To know is to grow | CFA Society VBA Netherlands

Samenvatting van RMFI-essay: Verbeteren van incidentmanagement via risicocultuur

Terug naar laatste publicaties
in VBA Journaal door

De afgelopen decennia zijn er spraakmakende grote incidenten geweest op het gebied van operationeel risico. Voorbeelden hiervan zijn de LIBOR-fraude bij onder andere Rabobank, de vastgoedperikelen bij SNS Property Finance of vrij recent het sjoemelen met handtekeningen door hypotheekadviseurs van ABN AMRO. Door incidenten, maar ook door de financiële crisis, is er vanaf 2007/2008 meer aandacht gekomen voor risicocultuur en operationeel risicomanagement. Operationeel risicomanagement begint bij het inzicht krijgen in alle grote én kleine incidenten welke tot een verlies hebben geleid, of kunnen leiden. Vervolgstappen zijn beoordelen, monitoren, beheersen en mitigeren van risico’s. Zo wordt er continu gewerkt aan een veiligere en robuustere organisatie, waar mensen zich bewust zijn van risico’s. Door het inzichtelijk maken van operationele risico’s voldoet de bank tevens aan haar wettelijke meldings- en rapportageplicht inzake operationeel risico (o.a. Basel regulatory reporting, Wwft, Arbo, AWGB).

Incidentmanagement (het melden van incidenten) is een essentieel element voor het managen van operationele risico’s voor een bank. De ervaring leert dat incidentmanagement bij de Nederlandse grootbanken niet optimaal verloopt, waarbij het vermoeden is dat risicocultuur hierbij een rol speelt.

Literatuuronderzoek en praktijkinventarisatie bij de Nederlandse grootbanken heeft geleid tot een raamwerk gevuld met praktische handvatten om incidentmanagement te verbeteren, aan de hand van twee assen. Enerzijds zijn vier fases van het overwegingsproces tot het melden van incidenten gedefinieerd, anderzijds vier belangrijke kernbegrippen van risicocultuur.

De eerste fase in het overwegingsproces is I don’t know, in deze fase is een medewerker onbekend met het fenomeen operationeel risico en incidenten. De tweede fase, I don’t care, geeft aan dat de medewerker onverschillig is ten opzichte van het melden van gesignaleerde incidenten. In de I don’t dare fase herkent de medewerker incidenten en is het belang om incidenten te melden duidelijk, maar wordt uit angst of onzekerheid een incident toch niet gemeld. In de vierde en laatste fase I don’t know where, wil en durft men het incident te melden maar is onbekend hoe of waar dit moet. Wanneer deze fases doorlopen zijn, is de medewerker vrij van blokkades om een incident te melden.

De tweede as bevat vier kernbegrippen van risicocultuur gedestilleerd uit wetenschappelijk onderzoek (o.a. O’Donovan, McConnell), praktijkonderzoek (PWC, IRM) en onderzoek door toezicht en adviesorganen (o.a. DNB, FSB): leiderschap, governance, personeelsbeleid en communicatie.

Wanneer de gewenste en huidige situatie bij Nederlandse grootbanken wordt vergeleken, valt er op vele gebieden nog winst te behalen, enkele voorbeelden zijn hieronder opgenomen.

Om voorbeeldgedrag door managers te stimuleren worden regelmatig awareness sessies gegeven, echter ontbreken vaak praktische en op het team afgestemde handvatten, waardoor het volledig zijn doel misloopt.

Bespreekbaarheid en openheid over incidenten moet worden aangemoedigd, bijvoorbeeld via een ‘foutencafé’, blogs of positieve waardering in functioneringsgesprekken. Binnen de governance zijn een sanctiebeleid en klokkenluidersregeling aanwezig, maar zijn verantwoordelijkheden en beleid in te complexe taal beschreven. Gecombineerd met een gebrek aan een praktische insteek maakt dit het voor medewerkers lastig om te kunnen toepassen in hun dagelijks werk. Aangezien het melden van incidenten niet als primaire taak wordt gezien, resulteert hoge werkdruk in minder meldingen. Een punt van zorg zijn behavioural biases. Waar rationele economie volop geïnstitutionaliseerd is, zijn behavioural biases een relatief nieuw fenomeen waar beleid en praktische toepassing nog niet op ingericht zijn. Het meenemen van framing binnen trainingen;  bewustzijn van groepsdenken en confirmation bias bij medewerkers en leidinggevenden; en het meenemen van decision paralysis bij de (her)ontwikkeling van de incidentmeldingsapplicatie zijn essentieel.

Om de gewenste risicocultuur te krijgen zijn voor banken vervolgstappen geïdentificeerd. Men dient te starten met het in kaart brengen welke fase in het overwegingsproces domineert binnen een bedrijfsonderdeel of bij een medewerker. Dit kan middels een enquête. Daarna kan een gedetailleerde analyse van risicocultuur per bedrijfsonderdeel worden uitgevoerd, bijvoorbeeld via (informele) interviews en enquêtes. Aan de hand van de voorgaande twee punten zal een verbeterplan moeten worden opgesteld, bijvoorbeeld via de handvatten uit het ontwikkelde raamwerk. Het verbeterplan moet worden geïmplementeerd, gemonitord en bijgestuurd aan de hand van bijvoorbeeld succesvolle concepten in andere bedrijfsonderdelen. Het veranderen van een cultuur is echter complex, vergt onderhoud en is (helaas) geen kwestie van maanden maar jaren.

 

Noot

  1. Drs. Yvonne Drenth-Voorhorst RMFI is Capital en Liquidity manager bij de Volksbank N.V. Co-scriptant drs. Gaby Wilgenhof-Bouwman MBA RMFI

 

Download