| |
Onderwerp |
| |
|
Hoofdvragen en subvragen |
| 1 |
RISICOCULTUUR: ‘TONE AT THE TOP’ |
| 1.1 |
Voelt de Raad van Bestuur (RvB) zich verantwoordelijk voor en is de RvB gecommitteerd aan RM? |
| |
1.1.1 |
Is RM expliciet als aandachtsgebied toegewezen aan individuele RvB leden (bijv. een aparte Chief Risk Officer (CRO), of een CRO in combinatie met andere taken; wenselijkheid afhankelijk van context)?Zijn afdelingsoverschrijdende processen toegewezen aan individuele RvB leden (denk aan business continuity management, informatiebeveiliging, financiële processen)? |
| |
1.1.2 |
Is de RvB betrokken bij de in de organisatie aanwezige risico-overleggen/gremia (bijv.RM commissie)? |
| |
1.1.3 |
Is RM een standaard agendapunt tijdens bestuursvergaderingen en wordt RM in deze vergaderingen serieus genomen (wordt voldoende tijd aan het RM-agendapunt besteed)? |
| |
1.1.4 |
Worden medewerkers aangesproken op overschrijdingen van risicotoleranties en worden structurele maatregelen ter verbetering getroffen om herhaling van de overschrijding te voorkomen? |
| 1.2 |
Maakt de RvB op zichtbare manier het belang van RM duidelijk naar de rest van de organisatie? |
| |
1.2.1 |
Overlegt de RvB regelmatig met RM afdeling(en) en Raad van Commissarissen (RvC)? |
| |
1.2.2 |
Spreekt de RvB personen die RM niet serieus nemen aan en treft de RvB zonodig maatregelen? |
| |
1.2.3 |
Is elke medewerker in de organisatie (niet alleen RM-medewerkers) zich goed bewust van zijn verantwoordelijkheid voor RM? |
| 1.3 |
Bewaakt de RvB de onafhankelijkheid van de RM functie? |
| |
1.3.1 |
Respecteert de RvB de (formeel) onafhankelijke status van de RM functie? |
| |
1.3.2 |
Waardeert de RvB de onafhankelijke en kritische opstelling van RM functie? |
| 1.4 |
Hoe gaat de organisatie om met fouten en het signaleren en aan dragen van risico’s? |
| |
1.4.1 |
Wordt het maken en melden van fouten afgestraft of wordt dit getolereerd mits ervan geleerd wordt? |
| |
1.4.2 |
Wordt het signaleren en aandragen van risico’s afgestraft of gewaardeerd? |
| |
Good practice – “Risico-trofee”Bij een verzekeraar wordt periodiek een beloning (in de vorm van een “risico-trofee”) uitgeloofd voor degene die het meest interessante risico heeft gesignaleerd en aangedragen in de risico-overleggen. Op deze wijze wordt richting de organisatie duidelijk gemaakt dat het belangrijk is om risico’s te signaleren en dat dit gewaardeerd wordt. |
| 1.5 |
Vindt weloverwogen besluitvorming plaats waarbij RM een belangrijke rol speelt? |
| |
1.5.1 |
Worden de door de organisatie gesignaleerde risico's serieus betrokken in de afwegingen bij de besluitvorming? |
| |
1.5.2 |
Laat de RvB het oordeel van de CRO/Centrale Risk Manager (CRM) meewegen in de besluitvorming en wordt bij afwijking van het advies vastgelegd waarom is afgeweken? |
| |
Good practice - Verankeren oordeel RM-functie in strategische besluitvormingDe agenda en onderliggende stukken van de RvB vergaderingen worden ook naar de centrale risicomanager verstuurd, die op deze manier in staat wordt gesteld om (in veel gevallen gevraagd, maar ook ongevraagd) zijn oordeel te geven over de risico’s van bepaalde besluiten. |
| 1.6 |
Voelt de RvC zich verantwoordelijk voor en is de RvC gecommitteerd aan RM? |
| |
1.6.1 |
Hoeveel belang hecht de RvC aan RM? Staat het onderwerp regelmatig op de agenda en wordt diepgaand gediscussieerd over RM (wordt voldoende tijd aan het RM-agendapunt besteed)? |
| |
1.6.2 |
Heeft de RvC een Risk- en/of Auditcommissie waarin risicomanagement expliciet is belegd? Naarmate Deze vraag is alleen van toepassing op RvC's van grote, complexe (beursgenoteerde) ondernemingen. |
| |
1.6.3 |
Heeft de Risicomanagement- en/of Auditcommissie waarin risicomanagement expliciet is belegd adequate toegang tot informatie (inclusief, waar relevant, extern advies) over de risicosituatie van de onderneming? Ontvangt de Risicomanagement- en/of Auditcommissie periodiek (in)formele rapportages van de CRO/CRM? |
