Risicocultuur - Accent Organisatie Advies

 ISICOCULTUUR
R
Together you make
the difference
Risicocultuur
Hoekunnenwederisicocultuurvaneenorganisatiebeschrijvenen
beïnvloeden.
Auteurs
CarlavanderWeerdtenFrankvanEgeraat
AccentOrganisatieAdvies
RISICOCULTUUR
Cultuurenrisicocultuurzijnsterkaanelkaargerelateerd.Decultuurvandeorganisatie
wordtgevormddoorhetgeheelvandenormenenwaarden,houdingenengedragingen
dieopalleniveausvandeorganisatiewordenuitgedragenennageleefd.Derisicocultuur
beschouwtdeorganisatiecultuurdooreen‘risicobril’enbenoemtdieaspectenvande
organisatiecultuurdievaninvloedzijnopdewijzewaaropmensenenteamsinde
organisatieomgaanmetrisico’sendebeheersingdaarvan.
Deafgelopenjarenisveelgeschrevenoverdenoodzaakvan
eengezondecultuurof‘risicocultuur’.Eenaantal
voorbeeldenhiervan:
„ IndevoorgesteldeaanpassingvandeNederlandse
1
CorporateGovernanceCode geeftdeCommissieaan
datnaarhaarmeningdeCodenadrukkelijkeraandacht
kanbestedenaancultuur.Hetbestuuris
verantwoordelijkvoorhetwaarborgenenstimuleren
vaneencultuurvanopenheidenaanspreekbaarheid.
Hetbestuurmoetdaaromzichbewustzijnvancultuur-
engedragsbepalendefactoren.
„ IneenrecentepapervanMcKinsey&Company‘The
2
futureofbankriskmanagement’ wordtrisicocultuur
genoemdalseenvandebelangrijksteonderdelenvan
goedrisicomanagementineenorganisatie.
„ Injuli2015verscheeneenrapportvandeG30metde
titel‘BankingConductandCulture–ACallforSustained
andComprehensiveReform’waarinwordtaangegeven
datproblemenindeculturelewaardenensubculturen
ingrotebankenhebbengeleidtotincidenten,grote
reputatieschadeeneenafbreukvanhetpublieke
vertrouwen.Deincidentenwarenuiteindelijkzeer
kostbaarvoordebetreffendeorganisaties.
Vaakblijfthetvervolgensonduidelijkwatprecieswordt
verstaanondercultuurofrisicocultuurenhoewedeze
cultuurkunnenbeschrijvenenbeïnvloeden.
Cultuurversusrisicocultuur
Cultuurenrisicocultuurzijnsterkaanelkaargerelateerd.De
cultuurvandeorganisatiewordtgevormddoorhetgeheel
vandenormenenwaarden,houdingenengedragingendie
opalleniveausvandeorganisatiewordenuitgedragenen
nageleefd.Derisicocultuurbeschouwtde
organisatiecultuurdooreen‘risicobril’enbenoemtdie
aspectenvandeorganisatiecultuurdievaninvloedzijnop
ACCENTORGANISATIEADVIES,JUNI2016
dewijzewaaropmensenenteamsindeorganisatie
omgaanmetrisico’sendebeheersingdaarvan.
Erbestaanvoor‘risicocultuur’verschillendedefinities.Wij
hanterendevolgendedefinitie:
“Risicocultuurishetgeheelvannormenenwaarden,de
houdingenengedragingenvanindividuenengroepeninde
organisatiediebepalenopwelkewijzerisico’sworden
geïdentificeerd,geanalyseerd,besprokenenbehandeld.Dit
geldtzowelvoorderisico’swaarmeedeorganisatiewordt
geconfronteerdalsderisico’sdiedeorganisatiebewust
neemt”.
Verschillendeorganisatieshebbenmodellenontwikkeld
voordebeschrijvingvanderisicocultuur.Voorbeelden
daarvanzijndeFinancialStabilityBoard(FSB),TheInstitute
ofRiskManagement(IRM),PWC,McKinsey,EY,Deloitteen
deGlobalAssociationofRiskProfessionals(GARP).Opbasis
vandezemodellenenonzeeigeninzichtenhebbenwijeen
modelvankerndimensiesen-factorengedistilleerddatde
risicocultuurvaneenorganisatiebeschrijft.
2
RISICOCULTUUR
Soft- en hard controls beïnvloeden de cultuur
1.
