manifesteert en de impact van dat risico. Als voorbeeld het niet uitvoeren van een BKR-toetsing2 bij het verstrekken van een hypotheek, waardoor onduidelijk is of de klant financieringen elders heeft. De kans dat een klant consumptieve financieringen heeft neemt toe, steeds meer klanten hebben een consumptieve financiering. De impact van een dergelijke fout is groot. Enerzijds kan de klant door te hoge financieringslasten in betalingsproblemen komen en zich dan wellicht beroepen op het feit dat hij onjuist is geadviseerd. Anderzijds kan de BKR-toetsing wijzen op betalingsproblemen in het verleden, die van belang zijn bij het beoordelen van de financieringsaanvraag. Daarnaast kan het niet uitvoeren van een BKR-toetsing, indien het meer dan een incident betreft, leiden tot sancties van de AFM voor het niet naleven van de WfD op het gebied van de zorgplicht.

Procesmanagement wordt vanuit de visie van Hardjono en Bakker (2001) nader beschouwd. Hardjono en Bakker omdat zij ingaan op procesmanagement en de combinatie met risico’s en besturen en beheersen.

1.9 Methodische verantwoording

In deze paragraaf wordt ingegaan op het soort onderzoek, de systeemgrens, de onderzoeksobjecten en de typen dataverzameling die vervolgens gehanteerd worden.

soort onderzoek

Volgens de indeling van De Leeuw betreft het een vorm van praktijkonderzoek die wordt aangeduid als beleidsondersteunend onderzoek (2003: 76). Als onderzoekmethode wordt bureauonderzoek en veldonderzoek gehanteerd.

2_{Het raadplegen van het BKR-register om na te gaan hoeveel schulden een potentiële klant elders heeft en of daarbij}

systeemgrens

Nadere begrenzing is de afdeling Particulieren. Dit omdat de manager Bedrijven aangeeft het probleem niet te herkennen en de managers Particulieren wel, omdat de onderzoeker is aangesteld als Controller Particulieren, en in verband met de beschikbare tijd.

onderzoeksobject

Het onderzoeksobject is het Operationeel Risicomanagementsysteem zoals dat bij de afdeling Particulieren van Rabobank Borger-Klenckeland is ingericht.

onderzoeksoptiek

De onderzoeksoptiek is de zoekrichting waarin naar de oorzaken en daarna de verbetering wordt gezocht (Verschuren en Doorewaard, 2000: 53). De onderzoeksoptiek werd in de vorige paragraaf uitgewerkt.

onderzoeksmateriaal

Bij het onderzoekstechnisch ontwerp gaat het om het bepalen van de soorten informatie die voor het onderzoek van belang zijn en waar deze informatie vandaan moet komen. Hieronder worden de objecten van onderzoek en bronnen van informatie en wijze van ontsluiting van informatie per deelvraag weergegeven. In bijlage 5 is de bronvermelding in detail opgenomen en in bijlage 6 staat de opzet van de gehouden interviews.

beschrijvende kennis

1. Hoe ziet de huidige invulling van het ORM-systeem bij de afdeling Particulieren van Rabobank Borger-Klenckeland er uit?

1.1 Hoe ziet het huidige ORM-systeem er uit?

1.2 Hoe werkt het ORM-systeem door in het procesmanagement? 1.3 Welke ontwikkelingen in de omgeving bepalen het systeem?

1.4 Hoe ziet het beleid, de organisatiestructuur en de organisatiecultuur van de afdeling Particulieren bij Rabobank Borger-Klenckeland er uit?

Object Informatiebron Wijze van ontsluiting

Object Informatiebron Wijze van ontsluiting Processen Documenten - beleidsplannen - externe audit - inrichtingsadviezen RN - interne verslagen - procesbeschrijvingen Personen - manager Particulieren - verkoopleider Particulieren ai - Teamleider CA Inloop - medewerkers CA - medewerker procesondersteuning - medewerker Control Inhoudsanalyse Interview Omgeving Documenten - beleidsplannen - externe artikelen - interne nieuwsbrief Inhoudsanalyse Beleid Documenten - beleidsplannen - gedragscodes - inrichtingsadviezen RN - interne nota’s Personen - manager Particulieren - verkoopleider Particulieren ai - Teamleider CA Inloop - medewerkers CA Inhoudsanalyse Interview Organisatiestructuur Documenten - beleidsplannen - bevoegdhedenregeling - functieprofielen - interne nota’s Personen - manager Particulieren - verkoopleider Particulieren ai - Teamleider CA Inloop - medewerkers CA Inhoudsanalyse Interview Organisatiecultuur Documenten - beleidsplannen - inrichtingsadviezen RN - inrichtingseisen RN - interne nota’s Personen - verkoopleider Particulieren ai - Teamleider CA Inloop - Teamleider CA Gepland - medewerkers CA Personen - verkoopleider Particulieren ai - Teamleider CA Inloop - medewerkers CA Inhoudsanalyse Enquête Interview

