• No results found

Risk Management 3.0, geïntegreerd in financiële instellingen

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Risk Management 3.0, geïntegreerd in financiële instellingen"

Copied!
7
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 7 pagina )

Hele tekst

(1)

Coöperatie ACS partners U.A.

Arnhemsebovenweg 40

3971 MK Driebergen-Rijsenburg Tel 0343 52 41 11

Fax 0343 52 41 39 E-Mail info@acs.nl

www .a cs .n l

Risk Management 3.0, geïntegreerd in financiële instellingen

Ontwikkelingen binnen financiële instellingen staan, zeker sinds de kredietcrisis, snel op de voorpagina’s van de krant. Of het nu de beloning van managers betreft of het te weinig dan wel juist teveel financieren door banken. Financiële instellingen liggen onder een vergrootglas. Zowel vanwege de maatschappelijke positie als vanwege het inzicht van ‘de maatschappij’ dat, indien financiële instellingen om dreigen te vallen, het de overheid is die in moet stappeni. Mede daardoor wordt het risicomanagementii binnen de financiële sector scherp gevolgd. Zowel door toezichthouders als andere stakeholders als klanten en aandeelhouders. In dit artikel willen we beschrijven op welke wijze Risicomanagement 3.0 hierin uitkomst zou kunnen bieden. Naast een algemene inleiding over risicomanagement en een toelichting op het begrip Risicomanagement 3.0 willen we de belangrijkste basisprincipes die daarvoor gehanteerd moeten worden

uiteenzetten. Daarbij wordt risicomanagement gezien als “het expliciet omgaan met onzekerheid”iii. Ook betreft het de risico-intelligentie, risicovolwassenheid en de inrichtingsprincipes van de organisatie en persoonskenmerken van de

organisatieleden/medewerkers. De vraag is daarbij ook: Als we uitgaan van een three-lines-of- defense model, wie ‘verdedigt’ dan wat?

Management en Risk Management

Het blijft meestal akelig lang stil nadat we een cursusgroep de vraag stellen wat het verschil is tussen Management en Risk Management.

Naar onze mening heeft dat veel te maken met verschijningsvormen in de praktijk die pragmatisch lijken maar onbedoelde neveneffecten hebben op het gedrag in organisaties. In financiële instellingen komen daar effecten van internationale regelgeving en toezichthouders bovenop.

Het begint al met de vele betekenissen van het woord management. Als werkwoord, functie, vakgebied, team, manager? Wikipedia geeft bij Management (Engels leenwoord) het besturen van een onderneming of organisatie. Doel is het (her)formuleren en bereiken van de

ondernemingsdoelstellingen in de gegeven - soms sterk veranderende - context. In

samenstellingen wordt het begrip vaak gebruikt in de betekenissen beheer, beheersing of beleid.

Voorbeelden: accountmanagement (klantbeheer), risicomanagement (risicobeheersing),

humanresourcemanagement (personeelsbeleid). Bij risicomanagement staat: een continu proces dat ten aanzien van de doelstelling risico’s identificeert en beoordeelt. Vervolgens wordt de COSO-ERM-kubus getoond. Ook ERM benoemt doelen en geeft aan dat de organisatieleiding moet bepalen welke risico's moeten worden gelopen om die doelen te kunnen realiseren.

Managen kun je wellicht beschrijven als keuzes maken uit alternatieve aanwendingen van schaarse middelen gericht op doelrealisatie. Daarbij moet worden gezorgd voor

randvoorwaarden. Afhankelijk van de scholing (en mogelijk het mensbeeld) van de manager

(2)

spreekt hij van kansen, doelen realiseren en randvoorwaarden regelen, of van het managen van risico's met beheersmaatregelen. Is het dus vooral taal?

Wij denken dat het ook te maken heeft met affiniteit van veel managers met het bedenken van nieuwe (afzet)mogelijkheden, nieuwe producten, de commercie. En veel minder met

verantwoorden, beheersen van eerder bedachte en ingevoerde concepten. Maar zeker ook met beloningssystemen; het bestaande goed blijven doen scoort veel minder dan het nieuwe aanboren en realiseren.

Op beheersing gerichte functionarissen herkennen dit ook wanneer Deming's PDCA-cycle wordt gebruikt als concept voor managementverantwoordelijkheden. Plan en Do krijgen de aandacht die het verdient, de Check komt er al bekaaid van af en laat men graag aan stafdiensten over.

