Van macht naar kracht

by | Sep 1, 2013 | Risicomanagement | 0 comments

Risk managers en compliance officers: ze worden niet zelden gezien als buitenbeentjes die met vervelende regeltjes menig business manager tot wanhoop drijven. Dat moet anders, vond men bij Achmea. Het roer ging om. Cultuur en gedrag kwamen in de plaats van het ‘sec’ invoeren van regels, het opgeheven vingertje maakte plaats voor proactieve begeleiding en degelijk advies. Van macht naar kracht, of hoe een organisatie succesvol kan

NOODZAAK TOT VERANDEREN

Operational Risk management en Compliance (R&C) functioneerden als afdeling en functie binnen Achmea altijd naast elkaar. Elke functie kende zijn eigen karakteristiek en dito management en medewerkers. In een financiële wereld, waar het vertrouwen de laatste tijd sterk onder druk staat met toenemende regeldruk als gevolg, vond Achmea dit niet langer wenselijk. Overlap van activiteiten, verschillen in benadering, onduidelijkheden en onbegrip in de organisatie zorgden ervoor dat de R&C- functies niet altijd serieus werden genomen. Eisen en regels werden vooral onder druk van wettelijke- of companykaders ingevoerd en niet gezien als onderdeel van de reguliere bedrijfsvoering, de gewenste cultuur en het gewenste niveau van risicobeheersing. Dat was niet bepaald de vruchtbare grond waarin het gezaaide goed groeit. Een risicobeheercultuur zou gestoeld moeten zijn op proactief samenwerken met alle niveaus (eerste-, tweede-, derde lijn, groep en divisies) en niet op de gedachte ‘dat het moet’. Als R&C afdeling namen we het voortouw in plaats van lijdzaam af te wachten tot we aan alle kanten zouden worden ingehaald.

HOE DAN?

Het management van Achmea nam het initiatief om een moderne R&Corganisatie neer te zetten. Een organisatie die is voorbereid om het bedrijf te helpen met het invoeren van de sterk toenemende eisen van interne- en externe stakeholders, zoals de politiek en toezichthouders. Om te beginnen zijn de Risk management- en de Compliancefunctie onder één leiding geplaatst. Dit was vooral bedoeld om een begin te maken met een eenduidige
aanpak waarin specialismen herkenbaar blijven en elkaar versterken. Hierbij zijn nieuwe rolprofielen gemaakt waarin begrippen als adviseur, sparringpartner, risicomanager en vraagbaak duidelijk naar voren komen. Bij het Achmea aannamebeleid wordt steeds meer gelet op houding en gedrag en de persoonlijkheid van de kandidaat. Dat geldt ook voor R&C-functies. Natuurlijk is inhoudelijke kennis belangrijk, maar persoonlijkheid stelt nieuwe medewerkers in staat om hun rol succesvol in te vullen. Zij moeten immers samen met de bestaande bezetting de cultuurdragers worden van het nieuwe model van de R&C-afdeling. Een afdeling die de slag maakt van controles, formele implementaties en monitoring naar een adviesbedrijf dat uitgaat van proactief handelen, preventie, samenwerking en enabling, het ‘mogelijk maken’. Dit laatste vooral om de business te helpen zelf voldoende volwassenheid te bereiken in het managen van complianceen andere risico’s en het maken van keuzes daarbij.

DE EFFECTIVITEITCURVE INTEGRAAL RISICO MANAGEMENT

De effectiviteitcurve Integraal Risico management (zie figuur 1) heeft een top (maximale effectiviteit: 10) die via twee zijden te bereiken is. Er is een route via de ‘Kracht-kant’ en een route via de ‘Macht-kant’. De route start met een effectiviteit van nul en stijgt naar de maximale effectiviteit van 10. De route via de ‘Macht-kant’ is langer, omdat het door het gebruik van Macht altijd langer duurt voordat het meest effectieve gedrag wordt bereikt