analytische kennis

2 Welke knelpunten spelen in het huidige ORM-systeem van de afdeling Particulieren bij Rabobank Borger-Klenckeland en wat is de oorzaak?

2.1 Welke knelpunten spelen er?

2.2 In welke mate ligt dit aan de inrichting van het ORM-systeem? 2.3 In welke mate ligt dit aan de besturing van de processen?

2.4 In welke mate ligt dit aan het beleid, de organisatiestructuur en de organisatiecultuur?

Object Informatiebron Wijze van ontsluiting

Analyse Documenten - H2 theoretisch kader - H3 beschrijving Personen - Manager Particulieren - Manager RMC Inhoudsanalyse Interview

Tabel 3: wijze van ontsluiting bronnen bij deelvraag 2 prescriptieve kennis

3. Welke aanpassingen in de inrichting en werking van het ORM-systeem van de afdeling Particulieren bij Rabobank Borger-Klenckeland zijn noodzakelijk om bij herhaling geconstateerde fouten te voorkomen?

3.1 Welke aanpassingen in de inrichting van het ORM-systeem zijn noodzakelijk? 3.2 Wat moet er veranderen in de werking van het ORM-systeem?

3.3 Wat zijn belangrijke aandachtspunten bij het doorvoeren van de veranderingen?

Object Informatiebron Wijze van ontsluiting

Conclusie en aanbevelingen Personen - Manager Particulieren - Manager RMC Interview

Tabel 4: wijze van ontsluiting bronnen bij deelvraag 3

1.10 Resumé

In dit hoofdstuk is de aanleiding voor het probleem geschetst, de probleemhebbersanalyse

beschreven en de probleemstelling geformuleerd. Als voorlopig antwoord op de probleemstelling is het conceptueel model weergegeven, met daarin het ORM-systeem in samenhang met

procesmanagement, de omgeving en de driehoek beleid-structuur-cultuur.

Het conceptueel model is daarna verder uitgewerkt in de onderzoeksvragen. Bij de theoretische verantwoording zijn middels kernbegrippen de theoretische kaders vastgesteld en zijn stipulatieve definities geformuleerd. Aansluitend is de methodische verantwoording geformuleerd met daarin onder andere aandacht voor de ontsluiting van de bronnen..

2 Theoretisch Kader

2.1 Inleiding

In dit hoofdstuk wordt de onderzoeksoptiek, oftewel de bril waarmee naar de werkelijkheid wordt gekeken, verder uitgewerkt. Het gaat daarbij om het beschrijven van de relevante aspecten voor het beoordelen van de werking en inrichting van het ORM-systeem.

De opbouw van dit hoofdstuk is als volgt: eerst wordt ingegaan op het ORM-systeem, daarna op procesmanagement, vervolgens op de omgeving en aansluitend op de samenhang van het ORM-systeem met strategisch management, organisatiestructuur en organisatiecultuur.

2.2 ORM-systeem

Met behulp van theorieën over risicomanagement en met name operationeel risicomanagement wordt aangeven hoe een ORM-systeem er uit ziet. Eerst wordt ingegaan op het begrip risico en daarna specifiek op operationeel risico, vervolgens op het Raamwerk Operationeel

Risicomanagement.

2.2.1 Risico

Er bestaan veel verschillende definities van risico. Veel definities gaan er van uit dat er alleen kans op verlies is. Deze uitleg wordt gezien als het statisch risico, ook wel zuiver of natuurlijk risico genoemd. Claes definieert het statisch risico als onzekerheid over een mogelijk negatief effect (2004: 44). Naast het statisch risico wordt het speculatief risico onderscheiden, waarbij zowel kans op winst als verlies is. Dit wordt ook wel dynamisch risico of ondernemersrisico genoemd. Claes definieert het speculatief risico als onzekerheid over een mogelijk positief of negatief effect (2004: 42).