| |
1.6.4 |
Spreekt de RvC de RvB aan op de kwaliteit van het RM (denk aan strategie, beleid, inrichting van de RM functie en opzet en werking RM processen). |
| |
| 2 |
RISICOSTRATEGIE EN –BELEID |
| 2.1 |
Heeft de onderneming de risicobereidheid en -tolerantie gedefinieerd en is deze formeel vastgesteld? |
| |
2.1.1 |
Zijn de absolute risico's die de onderneming a priori bereid is te nemen (de risicobereidheid) gedefinieerd en formeel vastgesteld?Zijn de risicotoleranties (de feitelijke limieten die een onderneming hanteert gegeven de risicobereidheid) helder en meetbaar gedefinieerd naar de verschillende risicogebieden en vastgesteld? |
| |
2.1.2 |
Is het beloningsbeleid van de onderneming consistent met de risicobereidheid en-tolerantie? |
| |
Good practice – Risicobereidheid en -tolerantiesVeel verzekeraars hebben voor de financiële, eenvoudig te kwantificeren risicogebieden de risicobereidheid gedefinieerd en doorvertaald in risicotoleranties op operationeel niveau. Voor niet-financiële risicogebieden, zoals operationeel risico of reputatierisico, wordt dit vaak achterwege gelaten, omdat deze moeilijk te kwantificeren zijn. Ook voor deze risicogebieden is het goed mogelijk om de risicobereidheid te definiëren. Voor reputatierisico kan bijvoorbeeld gedacht worden aan “Maximaal 1 keer per jaar een negatieve publicatie over de verzekeraar in een landelijk dagblad” of voor operationeel risico “Maximaal 1 keer per 5 jaar een uitval van het ICT kernsysteem van maximaal 24 uur”. |
| 2.2 |
Heeft de onderneming de risicostrategie en het risicobeleid gedefinieerd en zijn deze formeel vastgesteld? |
| |
2.2.1 |
Heeft de onderneming een duidelijke risicostrategie die past bij het risicoprofiel van de onderneming?Is er een mechanisme om de strategie actueel te houden?Is de risicostrategie formeel vastgesteld door de RvB? |
| |
2.2.2 |
Is het risicobeleid per risicogebied beschreven en bezien op samenhang met alle risicogebieden en met de risicostrategie? |
| |
2.2.3 |
Is het risicobeleid formeel vastgesteld met betrokkenheid van lijnmanagement en RM functie?Is het risicobeleid formeel bekrachtigd door de RvB? |
| |
2.2.4 |
Is de risicostrategie en -beleid doorvertaald in SMART geformuleerde doelstellingen voor managers en medewerkers?Zijn de KPI's afgeleid van de strategische doelstellingen en risico's? |
| |
2.2.5 |
Heeft de onderneming een goed gedocumenteerd en vastgesteld beleid voor nieuwe producten (product approval policy) waarin de ontwikkelingen van nieuwe markten, producten en diensten en significante veranderingen t.o.v. bestaande markten, producten en diensten wordt beschreven? |
| |
2.2.6 |
Heeft de onderneming duidelijke plannen opgesteld en vastgelegd om voortzetting van de uitvoering van het bedrijf te garanderen en verliezen te beperken in geval van een ernstig incident (“business resilience and continuity plans”). |
| 2.3 |
Worden risico's gemanaged in overeenstemming met strategie, beleid en risicobereidheid/-toleranties? |
| |
2.3.1 |
Wordt de effectiviteit van de strategie, het beleid, de risicobereidheid/-toleranties periodiek herzien? |
| |
2.3.2 |
Worden afwijking van strategie, beleid en risicobereidheid/-toleranties gedocumenteerd?Worden maatregelen ter voorkoming van herhaling genomen (of vormen afwijkingen reden tot aanpassing van strategie, beleid of risicobereidheid/-toleranties)? |
| |
| 3 |
INRICHTING VAN DE RM FUNCTIE |
| 3.1 |
Zijn de risicogebieden expliciet toegewezen aan verantwoordelijken? |
| |
3.1.1 |
Zijn alle risicogebieden (per type risico en/of per businessdomein/proces) expliciet toegewezen aan de RvB leden?Zijn alle risicogebieden doorvertaald naar relevante managementniveaus?Wordt deze verdeling periodiek geëvalueerd/herzien? |
| |
3.1.2 |
Zijn taken, bevoegdheden verantwoordelijkheden voor risico's en processtappen vanuit integrale procesketens toegewezen aan het operationeel management? |
