Renze Munnik: Geen three lines of defence

Renze Munnik: Geen three lines of defence

Risk Management
Renze Munnik_980x600.jpg

Door Renze Munnik, Risk Management Consultant bij Probability & Partners

Al geruime tijd loopt een hele sector achter eenzelfde idee van risicomanagement governance aan: het zogenoemde three lines of defence model. Hoe doordacht is dat model? Waar komt het vandaan? En is het zo logisch om dit model van governance toe te passen? Het model adresseert een probleem dat er helemaal niet zou moeten zijn, op een manier die nogal gekunsteld is.

Governance van risico’s was altijd heel duidelijk. De lijnorganisatie runt de business. Onderdeel daarvan is dat je dus ook ervoor zorgt dat je je doelstellingen behaalt en dat je met omstandigheden die in de weg kunnen staan (risico’s) adequaat omgaat. Om vast te stellen of de organisatie dat ook werkelijk zo doet zoals met de directie of het bestuur was afgesproken, beschikken de meeste organisaties over een interne auditdienst of -afdeling. Die geeft zekerheid over of de afspraken goed worden nagekomen.

Maar bij de three lines of defence gebeurt er iets vreemds. Er komt nog een afdeling tussen. Die wordt risicomanagement genoemd. En heel simpel gesteld gaat deze afdeling controleren of mensen de afspraken nakomen die gemaakt zijn over het managen van risico’s. Grappig, want dat deed internal audit ook al.

Maar er zijn twee redenen om toch een extra afdeling daartussen te plaatsen. De afdeling risicomanagement is namelijk bewust tussen de lijn en internal audit gezet. Een reden is: als internal audit vaststelt dat er iets niet goed is, dan heb je een redelijk formeel rapport aan je broek. Doorgaans komt dat ook bij bijvoorbeeld de RvC terecht. Als je er een afdeling tussen zet die eerst controleert, dan kun je verbeteringen doorvoeren voordat internal audit een oordeel vormt. Je voorkomt dus vervelende auditrapportages: je hoeft dus minder uit te leggen.

Verder was er in de financiële sector geregeld een duidelijk verschil tussen de doelstellingen die de organisatie op lange termijn wil behalen, en de incentives die de medewerkers krijgen. Er was geen trader op de vloer te vinden die een bonus heeft die gebaseerd is op een gemiddeld risicoprofiel over een periode van 5 tot 10 jaar. Hypotheekadviseurs werden niet afgerekend over de passendheid van de hypotheek bij de klant over de gehele looptijd. Nee, hun bonus was gebaseerd op vaak tegenstrijdige kortetermijndoelstellingen: hoog rendement, aantal transacties, aantal hypotheken, hoogte van een hypotheek, etc.

Hoe zorg je er dan voor dat de persoon in kwestie toch binnen de kaders van de lange termijn doelstellingen blijft? Je zet er een politieagent naast die iedere keer als de trader zijn eigen belang nastreeft, hem een tik op zijn vingers geeft omdat het volgens de lange termijndoelstelilngen niet mag. De politieagent is de risicomanager. Die stuurt de trader of de hypotheekadviseur of om het even welke medewerker bij voordat internal audit vaststelt dat de langetermijndoelstellingen onvoldoende worden nageleefd.

En dan hebben we het nog niet over het schizofrene karakter van deze tweede lijn. Internal audit is duidelijk: die controleert. De eerste lijn is ook duidelijk: die voert uit. De tweede lijn is een controlerende functie. Maar deze wordt ook verwacht te adviseren. Maar wee zijn gebeente van degene die zijn eigen werk controleert. Zie dat maar fatsoenlijk te combineren.

En door het oordeel van risicomanagement belangrijker te vinden dan dat van de eerste lijn, ontneem je de eerste lijn de verantwoordelijkheid. Hun oordeel is veel minder belangrijk, en er zijn nog twee andere linies die controleren. Daarmee geef je een duidelijk signaal dat de eerste lijn minder hoeft op te letten en al zeker niet heel veel eigen verantwoordelijkheid hoeft te voelen voor het managen van risico’s.

Al met al een zeer gekunstelde oplossing voor een probleem dat al helemaal niet hoeft te bestaan. Besteed voldoende tijd met de juiste expertise aan boord aan het vaststellen van de juiste incentives. Daarmee voorkom je dat je je medewerkers aanspoort om tegen je langetermijndoelstellingen in te gaan. En verder is een goede auditafdeling van belang. De auditafdeling is het geweten van de organisatie en houdt iedereen scherp op de afspraken die ze zelf zijn aangegaan.

Vind ik risicomanagement dan onnodig? Poeh, ik ben zelf risicomanager. Nee, ik vind het zeker niet onbelangrijk. Maar zie het niet als een aparte functie. Het is een kennisgebied. Een expertise die binnen de organisatie nodig is. En eigenlijk gewoon binnen de afdelingen zelf.

Net als er communicatievaardigheden of analytische kwaliteiten worden vereist, zou je ook risicomanagementvaardigheden bij de medewerkers moeten ontwikkelen en vereisen. Zo wordt het écht geïntegreerd risicomanagement. Risicomanagement is niets meer dan op een gestructureerde manier nadenken hoe je ervoor kan zorgen dat je je doelstellingen kan behalen. Daar zou je geen politieagent voor nodig moeten hebben.

Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.