Wie beoordeelt de risico’s van de Vereende?

12-09-2018 - De Vereende biedt oplossingen voor bijzondere risico’s en schades. We zijn dus erg bedreven in het identificeren en beoordelen van risico’s. Maar hoe gaan we eigenlijk om met de risico’s voor onze eigen organisatie? En hoe stellen we die vast? Deze vragen hebben we gesteld aan onze Compliance & Risk Officer José Thielen.

Op basis van Solvency II moeten alle verzekeraars een doeltreffend governancesysteem hebben. Een belangrijk onderdeel binnen dit systeem is de risk & compliance functie. We focussen ons nu op het risico gedeelte: de Risk Officer. Maar wat is nu eigenlijk zijn of haar taak? Een Risk Officer ontwikkelt en beheert procedures voor het identificeren, monitoren en verminderen van bedrijfsrisico’s die een gevaar vormen voor de doelstellingen van het bedrijf. De Risk Officer zorgt ervoor dat het interne operationele beleid, de procedures en de eventuele externe juridische bepalingen zo goed mogelijk worden nageleefd.

Verschillende risico’s

Sinds 2007 ben ik werkzaam als Compliance Officer en sinds 2010 als Compliance & Risk Officer. Samen met onze directeur Nico Barendse vervul ik de risicomanagementfunctie. Binnen een organisatie zijn er risico’s op verschillende niveaus: afdelingsniveau, organisatie en integriteit. Maar hoe bepalen we dan de risico’s op de verschillende niveaus?

De risico’s

Afdelingsniveau

Onze afdelingen hebben zelf de operationele risico’s geïdentificeerd. Elke 2 jaar vragen we de afdelingen alle risico’s weer nader te bekijken. Zijn er nieuwe risico’s? Zijn alle risico’s nog relevant? Natuurlijk kijk ik er ook naar, om te kijken of ik de lijst nog kan aanvullen. Met door te vragen probeer ik mensen uit te dagen om verder te kijken. Soms ligt er namelijk meer achter dan mensen zich realiseren. Wanneer alle risico’s zijn opgesteld, gaan we aan de hand van stemsessies bepalen hoe groot de risico’s zijn. Wat is de schade als het risico zich voordoet en wat is de kans dat het risico zich voordoet. Aan de hand hiervan ontstaat een top 10 van risico's. Deze risico’s willen we beheersen of verminderen met beheersmaatregelen. Beheersmaatregelen klinkt heel formeel, maar soms kan het ook voldoende zijn om bepaalde onderwerpen regelmatig in een werkoverleg te bespreken. Uiteindelijk is de afdeling zelf verantwoordelijk dat het risico goed gemanaged wordt. De Risk Officer is hierin de tweede lijn. Een externe auditor die ons periodiek controleert is de derde lijn.

Organisatieniveau

Deze risico’s worden in het MT in kaart gebracht door risicoanalyses. Met een stemsessie wordt vervolgens gekeken naar de kans en impact van het risico. Op basis hiervan stellen we beheersmaatregelen op. We maken daarbij onderscheid tussen financiële en niet-financiële risico’s volgens het FOCUS-model van De Nederlandsche Bank (DNB).

De niet-financiële risico’s voor de bedrijfsresultaten, het vermogen en de reputatie van de onderneming liggen vooral in de sfeer van concentratie en correlatie. Onze portefeuille wordt sterk gedomineerd door de branches Algemene- en Wettelijke (motor) aansprakelijkheid. De risico’s liggen ook in onze interne processen en informatievoorziening. Om dit minder kwetsbaar te maken implementeren wij een nieuwe core-applicatie. Maar de implementatie van de nieuwe core-applicatie is ook een risico voor de organisatie doordat het veel resources kost. Door het instellen van een projectorganisatie met een regelmatige terugkoppeling van de voortgang, knelpunten en projectrisico’s wordt zoveel mogelijk grip gehouden. Een uitgebreide toelichting op de financiële en niet-financiële risico’s kunt vinden in ons jaarverslag.

Risk Officer

Integriteit

Voor risico’s op gebied van integriteit gelden richtlijnen van DNB, de zogenoemde Systematische Integriteit Risico Analyse (SIRA). De procedure is hetzelfde als bij de strategische risico’s. Hierbij wordt bijvoorbeeld gekeken naar het risico van belangenverstrengeling en worden beheersmaatregelen opgesteld. Heeft een medewerker van het Waarborgfonds schade aan zijn auto veroorzaakt door een onbekend motorvoertuig, dan mag hij de schade niet zelf behandelen. De leidinggevende van de betreffende afdeling kijkt dan ook met het dossier mee.

Wetgeving

De wetgeving verandert continu. Zo is recent de AVG ingevoerd. Natuurlijk heeft dit invloed op de risico’s voor de Vereende. Het risico was dat we niet voldeden aan de Wet Bescherming Persoonsgegevens. Nu is het risico niet voldoen aan de AVG. De wetten lijken redelijk op elkaar, maar hier en daar hebben we wat processen en procedures moeten aanpassen. De mogelijke boetes zijn natuurlijk een stuk hoger. Maar de imagoschade door een incident was erg fors en is erg fors. Daarmee was het risico al groot en heeft dit altijd al prioriteit gekregen.

Wat nu?

Het risicomanagement staat aardig op de rit. Maar dat betekent niet dat we nu achterover kunnen leunen. Het is belangrijk om af en toe kritisch naar het geheel en de details te kijken. Met voortschrijdend inzicht kijken we in de loop van de tijd anders tegen dingen aan en zien we waar we toch bepaalde accenten kunnen verbeteren. Daarom gaan we nu thematisch bepaalde risico’s extra belichten. Zo hebben we naar aanleiding van de invoering van de AVG onder het personeel het datalekken extra onder de aandacht gebracht.

Waarom heb je eigenlijk voor de functie Risk, Compliance & Data Protection Officer gekozen?
Het is een hele diverse functie waarbij je met iedereen binnen de organisatie te maken hebt. Het risicomanagement heeft invloed op bijna alle processen in de organisatie. Daarnaast kan ik mezelf goed uitdagen doordat ik telkens nieuwe kennis nodig heb om mijn functie goed te kunnen invullen. Dat houdt het leuk.

 

Auteur:

Roland Verhoef, Senior Marketing & Communicatie Adviseur

Roland auteur