Hoe u risicomanagement laat slagen

Risicomanagement efficiënter en effectiever maken lijkt meer op het tweede scenario. Er zal geen sprake zijn van een onbeschreven blad. Daarom deel ik in dit blog praktische, maar belangrijke veranderingen om uw risicomanagement effectiever te laten werken. En dus bewust geen beschrijving van de perfecte blauwdruk voor de governance van risicomanagement.

De veranderingen zijn, ten eerste, risicomanagementtaken juist verdelen over de eerste en tweede lijn (binnen het three lines of defence-model). Ten tweede, een agile brug bouwen tussen Risk en de commerciële afdelingen. En ten derde, risicomanagementvereisten en controls van meet af aan implementeren in het ontwerp van nieuwe producten, diensten en processen.

Uw vernieuwde risicotaxonomie als meetlat voor uw organisatiestructuur

Begin bij uw vernieuwde risicotaxonomie en gebruik deze om de organisatiestructuur en het aantal fte’s en competenties voor elk belangrijk risicotype te onderzoeken. In de context van het three lines of defence-model: sommige van deze risicotypes zullen bijvoorbeeld voldoende aan bod komen in de eerste lijn, terwijl de tweede lijn onderbemand is of een tekort heeft aan de juiste vaardigheden - of juist precies andersom. Door de aantallen fte’s toegewijd aan het managen van risico’s te vergelijken tussen de twee lijnen, kunnen de eerste vraagtekens ontstaan. 

Natuurlijk is het simpelweg gelijk verdelen van taken en fte’s tussen de eerste en tweede lijn niet het antwoord. Het proportionaliteitsbeginsel moet u hier toepassen: om als tweedelijns-Risk goed de rol van onafhankelijke uitdager te kunnen vervullen, en zo waarde toe te voegen aan de uitvoering van uw strategie. Zo is een halve fte voor cyberrisico’s in de tweede lijn - en dan ook nog met onvoldoende vaardigheden - niet voldoende als er in de eerste lijn tientallen cyberexperts aan het werk zijn.

Risk als sparringpartner en adviseur

Als de balans zo ver te zoeken is, wordt het lastig om goed samen te werken. Risk kan gemakkelijk overbelast raken en wordt daardoor gereduceerd tot een formaliteit, gefocust op het testen van controls, het invullen van lijstjes en andere procedurele activiteiten, in plaats van daadwerkelijk de risico’s in de business te toetsen en waarde toe te voegen als een volwaardige sparringpartner. En andersom: in veel gevallen, bijvoorbeeld bij compliance risk, zie ik dat er grote tweedelijns-Riskteams zijn die taken uitvoeren die eigenlijk al in de eerste lijn moeten gebeuren. Alsof Risk bijna volledig is geoutsourcet naar de tweede lijn.

Risk is een verantwoordelijkheid in de eerste lijn

In hoeverre is risicomanagement in uw organisatie onderdeel van bedrijfsprocessen en ligt het eigenaarschap daadwerkelijk bij managers van commerciële afdelingen? Veel risico- en controlactiviteiten kunnen gemakkelijk worden gedaan tijdens de uitvoering van bedrijfsprocessen, in plaats van daarna. Dit maakt het werk makkelijker en leuker voor alle betrokkenen.

Zolang er sprake is van duidelijke accountability,  kunt u de hoeveelheid overlappende taken minimaliseren en de efficiëntie vergroten. Want eigenaarschap van risk en control, risico-identificatie en -beoordeling, het ontwerpen van controls, en de uitvoering, het testen en monitoren ervan ligt in de eerste lijn en moeten daarom onderdeel van uw end-to-endbedrijfsprocessen en -operaties moeten zijn. Goede voorbeelden hiervan zijn restaurants, vliegtuigmaatschappijen en energiecentrales, waar gezondheids- en veiligheidsrisico’s een integraal onderdeel zijn van elk bedrijfsproces. 

Verantwoord risico nemen

Ten tweede is het cruciaal dat de eerste en tweede lijn intensiever gaan samenwerken. Het gat moet worden gedicht. Het three lines of defence-model is strikt, en is natuurlijk gekoppeld aan uw license to operate. Maar ik denk dat er wel wat ruimte is voor kleine, subtiele veranderingen die grote voordelen voor uw organisatie kunnen opleveren. 