Maar de Act(ualize), in de zin van leren, aanpassen en verantwoorden, lijkt niet belangrijk te worden gevonden; men is al weer bezig met nieuwe ideeën, uitmondend in een nieuwe Plan en Do.

In het verlengde hiervan wordt misschien begrijpelijk dat stafdiensten kort na een reorganisatie 'als vanzelf' weer groeien en ook toezichthouders zoals AFM, DNB en (andere) accountants, adviseren de door eerstelijns management (in het three lines of defense-denken) onderbelichte taken te laten oppakken of controleren door tweedelijns staffunctionarissen. En zo ontstonden veel Risk Management functies. De bevoegdheden die deze stafdiensten krijgen en nemen is vervolgens de uitkomst van een continu rollenspel.

We horen en lezen ook reacties van managers in de gedachtelijn: "Door het instellen van een risk en compliance functie tonen we de toezichthouder dat we hun aanbevelingen serieus nemen".

Recentelijk zijn bij een financiële instelling wijzigingen in de portefeuilleverdeling binnen een Raad van Bestuur doorgevoerd “omdat de toezichthouder dit wenste” (!).

Risicomanagement 3.0?

Er worden drie ontwikkelstadia onderscheiden in de wijze waarop risicomanagement (RM) een plaats heeft in (de aansturing van) organisaties.

Risicomanagement 1.0: Risicobewustzijn binnen de organisatie.

Risicomanagement 2.0: Risicosturing realiseren binnen de organisatie.

Risicomanagement 3.0: Geïntegreerd risicomanagement.

Wanneer er sprake is van RM 1.0 zal de organisatie eerst, wellicht als reactie op incidenten met financiële schade of impact op de reputatie, haar bewustzijn (willen/moeten) vergroten van de risico’s die gelopen worden en die de ondernemingsdoelstellingen in gevaar kunnen brengen.

De daarop volgende fase zal de sturing op risico’s door managers als onderdeel van hun verantwoordelijkheid worden gezien. Alleen wordt dit veelal ingericht vanuit de efficiëntie-

(3)

gedachte, namelijk door een afzonderlijke afdeling of risicomanagement-discipline in het leven te roepen waar specialistische kennis wordt ondergebracht en ter beschikking gesteld aan de organisatie.

Risicomanagement 3.0 richt zich nu juist op het, op een natuurlijke en vanzelfsprekende wijze, integreren van de sturing op risico’s met de sturing op commerciële-, financiële- of andere doelstellingen. Waar de stellige overtuiging nu soms is:

Risicomanagement? Daar hebben we de afdeling Risicomanagement toch voor?

Dient deze te veranderen in:

Risicomanagement? Ik ben toch manager dus dat doe ik! Daarbij word ik ondersteund door de professionele kennis van de afdeling Risicomanagement.

Risicoperceptie 3.0?

Je kunt niet alle risico’s zien of van tevoren exact schatten. Om wel op een adequate en acceptabele manier om te gaan met risico’s moet aan bepaalde randvoorwaarden worden voldaan.

Naast de inrichting van de organisatie (structuur, taken en verantwoordelijkheden,

doelstellingen) gaat het ook om de houding van de mensen die de organisatie vormen. Hoe kijkt iemand aan tegen risico’s? Een bekende uitspraak van de voormalige race-kampioen Mario Andretti luidt:

If everything seems to be under control, you’re just not going fast enough.

Een duidelijk adagium voor iemand wiens (ondernemings)doel is: zo hard mogelijk rijden.

De houding van iemand (medewerker, bestuurder, toezichthouder) ten aanzien van risico’s wordt door diverse factoren bepaald. Naast persoonlijke factoren (karakter, ervaring, filosofie) speelt ook de context waarbinnen iemand opereert én de taak die iemand toebedeeld gekregen heeft, een rol. Wanneer bijvoorbeeld in een organisatie een strikte scheiding is aangebracht tussen procesonderdelen (inkoop, fabricage, verkoop, logistiek, service, administratie, staf) dan loopt de onderneming de kans dat elk van deze onderdelen zich richt op haar eigen doel en de gezamenlijke (ondernemings)doelstelling uit het oog wordt verloren dan wel slechts op het hoogste niveau wordt bewaakt. Zo werkt het ook door op individueel niveau. De taak die iemand toegewezen heeft gekregen en de organisatorische positionering hebben invloed op de

risicohouding en risicoperceptie van een functionaris.

