Skip to content Skip to footer
Search

Loading Results

Hoe u risicomanagement laat slagen

Anthony Kruizinga Partner, Risk & Regulation lead, PwC Netherlands 28/04/21

Drie praktische manieren om uw risicomanagement efficiënter en effectiever te maken

Het vanaf nul ontwerpen en bouwen van uw droomhuis is een stuk makkelijker dan het renoveren van een decennia-oud gebouw waarin al mensen wonen en werken, terwijl de verbouwing gaande is. De één wil de tweede verdieping herinrichten, terwijl de ander haar graag laat zoals ze nu is. Sommigen willen een derde verdieping toevoegen, maar daar is de lokale ambtenaar het niet mee eens. Men wil de verouderde keuken vervangen met een fris, modern ontwerp, maar wil tegelijkertijd ook kunnen blijven koken voor het gezin. En zoals altijd zijn de budgetten beperkt, de tijdslijnen kort en vliegen de emoties je om de oren.

Risicomanagement efficiënter en effectiever maken lijkt meer op het tweede scenario. Er zal geen sprake zijn van een onbeschreven blad. Daarom deel ik in dit blog praktische, maar belangrijke veranderingen om uw risicomanagement effectiever te laten werken. En dus bewust geen beschrijving van de perfecte blauwdruk voor de governance van risicomanagement.

De veranderingen zijn, ten eerste, risicomanagementtaken juist verdelen over de eerste en tweede lijn (binnen het three lines of defence-model). Ten tweede, een agile brug bouwen tussen Risk en de commerciële afdelingen. En ten derde, risicomanagementvereisten en controls van meet af aan implementeren in het ontwerp van nieuwe producten, diensten en processen.

Uw vernieuwde risicotaxonomie als meetlat voor uw organisatiestructuur

Begin bij uw vernieuwde risicotaxonomie en gebruik deze om de organisatiestructuur en het aantal fte’s en competenties voor elk belangrijk risicotype te onderzoeken. In de context van het three lines of defence-model: sommige van deze risicotypes zullen bijvoorbeeld voldoende aan bod komen in de eerste lijn, terwijl de tweede lijn onderbemand is of een tekort heeft aan de juiste vaardigheden - of juist precies andersom. Door de aantallen fte’s toegewijd aan het managen van risico’s te vergelijken tussen de twee lijnen, kunnen de eerste vraagtekens ontstaan. 

Natuurlijk is het simpelweg gelijk verdelen van taken en fte’s tussen de eerste en tweede lijn niet het antwoord. Het proportionaliteitsbeginsel moet u hier toepassen: om als tweedelijns-Risk goed de rol van onafhankelijke uitdager te kunnen vervullen, en zo waarde toe te voegen aan de uitvoering van uw strategie. Zo is een halve fte voor cyberrisico’s in de tweede lijn - en dan ook nog met onvoldoende vaardigheden - niet voldoende als er in de eerste lijn tientallen cyberexperts aan het werk zijn.

Risk als sparringpartner en adviseur

Als de balans zo ver te zoeken is, wordt het lastig om goed samen te werken. Risk kan gemakkelijk overbelast raken en wordt daardoor gereduceerd tot een formaliteit, gefocust op het testen van controls, het invullen van lijstjes en andere procedurele activiteiten, in plaats van daadwerkelijk de risico’s in de business te toetsen en waarde toe te voegen als een volwaardige sparringpartner. En andersom: in veel gevallen, bijvoorbeeld bij compliance risk, zie ik dat er grote tweedelijns-Riskteams zijn die taken uitvoeren die eigenlijk al in de eerste lijn moeten gebeuren. Alsof Risk bijna volledig is geoutsourcet naar de tweede lijn.

Risk is een verantwoordelijkheid in de eerste lijn

In hoeverre is risicomanagement in uw organisatie onderdeel van bedrijfsprocessen en ligt het eigenaarschap daadwerkelijk bij managers van commerciële afdelingen? Veel risico- en controlactiviteiten kunnen gemakkelijk worden gedaan tijdens de uitvoering van bedrijfsprocessen, in plaats van daarna. Dit maakt het werk makkelijker en leuker voor alle betrokkenen.

Zolang er sprake is van duidelijke accountability,  kunt u de hoeveelheid overlappende taken minimaliseren en de efficiëntie vergroten. Want eigenaarschap van risk en control, risico-identificatie en -beoordeling, het ontwerpen van controls, en de uitvoering, het testen en monitoren ervan ligt in de eerste lijn en moeten daarom onderdeel van uw end-to-endbedrijfsprocessen en -operaties moeten zijn. Goede voorbeelden hiervan zijn restaurants, vliegtuigmaatschappijen en energiecentrales, waar gezondheids- en veiligheidsrisico’s een integraal onderdeel zijn van elk bedrijfsproces. 

Verantwoord risico nemen

Ten tweede is het cruciaal dat de eerste en tweede lijn intensiever gaan samenwerken. Het gat moet worden gedicht. Het three lines of defence-model is strikt, en is natuurlijk gekoppeld aan uw license to operate. Maar ik denk dat er wel wat ruimte is voor kleine, subtiele veranderingen die grote voordelen voor uw organisatie kunnen opleveren. 

