Renze Munnik

Senior Risk Management Consultant

Risicomanagement intern of extern bemensen?

Door Renze Munnik, Senior Risk Management Consultant

Om je doelen te bereiken, is het belangrijk om adequaat risicomanagement in te richten. In de financiële sector wordt daarvoor doorgaans gebruik gemaakt van het Three Lines (of Defence) model.

In dat model houdt de tweede lijn toezicht op hoe de eerste lijn risicomanagement uitvoert. De vraag is hoe diep je er als tweede lijn inhoudelijk op induikt? Wat is de rolverdeling tussen de eerste en tweede lijn? Welke keuzes kun je daarbij maken?

De keuzes

Grofweg zijn er twee opties waar je uit kan kiezen. Bij de eerste optie beoordeelt de tweede lijn zelf alles inhoudelijk en geeft daar een inhoudelijk oordeel over, bij de tweede optie beoordeelt de tweede lijn wat de eerste lijn heeft gedaan. Welke keuze je maakt hangt vooral af van de visie die je zelf hebt op risicomanagement en van het niveau van volwassenheid.

Visie

Verschillende organisaties kijken op verschillende manieren aan tegen de vraag hoe je risicomanagement inricht. In de financiële sector wordt vooral gewerkt met het Three Lines of Defence model. Ik blijf nog maar even de ‘oude’ term hanteren, omdat die wijze van inrichten nog het meest wordt gebruikt.

Dat model gaat ervan uit dat de organisatie zelf (de eerste lijn) de risico’s beheerst en de tweede lijn daar toezicht op houdt. De derde lijn (audit) houdt daar dan weer toezicht op. En dat is dan nog los van intern toezicht, actuaris en accountant, die er ook nog een oordeel over moeten geven. Veel controle dus. En dat kan. Hoe meer mensen ernaar kijken, hoe kleiner de kans dat je iets over het hoofd ziet.

Maar het hoeft niet op die manier. Voordat ik in de financiële sector ging werken, zag ik buiten die sector veel organisaties die hun risico’s beheersten. En ook goed beheersten. En toch deden ze dat niet met drie, maar met twee linies: de business (eerste lijn) en internal audit. Het voornaamste verschil was dat het beheersen van de risico’s bij die organisatie in de lijnorganisatie verwerkt is. Het is een intrinsiek onderdeel van het werk.

Risicomanagement is niet alleen een functie of een taak, maar vooral een competentie. Internal audit beoordeelt geregeld of alle processen nog zo lopen zoals we hadden afgesproken en of wat we hadden afgesproken nog wel past bij de doelstellingen.

En daar is de afweging: maak je het een intrinsiek onderdeel van het werk, waarbij de organisatie ervan doordrongen is en uit zichzelf ‘het goede’ wil doen? Of willen we een extra slot op de deur en zetten we vóór internal audit nog een twee lijn die in een vroeger stadium de eerste lijn bij kan sturen?

De nadelen? Bij de eerste optie mis je de extra check. Dus als je niet zeker bent of het goed zal gaan, kom je er pas op een later moment achter. Maar een nadeel van veel toezichtsfuncties (de tweede optie) is dat bij elke laag die je erbovenop stapelt het verantwoordelijkheidsgevoel van de lagen daaronder vermindert. ‘Er kijken toch nog zoveel mensen naar’, en ‘kennelijk gaat het toch niet om wat ik ervan vind’. En bij iedere ‘hogere’/latere toezichtrol zal de kwaliteit van de controle afnemen, ‘want er hebben toch al heel veel mensen vóór mij naar gekeken’. Het is dus niet per se gezegd dat meer toezicht ook meer kwaliteit garandeert.

Volwassenheid

Een belangrijk aspect om mee te wegen, is de volwassenheid van de organisatie ten aanzien van risicomanagement. De eerste optie, die ik hiervoor schetste (minder toezichtsrollen), gaat er vanuit dat de organisatie al meer volwassen is in het omgaan met risico’s. Als het toezicht er minder dicht op zit, zal je eventuele misstappen immers pas later ontdekken. Bijsturen wordt lastiger en er is mogelijk al meer schade geleden. Dan past een model zoals de Three Lines of Defence beter.

Maar ook dan blijft de visie belangrijk. Als je het risicomanagement liever wel intrinsieker in de organisatie wilt hebben, maar de organisatie daar nog niet volwassen genoeg voor is, zal je daar bij de inrichting (en de uitvoering) van de three lines rekening mee moeten houden. De tweede lijn zal daar dan een meer ‘coachende’ rol innemen. Het moet immers gestimuleerd worden dat de eerste lijn zelf het risicomanagement oppakt en omarmt.

Een tussenvorm daarbij kan ook zijn door in de eerste lijn een expliciete risicofunctie te benoemen. Een eerstelijnsrisicomanager die de eerste lijn ondersteunt in zijn rol met betrekking tot het beheersen van de risico’s. Een risicomanager die in de eerste lijn opereert en hen vertelt welke zaken moeten gebeuren en hoe die aangepakt kunnen worden. De tweede lijn kan zich dan richten op de puur beoordelende rol.

De volwassenheid bepaalt ook in grote mate de wijze waarop de tweede lijn zaken beoordeelt. Gaat de tweede lijn er inhoudelijk een oordeel over vellen, of beoordeelt de tweede lijn vooral hoe de eerste lijn tot het voorstel is gekomen? Hoe volwassener de eerste lijn is in het risicomanagement, hoe meer de tweede lijn zich kan beperken tot het beoordelen van het proces. Wanneer het risicomanagement minder volwassen is, kan het verstandig zijn als de tweede lijn ook meer inhoudelijk meekijkt in het voorstel dat wordt gedaan.

Verplichting

Hoewel de keuze voor de inrichting van het risicomanagement puur een zaak voor de organisatie zelf is, is er nog wel wetgeving en is er nog wel een toezichthouder waar rekening mee gehouden moet worden. Zoals ik eerder beschreef dat goed risicomanagement ook kan zonder een tweede lijn, wordt de organisatie in deze keuze door wetgeving wel beperkt. Er moet in de financiële sector nou eenmaal een twee lijn ingericht worden. Maar, dan kan je er nog wel voor kiezen om (zoals beschreven bij de volwassenheid) de tweede lijn meer het proces te laten beoordelen in plaats van de inhoud van voorstellen.

Rol van de tweede lijn

De tabel hieronder geeft de opties weer zoals hierboven beschreven zijn, grofweg de keuzes waaruit je kan kiezen. En uiteraard zal je in de praktijk altijd zien dat je voor specifieke situaties een soort mengvorm kan/wil maken.

	Volwassen risicomanagement 1^e lijn
Visie	(Nog) niet	Wel
Intrinsiek	Coachende 2^e lijn, maar wel inhoudelijk oordeel Of: expliciete 1^e lijns rol, 2^e lijn beoordeelt vooral het proces (maar op kritieke punten wel inhoudelijk)	Geen 2^e lijn Bij wettelijke verplichting: 2^e lijn beoordeelt proces
Extra slot	2^e lijn oordeelt inhoudelijk	2^e lijn beoordeelt proces

Wat ik in dit stuk aan heb willen geven, is dat de invulling niet per se zo zwart-wit hoeft te zijn. Er is niet één manier om risicomanagement in te vullen. Ik hoop hiermee een aantal criteria te hebben gegeven om opties af te wegen waar je voor wilt kiezen, met als uiteindelijk doel de inrichting van het risicomanagement zo goed mogelijk bij de eigen organisatie aan te laten sluiten.