| |
3.1.3 |
Zijn RM-medewerkers betrokken bij de evaluatie van de impact van materiele veranderingen of buitengewone transacties op het overall risicoprofiel van de onderneming of een groep van ondernemingen voordat beslissingen over dergelijke veranderingen of transacties worden genomen? |
| 3.2 |
Worden alle RM activiteiten door één persoon hoog in de organisatie aangestuurd? |
| |
3.2.1 |
Is sprake van centrale aansturing van alle RM activiteiten door één persoon hoog in de organisatie (CRO of CRM)? |
| |
3.2.2 |
Vallen de riskmanagers onder functionele verantwoordelijkheid van deze persoon? |
| |
3.2.3 |
Gaan rapportages over risico’s naar zowel het lijnmanagement als naar de CRO of CRM? Komen alle rapportagelijnen over risico’s bij de CRO / Centrale RM bijeen? |
| |
3.2.3 |
Is sprake van een heldere afbakening verantwoordelijkheden en bevoegdheden in het geval dat riskmanagers ook aan directeuren (van afdelingen/BU's) rapporteren? |
| |
3.2.4 |
Krijgt de RvB, RvC/Risk Committee van de RM-functie kwalitatief hoogwaardige rapportages over risico's en mogelijke beheersmaatregelen?Heeft de RM functie toegang tot alle noodzakelijke informatie/systemen om de onderbouwing van de rapportages te kunnen verifiëren? |
| |
|
Good practice – Geïntegreerde rapportagesAlle risicogebieden (financiële en niet-financiële) komen samen bij de CRO / Centrale RM die daarover een geïntegreerde rapportage uitbrengt richting de organisatie, waarin een totaalbeeld van het risicoprofiel van de organisatie wordt gecommuniceerd. |
| 3.3 |
Heeft de CRO/Centrale RM voldoende status en invloed door zijn/haar formele positie in de organisatie? |
| |
3.3.1 |
Is de rol van de RM functie voor de organisatie helder en eenduidig gedocumenteerd / geformaliseerd? |
| |
3.3.2 |
Heeft de CRO/Centrale RM directe toegang tot RvB? |
| |
3.3.3 |
Is de CRO/Centrale RM betrokken in relevante besluitvorming?Heeft hij/zij vetorechten en/of escalatiemogelijkheid naar de RvC? |
| |
3.3.4 |
Heeft de CRO/Centrale RM voldoende toegang tot RvC (periodieke formele momenten, evt. via risico en/of audit committee)? |
| |
Good practice - Rechtstreeks bilateraal contact tussen de Centrale RM en voorzitter van de Auditcommissie/voorzitter RvCBij meerdere verzekeraars heeft de centrale RM (meestal onder het niveau van de RvB) periodiek (1x per half jaar of 1x per kwartaal) een bilateraal gesprek met de voorzitter van de Auditcie of voorzitter van de RvC. Het voordeel hiervan is dat de hoogste 2e lijnsfunctionaris op informele wijze, rechtstreeks en zonder aanwezigheid van andere belanghebbenden van gedachten kan wisselen met de RvC over risico’s. |
| 3.4 |
Is de CRO/Centrale RM onafhankelijk van commerciële en operationele activiteiten? |
| |
3.4.1 |
Heeft de CRO/Centrale RM een formele (hiërarchische) en feitelijke onafhankelijkheid van commerciële en operationele (incl. vermogensbeheer, beleggingen etc.) activiteiten/belangen? |
| |
3.4.2 |
Draagt de CRO/Centrale RM geen dubbele petten (zoals combinatie CRO/CFO of CRO/financieel directeur)?Indien dit wel het geval is, worden voldoende checks and balances ingebouwd om de potentiële belangentegenstelling tussen deze petten afdoende te managen? |
| |
3.4.3 |
Is de variabele beloning van de mensen die werkzaam zijn in de RM-functie (inclusief CRO/Centrale RM) onafhankelijk van commerciële en operationele resultaten?Ondersteunen de structuur/hoogte van de beloningen de onafhankelijkheid van de (medewerkers in de) RM functie? |
| 3.5 |
Beschikken de CRO/Centrale RM en riskmanagers op afdelings-/divisieniveau over voldoende deskundigheid (kennis, vaardigheden en professioneel gedrag)? Passen zij dit aantoonbaar toe in de praktijk? |
| |
3.5.1 |
Beschikken de CRO/Centrale Riskmanagers en decentrale riskmanagers over voldoende deskundigheid (functiespecifieke kennis en vaardigheden [besluitvorming, onafhankelijke oordeelsvorming, overtuigingskracht etc.] en professioneel gedrag [rechte rug, stevige persoonlijkheid])? |
