Best Practices Risicomanagement

7 praktijkvoorbeelden van de DNB over hoe risicomanagement effectief geïmplementeerd kan worden bij financiële instellingen.

Soms is het handig om te weten hoe andere financiële instellingen het doen. Wat zijn de good practices en praktijkvoorbeelden? De Nederlandse Bank komt bij veel organisaties voor een audit en ziet hoe het wel en niet moet. Om organisaties te helpen stelt de DNB regelmatig guidance, vragenlijsten en leidraden ter beschikking. Onderstaand een aantal goede voorbeelden voor het opzetten van Risk Management Goverance.

Praktijkvoorbeelden

Risicotrofee

Het tijdig signaleren van risico’s is belangrijk voor een organisatie. Onderstaand een voorbeeld hoe het aandragen en signaleren van risico’s gewaardeerd kan worden.

Bij een verzekeraar wordt periodiek een beloning (in de vorm van een risicotrofee) uitgeloofd voor degene die het meest interessante risico heeft gesignaleerd en aangedragen in de risico-overleggen. Op deze wijze wordt richting de organisatie duidelijk gemaakt dat het belangrijk is om risico’s te signaleren en dat dit gewaardeerd wordt.

Verankeren oordeel risicomanagementfunctie in strategische besluitvorming

Om risicomanagement op strategisch niveau voldoende in te bedden kan de RvB de mening van de risicomanagement mee laten wegen. Hoe kun je de risicomanager actiever betrekken bij strategische besluiten?

Om risicomanagement verder te verankeren wordt de agenda en onderliggende stukken van de RvB vergaderingen ook naar Risicomanagement verstuurd. De centrale risicomanager wordt op deze manier in staat gesteld om (in veel gevallen gevraagd, maar ook ongevraagd) zijn oordeel te geven over de risico’s van bepaalde besluiten.

Risicobereidheid en –toleranties

Het kwantificeren van risicobereidheid, appitite en toleraties blijft voor veel organisaties lastig. Hoe kun je praktisch een risicobereidheid en toleranties beschrijven? Zoals bij het beloningsbeleid (regeling beheerst belonen):

Risicobereidheid en –toleranties. Veel verzekeraars hebben voor de financiële, eenvoudig te kwantificeren risicogebieden de risicobereidheid gedefinieerd en doorvertaald in risicotoleranties op operationeel niveau. Voor niet-financiële risicogebieden, zoals operationeel risico of reputatierisico, wordt dit vaak achterwege gelaten, omdat deze moeilijk te kwantificeren zijn. Maar, ook voor deze risicogebieden is het goed mogelijk om de risicobereidheid te definiëren. Voor reputatierisico kan bijvoorbeeld gedacht worden aan “Maximaal 1 keer per jaar een negatieve publicatie over de verzekeraar in een landelijk dagblad” of voor operationeel risico “Maximaal 1 keer per 5 jaar een uitval van het ICT kernsysteem van maximaal 24 uur”.

Lees meer...

Lees ook:
Meta & TikTok stappen naar EU Hof vanwege te hoge kosten voor de DSA

Geïntegreerde rapportages

Het kwalitatief hoogwaardig informeren van de raad van bestuur en raad van commissarissen is belangrijk. Met name het verzamelen van alle onderliggende informatie en de onderbouwing kan complex zijn. Een voorbeeld hoe het ingericht kan worden:

Alle risicogebieden (financiële en niet-financiële) komen samen bij de centrale risicomanagement afdeling die daarover een geïntegreerde rapportage uitbrengt richting de organisatie, waarin een totaalbeeld van het risicoprofiel van de organisatie wordt gecommuniceerd.

Bilateraal contact tussen Risk Management en auditcommissie/voorzitter RvC

Belangrijke thema’s dienen snel en adequaat the auditcommissie en de RvC te bereiden. Voldoende toegang tot deze organen is belangrijk. Een voorbeeld hoe dit bereikt kan worden:

Bij meerdere verzekeraars heeft de hoofd risicomanagement (meestal onder het niveau van de RvB) periodiek (1x per half jaar of 1x per kwartaal) een bilateraal gesprek met de voorzitter van de auditcommissie of voorzitter van de RvC. Het voordeel hiervan is dat de hoogste 2e lijnsfunctionaris op informele wijze, rechtstreeks en zonder aanwezigheid van andere belanghebbenden van gedachten kan wisselen met de RvC over risico’s.

Risicomanagement als toetsende rol in de primaire processen

Hoogwaardige risicomanagement processen zijn belangrijk voor een volwassen organisatie. Een voorbeeld van een actieve rol van risicomanagement bij de primaire processen:

Het inrichten dat de risicomanager als 2e lijn een actief aanwezig is bij het opstellen en wijzigen van processen en procedures. Risicomanagement is hierdoor sterk verankerd in de dagelijkse werkwijze en dit leidt tot een hoge mate van risicobeheersing. Een dergelijke werkwijze levert het meeste rendement op wanneer sprake is van acceptatie van complexe risico’s en/of maatwerkcontracten, waarvan het risicoprofiel situationeel varieert.

Vastleggen en rapporteren van operationele verliezen

Voor het hoogwaardig inventariseren van risico’s kan gebruik gemaakt worden van forward-looking (zoals stresstests en scenarioanalyse) en backward-looking instrumenten.

Bij een aantal (complexere) financiële instellingen worden verliezen als gevolg van operationele fouten geregistreerd in een centrale database op basis waarvan periodiek en bij grote incidenten incidenteel wordt gerapporteerd. Een dergelijke registratie kan een goed hulpmiddel zijn om de operationele verliezen inzichtelijk te krijgen en het operationeel risico te kunnen kwantificeren. En kan bij voldoende data ook worden gebruikt als forward-looking instrument.

Bron: De Nederlandse Bank

Gepubliceerd in Methoden en technieken

Geschreven op 30 April 2015 door