Modelvoordebeschrijvingentoetsingvande
risicocultuur
Leiderschap
a. Voorbeeldgedrag–Detoonaandetopvande
organisatie
Derisicocultuurbestaatuitverschillendeonderdelen:
Hetmanagementindeorganisatiemoeteenduidelijkbeeld
hebbenvandegewensterisicocultuurindeorganisatieen
hiernaarhandelen.Deeigenhandelingenengedragingen
inwoordendaadvandeleidingzettendaarbijdetoon.
Inzichthierinkanonderandereverkregenwordenvanuit
enquêtesondermedewerkers,360gradenfeedback
onderzoeken,etc.Anderebelangrijkesignalenkunnenzijn
dewijzewaaropindemediaoverdeorganisatiewordt
gesproken,ofdewijzewaaropmetklachtenvanklantenen
medewerkerswordtomgegaandoordeorganisatie.
b. Normenenwaarden–degedragsstandaardeninde
organisatie
Zowelsoftcontrolsalshardcontrolsbeïnvloedendecultuur
indeorganisatie.Dehardcontrolszijnmaatregelendie
goedwaarneembaarentoetsbaarzijn:zezijnalshetware
‘tastbaar’.Desoftcontrolszijndaarentegenmindergoed
waarneembaar.Softcontrolszijnmaatregelendie–meer
danhardcontrols–appellerenaanhetgedragenhet
persoonlijkfunctionerenvanmedewerkers.Softcontrols
wordendaaromookwelbehaviouralcontrolsgenoemd.
Deorganisatiemoeteenrisicocultuurcreërendieintegriteit
engezondrisicomanagementstimuleert,waarinhetuiten
vanverschillendemeningeneninvalshoekenmogelijkis.
Eengezonddebatleidttotbetererisicobeheersing.
Gewenstgedragmoetwordengestimuleerdenbeloond,
ongewenstgedragmoetwordengeadresseerd.
Belangrijkevoorwaardenvoorhetborgenvandenormen
enwaardenindeorganisatiezijn:
I.
II.
Softcontrolsondersteunendewerkingvanhardcontrolsen
kunnenookaanwezigzijnalsergeenhardcontrolszijn.
2.
Inditmodelomvatderisicocultuurdevolgendedimensies:
Eenduidelijkegedragscode
Medewerkerstevredenheidonderzoekenwaarin
vragenmetbetrekkingtotdegedragscode,
voorbeeldgedragenrisicobeheersingzijn
opgenomen
Risicoraamwerk
a. Risicobereidheid–derisico’sdiedeorganisatiebereidis
tenemen.
b. Derisicobereidheidvandeorganisatiewordtdoorhet
bestuurvastgesteldenvastgelegd.De
organisatiestrategieisinlijnmetdezerisicobereidheid.
Hetbestuurdienteenduidelijkerisicobereidheidte
formuleren(goedgekeurddoordeRaadvan
Commissarissen),dieeengoedeuitgangspositiedefinieert
ACCENTORGANISATIEADVIES,JUNI2016
3
RISICOCULTUUR
voordeorganisatiestrategieenhetbespreken,beheersen
ennemenvanrisico’sindeorganisatie.Vanbelangiste
toetsenofderisicobereidheidduidelijkis,haalbaarisendat
derisicobereidheidgeborgdisinde
besluitvormingsprocessen.
c. Risicobeleid–hetbeleid,deprocedures,deprocessenen
deinfrastructuurtenbehoevevanheteffectiefen
efficiëntbeheersenvanderisico’s.
Deorganisatiemoeteenduidelijkraamwerkhebbenvan
beleid,proceduresencontrolsindeprocessen.Derisico’s
opstrategisch,tactischenoperationeelniveauworden
daardoorgeïdentificeerd,geanalyseerd,afgewogenenop
eenadequatewijzebeheerst.Scenario’senstresstesting
spelenindieafwegingeenbelangrijkerol.Nietalleenhet
hebbenvanrisicobeleidisvanbelang,ookde
uitvoerbaarheidmoetbewaaktworden.Hetstellenvan
onuitvoerbareeisenleidttotongewenstgedrag(work-
arounds).
3.
Personeelsmanagement
a. Performancemanagement–hetpromotie-en
beloningsbeleidindeorganisatie.
