Niet-financiële risico’s onder controle?

In de laatste nieuwsbrief (april 2020) van De Nederlandsche Bank (DNB) heeft de toezichthouder de uitkomsten gepresenteerd van haar onderzoek naar operationele en IT-risico’s. Dit onderzoek toont aan dat bij een derde van de verzekeraars de beheersing van operationele risico’s onvoldoende is en dat bij de helft van de verzekeraars de beheersing van IT-risico’s onvoldoende is.

In deze blog besteden wij aandacht aan twee risicomanagementinstrumenten om het domein van de niet-financiële risico’s in opzet, bestaan en werking te versterken en te verdiepen. Om dit te doen wordt stil gestaan bij:

1. wat niet-financiële risico’s zijn;
2. het belang van thematische deep dive onderzoeken door de tweede lijn; en
3. uit welke elementen een goede risicoprofielrapportage bestaat.

Wat verstaan wij onder niet-financiële risico’s

Onder niet-financiële risico’s verstaan wij alle risico’s die niet worden gekwantificeerd onder het verzekeringstechnisch risico, marktrisico of tegenpartijrisico. Het gaat dus om de operationele én strategische risico’s van de organisatie. Dit maakt het een breed én divers onderwerp. In onderstaande tabel geven wij een niet-limitatieve opsomming.

Een niet-limitatieve opsomming van risico’s

• Financiële rapportage risico
• Bedrijfscontinuiteit
• Integriteitsrisico’s
• Menselijk handelen
• Cultuur & Governance

Van al deze niet-financiële risicogebieden dient men na te gaan wat het eigen normenkader is, vastgesteld door de Raad van Bestuur. Een middel om dit inzicht te krijgen zijn zogeheten thematische deep dive onderzoeken.

Deep dive onderzoek door de tweede lijn (Risk, Compliance en Actuariaat)
In een deep dive onderzoek vormen de risicohouding, risicobereidheid en tolerantiegrenzen een belangrijk startpunt, oftewel uw eigen normenkader. Een verzekeraar moet ten eerste vaststellen of dit normenkader voor de niet-financiële risico’s is gedefinieerd. Onderstaande tabel geeft de kernvragen weer om uw eigen normenkader te bepalen.

Nadat het normenkader is gedefinieerd is het voor verzekeraars essentieel om voor elk van de bovengenoemde risico’s écht te begrijpen wat de drivers zijn voor uiting van het betreffende risico. Voor elke driver moeten voldoende beheersmaatregelen zijn ingericht om te voorkomen dat de organisatie wordt blootgesteld aan het risico. Bij dit onderzoek kan ook gebruik worden gemaakt van externe normenkaders. Wist u bijvoorbeeld dat DNB een toetsingskader voor informatiebeveiliging heeft gepubliceerd?

De uitkomsten van de deep dive onderzoeken helpen de organisatie bij het:

1. benoemen van concrete acties ter concretisering van uw eigen normenkader en controle van de omgeving; en
2. acceptatie van het restrisico door beleidsbepalers.

Risicoprofielrapportage
Het doel van de risicoprofielrapportage over de niet-financiële risico’s is om de Raad van Bestuur en de Raad van Commissarissen in staat te stellen effectief inzicht te hebben in het risicoprofiel. Om dit inzicht te creëren is het essentieel dat de eerste lijn inzicht heeft in de risico’s die zij loopt, managementacties benoemt om risico’s te mitigeren en hierover rapporteert aan de organisatie. De tweedelijnsfuncties: risicomanagement, compliance en actuariaat beoordelen de eerste lijn activiteiten en verzorgen een onafhankelijke rapportage, ieder voor hun eigen vakgebied, waarin ze het risicoprofiel samenvatten en een oordeel geven over de beheersing van de risico’s. Ook presenteert de rapportage de uitkomsten van thematisch onderzoek, incidenten en uitkomsten van periodieke gesprekken met de eerste lijn.

Samenvattend
Heeft u een normenkader voor uw niet-financiële risico’s die expliciet zijn geaccordeerd door de Raad van Bestuur en gemeten kunnen worden aan de hand van uw risicoprofiel? Heeft u inzicht in de mate waarin de controle-omgeving de drivers van de niet-financiële risico’s afdekt?

Disclaimer
Hoewel deze blog met grote zorgvuldigheid is samengesteld, aanvaarden AethiQs B.V. en alle andere entiteiten, samenwerkingsverbanden, personen en praktijken die handelen onder de naam ‘AethiQs’, geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit deze uitgave zonder hun medewerking. De aangeboden informatie is bedoeld ter algemene informatie en kan niet worden beschouwd als advies.