Ook de manier waarop die persoon of afdeling probeert de wijze waarop organisaties hun risico(management) managen, te beïnvloeden volgt daaruit. Dat betekent dus dat voor een goed (effectief, efficiënt, robuust) risicomanagement ook moet worden nagedacht over de inrichting van de organisatie.

Wanneer we dat vertalen naar het three lines of defense model is het heel belangrijk om te bepalen hoe die drie linies zich tot elkaar verhouden en samenwerken (!). Ook/juist op dat terrein zal Risicomanagement 3.0 tot uiting moeten komen: integratie!

(4)

Risk manager 3.0?

In de beginjaren werd van de risk manager verlangd dat hij alle belangrijke risico's in kaart bracht en lijnmanagers wist te overtuigen van de noodzaak om aanvullende maatregelen te treffen. Hij vond zijn gelijke bij controllers en auditors, maar managers zagen zijn voorstellen veelal als dure beperkingen voor het realiseren van de opgelegde targets. Hun directe bazen konden niet hardop zeggen dat de risk manager overdreef, maar wezen steeds nadrukkelijker op het belang van het behalen van de targets. Die ervaring wijzer eisten de risk managers 2.0 tijdens hun sollicitatiegesprek zichtbare ondersteuning van topmanagement bij hun 'opvoeden van lijnmanagement'. In diverse organisaties leidde dit ook tot een verschuiving van

bevoegdheden van lijnmanagers naar de corporate risk manager. Concreet betekende dit ook een extra benodigde paraaf op een investeringsvoorstel; van de corporate risk manager! Maar nog steeds lukt het deze risk manager maar beperkt om aansluiting te vinden tussen de uitkomsten van de gedetailleerde operational risk management uitkomsten (bottom-up) en de op basis van risk appetite bepaalde uitwerkingen bij monde van topmanagement (top-down).

Terwijl dit de essentie is van het uit 2004 stammende en overall omarmde COSO-ERM. Tijd voor de risk manager 3.0?

Geïntegreerd

Net als bij soorten audits (IT-, financial-, project-audit) is het woord voorafgaand aan 'Risk management' het object waarop de activiteit zich richt: operational-, credit-, strategic, x-risk management. En ook net als bij audits zou je een geïntegreerde aanpak willen aantreffen, omdat 'alles met alles samenhangt' en opknippen gemakkelijk leidt tot suboptimalisatie. Redenerend vanuit het denken van COSO-ERM dient de topleiding diens risk appetite onder woorden te brengen en te relateren aan ‘events’ die het realiseren van de organisatiedoelen bedreigen. Men moet een risicohouding beschrijven die men verwacht van hun lager management. Die houding kan concreet gemaakt worden in soorten acties, zoals accepteren, verzekeren, uitbesteden en maatregelen treffen. Maar die gewenste houding moet ook vertaald worden in ‘hoeveel’ of ‘hoe vaak’. Dat blijkt erg lastig te zijn.

Maar de moeilijkheid start veel eerder. Risk appetite is als begrip verzonnen door enkele auteurs van ERM en is moeilijk te scheiden van risicohouding. Wij voelen nog het meest voor een

vertaling als ‘trek in risico’, ‘risico behoefte’. Je proeft dan ook direct dat het zeer persoonlijk is.

Wij denken dat een CEO in de praktijk ook meer uiting geeft aan zijn behoefte om risico’s te lopen en daarmee resultaten te bereiken, dan de CFO die daar ‘vanuit zijn rol’ op reageert met

‘zouden we dat juist op dit moment wel doen?’ Een risk appetite van de RvB is er dus ook niet vanzelf en we hopen dat die na veel communicatie als iets van een compromis tot stand komt. In COSO lezen we hier niets over.

