Inrichting risicomanagement

3.5. Inrichting risicomanagementEDTF 5

3.5.1 Ontwikkelingen in 2017

De management- en organisatiestructuur van de bank zijn in 2017 ongewijzigd gebleven. Er is wel een aanvraag gedaan voor een wijziging in de risicobeheersingsorganisatie, waarbij de afdelingen Compliance & Veiligheidszaken, Juridische & Fiscale Zaken en ECB Office worden samengevoegd tot een afdeling. Bij goedkeuring zal de wijziging in 2018 worden doorgevoerd.

De risicobeheersingsorganisatie in 2017 ziet er als volgt uit:

De besturing van risico’s gebeurt op basis van een integraal proces. Deze aanpak maakt de verschillende verbanden tussen risico’s inzichtelijk, waardoor deze ook beter in samenhang kunnen worden beoordeeld. Kernonderdeel van het risicobesturingsproces is de Strategic Risk Assessment (SRA) op directieniveau en de tactische risico analyses in de bedrijfsonderdelen. Voor de vervolgstappen in het risicobesturingsproces wordt het economisch kapitaal als uitgangspunt genomen bij het vaststellen van de risicobereidheid.

Een aantoonbaar beheerste en verantwoorde bedrijfsvoering is een randvoorwaarde voor het waarmaken van onze ambitie. Het Integrated Control Framework (ICF) is het instrument wat de Volksbank hanteert om de beheerste bedrijfsvoering te borgen. Jaarlijks houden we een ‘self-assesment’, een zelfevaluatie, waarbij het lijnmanagement (de business) het niveau van beheerste bedrijfsvoering motiveert en ondersteunt met bewijs. De tweede lijn monitort of de uitkomsten voldoen aan de gestelde normen en adviseert. In 2017 hebben we het ICF verder geoptimaliseerd en is het overgedragen aan de eerste en tweede lijn.

Daarnaast voldoet de Volksbank per 31 maart 2017 aan de PERDARR1-richtlijnen en gaat het datamanagementprogramma onverminderd door. Meer informatie over deze programma’s is te vinden in paragraaf 3.10 Niet-financiële risico's.

3.5.2 RisicogovernanceAuditedEDTF 5

Three lines of defence

De risicogovernance van de Volksbank is gebaseerd op het ‘three lines of defence’-model.

In dit model is de business verantwoordelijk voor het opzetten en uitvoeren van hun eigen processen. Ze identificeren hun risico’s. Ze rapporteren en beoordelen deze risico’s en zetten deze af tegen de vastgestelde risicobereidheid. De tweede lijn ondersteunt de business en stelt de kaders, geeft advies en monitort of de business daadwerkelijk haar verantwoordelijkheid neemt. Tevens monitort de tweede lijn of de Volksbank voldoet aan wet- en regelgeving en intern beleid met betrekking tot integriteit. De derde lijn (de auditfunctie) beoordeelt in onafhankelijkheid het functioneren van de eerste en tweede lijn.

De Raad van Commissarissen (RvC) is verantwoordelijk voor het toezicht op de Directie en wordt hierin geadviseerd door de Audit Commissie, de Risico Commissie en de Remuneratie en Nominatie Commissie.

De Directie is eindverantwoordelijk voor de risicobeheersing. Ze wordt hierin ondersteund door risicocomités (zie ook de begrippenlijst voor een inhoudelijke toelichting), met daarin vertegenwoordigers van de eerste en de tweede lijn in elk risicocomité. Elk risicocomité wordt door een lid van de Directie voorgezeten. De derde lijn is geen vaste vertegenwoordiger in de risicocomités maar kan te allen tijde aanwezig zijn bij overleggen.

De Directie inventariseert jaarlijks de toprisico’s. Waar nodig formuleert ze maatregelen om de gevolgen binnen de risicobereidheid te brengen. De Directie vormt zich een oordeel over de realisatie van de strategische doelstellingen en de risicobeheersing. Ze wordt daarin onder meer ondersteund door businessrapportages (maandelijks en per kwartaal), tweedelijns risicorapportages, zelfevaluatie van de risicocomités en interne auditrapporten.

Naast de risicocomitéstructuur zijn er twee Regulatory Boards en een Information Board. De Regulatory Boards hebben als taak ontwikkelingen in relevante wet- en regelgeving te signaleren en toe te zien op een juiste en tijdige implementatie daarvan binnen de Volksbank. De Information Board stelt beleid vast over datamanagement en -definities en bewaakt de implementatie ervan. De Regulatory Boards en de Information Board vallen onder de verantwoordelijkheid van een Directielid.