Die onzekerheid zien we ook terug bij andere definities zoals die van Carter risico is de mate van variatie in de mogelijke effecten van een onzekere gebeurtenis (Claes, 2004: 39) en die van Holton risk is exposure to a proposition of which one is uncertain (Claes, 2004: 22). Schellekens stelt hierover dat risico in feite een conceptueel begrip is. Het concept van risico helpt om te gaan met de gevolgen van het niet in staat zijn de toekomst met zekerheid te voorspellen (2002: 15).

2.2.2 Operationeel risico

Het ORM-systeem is een aspectsysteem van het Risicomanagementsysteem dat zich richt op de operationele risico’s. Omdat banken volgens de Bazel-II akkoorden een verplicht vermogensbeslag voor operationele risico’s aan moeten houden geniet ORM binnen de financiële wereld grote belangstelling.

Na een brede discussie binnen de Europese financiële wereld, onder regie van de Basel Committee voor Banking Supervision (BCBS), is een definitie van operationeel risico vastgesteld. Zoals in paragraaf 1.8 is verwoord, worden alleen bepaalde aspecten van deze definitie voor een lokale Rabobank van toepassing geacht. Om die reden geldt binnen dit onderzoek de volgende definitie van operationeel risico: het risico van de directe (of indirecte) verliezen veroorzaakt door

ontoereikende of falende mensen, onvoldoende beheer op processen en externe gebeurtenissen.

2.2.3 Raamwerk Operationeel Risicomanagement

De meest geavanceerde methode voor het bepalen van het vermogensbeslag is de Advanced Measurement Approach (AMA), die naar verwachting zal leiden tot een lager vermogensbeslag. Om in aanmerking te komen voor dat lager vermogensbeslag, moet een financiële instelling voldoen aan tien kwalitatieve principes (BCBS, 2003: 4).

Haubenstock heeft een ORM-raamwerk opgezet waarbij deze tien principes worden geïntegreerd in het managementproces van een bank (Alexander, 2004: 243). Het ORM-raamwerk bevat vier componenten: strategy, process, infrastructure en environment (zie figuur 3).

Bij de component strategy worden doelen, het governance model en het beleid voor ORM

onderscheiden. De doelen en het beleid voor ORM uit deze component zijn de link tussen het ORM-systeem en het beleid in het conceptueel model (zie paragraaf 2.5.1). Het governance model bevat de rollen, bevoegdheden en verantwoordelijkheden voor ORM en is de link tussen het ORM-systeem en de organisatiestructuur in het conceptueel model (zie paragraaf 2.5.2).

De component environment bestaat primair uit de risicocultuur. Dit hangt samen met de organisatiecultuur in het conceptueel model (zie paragraaf 2.5.3).

De component process betreft het ORM-proces dat in de rest van deze paragraaf wordt behandeld. De component infrastructure gaat in op de hulpmiddelen die gebruikt worden om de besluitvorming binnen ORM te ondersteunen zoals bijvoorbeeld: systemen, data, methoden, principes en

procedures. Daar waar nodig worden deze hierna nader benoemd.

Environment Process Risk Identification Validation/ Reassessment Strategy Infrastructure Control Framework Assessment Monitoring and Measurement Reporting Policy Governance model Objectives

figuur 3: Raamwerk Operationeel Risicomanagement (Alexander, 2004: 243)

1. Risk identification

Om operationele risico’s beter te kunnen beheersen is het noodzakelijk om een duidelijk onderscheid tussen verschillende categorieën van operationele risico’s te maken. Veel financiële instituties

houden de indeling van Bazel volgens events aan (zie tabel 5).

Cause Event Effect

Slecht sleutelbeheer Interne fraude Verlies door interne diefstal

Onvoldoende check op legitimatie

Externe fraude Vervalsing met cheques

Slecht arbo-beleid Arbeidsomstandigheid en veiligheid op de werkplek

Claim medewerkers Inadequaat advies Cliënten, producten en ondernemerschap Claim klanten

Vandalisme Schade aan materiële activa Herstelkosten

Stroomuitval Bedrijfsverstoring en systeemuitval Claim klanten i.v.m. niet tijdige uitvoering transacties

Administratieve fout Uitvoering, overdracht en procesmanagement Claim klanten i.v.m. onjuiste uitvoering transacties

Tabel 5: mogelijke causes en effects bij de 7 door Bazel gedefinieerde events

Deze events zijn de gebeurtenissen die als ze zich voordoen, aanleiding kunnen zijn voor een negatief effect, zoals bijvoorbeeld: juridische kosten, niet te innen vorderingen, afschrijving van beschadigde goederen of sancties van toezichthouders. Veel organisaties voegen aan events en

effects een derde categorie toe, namelijk cause. Volgens dit cause-event-effect concept leiden niet effectieve beheersmaatregelen of externe factoren (causes) tot een gebeurtenis (event) die mogelijk tot een negatief effect kunnen leiden.