In COSO lezen we bovendien niet voldoende concreet dat die risicobehoefte, ook van een individu, afhankelijk is van het onderwerp, object of doelstelling waar het risico betrekking op

(5)

heeft. Diverse wetenschappelijke bronneniv geven dit aan, maar ook wij constateren wanneer we de vragen laten beantwoorden van een vragenlijst Risk Attitudev, dat ongeveer de helft van groepsleden aangeeft een groot verschil in score (vermeende risicohouding) te hebben op de gebieden financieel, recreatief, sociaal, en ethiek. Vergelijk het met iemand die (risico-zoekend) op de motor met 140 km per uur naar een bank rijdt om daar een zo laag mogelijk

hypotheekbedrag (risico-mijdend) vast te leggen. Je kunt tegelijkertijd verschillende risico behoeften hebben, en daarmee verschillend risicogedrag tonen, op verschillende vlakken.

Ons ACS-adviesvi bij de toepassing van de ERM is daarom ook per organisatiedoel te bepalen welke risicohouding daarbij gewenst is. Of bij die doelbepaling wordt gevoeld. Want ook het idee dat er eerst een doel is en dan een appetite is natuurlijk onzin; dit is cyclisch, constant in beweging, geïntegreerd.

Zodra topmanagement zich kan vinden in het compromis van geprioriteerde doelen en verwoorde risicohoudingen, al dan niet uitgedrukt in euro’s, kan worden aangegeven welke organisatie-eenheden (business units, afdelingen, processen, budgeteenheden etc.) het meest verband houden met die organisatie(deel)doelen. Dan pas wordt een ‘verdeling’ van de ‘risico- effecten’ mogelijk. En dat ontbreekt juist zo vaak. Kreten als: “risk appetite laag” worden in de praktijk onvoldoende doorvertaald naar het onderliggende niveau. Management van dat niveau moet vervolgens maar raden wat dat volgens de top voor hen precies betekent. Zo komen de uitkomsten van top-down risk managementacties en die vanuit de bottum-up-activiteiten nooit bij elkaar. De integratie blijft dan ver te zoeken.

Risk management als panacee voor financiële instellingen

We vinden het moeilijk antwoord te geven op de vraag wat de belangrijkste reden is voor de dominantie van risk management juist in financiële instellingen. Is het de aard van het product, financiën, wat maakt dat het denken over beheersing en ‘wat er fout kan gaan’ die negatieve taal rechtvaardigt?

Is het de neiging om met commerciële acties en ingewikkelde producten de markt te benaderen met een hoog risico (kans x impact)? En dat gecombineerd met het grote maatschappelijke effect wanneer die impact feitelijk wordt gevoeld, zeker bij de systeembanken? Moet daar een machtige lobby tegenover worden gezet die voldoende tegenwicht biedt?

Is het de (veelal) Angelsaksische cultuur en leiderschapsstijl van (grote) financiële instellingen?

Wij, Rijnlanders, zetten die weleens weg als organisaties waarin men denkt de commerciële managers met bonussen te kunnen motiveren langs de rand van de afgrond de hoogste omzet te maken en tegelijk met een enorm controleapparaat kunnen voorkomen dat die afgrond in zicht komt.

De markt en de Nederlandse overheid hebben duidelijk aangegeven een dergelijk extreem besturingsprincipe niet wenselijk te vinden. Toezichthouders reageren met aanvullende regels en met eisen op het gebied van … risk management. Risk management als manier van denken en

(6)

werkwijze verovert bureaustoelen van 2e-lijns-afdelingen, ondersteund door de accountant in de 3e lijn (IAD), de 4e lijn (externe accountant) en de 5e lijn (AFM, DNB, ECB). We horen

bankmedewerkers ‘met weemoed’ praten over de als ‘beperkt principle based’ bekend staande DNB, die investeerde in het horizontaal-toezicht-denken, toezicht met vertrouwen, psychologen en sociologen in dienst nam en van de Tweede Kamer ‘even’ haar cultuur moest aanpassen. Die weemoed past nu de ECB bewijst dat Rijnlands Europa maar een klein oppervlakte bezit; het ligt nog deels onder de zeespiegel ook.

Maar er zijn ook positieve ontwikkelingen. De ervaringen met creditrisk, operations risk, strategic risk en balance sheet risk geven aanleiding tot het intensiveren van de integratie van (risk) management. Lijnmanagement wordt nadrukkelijk op de huid gezeten wanneer ‘zij van de kansen zijn en de staven van de risico’s’. Zij worden gehouden aan het ‘rond maken’ van hun PDCA-cycle. Ze worden integraal verantwoordelijk voor de management control cycle als geheel en mogen zich verantwoorden over hun risicohouding.

Hoe wij daar nu op inspelen?