| 3.6 |
Op welke wijze vullen de CRO/Centrale RM en decentrale riskmanagers hun rol in? |
| |
3.6.1 |
Heeft de RM functie een actieve, kritische rol bij het identificeren en kwalificeren van risico's in de verschillende fasen (identificatie, monitoring, bijsturen)? [Dit betekent dat RM geen genoegen neemt met: bagatelliserende risico-inschattingen; overschatting van/onvoldoende onderbouwing van beheersmaatregelen; zwakke bijsturing]. |
| |
3.6.2 |
Heeft de RM functie gevraagd en ongevraagd een actieve, kritische rol en rechte rug bij besluitvorming? |
| 3.7 |
Is er voldoende capaciteit beschikbaar voor de RM functie (CRO/Centrale RM en decentrale riskmanagers)? |
| |
3.7.1 |
Maakt de organisatie maakt voldoende capaciteit en middelen vrij voor de RM functie en is de benodigde infrastructuur aanwezig? |
| |
3.7.2 |
Heeft de CRO/Centrale RM voldoende tijd voor effectieve aansturing RM activiteiten en decentrale riskmanagers? |
| |
3.7.3 |
Slaagt de onderneming erin om gekwalificeerd personeel voor RM aan te trekken / te behouden? |
| 3.8 |
Is RM is een aantrekkelijke functie binnen de onderneming? |
| |
3.8.1 |
Zijn de beloningen voldoende om gekwalificeerd personeel voor RM aan te trekken / te behouden? |
| |
3.8.2 |
Hebben riskmanagers voldoende promotiemogelijkheden (opbouwfase carrière, mix junior/senior, MD traject) binnen de onderneming? |
| |
| 4 |
OPZET VAN RISICOPROCESSEN |
| 4.1 |
Is sprake van een holistische benadering / integrale beheersing van alle relevante risico’s? |
| |
4.1.1 |
Heeft de onderneming een totaaloverzicht van alle relevante risico’s en worden deze in onderlinge samenhang beschouwd? |
| |
4.1.2 |
Dekken de afdelingen die zich bezig houden met RM gezamenlijk alle risicogebieden af? |
| |
4.1.3. |
Begrijpt de onderneming de samenhang tussen de verschillende risico's?Blijkt uit de risicoanalyse op welke wijze de verschillende risico's t.o.v. elkaar worden gewogen? |
| |
4.1.4 |
Werken de afdelingen die zich bezig houden met RM samen?Nemen deze afdelingen in onderling overleg besluiten over risicobeheersing? |
| 4.2 |
Zijn de risicomanagementprocessen kwalitatief hoogwaardig en effectief? |
| |
4.2.1 |
Is sprake van adequate kwaliteitsborging van de risicomanagementprocessen? |
| |
4.2.1.1 |
Zijn de risicomanagementprocessen beschreven en worden deze periodiek herzien/geëvalueerd? |
| |
4.2.1.2 |
Is het eigenaarschap van primaire processen (incl. risicobeheersing binnen deze processen) expliciet toegewezen op basis van procesketens?Worden de risico's van procesketens gemonitord? |
| |
4.2.1.3 |
Wordt de opzet en werking van de risicomanagementprocessen [= de onderwerpen A t/m F onder 4.2.2] periodiek getoetst door Rm-functie (check 1e lijn) en Iad (check 1e en 2e lijn) en leidt dit tot effectieve bijsturing waar nodig? |
| |
4.2.1.4 |
Neemt de interne audit van het risicoproces interne en externe ontwikkelingen mee, zoals balans- en omzetgroei, toegenomen complexiteit van de bedrijfsactiviteiten, het risicoprofiel, de operationele structuur, geografische uitbreiding etc.? |
| |
4.2.1.5 |
Heeft de afdeling interne audit toegang tot alle relevante documenten en informatie van alle operationele en controlerende afdelingen? |
| |
4.2.2 |
Zijn de risicomanagementprocessen adequaat opgezet? |
| |
|
Good practice – Actieve toetsende rol RM-functie in primaire processenTijdens het onderzoek is een voorbeeld gesignaleerd van strak geregelde processen en procedures waarin de 2e lijn (risicomanagement) een actieve toetsende rol heeft. Risicomanagement is hier sterk verankerd in de dagelijkse werkwijze en dit leidt tot een hoge mate van risicobeheersing. Een dergelijke werkwijze levert het meeste rendement op wanneer sprake is van acceptatie van complexe risico’s en/of maatwerkcontracten, waarvan het risicoprofiel situationeel varieert. |
