Pim Poppe: Hoe bemensen we de risicobeheersingsorganisatie?
Pim Poppe: Hoe bemensen we de risicobeheersingsorganisatie?
Door Pim Poppe, Managing Partner bij Probability & Partners
Risicomanagement is de laatste jaren enorm breed en diep geworden. Regelgeving rondom risicomanagement is vaak extreem prescriptief, soms beperkt richtinggevend, en soms zelfs afwezig, vooral bij opkomende risico’s.
Ook worden bepaalde risicothema’s ineens belangrijk en behoeven extra aandacht en capaciteit. Denk bijvoorbeeld aan geopolitiek risico, cyberrisico of de Wtp-transitie. Een belangrijke vraag voor een pensioenfonds, asset manager, bank of verzekeraar is of deze activiteiten met interne mensen, met ZZP’ers of met bureaus ingevuld dienen te worden, of wat een ideale mix is.
Invullingsopties risicobeheersingsorganisatie
Advies risicobeheersingsorganisatie
De afgelopen jaren heeft Probability & Partners pensioenfondsen, verzekeraars, pensioenuitvoerders en banken geadviseerd over de invulling van (delen van) de risicomanagementfunctie. Het gaat over de vraag hoe de taken, bevoegdheden, verantwoordelijkheden en rapportagelijnen in te richten. Daarnaast gaat het over de vraag of deze activiteiten door vaste krachten, door ZZP’er of door een bureau verricht dienen te worden.
We hebben de afgelopen jaren geadviseerd over de Sleutelfuncties Risicobeheer en Interne Audit, de risicomanagementafdeling, modelvalidatie, modelrisicomanagement alsmede de CISO / ISO en de functionaris gegevensbescherming. Een aantal keer hebben we geholpen met het integraal opnieuw inrichten van het ‘drie lijnen’-model. Soms worden we door een instelling gevraagd om de gehele risicobeheersingsorganisatie te beoordelen en adviezen voor verbetering te geven, qua governance, bemensing, data & systemen, compliance met regelgeving, en kwaliteit van de risicomanagementoutput.
Risk of audit in managed service
Ook leveren we aan klanten risicomanagementdiensten in managed service. Dit houdt in dat we de risicobeheersactiviteiten of een deel daarvan permanent voor een klant invullen. De klant is daarmee ontzorgd. Het kan gaan om Sleutelfuncties RB en IA, de risk management-afdeling, modelvalidatie, modelrisicomanagement, maar ook de CISO / ISO en de functionaris gegevensbescherming kunnen in managed service worden ingevuld. Op dit moment beslaat managed service ongeveer de helft van onze dienstverlening. Het advieswerk over de inrichting en het doewerk in run in managed service versterken elkaar.
Voor- en nadelen bij bemensing
Een belangrijke vraag daarbij is of de risicomanagement of interne audit door vaste krachten, door ZZP’ers of door een bureau wordt ingevuld. Gegeven de behoeften, ambities en financiële draagkracht van de klant is één van de opties te prefereren. Op basis van onze ervaringen komen we tot een aantal overwegingen.
Om deze abstracte overwegingen wat kleur te geven, veronderstellen we dat we de risicobeheersingsfunctie van een middelgroot pensioenfonds moeten inkleuren. Wat zijn dan de overwegingen? Deze worden in de onderstaande tabel weergegeven.
Beknopte toelichting bij de tabel
Het betreft hier een indicatief voorbeeld voor een middelgroot pensioenfonds. Voor grote fondsen of andere sectoren kan de balans anders uitvallen. De kern is dat er een zorgvuldige afweging wordt gemaakt. De volgende overwegingen kunnen een rol spelen:
Expertise
Op het punt van expertise geven we de voorkeur aan een bureau. Hier werken vaak ervaren risk managers die in volle overgave voor dat vak gekozen hebben. Daarnaast geeft een omgeving met collega’s die hetzelfde werk verrichten bij andere klanten de mogelijkheid kennis te delen en professioneel te klankborden. We denken ook dat het bijna niet te doen is op alle risicodomeinen expertise in een persoon te verenigen. Indien de SFH RB op een deelgebied minder onderlegd is, dan kan die binnen het bureau de specialistische kennis aanroepen.
Onafhankelijkheid
Qua onafhankelijkheid geven we ook de voorkeur aan een bureau. Het bureau kan als het nodig is de klant laten gaan omdat de financiële consequenties wegvallen in het grotere geheel. Een vaste kracht of een ZZP’er zou vanwege het inkomensverlies bij ontslag voor kunnen kiezen de rug niet recht te houden wanneer dat wel nodig is.
Kennis organisatie
Voor wat betreft de kennis van de organisatie en het opvangen van informele signalen heeft een vaste kracht in beginsel de voorkeur. Voor alle varianten geldt overigens dat fysieke aanwezigheid kennis over en voeling met de klant enorm kan bevorderen.
De kosten per uur
Dezezijn het laagst voor de vaste kracht-variant en het hoogst voor de bureau-variant. De ZZP-oplossing zit daar tussenin. Mogelijk zijn de feitelijke kosten gelijk of zelfs lager omdat een bureau meer beschikbaar heeft qua kennis, templates en aanpak op basis van het werk dat bij andere klanten eerder is verricht. De rol kan dan in minder uren worden waargemaakt.