Eerder heb ik gesproken over hoe risicomanagement commerciële afdelingen kan helpen met het nemen van risico’s op een verantwoorde manier. Natuurlijk moeten er zogenoemde Chinese muren bestaan tussen Risk en de business, zodat Risk goed een onafhankelijk oordeel kan formuleren. Maar misschien hoeven deze muren niet zo robuust en ondoordringbaar te zijn als dé Chinese Muur, en kan Risk ook de rol van adviseur op zich nemen.

Ik zie steeds vaker dat er toenadering wordt gezocht tussen de twee lijnen, voortkomend uit een agile manier van werken. Voorbeelden uit de praktijk bevatten onder andere risk advisory hubs in de eerste lijn, en onafhankelijke expertiseteams in de tweede lijn. 

Met dergelijke initiatieven kan de manier van werken ook meer agile worden. Als Risk tijdig participeert in processen als expert of adviseur, wordt de feedback loop tussen Risk en de commerciële afdelingen korter en zal er frequenter interactie plaatsvinden. 

Verdeel Risk efficiënter over de eerste en tweede lijn

Risicomanagement efficiënter verdelen over de eerste en tweede lijn betekent ook dat alle processen in de eerste lijn moeten worden aangepast om zo de juiste risicomanagementvereisten te bevatten. Ik geef toe dat dit makkelijker is gezegd dan gedaan. Maar u bent het er vast mee eens dat het moet gebeuren.

Als u - zodra het weer kan - een hapje gaat eten in uw favoriete restaurant, gaat u er immers ook blind vanuit dat aan alle eisen rondom voedselveiligheid is voldaan: in het ontwerp van de keuken, in de kwaliteit van de ingrediënten en in de hoofden en harten van het keukenpersoneel. Ik denk niet dat u uw eten eerst laat testen op vergiftiging voordat u toetast.

Risicomanagement vanaf begin inbakken 

Waar kunt u  beginnen binnen uw organisatie? Nou, door op zijn minst vanaf nu als u een nieuw proces opzet, een nieuw product uitbrengt of start met een nieuwe dienst, u risicomanagement en controls inbakt in het ontwerp, helemaal vanaf het begin. Dit noem ik risk by design. 

Dit is geen nieuw concept, maar ik zie het nog te weinig in de praktijk toegepast. En goed voorbeeld doet goed volgen: als u kunt aantonen dat risicomanagement effectiever kan door risicodeskundigen vanaf het begin te betrekken bij het ontwerp van nieuwe processen, zullen anderen gemotiveerd raken hetzelfde te doen. 

Neem het voorbeeld van kredietverleningsprocessen bij banken. De risicovereisten met betrekking tot limieten en acceptatie zijn onderdeel van het end-to-endproces (en in veel gevallen ook al geautomatiseerd). Natuurlijk is er ook een onafhankelijke toets door de tweede lijn, maar het risicomanagement is in beginsel al volledig geïntegreerd in het proces van kredietacceptatie in de eerste lijn.

Een nieuwe kijk op risicomanagement

Ik hoop dat u zich realiseert dat ik in dit blog meer praat over evolutie dan revolutie. Natuurlijk hopen we allemaal dat we alle issues rondom risicomanagement vandaag kunnen oplossen, maar dat is niet realistisch. 

Ik denk dat deze drie praktische veranderingen (de verantwoordelijkheden van risicomanagement beter verdelen, meer agility toepassen in Risk, en risicomanagement van meet af aan implementeren in nieuwe initiatieven) u een duwtje in de goede richting geven. Op deze manier kan Risk meer toekomstgericht en van meer toegevoegde waarde worden. En uw organisatie helpen om risico’s voor te blijven. En relevant te blijven.

In mijn volgende blogs ga ik onder andere in op andere belangrijke manieren om effectiever en efficiënter risicomanagement te kunnen voeren. Zoals het rationaliseren en automatiseren van uw control framework, het uitbesteden van onderdelen van uw risicomanagement en het gebruikmaken van data en technologie om beter op risico’s te anticiperen.

Lees ook de eerdere delen van deze blogreeks:

• Een nieuwe kijk op risico's
• Zeven ingrediënten voor transformatie van risicomanagement
• Waarde creëren in tijden van kostendruk
• De marketing van risicomanagement
• De rol van taxonomie in de transformatie van risicomanagement