Non-financial risk vraagt om meer dan operational risk management
De afgelopen jaren ervaart Solid Professionals binnen zijn adviespraktijk een verschuiving in vraagstukken van financial- naar non-financial risk (NFR). In dit artikel schetsen Managing Consultant Matthias Geerse en Associate Partner Govert van Koningsveld enkele externe ontwikkelingen die naar hun mening van invloed zijn op deze vraagstukken en geven ze een oplossingsrichting ten aanzien van de borging hiervan in de bedrijfsvoering.
Na de financiële crisis is veel aandacht geweest voor het financieel risicomanagement. Hierbij ging het om vragen als ‘waarom waren de risico’s onvoldoende in de prijs verwerkt?’, ‘hoe robuust zijn de gehanteerde modellen?’ en ‘zijn de gehanteerde kapitaalbuffers toereikend?’ Mede door aanscherping van de regelgeving (zoals IFRS9, AnaCredit en forbearance) staan bij de meeste financiële instellingen deze aanpassingen wel in de steigers. Nu staat bij bestuurders en toezichthouders juist non- financieel risico in de schijnwerpers. De aanleidingen hiervoor zijn divers en een aantal aspecten worden hierna beschreven.
Regelgeving
Aanstaande nieuwe regelgeving zoals PSD2 en GDPR (in het Nederlands Algemene Verordening Gegevensbescherming) verhogen het non-financial risk (NFR) voor de banken. Deze verhoging komt onder andere doordat de GDPR eisen stelt aan banken waar ze mogelijk nog niet aan voldoen (compliance risk). PSD2 biedt fintech mogelijkheden de toegevoegde waarde van de dienstverlening van banken over te nemen. Het daarmee verlengen van de keten van bank naar consument brengt (operationele) risico’s met zich mee.
Technologie
De technologische ontwikkeling geeft criminelen meer mogelijkheden om te frauderen, het identificeren en authentiseren van personen en transacties is een steeds grotere uitdaging. Het voordeel van de nieuwe technologie voor banken is dat het ontsluiten van data en deze statistisch bewerken mogelijk wordt. Hiermee zijn complexere analyses en daarmee het sneller en proactief implementeren van beheersmaatregelen mogelijk.
Door de technologische ontwikkeling verwachten – en, in sommige gevallen, eisen – consumenten betere toepassingen van hun bank. De time-to-market met nieuwe tools, om tijdig in te spelen op de gewijzigde eisen van de klant, wordt korter en daarmee verhogen banken hun risicoprofiel.
Uitbreiding van activiteiten binnen NFR
Het landschap van de niet financiële risico’s is door de voorgaande ontwikkelingen steeds verder uitgebreid. Waar voorheen de ORM-afdeling het totaaloverzicht had, is nu een verdere groei van allerlei non-financial risk ontstaan die door verschillende afdelingen vanuit de eerste en tweede lijn worden beheerst. Denk hierbij aan compliance, ICT, veiligheidszaken, juridische zaken en tax.
Toenemende kosten van risicomanagement
Een ander aandachtspunt is het reduceren van de kosten van risk. Dit gebeurt door het efficiënter inrichten van de riskfunctie(s) en meer ‘in control’ komen van de organisatie. De hiervoor beschreven situatie laat zien dat steeds meer afdelingen zich bezighouden met het beheersen van risico’s. De praktijk is dat de taakafbakening tussen de afdelingen niet eenduidig is en dat doublures of in het ergste geval leemtes ontstaan in de beheersing. Beide situaties leiden tot onnodige kosten.
Samenvattend is te stellen dat deze verschillende aspecten invloed hebben op het ‘in control’ zijn en blijven van de niet financiële risico’s. Hierna geven wij onze visie om dit te realiseren.
Visie op het borgen van NFR
Om NFR goed te borgen is een drietal zaken van belang:
- Goede risicocultuur
- Duidelijke integrale visie op NFR
- Governance
Risicocultuur
Bij een goede risicocultuur is eenieder binnen de organisatie zich ervan bewust dat het uitvoeren van werkzaamheden risico’s met zich meebrengt. Er is onder andere een openheid om elkaar aan te spreken op risico’s en te werken aan de beheersing van de risico’s. Hierbij ondersteunt de leiding van de organisatie de openheid en geeft ze hierin het voorbeeld. Bedrijven geven steeds meer aandacht aan behavioral en culture governance om de cultuur in de gewenste richting te ontwikkelen.
Integrale visie
Door de toenemende complexiteit en de verschillende afdelingen die betrokken zijn bij NFR ontstaat onduidelijkheid bij de business over nut en noodzaak. Een integrale visie is nodig om te komen tot één manier van werken, zodat duidelijkheid ontstaat voor de business en taken niet dubbel of helemaal niet worden uitgevoerd. Dit is het ontwikkelen van eenduidige risk taxonomie – welke NFR onderscheiden wij en wat betekent het?
Hiervoor is het goed een risk control framework op te zetten, bestaande uit:
- vaststellen risicobereidheid,
- identificeren risico’s,
- inrichten controls uitvoeren en monitoren,
- toezicht op de uitvoering van de controls en rapportage.
Uiteraard wordt dit ondersteund door de technologie voor optimale en efficiënte uitvoering. De betrokken afdelingen bij NFR spreken dan dezelfde taal en voor de business ontstaat eenduidigheid en daarmee wordt ook een efficiencyslag gemaakt.
Governance
Heldere governance is cruciaal voor een goede borging van NFR. In de markt wordt de beheersing van risico steeds nadrukkelijker bij de eerste lijn belegd. Bij sommige financiële instellingen zie je een stafafdeling risk in de eerste lijn ontstaan. Door de beschikbaarheid van de technologie is het mogelijk om vanuit de tweede lijn meer op tactisch/strategisch niveau toezicht te houden op de beheersing van de risico’s. Niet alleen leidt dit tot kostenreductie, het maakt ook de verdeling van verantwoordelijkheid en taken tussen eerste en tweede lijn duidelijk. Bovendien zorgt dit ook voor een zuivere uitvoering van het ‘three lines of defence’-model. Alleen als organisaties non-financial risk op deze integrale manier aanpakken, blijven zij ook naar de toekomst toe ‘in control’.
Matthias Geerse heeft ruim twaalf jaar consultancyervaring binnen de financiële sector met een duidelijk profiel in risk & compliance-gedreven verandertrajecten. Hij treedt geregeld op als sparringpartner voor opdrachtgevers en leunt daarbij graag op sectorkennis – waarbij vernieuwing en verandering in de markt en bij toezichthouders de boventoon voert. als Managing Consultant is Geerse bij Solid professionals werkzaam op het gebied van Finance & Risk.
Govert van Koningsveld is Associate Partner bij Solid Professionals en expert op het gebied van (bancaire) strategie en bedrijfsvoering, beleid, risicomanagement, en productontwikkeling. Van Koningsveld Is opgeleid als registeraccountant en was eerder onder andere werkzaam bij ABN AMRO Bank, ABN AMRO Risk Advisory Services en PwC. Bij het Big Four-kantoor was hij partner en droeg hij de verantwoordelijkheid voor de competentiegroep Governance Risk & Compliance binnen Advisory Financial Service (banken en verzekeraars). Ook is Van Koningsveld als docent betrokken geweest bij de Nyenrode Business Universiteit, voor onder andere de vakken Corporate Governance en Bestuurlijke Informatie Voorziening.