Hetperformancemanagementindeorganisatiedient
vollediginlijnteliggenmetdenormenenwaardenende
risicobereidheidvandieorganisatie.Beloningenen
promoties/benoemingenterwijlhetgedragvande
betreffendemedewerkernietinlijnismetdenormenen
waardenenderisicobereidheidondermijneneengezonde
risicocultuur!
b. Ontwikkelingenopleiding–hetbeleidendeuitvoering
vanaannamevanpersoneel,trainingen
talentontwikkeling.
Hetaannemenvanpersoneeldatpastinderisicocultuur
vandeorganisatieisessentieel.Vervolgensmoeten
medewerkersblijvendwordengeëvalueerdengetrainden
dienenzijdemogelijkheidtehebbenzichverderte
ontwikkelen.Opdiemanierblijvenzijinstaatomsteeds
beterde(nieuwe)risico’steidentificerenentebeheersen.
4.
Transparantieenbesluitvorming
a. Informatie&communicatie–informatiedieeen
betrouwbaarentijdiginzichtgeeftindebestaandeen
nieuwerisico’s.
b. Informatieoverrisico’smoettijdiggecommuniceerd
wordennaardepersonen/afdelingenindeorganisatie
diedezeinformatienodighebbenvooreengoede
analyse,afwegingenbeheersingvanderisico’s.
Dezeinformatiewordtnietalleenuitinternebronnenmaar
ookuitexternebronnenverkregen.Betrouwbareentijdige
informatieencommunicatietenaanzienvanrisico’sis
essentieelvooreenjuistebeheersingvandezerisico’s.
Medewerkersmoetenzichvrijvoelenomrisico’ste
escalerenenmoetenwetenwelkewegdaarvoortevolgen.
Eenbelangrijkeindicatorvoorditpuntisdewijzewaarop
incidentenzijnbehandeldindeorganisatieendelessendie
daaruitwordengeleerd.
c. Besluitvormingmetvoldoende‘challenge’–duidelijke
besluitvormingtenaanzienvanrisico’s,waarbij
aandachtwordtbesteedaanverschillendescenario’sen
invalshoeken.Daarbijisopenheidvooralternatieve
gezichtspuntenessentieel.
Hetbewustzijnvanmogelijke‘cognitievebiases’inde
besluitvormingenhettoepassenvan‘debiasing’-technieken
isdaarbijvanbelang.
5.
Organisatie
a. Verantwoordelijkheden&governance–de
verantwoordelijkhedenenheteigenaarschap(ten
aanzien)vanrisico’szijnduidelijkbelegdinde
organisatie.
Perproceswordenderisico’scontinugemonitordenwordt
bekekenofnieuwerisico’smogelijkzijn.Deproceseigenaar
(eerstelijn)isverantwoordelijkvoordebeheersingvan
dezerisico’s.Detweedeenderdelijnindeorganisatie
hebbenookverantwoordelijkhedenindeze
risicobeheersing.
ACCENTORGANISATIEADVIES,JUNI2016
4
RISICOCULTUUR
Risicocultuur is in iedere organisatie aanwezig
Wathierookbijhoortisdatgedragdatnietpassendis
duidelijkeconsequentiesheeft(accountability).Dusnietdat
iemanddiegoedefinanciëleprestatieslevertmeteente
hoogrisicohiernietopwordtaangesproken.
b. Risicomanagementcompetenties–derisk&control
functiesindeorganisatiezijnadequaatingerichtmetde
juistecompetenties.
Dezecompetentiesverschuivensteedsmeernaar
analytische,adviserendeensamenwerkendevaardigheden
3
vanderisicomanagers .Daarnaastmoetderisk&control
functiegerespecteerdengewaardeerdwordenvoorhun
bijdrage.
IndevoorgesteldeaanpassingvandeNederlandse
CorporateGovernanceCodezijnhiervoordevolgende
voorstellenopgenomen:
“Degewenstecultuurenhetdaarbijbehorendegedrag
kunnenwordenvastgelegdineengedragscode.De
Commissiestelttenaanzienvancultuurdevolgendetekst
voorindenieuweGovernanceCode:
Hetbestuur:
Derisicocultuurineenorganisatiekannietinééndag
wordenveranderd.Ditvraagttijdvoorhetgezamenlijk
vaststellenvandegewensterisicocultuurendewijze
waaropditkanwordenbereikt.OliverWymanheeftde
ontwikkelingvaneenrisicocultuurbeschreveninhet
4
volgendeschema :
„ steltvoordevennootschapgezamenlijkewaarden
vastdiebijdragenaandelangetermijn
waardecreatie;
„ stelteengedragscodeopenspantzichindeze
codegedragentelatenwordendooralle
werknemersenanderebetrokkenenbijde
vennootschap.Degedragscodewordtopde
websitevandevennootschapgeplaatst;
„ draagtdecultuuruitdoorhetzettenvandejuiste
‘toonaandetop’enhettonenvan
voorbeeldgedrag.Hetbestuurlaatzienhetzelfde
teverlangenvananderenindevennootschap;
Eenrisicocultuurisiniedereorganisatieaanwezig,demate
waarindeorganisatieerbewustofonbewustopstuurt
verschilt.Deleiding(bestuureninternetoezichthouders)
bepaaltwelkerisicocultuurgewenstisenhoedezekan
wordenbereikt.Kritischezelfreflectieisdaarbij
onontbeerlijk.