| |
A |
Adequate risico-identificatie |
| |
4.2.2.1 |
Worden alle risico's op gestructureerde wijze in onderlinge samenhang geïdentificeerd? |
| |
4.2.2.2 |
Worden de materiele risico’s die voortvloeien uit de complexiteit van de juridische structuur van de onderneming of groep van ondernemingen geïdentificeerd? |
| |
4.2.2.3 |
Wordt bij het identificeren van risico’s gebruik gemaakt van forward-looking (stress tests en scenario-analyse) en backward-looking instrumenten? |
| |
|
Good practice - Vastleggen en rapporteren van operationele verliezenBij een aantal (complexere) verzekeraars worden verliezen als gevolg van operationele fouten geregistreerd in een centrale database op basis waarvan periodiek en bij grote incidenten incidenteel wordt gerapporteerd. Een dergelijke registratie kan een goed hulpmiddel zijn om de operationele verliezen inzichtelijk te krijgen en het operationeel risico te kunnen kwantificeren. Kanttekening is wel dat tijdens het thema onderzoek de feitelijke werking niet is onderzocht. |
| |
4.2.2.4 |
Worden alle transacties met ‘related parties’ meegenomen in de analyse en worden de risico’s die zij in zich dragen (feitelijk of hypothetisch) geïdentificeerd en adequaat beoordeeld? |
| |
4.2.2.5 |
Wordt bij de risico-identificatie input vergaard van alle belanghebbenden? |
| |
4.2.2.6 |
Worden risico's en kansen teruggeleid naar de strategie en risicobereidheid?Leidt dit aantoonbaar tot bijstelling of gemotiveerd tot niet bijstellen? |
| |
4.2.2.7 |
Wordt het risicoprofiel van de onderneming binnen de limieten van de risicobereidheid en –tolerantie gehouden?Worden eventuele overtredingen van deze limieten op effectieve wijze opgepakt?Als deze niet worden opgepakt, zijn hier dan goede redenen voor? |
| |
B |
Adequate risicoschatting |
| |
4.2.2.8 |
Wordt voor alle geïdentificeerde risico's een inschatting gemaakt van kans en impact? |
| |
4.2.2.9 |
Worden bij deze inschatting gecorreleerde risico's gewogen meegenomen? |
| |
C |
Adequate bepaling van beheersmaatregelen |
| |
4.2.2.10 |
Worden voor alle significante (inherente) risico's afwegingen gemaakt of beheersingsmaatregelen noodzakelijk zijn? |
| |
4.2.2.11 |
Worden indien noodzakelijk beheersingsmaatregelen bepaald en verantwoordelijken voor de uitvoering van de beheersmaatregelen benoemd? |
| |
D |
Adequate uitvoering van beheersmaatregelen |
| |
4.2.2.12 |
Worden risicomitigerende maatregelen door RvB of het management beoordeeld?Wordt daar waar nodig wordt de frequentie van de beoordeling aangepast? |
| |
4.2.2.13 |
Beoordelen RM functie en/of Iad periodiek de werking van de beheersmaatregelen?Wordt daar waar nodig de frequentie van de beoordeling aangepast? |
| |
E |
Adequate monitoring en evaluatie van beheersmaatregelen |
| |
4.2.2.14 |
Wordt periodiek getoetst of de beheersing in lijn is met de risicobereidheid en –toleranties?Is de rapportage hiervan beschikbaar voor RvB en RvC? |
| |
4.2.2.15 |
Zijn er risicorapportages beschikbaar op strategisch - tactisch- en operationeel niveau?Beschikken de RvB en management over geschikte, tijdige, actuele, accurate en toegankelijke informatie, zodat risico's kunnen worden geïdentificeerd en beslissingen kunnen worden genomen? Sluit deze informatie aan op de beoogde doelstellingen? |
| |
4.2.2.16 |
Worden risicorapportages (en bevindingen uit rapportages Iad en externe accountant) periodiek inhoudelijk (met voldoende diepgang) besproken en vastgesteld door de RvB?Vindt hierover ook inhoudelijke bespreking plaats tussen RvB, management en medewerkers, externe accountant, RvC (Audit Committee) en externe toezichthouders (o.a. DNB)? |
| |
F |
Adequate bijsturing n.a.v. monitoring en evaluatie |
| |
4.2.2.17 |
Worden n.a.v. de risicorapportages oorzaken onderzocht en structurele maatregelen getroffen? |
| |
4.2.2.18 |
Wordt de voortgang van de implementatie van deze maatregelen gevolgd? |