Continuïteit
De praktijk leert dat alle werknemers wel eens ziek worden of van baan wisselen. Als een bepaalde functie bij een financiële instelling door een of twee vaste mensen wordt ingevuld, dan zijn de ongemakken groot als er iemand uitvalt. Een bureau daarentegen heeft vaak het voordeel dat er meerdere consultants zijn met een vergelijkbare expertise en klantenkring. Als er iemand onverhoopt uitvalt, dan is vervanging vaak snel en makkelijk in te regelen.
Schaalbaarheid
Zoals gezegd zijn toenemende risico’s en extra regelgeving of toezicht slecht te plannen. Die overkomen je. In die gevallen is het prettig snel op te kunnen schalen qua capaciteit. De Wtp-transitie heeft bijvoorbeeld op veel plaatsen tot extra werk geleid. Dat zal de komende tijd naar onze verwachting ook gelden voor het mitigeren van geopolitiek risico.
Signalen van buiten
Het opvangen van relevante signalen van buiten gaat in beginsel makkelijker met meer dan met minder mensen. Indien kennisdeling goed georganiseerd is dan, heeft een bureau veelal meer ogen en oren dan een individu. Het kan daarbij gaan over IT-hacks, best practices, een andere of strengere opstelling van een toezichthouder, mogelijkheden om AI in te zetten et cetera.
Houden en vervullen in één oplossing?
Een aanpalend vraagstuk is of het sleutelfunctiehouderschap risicobeheer en de sleutelfunctievervulling bij één partij gelegd zou moeten worden. Dit geldt voor alle sleutelfuncties. Soms wordt gekozen om een bestuurder de rol van SFH Risicobeheer of Interne Audit te geven en wordt er een bureau ingehuurd voor de vervulling. Soms wordt voor Sleutelfunctiehouderschap en -vervulling een en dezelfde oplossing te gekozen, en ondergebracht bij een gespecialiseerd bureau. Soms wordt het sleutelfunctiehouderschap bij een ZZP’er belegd en wordt de vervulling door een bureau verzorgt. Ook spelen verschillende overwegingen een rol, waarbij in ieder geval ook geacht kan worden aan expertise, schaalbaarheid, continuïteit en kosten.
Procedures of inhoudelijkheid
Een laatste debat dat actueel is de laatste tijd, is wat exact wordt verwacht van de SFH Risicobeheer en de vervulling. Moet vooral gekeken worden naar een beperkt domein langs een procedurele as? Of moet in de breedte gekeken worden, primair langs de as van de inhoudelijkheid? We hebben daar de afgelopen jaren best veel discussies over langs zien komen. Soms beknelt het bestuur de SFH RB een beetje doordat gezegd wordt dat de SFH RB daar niet over gaat. Soms blijft de SFH RB ook wat te veel in het veilige procedurele hoekje ‘iedereen heeft er naar gekeken procedureel afgetekend dus het is goed’. Bij Probability & Partners zijn we van mening dat procedure en inhoudelijkheid beide belangrijk zijn, maar als het er om spant, dan moet de inhoudelijkheid het winnen van de procedurele overwegingen.
Conclusie
Risicomanagement is breed en inhoudelijk diep. Daarnaast is het onderworpen aan vaak strenge regelgeving en toezicht in een wereld waarin omvang en karakter van risico’s snel kunnen veranderen. De vraag is met welke mix van vaste mensen, flexibele staf en bureaus er een optimaal resultaat wordt bereikt voor de financiële instelling. Als voorbeeld hebben we de keuze uitgewerkt voor een middelgroot pensioenfonds.
De belangrijkste conclusie mag in ieder geval zijn dat de bemensing een bewust besluit is dat rekening houdt met ambities en financiële draagkracht om tot een passende oplossing te komen.
Deel dit bericht
Gerelateerde berichten
-
Lees meer over "DNB: Pensioentransitie en dekkingsgraad pensioenfondsen 1e kwartaal"DNB: Pensioentransitie en dekkingsgraad pensioenfondsen 1e kwartaal
-
Lees meer over "Dick Kamp: De Wtp vereist een meer gedifferentieerde en transparante benadering van risicomanagement"Dick Kamp: De Wtp vereist een meer gedifferentieerde en transparante benadering van risicomanagement
-
Lees meer over "Columbia Threadneedle: Risicopremies opkomende markten relatief stabiel"Columbia Threadneedle: Risicopremies opkomende markten relatief stabiel
-
Lees meer over "Aon: Dekkingsgraden pensioenfondsen onder druk door geopolitieke spanningen"Aon: Dekkingsgraden pensioenfondsen onder druk door geopolitieke spanningen
-
Lees meer over "Mirova: Markten krijgen te maken met toenemende risico’s onder de oppervlakte"Mirova: Markten krijgen te maken met toenemende risico’s onder de oppervlakte
-
Lees meer over "Columbia Threadneedle: 20 jaar LDI"Columbia Threadneedle: 20 jaar LDI
-
Lees meer over "Allianz Trade: Voorkom nieuwe energieklap met crisisdraaiboek"Allianz Trade: Voorkom nieuwe energieklap met crisisdraaiboek
-
Lees meer over "Optimix: Aandelenweging omlaag vanwege toenemende risico’s"Optimix: Aandelenweging omlaag vanwege toenemende risico’s
-
Lees meer over "Adam Barszczowski: Cyberrisico’s bij PUO’s – inzicht voor bestuurders"Adam Barszczowski: Cyberrisico’s bij PUO’s – inzicht voor bestuurders
-
Lees meer over "Vanguard: AI en rente bepalen de risico's en kansen dit jaar"Vanguard: AI en rente bepalen de risico's en kansen dit jaar