3.5.3 RisicocultuurEDTF 6

Onze risico-organisatie is een integraal onderdeel van de bank, maar stelt zich onafhankelijk op. Ze informeert, daagt uit, neemt standpunten in en geeft gevraagd en ongevraagd advies. Als deskundige en kenner van de organisatie geeft ze verheldering van en inzicht in de risico’s. Luisteren en verbinden zijn daarbij essentieel. De risico-organisatie heeft oog voor en het perspectief op alle belanghebbenden en geeft haar visie zonder te veroordelen. Ze denkt mee in oplossingen die recht doen aan de diverse belangen en die bijdragen aan de realisatie van de strategie. Zelfreflectie is een belangrijk onderdeel van de cultuur. De risico-organisatie groeit verder in haar rol.

Uitdragen risicocultuur

Cultuur is een bepalende factor voor risicobeheersing en risicobewustzijn. We willen dat de risicocultuur wordt uitgedragen door de hele organisatie. Directie en medewerkers zijn zich bewust van hun (voorbeeld)rol en verantwoordelijkheden. De Directie is eindverantwoordelijk en keurt het risicobeleid goed. Leden van de Directie zitten de verschillende risicocomités voor en geven hiermee ook invulling aan de betrokkenheid van de Directie bij het risicobeheer.

Duidelijke governanceEDTF 5

We hebben een duidelijke governance ingericht met risicocomités. In de comités vindt discussie plaats tussen de business die de risico’s stuurt, en de risico-organisatie, die de risico’s en de sturing erop monitort. Besluitvorming over risico’s volgt de lijnen van de governance en wordt getoetst aan de risicorichtlijnen. Eventuele overschrijdingen van risicolimieten of inbreuk op de risicobereidheid bespreken we in de risicocomités. Indien nodig legt een risicocomité een discussiepunt voor aan de Directie.

De Directie bekrachtigt belangrijke of overkoepelende risicorichtlijnen en stelt deze jaarlijks opnieuw vast. Elk jaar voeren we een integrale zelfevaluatie uit over alle risicocomités. Indien nodig worden verbeterpunten geformuleerd.

Risicorichtlijnen

De Volksbank beschikt over een uitgebreide set aan risicorichtlijnen. Deze beschrijven bijvoorbeeld de risicobereidheid, taken en verantwoordelijkheden, alsook rapportage- en communicatielijnen. Onze risicorichtlijnen sluiten aan bij onze positie als een maatschappelijke bank met laag-risicoactiviteiten. We scherpen onze richtlijnen voortdurend aan en hebben de gedeelde waarde opgenomen in onze risicorichtlijnen. We verwachten dat de verhoogde aandacht voor klant, maatschappij, medewerker en aandeelhouder de komende jaren leidt tot het beter nadenken over de verhouding tussen risico en rendement. Hierbij zijn naast het financieel rendement ook aspecten als nut voor de klant, zingeving voor de medewerker en verantwoordelijkheid voor de maatschappij belangrijk.

Ontwikkelen van risicobewustzijn

Leidinggevenden zorgen ervoor dat de risicorichtlijnen bij de medewerkers bekend zijn en dat ze inzichtelijk zijn. Hiermee beogen we dat onze medewerkers hun taken uitoefenen op de gewenste manier en verantwoordelijkheid nemen voor hun deel van het risicomanagement. Binnen de organisatie worden trainingen, workshops en e-learnings gegeven om risicobewustzijn verder te ontwikkelen. Ook worden successen en leerervaringen op het gebied van risicobewustzijn gedeeld.

Interne gedragscode

We hebben een interne gedragscode die leidend is voor de integere handelwijze die we verwachten van al onze medewerkers. We besteden aandacht aan morele dilemma’s en hoe medewerkers ermee kunnen omgaan. Een goed gespreid netwerk van vertrouwenspersonen biedt medewerkers de gelegenheid eventuele misstanden bespreekbaar te maken.

Beloningsbeleid

In ons beloningsbeleid houden we rekening met de juiste verhouding tussen risico en rendement. Onze ambitie geeft aan dat naast het financieel rendement ook andere aspecten belangrijk zijn. We stellen doelen die zijn gericht op het creëren van gedeelde waarde voor alle belanghebbenden. In onze interne richtlijnen staat beschreven waaraan een eventuele, relatief beperkte, variabele beloning moet voldoen. De RvC, de Directie en alle medewerkers die boven de cao-schalen vallen, zijn uitgesloten van een variabele beloning (zie ook paragraaf 5.7 Remuneratierapport).

Stel uw jaarverslag zelf samen