„ vergewistzichvandewerkingvandegenomen
maatregelenvoordeinbeddingvandecultuur;en
„ stelteenregelingopvoorhetmeldenvan
(vermoedensvan)misstandenbinnende
vennootschapenplaatstdezeregelingopde
website
Gewensterisicocultuur
ACCENTORGANISATIEADVIES,JUNI2016
5
RISICOCULTUUR
Inhetbestuursverslaggeefthetbestuureentoelichtingop
dewijzewaaropinvullingwordtgegevenaaneencultuur
binnendevennootschapdieisgerichtoplangetermijn
waardecreatie”.
Dezevastleggingzalbijdragenaaneenrisicocultuur,maar
uiteraardblijvendesoftcontrols,hetdaadwerkelijke
gedragvanallemedewerkers(inclusiefdeleiding)het
bewijsvooreengezonderisicocultuur.
Referenties:
1
DeNederlandseCorporateGovernanceCode–Voorstel
voorherziening,11februari2016.www.mccg.nl
2
McKinsey&Company–Thefutureofbankrisk
management–Authoredby:Härle,Havas,Kremer,Rona&
Samandari-http://www.mckinsey.com/businessfunctions/risk/our-insights/the-future-of-bank-riskmanagement?cid=other-eml-alt-mip-mck-oth-1602
3
McKinsey&Company–‘Thefutureofbankrisk
management”–p.20
4
OliverWyman,“Gettingtotheheartofriskculturewithin
financialservices”-2014
ACCENTORGANISATIEADVIES,JUNI2016
6
RISICOCULTUUR
Risico-raamwerk
Leiderschap
Bijlage
Onderstaandetabelgeefteennaderetoelichtingvandeeerderbeschrevencultuurdimensies
Risicocultuur
factor
Voorbeeldgedrag
Belangrijksteonderdelen
• Gedrag,actiesen(verbale)
uitingen
• Gedrag,actiesen(verbale)uitingenvandeleidingzijninlijnmetde
gewensterisicocultuur
Normen&
waarden
• Degewensterisicocultuur
• Dehuidigerisicocultuur
Risicobereidheid
• Derisicobereidheid
• Hetactuelerisicoprofiel
Risicobeleid
• Risicomanagementbeleid,
proceduresenprocessen
• Risicoidentificatieen
analyse
• Risicomanagement
infrastructuur
• Beloning
• Prestatiemetingen
• Evaluatievanprestatiesen
hetdefiniërenvandoelen
• Variabelebeloning
• Degewensterisicocultuurisgedefinieerd
• Dehuidigerisicocultuurwordtbesprokenenvergelekenmetde
gewensterisicocultuur.Bijafwijkingenwordenmaatregelen
genomen
• Derisicobereidheidisgedefinieerdenwordtactiefgebruiktinde
besluitvorming
• Demissieendestrategievandeorganisatiezijninlijnmetde
risicobereidheid
• Hetactuelerisicoprofielwordtvoortdurendvergelekenmetde
risicobereidheid
• Risicomanagementbeleid,proceduresenprocessenzijn
gedefinieerd,wordenbijgehoudenenactiefgebruikt
• Risicoidentificatieenanalysewordenuitgevoerdopallelagenen
functiesindeorganisatie
• Deinfrastructuurvoorrisicomanagementiseffectief(juistedata
infrastructuur,dataarchitectuurenITinfrastructuur)
• Debeloningisinlijnmetdemissie,dedoelstellingenende
risicobereidheid
• Prestatiemetingenwordenuitgevoerdenbesprokenindeevaluaties
• Evaluatievanprestatiesenhetdefiniërenvandoelenvindtminstens
éénkeerperjaarplaats
• Variabelebeloningleidtniettothetnemenvanrisico’sdiebuitende
risicobereidheidliggen
• Aannameisinlijnmetdegewenstecultuur,gedragendevereiste
competenties
• Opleidingvanmanagementenmedewerkersiseenbelangrijk
onderdeelvoordeorganisatie
• Talentontwikkelingensuccessiebeleidisinlijnmetdegewenste