Een voorbeeld: Wanneer de afdeling Compliance, op basis van de wet een verordening of regels kenbaar maakt bij het management (de eerste lijn), zonder dat dit beleid voldoende toegelicht wordt of voorgedaan wordt hoe dit beleid geïmplementeerd moet worden, wordt de effectiviteitcurve vanaf de ‘Macht-kant’ ingestoken. De effectiviteit van naleving van het beleid of de maatregel groeit dan maar langzaam. Rekening houdend met de taakvolwassenheid van het management kan de effectiviteit hoger of lager op de curve ‘beginnen’. Wanneer het beleid ‘over de schutting’ wordt gegooid, in de verwachting dat het management het dan wel goed zal implementeren levert dit – wederom afhankelijk van de taakvolwassenheid – een lage effectiviteit op. De kans bestaat zelfs, dat de 2e lijn (R&C) de implementatie zelf maar moet uitvoeren. Wanneer de tweede lijn echter start met het voordoen van het implementeren van een richtlijn, is de effectiviteit van implementatie al snel hoger. Dit is de route via de ‘Kracht-kant’ van de curve. Het vraagt namelijk kracht van de tweede lijn om niet vanuit ‘Macht’ te zeggen, dat het managementbeleid moet volgen omdat de wet het zegt, maar om de eerste lijn te overtuigen van het nut en de noodzaak van implementatie. Al snel kan dan de stap gezet worden van voordoen naar meedoen en zal het management (al dan niet gedelegeerd aan medewerkers) de taken samen met de tweede lijn op zich nemen. Het meest effectief is dan uiteraard de implementatie die het management zelf wil doen. De steile route via de ‘Kracht-zijde’ vraagt wel meer van de tweede lijnfunctionaris. Daar waar je aan de ‘Macht-kant’ en het voordoen kunt volstaan met voldoende inhoudelijke kennis, komt er bij het meedoen en het zelfdoen ook nog een Houding & Gedrag-component om de hoek kijken. Overtuigen van het management gaat niet met uitsluitend kennis van de inhoud of met woorden als ‘je moet’ of ‘de
wet zegt’. De tweede lijn zal de relevantie van een bepaald beleid moeten kunnen aantonen.

 

DYNAMIEK

Organisaties hebben een eigen operationele en politieke dynamiek. Wat je wilt, is niet altijd zomaar geregeld. Deze complexe dynamiek vraagt om een duidelijke governance en heldere afspraken over de verantwoordelijkheden binnen de three lines of defence1 van Achmea. Dat vraagt enige toelichting. De eerste lijn bestaat uit het lijnmanagement. Het management is primair verantwoordelijk voor het managen van risico’s en voert dagelijks impliciet en expliciet werkzaamheden uit ten aanzien van beheersen of accepteren van risico’s. De tweede lijn bestaat uit ondersteunende stafafdelingen, zoals compliance, risicomanagement en integrity. Zij ondersteunen (enablen) het management met uitzetten van beleid, kaders en werkzaamheden en zien toe op de implementatie en uitvoering. Internal Audit vormt de derde lijn. Internal Audit is geen onderdeel van het primaire proces en kan daarom aan Raad van Bestuur en Audit & Risk Committee een onafhankelijk oordeel geven over de beheersing van de organisatie. De eerste lijn, de business, was aanvankelijk niet erg bekend met operationeel risicodenken. De tweede lijn begeleidt en adviseert de eerste lijn en toetst opzet, bestaan en werking van de manier waarop risico’s worden beheerst. De interne accountantsdienst geeft zekerheid als derde defencelijn over het geheel aan risicobeheersmaatregelen. De uitdaging voor de tweede lijn lag voornamelijk in de manier waarop invulling werd gegeven aan de begeleiding van de eerste lijn. Hiertoe is het principe ‘voordoen, meedoen, zelfdoen’ geformuleerd. R&C werkt samen met de eerste lijn, helpt waar nodig en geeft tegelijkertijd duidelijk (vooraf ) aan vanaf welk punt de eerste lijn het zelf moet doen en de tweede lijn haar monitorende rol gaat vervullen. ‘Willen’ wordt binnen de eerste lijn op deze manier meer gestimuleerd dan ‘Moeten’, waardoor de stap van ‘meedoen naar ‘zelf willen’ nog maar klein is. Daarnaast werkt R&C meer als partner samen met de interne-, en in voorkomende gevallen, de externe accountant. Ze doet dit uiteraard wel binnen de eigen identiteit en rekening houdend met de verantwoordelijkheden van de afzonderlijke clubs.

EN TOEN WAS ER KOFFIE

Een jaar lang hebben de riskmanagers en compliance-officers veel ambassadeurswerk verricht. De boodschap was dat de risico’s moeten worden beheerst op de plek waar ze zich kunnen voordoen en het risk ownership in de eerste lijn ligt. Financiële risico’s binnen de financekolom, verzekeringstechnische en operationele risico’s binnen de operatie en marktrisico’s binnen de commerciële omgeving. Businessafdelingen moesten dus zelf aan de slag met risicomanagement en dat was even wennen. Zoals eerder vermeld was men niet gewend om te denken in termen van risico’s, laat staan dat kennis voorhanden was hoe die risico’s te beheersen. R&C is met alle afdelingen aan het werk gegaan. Zij kregen vanuit R&C een eigen accountmanager toegewezen. Daarbij zijn er R&C-coördinatoren in de businessafdelingen (eerste lijn) benoemd en de taken, bevoegdheden en verantwoordelijkheden zijn besproken en belegd. Activiteiten zijn beschreven en geprioriteerd en er zijn duidelijkere rapportagelijnen opgezet. Zo zijn zichtbare teams ontstaan met eigen verantwoordelijkheden, gebaseerd op het principe dat het voorkomen en beheersen van risico’s iets is wat je samen doet. De interne accountant heeft zijn rol behouden maar wordt meer dan voorheen ook ingeschakeld als consultant en toetst nu meer ideeën en plannen vooraf dan alleen de uitkomsten achteraf. Langzamerhand is een duidelijke, integrale risicoaanpak ontstaan waarbij op alle niveaus mét elkaar in plaats van naast elkaar wordt gewerkt. R&C is interessant en leuk geworden. Daarmee is humor meer dan voorheen onderdeel van het proces. Zelfs de ‘moetjes’ kunnen nu meer en meer rekenen op begrip door de manier waarop ze in de organisatie worden ingevoerd. ‘Ga eens wat vaker met elkaar koffie drinken’ werd het motto.