Bij de risico-identificatie gaat het om het vaststellen van de mogelijke gebeurtenissen die het halen van de doelen kunnen bedreigen. Dit kan op basis van de onderscheiden events en eventueel

beschikbare gegevens over de historie van events. Of vanuit actuele aandachtspunten intern danwel in de externe omgeving.

Uitkomst van deze stap is een risk map waaruit blijkt welke operationele risico’s onderscheiden worden per markt, proces of organisatieonderdeel en de ernst van deze operationele risico’s. De ernst van het risico wordt meestal bepaald door de kans en de impact.

risicoperceptie

Ten aanzien van de inschatting van de ernst bij het begrip risico, bestaat een technische insteek en een sociale insteek3. De technische uitleg van risico gaat uit van de statistische kans x impact, terwijl de sociale insteek ingaat op de gepercipieerde risico’s.

Het gepercipieerde risico houdt volgens meerdere auteurs verband met het subjectieve concept van de beheersbaarheid van onzekerheid. Volgens Macgill en Siu (2004: 331) hangt het verschil tussen de risicoperceptie bij de ene individu of groep en de andere individu of groep af van kennis en waarden geassocieerd met het betreffende risico. Dit sluit aan bij de stelling van De Leeuw dat onzekerheid in de vorm van gebrekkige voorspelbaarheid een al dan niet ophefbaar informatietekort en/of tekort aan informatieverwerkende capaciteit betreft (2000: 192).

Voor het managen van risico’s betekent dit dat bij het beïnvloeden van risicogedrag moet worden ingegrepen met informatie en cognitieve interventies, gericht op een meer realistische

risicoperceptie, of moeten ingrepen gericht zijn op de emotionele reacties van mensen en de gewenste, met het betreffende risico geassocieerde waarden (Weber, 1997: 143).

3

informatieverwerking

Macgill en Siu stellen dat risico alleen bestaat vanwege de kennis die mensen er van hebben. En dat daarmee het management van risico gelijk wordt aan het management van de kennis die mensen van risico hebben (2004: 331).

Claes noemt bij het aspect kennis en informatieverwerking drie stellingen (2000: 141), die van belang zijn bij de inrichting van een Risicomanagementsysteem:

1. Gevaren worden niet of verkeerd gezien. Ons ‘afschermmechanisme’ verhindert dat wij bestaande risico’s waarnemen;

2. Bij risico’s die regelmatig schade veroorzaken, treedt een effect van gewenning op. De beslissers accepteren deze risico’s stilzwijgend en zien geen reden meer om iets te veranderen aan de situatie;

3. De waarschijnlijkheid dat zich een schadegebeurtenis voordoet, wordt onderschat. Dit kan een gevolg zijn van een gebrek aan informatie, maar het kan ook een gevolg zijn van een onbewuste verdringing van informatie of een onjuiste keuze van informatie.

2. Control framework

Bij deze stap wordt bepaald hoe de onderscheiden operationele risico’s worden beheerst of gemitigeerd. De kosten van verschillende benaderingen moeten worden afgewogen en per

geïdentificeerd operationeel risico moet worden vastgelegd of het risico geheel wordt weggenomen, deels wordt tegengegaan, of besloten wordt het risico te nemen of juist niet te nemen door de activiteit te staken. Een andere optie is het verzekeren van het risico.

3. Assessment

Deze stap van het ORM-proces heeft als doel het vaststellen van gelopen risico’s, hoe goed de organisatie deze beheerst en monitoort, wat potentiële zwakke elementen zijn, wat aan verbetering moet worden gedaan, wie daarvoor verantwoordelijk is en hoe de realisatie van de verbetering gepland is.

Belangrijk doel van assessment is het beleggen van verantwoordelijkheid in de lijn. De assessments maken de risicoanalyse expliciet en daarmee de lijnmanager accountable.