risicocultuur,gedragencompetenties
• 360°feedbackwordtverkregenenbesproken,o.a.tenbehoevevan
inzichtindeactuelerisicocultuur
• Teamworkenbetrokkenheidwordengestimuleerdenzijneen
belangrijkonderdeelvandeevaluaties
• Informatiem.b.t.risico’sisbetrouwbaar,volledigenwordtactief
gebruikt
• Risicoescalatieismogelijkenwordtgedaanindiennodig
• Iniederebesluitvormingwordtaandachtbesteedaanmogelijke
alternatieven
• ‘Challenge’tenaanzienvanrisicoinschattingenisgebruikelijk,wordt
gewaardeerdenmeegewogenindebesluitvorming
• Continuemonitoringvanrisico’sentekortkomingenisstandaard
• Escalatiemogelijkhedenvoorhetaangevenvanzorgen
(‘klokkenluiders’)zijnbekendenwordenindiennodiggebruikt
• Lerendvermogen:gemaaktefoutenleidentot‘lessenvoorde
organisatie’
Ontwikkeling&
opleiding
• Aannameen
indiensttreding
• Opleiding
• Talentontwikkelingen
successiebeleid
• 360°feedback
• Teamworken
betrokkenheid
Informatie&
communicatie
• Risicoinformatie
• Risicoescalatie
Transparantie&
besluitvorming
Personeelsmanagement
Performance
management
Besluitvormingen
lerendvermogen
Organisatie
Verantwoordelijkheden
Risico
management
competenties
Verwachtingen
• Aandachtvoor
alternatieven
• ‘Challenge’tenaanzienvan
risicoinschattingen
• Monitoringvanrisico’sen
tekortkomingen
• Escalatiemogelijkheden
voorhetaangevenvan
zorgen(‘klokkenluiders’)
• Lerendvermogen
• Verantwoordelijkheid
voelenentonen
• Controlefuncties
• Verantwoordelijkheidwordtdooriedereengevoeldengetoond
• Mensenwordenverantwoordelijkgesteldvoorhetnemenvante
groterisico’s,gevolgddoormaatregelenomherhalingtevoorkomen
• Controlefunctieszijnonafhankelijkvandeeerstelijnindeorganisatie
• Volwassenheidvandecontrolefunctiesiseenbelangrijk
aandachtspuntvoordeleiding.Debelangrijke‘Countervailingpower’
vandezefunctieswordtbewaaktengewaardeerd
• Voldoenderesourcesencompetenties/vaardighedenvande
controlefunctieswordenbewaakt
• Jobrotatiewordtgestimuleerdengedaanwaarmogelijk
• Volwassenheidvande
controlefuncties
• Beschikbareresourcesen
competenties/
vaardigheden
• Jobrotatie
ACCENTORGANISATIEADVIES,JUNI2016
7
RISICOCULTUUR
ACCENT ORGANISATIE ADVIES
AccentOrganisatieAdviesvoertadviesopdrachtenuitophetgebiedOperational
Excellence,RisicomanagementenFinancieelPerformanceManagement.Centraal
inonzeaanpakstaathetduurzaamverbeterenvanhetrendement,doormiddelvan
efficiencyverbeteringenrisicobeheersingsprogramma's.
DeadviseursvanAccentOrganisatieAdvieszijnervarenadviseursuitdepraktijk
enhelpenuhetbesteuituworganisatietehalen.Wijdoendatopeenpraktische,
betrokkeneninteractievemanier.Bijonzeaanpakspelendemedewerkersinde
organisatieeenbelangrijkerolenbestedenwijookaandachtaangedragencultuur.
Disclaimer
Nietsuitdezeuitgavemagwordenverveelvoudigd,opgeslagenineengeautomatiseerdgegevensbestand
en/ofopenbaargemaaktinenigevormofopenigewijze,hetzijelektronisch,mechanisch,doorfotokopieën,
opnamenofopenigeanderemanierzondervoorafgaandeschriftelijketoestemmingvanAccentOrganisatie
Advies.
ACCENTORGANISATIEADVIES,JUNI2016
8