 

MAKKELIJK?

Is het dan echt zo makkelijk? Was het maar waar. De worsteling met de beschikbare capaciteit binnen alle drie de lijnen van defence is een voortdurende strijd. Er moet steeds meer gebeuren in een wereld waar rendementen onder druk staan en het beheersen van kosten heilig is. Achmea wil de meest vertrouwde verzekeraar zijn en het klantbelang centraal stellen Dat betekent prioriteren en daarbij kunnen de belangen tussen de verschillende lines of defence en de betrokken afdelingen wel eens botsen (tijd versus prioriteit). Waar voorheen de Risk managers en Compliance-officers nogal eens op hun strepen gingen staan, worden prioriteiten nu meer samen met de business bepaald. De business wordt op deze manier beter in staat gesteld zelf verantwoorde keuzes en afwegingen te maken. Daar waar prioriteiten botsen met bijvoorbeeld een groepsvereiste, zal de afdeling R&C de business uitleggen dat er andere keuzes gemaakt moeten worden en vervolgens helpen om die te realiseren. Andersom zal ook de noodzaak van bepaalde eisen en de gevolgen van het niet (direct) kunnen naleven ervan aan de kaderstellende organisatie worden uitgelegd. Altijd vanuit de dialoog, met oog voor elkaars belang. Door de gekozen businessstructuur is er altijd een escalatiemogelijkheid voor die gevallen dat het echt spannend wordt en de dialoog niet leidt tot eenduidige prioriteiten.

 

LESSONS LEARNED

Deze nieuwe manier van werken toont aan dat begrippen als openheid, overleg en samen optrekken nieuwe inzichten opleveren bij het inrichten van de three lines of defence. Minder hiërarchie, meer functionele aansturing en met een minder formele invulling laten zien dat elke lijn meer eigen verantwoordelijkheid voelt en daarnaar handelt. Leren van en werken met elkaar. Vanuit het project Keurmerk Klantgericht Verzekeren2 concluderen we dat het écht ging vliegen zodra de business een eigen projectleider had aangesteld die samen met de tweede lijn de relevantie van het beleid vertaalde naar een concreet projectplan en concrete deliverables. Aan hetzelfde bureau, met elkaar, werd de regelgeving uitgewerkt en in samenspraak ingevoerd in onderliggende systemen.

 

DE TOEKOMST

De bij de R&C-functie betrokken afdelingen hebben de afgelopen twee jaar een belangrijke cultuuromslag gemaakt en met resultaat. De tweede lijn is meer zichtbaar voor de organisatie, wordt meer vanzelfsprekend, als partner betrokken en de eerste lijn neemt meer zelf verantwoordelijkheid en initiatief om risico’s te bespreken en te beheersen. Toch is er nog veel te winnen. Onder de werktitel ‘Van macht naar kracht’ wordt deze verandering de komende jaren voortgezet. Het uiteindelijke doel is om het optimum in het functioneren van R&C te bereiken: om te weten wat er speelt, dit goed te kunnen uitleggen en een adequaat pakket beheersmaatregelen in te richten en in stand te houden. Om de business vertrouwen te geven om hun eigen verantwoordelijkheid te kunnen nemen. Om antwoorden te kunnen geven voordat de vragen worden gesteld. De R&Cmedewerkers zijn steeds meer in staat op alle niveaus volwaardig gesprekspartner te zijn en opereren als een team specialisten dat in staat is om autonoom en verbindend te opereren in een voortdurend veranderende wereld.

Noten
1. ISACA Journal, 2011, nr. 5, The Three Lines of Defence Related to Risk Governance van Ken Doughty, CISA CRISC CBCP.
2. Het Keurmerk Klantgericht Verzekeren is een kwaliteitsgarantie voor de dienstverlening en klantgerichtheid van een verzekeraar. (http://www.keurmerkverzekeraars.nl/)

GILDE VAN ADVISEURS

Hermesstraat 3

7321 EK, Apeldoorn

info@gildevanadviseurs.nl

GILDE VAN ADVISEURS 2020 | ALGEMENE VOORWAARDEN | PRIVACY