Het assessment moet resulteren in het identificeren van control gaps (het ontbreken van controls of het niet (voldoende) werken van controls) en de daarbij behorende verbeteracties.

Bij assessments is het van belang het proces en de resultaten zo objectief mogelijk te houden. Vaak is er een centraal onderdeel, die een coördinerende rol speelt, de resultaten beoordeelt, bespreekt en ter discussie stelt om er voor te zorgen dat de assessments consistent worden uitgevoerd.

4. Measurement and monitoring

Na het identificeren van de operationele risico’s en de bijbehorende controls, biedt Risk measurement inzicht in de omvang van operationele risico’s, de werking van de controls en de verandering van de omvang van operationele risico’s, die vervolgens aandacht behoeven. Voor de meting van operationele risico’s worden veelal zes type metingen onderscheiden:

- Risk drivers; Dit is gericht op grootheden die de ontwikkeling van het risicoprofiel beïnvloeden en is meer toekomstgericht en daarmee voorspellend voor toekomstige aandachtspunten.

- Risk indicators; Dit is gericht op het monitoren van de werking van de controls voor een specifiek operationeel risico binnen een markt of organisatieonderdeel en is meer gericht op wat is gebeurd. Een uitdaging hierbij is die indicatoren te kiezen die inzicht geven in toekomstige problemen door de meting meer op uitzonderingen te richten.

Deze indicatoren zijn vaak voorzien van zogenaamde escalatie-grenzen. Als de waarde van een indicator buiten een bepaalde bandbreedte komt, vraagt deze om aandacht van het management. - Loss history; De reden voor het vastleggen van operationele verliezen is drieledig:

- Causal models; Met behulp van causale modellen kan op basis van historische gegevens van Risk drivers, Risk indicators en Loss history inzicht worden verkregen in de kans op verschillende potentiële verliezen. Dit kwantitatieve hulpmiddel is niet altijd even succesvol gebleken (Alexander, 2004: 252). Het valt buiten dit onderzoek dat zich richt op de kwalitatieve hulpmiddelen die binnen de mogelijkheden van een lokale Rabobank liggen.

- Capital models; Dit is gericht op het bepalen van het vermogensbeslag dat nodig is om berekende “unexpected losses” op te vangen. Dit kwantitatieve hulpmiddel is een vereiste vanuit de Bazel-II akkoorden, die geldt voor de totale Rabobank Groep. Het valt buiten dit onderzoek, omdat dit onderzoek zich richt op de kwalitatieve hulpmiddelen die binnen de mogelijkheden van een lokale Rabobank liggen.

- Performance measures. Dit is gericht op het evalueren van en het belonen van prestaties op het gebied van de activiteiten binnen operationeel risicomanagement. Voorbeelden van

prestatiemeting binnen ORM betreffen de deelname aan en werking van het assessment-proces of het totaal aan operationele verliezen.

5. Reporting

Rapportage is nodig binnen alle lagen van de organisatie, waarbij de inhoud en frequentie moet worden afgestemd op het organisatiedeel. Het moet voldoen aan de eisen van de individuele lijnmanager en moet een totaaloverzicht per organisatiedeel bieden aan het senior management. Vanuit de principes van Bazel-II dient de rapportage het senior management te informeren over belangrijke operationele risico’s in de organisatie. Voorbeelden van onderdelen in een ORM-rapportage aan het senior management zijn:

- Risk maps o.b.v. assessments en/of loss-database; - Resultaten van assessments;

- Het volgen van belangrijke aandachtspunten; - Het volgen van belangrijke initiatieven; - Interne operationele verliezen;

- Externe operationele verliezen; - Risk indicators.

2.2.4 Succesfactoren Operationeel Risicomanagement

Haubenstock noemt een aantal succesfactoren voor het implementeren van een ORM-systeem.

1. Senior management support

Door de toegevoegde waarde van het ORM-systeem voor de organisatie te benadrukken in termen als verbeterde kwaliteit, lagere gevoeligheid en verlaagd vermogensbeslag zal het senior

management het belang duidelijk maken voor degene die het ORM-proces moeten uitvoeren. Ten aanzien van dit belang verwijst Claes naar Hoffman, die risicomanagement definieert als een beleidsinstrument tot het veiligstellen van de ondernemingsdoelstellingen (2004: 23).