Eerder heb ik gesproken over hoe risicomanagement commerciële afdelingen kan helpen met het nemen van risico’s op een verantwoorde manier. Natuurlijk moeten er zogenoemde Chinese muren bestaan tussen Risk en de business, zodat Risk goed een onafhankelijk oordeel kan formuleren. Maar misschien hoeven deze muren niet zo robuust en ondoordringbaar te zijn als dé Chinese Muur, en kan Risk ook de rol van adviseur op zich nemen.

Ik zie steeds vaker dat er toenadering wordt gezocht tussen de twee lijnen, voortkomend uit een agile manier van werken. Voorbeelden uit de praktijk bevatten onder andere risk advisory hubs in de eerste lijn, en onafhankelijke expertiseteams in de tweede lijn. 

Met dergelijke initiatieven kan de manier van werken ook meer agile worden. Als Risk tijdig participeert in processen als expert of adviseur, wordt de feedback loop tussen Risk en de commerciële afdelingen korter en zal er frequenter interactie plaatsvinden. 

Verdeel Risk efficiënter over de eerste en tweede lijn

Risicomanagement efficiënter verdelen over de eerste en tweede lijn betekent ook dat alle processen in de eerste lijn moeten worden aangepast om zo de juiste risicomanagementvereisten te bevatten. Ik geef toe dat dit makkelijker is gezegd dan gedaan. Maar u bent het er vast mee eens dat het moet gebeuren.

Als u - zodra het weer kan - een hapje gaat eten in uw favoriete restaurant, gaat u er immers ook blind vanuit dat aan alle eisen rondom voedselveiligheid is voldaan: in het ontwerp van de keuken, in de kwaliteit van de ingrediënten en in de hoofden en harten van het keukenpersoneel. Ik denk niet dat u uw eten eerst laat testen op vergiftiging voordat u toetast.

Risicomanagement vanaf begin inbakken 

Waar kunt u  beginnen binnen uw organisatie? Nou, door op zijn minst vanaf nu als u een nieuw proces opzet, een nieuw product uitbrengt of start met een nieuwe dienst, u risicomanagement en controls inbakt in het ontwerp, helemaal vanaf het begin. Dit noem ik risk by design

Dit is geen nieuw concept, maar ik zie het nog te weinig in de praktijk toegepast. En goed voorbeeld doet goed volgen: als u kunt aantonen dat risicomanagement effectiever kan door risicodeskundigen vanaf het begin te betrekken bij het ontwerp van nieuwe processen, zullen anderen gemotiveerd raken hetzelfde te doen. 

Neem het voorbeeld van kredietverleningsprocessen bij banken. De risicovereisten met betrekking tot limieten en acceptatie zijn onderdeel van het end-to-endproces (en in veel gevallen ook al geautomatiseerd). Natuurlijk is er ook een onafhankelijke toets door de tweede lijn, maar het risicomanagement is in beginsel al volledig geïntegreerd in het proces van kredietacceptatie in de eerste lijn.

Een nieuwe kijk op risicomanagement

Ik hoop dat u zich realiseert dat ik in dit blog meer praat over evolutie dan revolutie. Natuurlijk hopen we allemaal dat we alle issues rondom risicomanagement vandaag kunnen oplossen, maar dat is niet realistisch. 

Ik denk dat deze drie praktische veranderingen (de verantwoordelijkheden van risicomanagement beter verdelen, meer agility toepassen in Risk, en risicomanagement van meet af aan implementeren in nieuwe initiatieven) u een duwtje in de goede richting geven. Op deze manier kan Risk meer toekomstgericht en van meer toegevoegde waarde worden. En uw organisatie helpen om risico’s voor te blijven. En relevant te blijven.

In mijn volgende blogs ga ik onder andere in op andere belangrijke manieren om effectiever en efficiënter risicomanagement te kunnen voeren. Zoals het rationaliseren en automatiseren van uw control framework, het uitbesteden van onderdelen van uw risicomanagement en het gebruikmaken van data en technologie om beter op risico’s te anticiperen.

Playback of this video is not currently available

0:02:06

De transformatie van risicomanagement

Verbeter uw strategie rondom risico's en regulering

De Covid-19-pandemie heeft het tempo waarin risicovolle gebeurtenissen plaatsvinden en zich verspreiden, verhoogd. Risico’s die eerst nog ver weg en onwaarschijnlijk leken, zijn de norm geworden. Om beter voorbereid te zijn op het onverwachte, is het belangrijk dat uw organisatie weerbaar is. Op die manier kunt u sneller en adequater reageren op veranderingen en nieuwe wet- en regelgeving.

Is uw aanpak voor risico’s geschikt voor de wereld van morgen? Wij ondersteunen u daar graag bij. Want morgen maak je samen_

Lees meer >

Contact

Anthony Kruizinga

Anthony Kruizinga

Partner, Risk & Regulation lead, PwC Netherlands

Tel: +31 (0)61 308 76 37

Volg ons