Erik van Marle – Blog over risicomanagement

www.naris.com

Tagarchief: Banken


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


door 1 reactie

Pensioenfondsen, bezint eer ge hypotheken bemint!

De berichtgeving van vandaag lijkt allemaal geweldig. Pensioenfondsen gaan massaal in hypotheken! De achterliggende gedachte is dat de banken meer ruimte krijgen om andere kredieten te verstrekken. Nu scheelt het dat de meeste banken inmiddels staatsbanken zijn maar dat roept meteen de vraag op:

Waar ligt het risico? Toch niet bij de pensioenfondsen en dus de deelnemers en dus de Nederlandse bevolking?

Kuddegedrag

Citaat Blok: ‘Pensioenfondsen krijgen een hoger rendement, de Staat neemt geen enkel nieuw risico en banken zien hun financieringskosten dalen.’

Wat als er toch nog een bank omvalt? Het zou mij vertrouwen geven als men transparant is over de risico’s die er aan kleven.

Als er iets is wat we hebben kunnen leren van SNSReaal en de daaruit vloeiende pijn is dat je niet massaal in hetzelfde risico moet stappen. We mogen nu toch wel concluderen dat alle banken achter elkaar aangelopen hebben en allemaal in vastgoed hebben geïnvesteerd in de verwachting dat deze waarde alleen maar kan stijgen. De situatie vandaag is dat alle banken hetzelfde probleem hebben, een vastgoed portefeuille waarop enorm moet worden afgeschreven.

Fouten maken mag….. alleen als je er van leert! Vertoon aub geen kuddegedrag.

Pensioenfondsen, bezint eer ge begint. Jullie hebben als taak om de pensioenen te beheren van velen. Niet om de banken uit hun zelf gecreëerde nood te helpen.