Schellekens stelt daarnaast dat het de taak van het management is om de

ondernemings-doelstellingen te bereiken in een onzekere omgeving, waarmee management synoniem wordt aan risicomanagement: All management is Riskmanagement (2002: 15). Pézier voegt daaraan toe dat, in een wereld waar de meeste belangrijke beslissingen onzekere uitkomsten hebben, het verschil tussen management en risicomanagement (Alexander, 2003: 297) moeilijk te onderscheiden is.

Bovenstaande zit besloten in de definitie van risicomanagement die in dit onderzoek wordt

gehanteerd: een systematisch en regelmatig onderzoek naar de risico's die mensen, materiële en immateriële belangen en activiteiten bedreigen, en de formulering en implementering van een geïntegreerd beleid met betrekking tot risicoreductie, risico-overdracht en risicofinanciering

(Claes, 2004: 14).

2. Toegevoegde waarde voor organisatieonderdelen

Het ORM-systeem moet echt toegevoegde waarde bieden aan de organisatieonderdelen en niet alleen een centraal proces zijn dat primair gericht is op het aggregeren van informatie op centraal niveau.

3. Prestatiebeloning

De primaire stimulans zit in het lagere vermogensbeslag voor de organisatie. Een kosten-baten benadering voor risicoreductie die is vertaald naar prestatiebeloning zorgt dat het ORM-proces voldoende aandacht krijgt.

4. Consistente risicodefinities

Door binnen de gehele organisatie dezelfde risicodefinities aan te houden wordt het mogelijk om de resultaten te aggregeren en op het niveau van de totale organisatie met elkaar te vergelijken.

5. Kwaliteit van de medewerkers in het ORM-proces

Op alle niveaus dienen de medewerkers, die bij het ORM-proces betrokken zijn, de juiste kwaliteit te hebben, zowel in de lijn- als in de staforganisatie. Een toereikend budget voor mensen en systemen is noodzakelijk.

6. Het moet een dynamisch proces zijn

Het ORM-proces is dynamisch, constant dient gezocht te worden naar nieuwe risico’s en verbeteringen in metingen en controls. Het assessment-proces moet worden gevarieerd om te voorkomen dat de toegevoegde waarde vermindert doordat het routine wordt.

7. Resultaten moeten gedeeld worden

Door resultaten uit te wisselen tussen de organisatieonderdelen en met elkaar te vergelijken kunnen best practices worden vastgesteld en gehanteerd.

2.3 Procesmanagement

In deze paragraaf wordt met behulp van theorieën over procesmanagement aangegeven welke aandachtspunten bij het besturen en beheersen van processen van belang zijn voor de werking van het ORM-systeem.

2.3.1 Besturen en beheersen van processen

Procesmanagement is gericht op het besturen en beheersen van het geheel aan activiteiten om te komen tot de organisatiedoelen. Omdat risicomanagement gericht is op het voorkomen dat de organisatiedoelen in gevaar komen, wordt operationeel risicomanagement gezien als een aspect van het procesmanagementsysteem.

Het besturen van processen is gericht op de prestatie van het proces, op het resultaat. Het gaat daarbij om het inrichten van feedbacksystemen, die een indicatie moeten geven in hoeverre de organisatiedoelen worden gerealiseerd. Op het moment dat resultaten niet langer voldoen, moeten bestaande processen worden bijgesteld, worden herontworpen of moeten de doelstellingen worden aangepast (Hardjono en Bakker, 2001: 159).

Bij het management van processen is het de vraag waar de verantwoordelijkheid omtrent

procesbesturing wordt ondergebracht. Dit kan centraal middels proceseigenaarschap of decentraal bij een groep medewerkers die gezamenlijk verantwoordelijk zijn voor een (deel)proces.

Bij het beheersen van processen, een grenssyteem, past de centrale aansturing. De rol van

proceseigenaar mag niet strijdig zijn met de hiërarchie en er moet een duidelijke relatie zijn met het functionele organisatieschema.

Procesbesturing vraagt om een nadere invulling, gericht op de mogelijkheden van prestatie-verbetering, slagvaardigheid en ontplooiing van talenten van medewerkers (Hardjono en Bakker, 2001: 161-2).

Het besturen en beheersen van processen wordt in het procesmanagementmodel van Hardjono en Bakker gezien als de verbinding tussen en resultante van de overige aspecten in het model (2001: 158). Een dimensie van het procesmanagementmodel is gebaseerd op de PDCA-cyclus van Deming. Het procesmanagementmodel (zie figuur 4), wordt hierna beschreven.