Nadrukkelijk concreter helpen aangeven wat de risk appetite van topmanagement per doelstelling betekent. Daarvoor moet topmanagement worden herinnerd aan de essentie van COSO-ERM en moet het opnieuw en nu serieus de hei op. Men moet met elkaar in dialoog en vaststellen dat ze als team op zoek moeten naar een compromis over doelen, prioritering en een passende risicohouding. Vervolgens moet dit worden vertaald naar de PDCA-cyclus van eerder genoemde eerste lijn manager.

Middelmanagement wil terecht antwoord op de vraag ‘welk deel van de risk appetite’ hen dan is toebedeeld. Maar daar mag het niet op wachten! Het komt zelf met wensen en voorstellen, vanuit een eigen visie voor de afdeling, in overleg met collega ‘ketenpartners’, geïnspireerd door de visie van de top. Maar ook door een besturingssysteem en beloningssysteem dat vrijlaat wat kan, dat gebruik van de risicoruimte stimuleert en je helpt opstaan als je op je neus gaat. Fouten maken mag, als je je maar bewust bent van het risico, hier doordacht mee omgaat en er

aantoonbaar van leert.

Dit coördineren en faciliteren vereist een goed getrainde, geïntegreerd denkende risk manager.

Een facilitator, iemand die durft te spiegelen en weigert de doen alsof hij het wel weet.

De risk manager 3.0!

(7)

Auteurs

Ron de Korte is partner van ACS te Driebergen en kerndocent van de post-master ESAA-opleidingen Internal auditing &

Advisory en IT-auditing & Advisory.

r.de.korte@acs.nl

Xander Smit is partner van ACS te Driebergen, kerndocent Integraal Risicomanagement aan de Hogeschool van Avans+

en interim business controller.

x.smit@acs.nl

i Al is dat risico met de Europese bankenunie feitelijk afgenomen, de perceptie is daarin onveranderd.

ii Bedoeld wordt hier het risicomanagement dat is gericht op het managen van de risico’s voor de eigen organisatie, niet de risico/rendement-afweging die bij de (dagelijkse) financieringsbeslissingen aan de orde is.

iii Definitie zoals gehanteerd door Dr. Ir. Martin van Staveren MBA, presentatie Risicomanagement Academie.

iv Weber, E. U., Blais, A.-R., A Domain-Specific Risk-Taking (DOSPERT) scale for adult populations, in Judgment and Decision Making, Vol. 1, No. 1, July 2006, pp. 33–47

v Weber, E. U., Blais, A.-R., Betz, E. (2002). A Domain- specific risk-attitude scale: Measuring risk perceptions and risk behaviors. Journal of Behavioral Decision Making, 15, 263–290.

vi J.H.M. Otten en A. Babeliovsky, Risk management, www.Auditing.nl

Referenties

Download het nu ( PDF - 7 pagina - 406.28 KB )

GERELATEERDE DOCUMENTEN

De kredietcrisis: het failliet van risk management?

techniek van economic (risk) capital, te definiëren als het statistisch bepaalde vermogen dat nodig is om alle ver - plichtingen op te kunnen vangen bij een negatief scenario.

Risk management: the management accountant as a risk or as a controller of risk

I expected that management accountants with a compliance and control expert role would approach risk management in a quantitative enthusiastic way.. I observed some

Auditing Model Risk Management

Protiviti is not licensed or registered as a public accounting firm and does not issue opinions on financial statements or offer attestation services?. All registered trademarks

Cooperation in flood risk management

To get to know how a transition in flood risk management from the current situation towards good governance can be made by different stakeholders, it is important

INTEGRATED RISK MANAGEMENT

Which risk measurement techniques can be applied to meet regulatory compliance with the capital adequacy norm of the Basel II Capital Accord, differentiated to credit risk,

Managing risk management : a bottom-up approach to increase risk management capability

sufficiently competent, e.g. due to a lack of training. An exception is when a product is of too low quality due to a sufficiently competent employee that is assigned too little

Quantifying operational IT risk: improving Achmea IM&IT’s risk management

Extreme value theory is a statistical technique dealing with maxima or high quantiles of probability distributions. It can be applied in various fields where random variables and

Essays on risk management and systematic risk

A concern with regression 2 is that banks may have changed their credit derivative activities in response to the crisis. The crisis interaction term in regression 2 relates to