Terug naar media

Ontwikkelingen risk management in de eerste lijn (business)


Artikel: Ontwikkelingen risk management in de eerste lijn (business)

Als Senior Operational Risk Manager (a.i.) ben ik al ruim 10 jaar bezig met het beheersen van bedrijfsprocessen. Dat doe ik door werkzaamheden zoals het inrichten van risk frameworks in de 1e lijn bij de bank waar ik, via Octas, werkzaam ben. In dit artikel licht ik je graag toe welke ontwikkelingen en uitdagingen ik ervaar in het beheersen van bedrijfsprocessen vanuit de 1e lijn. Het is een (snel) veranderende omgeving door onder andere agile werken en de verschuiving van taken en verantwoordelijkheden van de 2e naar de 1e lijn. Dit zorgt voor de nodige uitdagingen.

De verdedigingslinie verplaatst

Het ‘Three Lines of Defence’ model (3 LoD) wordt al enige jaren toegepast bij financiële instellingen voor een betere beheersing van bedrijfsprocessen en daaraan verbonden risico’s. Vóór de intrede van dit model lagen de taken ten aanzien van het operationele risicomanagement (ORM) met name in de 2e lijn en voelde de 1e lijn zich hier niet verantwoordelijk voor. Het 3 LoD model heeft hier verandering in aangebracht door de verantwoordelijkheid van het beheersen van risico’s te verschuiven van de 2e naar de 1e lijn. In deze transitie, die de afgelopen jaren heeft plaatsgevonden, heeft de 1e lijn te maken met een grote uitdaging in het inrichten en onderhouden van het eigen operational risk framework.

Hulp van de 1½ lijn

De 2e lijn verzorgt nog altijd het ORM beleid. Zij adviseert de 1e lijn over het te voeren en beleid en rapporteert aan het (hoogst) verantwoordelijke orgaan over de status en ontwikkelingen. Als tussenfase is, in dit geval, een soort 1½e lijn gecreëerd. Deze lijn bestaat formeel niet binnen het 3 LoD-model, maar is vaak gepositioneerd in de 1e lijn met een functionele connectie naar de 2e lijn. Deze 1½ lijn heeft als doel de 1e lijn te begeleiden met (1) het implementeren van risk frameworks, (2) het testen van de belangrijkste beheersingsmaatregelen (key controls, bijvoorbeeld gericht op de 5 grootste risico’s van de organisatie) en (3) het ondersteunen bij het op orde krijgen van het operational riskmanagementsysteem dat door alle 3 de lijnen wordt gebruikt.

In control blijven

Bij deze organisatorische verandering komen een flink aantal uitdagingen kijken. Zo zijn taken en verantwoordelijkheden overgekomen door de 1e lijn van de 2e lijn, maar niet de capaciteit en kennis die nodig zijn voor goede procesbeheersing. Daarnaast zijn de betreffende teams steeds meer agile gaan werken. Echter, het beheersen van risico’s staat niet met een hoge prioriteit op de backlog. Bovendien zorgen personeelsverloop en personeelswisselingen ervoor dat proceskennis en risicobeheersing makkelijk verloren kan gaan. Door deze ontwikkelingen wordt het moeilijker om aan te tonen dat de afdelingen in control zijn van de risico’s.

Risk als agendapunt

De uitdaging van de Operational Risk Functionarissen in de 1e lijn is om de business vertegenwoordigers (Product Owners) mee te krijgen in het opzetten, inrichten en beheersen van hun eigen risico’s en weerstanden daartegen te doorbreken. Het is belangrijk dat zij de relevantie hiervan inzien om zo op de agenda te komen bij de sprintplanningen. Een goede governance en duidelijke afspraken omtrent eigenaarschap van processen helpen om het operational control framework gedragen en geïmplementeerd te krijgen. De aanwezigheid en een sterke positie van Operational Risk Functionarissen in de 1e lijn, die zelf ook in staat zijn om agile te werken, is daarbij van cruciaal belang.

Robert Molenkamp,
Senior Risk Manager (a.i.) bij Octas