A D C P Besturen en beheersen van processen

figuur 4: PDCA in het procesmanagementmodel (Hardjono en Bakker, 2001: 159) Plan: Identificatie van processen

Het identificeren van processen is een fundamentele eerste stap op weg naar besturen en beheersen van processen. De vraag is welke processen bestuurd en beheerst moeten worden, en daarmee afgebakend en vastgelegd worden. Dit worden de kritische processen genoemd (2001: 135).

De principes van risicoanalyse zijn bruikbaar voor het bepalen welke processen kritisch zijn voor de organisatie en voor het bepalen van de mate van besturing en beheersing die op het betreffende proces moeten worden gezet (Hardjono en Bakker, 2001: 138).

Bij het vastleggen van de processen moet expliciet worden benoemd welke handelingen opgenomen zijn als beheersmaatregel om een bepaald operationeel risico tegen te gaan.

Naast de benoeming van prestatie-indicatoren dienen indicatoren voor het meten van het risico te worden bepaald om de effectiviteit van de beheersmaatregelen te meten.

Do: Invoeren van een proces(verandering)

Na het vaststellen van de processen of het aanpassen van de bestaande processen volgt het invoeren van de processen of de procesveranderingen. Hierbij worden de volgende deelaspecten

onderscheiden:

- hoe wordt over de veranderingen gecommuniceerd;

- hoe medewerking en commitment worden verkregen; - hoe het borgen van de veranderingen wordt beheerst - hoe veranderingen worden gemeten;

- hoe wordt gecontroleerd of de voorspelde resultaten zijn bereikt.

De beheersing van processen is gericht op het borgen van de gewenste werkwijze. Dit kan als een aparte PDCA-cyclus binnen stap Do van het procesmanagementmodel worden gezien.

Bij de beheersing speelt de interne audit een belangrijke rol. Daarin wordt gecheckt op de mate waarin de uitvoering van werkzaamheden overeenkomt met de binnen de organisatie afgesproken werkwijze. Afhankelijk van de bevindingen wordt eventueel bijgesteld om te komen tot een betere naleving van de afspraken.

Voor het invoeren van een proces(verandering) gericht op de beheersmaatregelen om operationele risico’s tegen te gaan zijn dezelfde principes van belang als bij het gehele proces.

De interne audit speelt op dezelfde wijze als voor het gehele proces de check op de mate waarin de beheersmaatregelen worden uitgevoerd.

Check: procesbesturing en procesprestatie-monitoring

De check-component in het procesmanagementmodel van Hardjono en Bakker (figuur 4) is gericht op de realisatie van de doelstellingen van de processen. Procesbesturing is alleen mogelijk als een organisatie er in slaagt feedback te genereren over de procesprestaties (2001: 171).

Voor het ORM-systeem is het van belang dat bij de check op de procesprestatie tevens feedback komt op de mate waarin de risico’s worden beheerst, oftewel in hoeverre het halen van de organisatiedoelstellingen bedreigd wordt door operationele risico’s.

Act: procesbesturing en het bijstuurmechanisme

Het laatste deel van de feedbackloop – de Act – is in feite de concrete verbetering die de organisatie aanbrengt naar aanleiding van de monitoring van haar prestaties. De beweging van Check naar Act wordt door Hardjono en Bakker verdeeld in de volgende stappen (2001: 185):

- Monitoring;

- Normering en doelstelling;

- Signalering van overschrijding normen; - Analyse (wat zijn de oorzaken);

- Corrigerende acties (wat moet gedaan worden om de gevolgen weg te nemen); - Preventieve acties (wat moet gedaan worden om de oorzaken weg te nemen); - Borging.

Het monitoren van operationele risico’s kan aanleiding zijn voor het verbeteren van de beheersmaatregelen bij die operationele risico’s. De beweging van Check naar Act is ook van

toepassing als bijstuurmechanisme voor het verbeteren van de naleving van de werkafspraken op het gebied van de beheersmaatregelen voor de operationele risico’s.

Doorlichten en verbeteren van processen

Naast de Check en Act-component gericht op de besturing aan de hand van de resultaten van processen wijzen Hardjono en Bakker op de noodzaak van het periodiek doorlichten (Check) en verbeteren (Act) van processen (2001: 212). Een van de mogelijke invalshoeken voor het doorlichten is de mate waarin operationele risico’s worden beheerst.

Stimuleren van innovatie en creativiteit.