Niet-financiële risico's

3.10. Niet-financiële risico'sEDTF 2EDTF 3EDTF 31

Naast financiële risico's loopt de Volksbank ook niet-financiële risico's veroorzaakt door interne factoren en externe ontwikkelingen, zoals beschreven in paragraaf 3.3 Toprisico's. Daaruit blijkt dat de invloed van de niet-financiële risico’s alsmaar groter wordt, onder meer door een moeilijker te voorspellen en veranderende markt, politieke ontwikkelingen en strengere wet- en regelgeving.

Al is de achtergrond van dit type risico ‘niet financieel’, de bank kan uiteindelijk wel financiële en/of reputatieschade oplopen als we niet tijdig en adequaat inspelen op de risico’s en beheersmaatregelen nemen. Het is daarom van groot belang dat we ook de niet-financiële risico’s, voor de korte en lange termijn, benoemen en een plaats geven in ons risicobeleid. Op deze wijze kunnen we onze risicobeheersing versterken en onze risicobereidheid duidelijker kwantificeren.

3.10.1 Risicoprofiel

Het niet-financiële risico hebben we onderverdeeld in zeven risicotypen: operationeel, verslagleggings-, compliance-, model-, juridisch, reputatie- en verander(change)risico.

Het beheren en beheersen van de niet-financiële risico’s krijgt van het management veel aandacht. We worden bijvoorbeeld uitgedaagd waar het gaat om de beheersing van de continu veranderende organisatie, de beveiliging van onze IT-structuur en de verbetering van het datamanagement. Maar ook het compliancerisico mag bij deze ontwikkelingen niet worden onderschat: de strengere wet- en regelgeving waaraan we willen en moeten voldoen en het efficiënt voorzien in de groeiende informatiebehoefte van toezichthouders. De omvang van de risico’s wordt continu gemeten en beoordeeld door het risicocomité (NFRC). Dit comité richt zich op de mate waarin niet-financiële risico’s invloed hebben op de realisatie van de doelstellingen, zowel op operationeel als financieel gebied. Tevens beoordeelt het comité de voorgestelde maatregelen die tot doel hebben binnen de vastgestelde risicotolerantie te blijven. Zie daarvoor paragraaf 3.4 Risicobereidheid en risico-indicatoren.

3.10.2 Risicotypen en aandachtsgebiedenEDTF 31EDTF 32

In deze paragraaf benoemen we afzonderlijk de zeven risicotypen van de niet-financiële risico’s. Daarbij gaan we in op belangrijke ontwikkelingen in 2017.

Operationeel risico

Het operationeel risico is het risico dat ontstaat als gevolg van ontoereikende of gebrekkige interne processen en systemen, van ontoereikend of gebrekkig menselijk handelen, dan wel van gebeurtenissen van buitenaf.

We zetten in op een bedrijfsvoering, waarbij we de risico's op een verantwoorde wijze beheren en beheersen. Daarbij horen effectieve en efficiënte processen die hoge kwaliteit garanderen aan onze klanten en eenvoudig zijn uit te voeren door onze medewerkers. Hiervoor hebben we onze processen gestroomlijnd naar waardeketens. Onze verbetercyclus is er met name op gericht om foutenpercentages zo klein mogelijk te maken en aantoonbaar ‘in control’ te zijn. Hiervoor maken we gebruik van een aantal instrumenten waaronder het incidentmanagement, dat in 2017 verder is geprofessionaliseerd. Middels dit proces identificeren we fouten die we in de bedrijfsvoering maken en leren we van onze fouten, zodat deze in de toekomst voorkomen kunnen worden. Hiermee past het operationeel risico binnen de risicobereidheid van de bank.

Lijnmanagers zijn vanuit hun eigen aandachtsgebied verantwoordelijk voor het analyseren en beheersen van de risico’s. Binnen het lijnmanagement zijn Business Risk Managers aangesteld. Deze risicomanagers adviseren, faciliteren en begeleiden het management bij het beheren van niet-financiële risico’s, dit in nauwe samenwerking met andere eerste- en tweedelijns risicoafdelingen.

Een beheerste organisatie houdt ook in dat we beschikken over een veilig, efficiënt en solide IT-platform dat ons in staat stelt onze organisatie vanuit een integraal klantbeeld te besturen. Het vormt de basis om te innoveren en snel in te spelen op klantbehoeftes.

Ontwikkelingen in 2017

In 2017 hebben we verdere stappen gezet in het professionaliseren van het risicobeheer binnen het lijnmanagement. Dit komt tot uiting in het Self Assessment dat binnen de Volksbank jaarlijks wordt gehouden, uitgevoerd door zowel de eerste- als tweedelijns afdelingen. Bij het Self Assessment wordt ook het proces beoordeeld waarin incidenten worden geïdentificeerd, vastgelegd en geanalyseerd. In 2017 is dit verder ontwikkeld door vernieuwde proces-beschrijvingen en een ondersteunende IT-applicatie.

Cyber resilience

Er wordt doorlopend geïnvesteerd in de versterking van de cyber resilience (weerbaarheid) met een eigentijdse aanpak. We hebben een organisatie waarin specialisten uit de business, risico-organisatie en IT samenwerken aan de veiligheid en beschikbaarheid van de dienstverlening aan klanten. Binnen deze cyber resilience-organisatie maken de specialisten analyses aan de hand waarvan we de effectiviteit en efficiëntie van onze cybercrimebestrijding verder verbeteren. Dit doen we onder meer door verdere integratie van onze detectie- en responsmaatregelen en intensievere interbancaire samenwerking. Daardoor kunnen we nu en in de toekomst snel en flexibel reageren op cyberaanvallen.

Ontwikkelingen in 2017

In 2017 was de onderbreking van de dienstverlening als gevolg van cyberaanvallen of uitval van systemen minimaal en hebben we verlies van interne of klantgegevens geminimaliseerd. De financiële schade voor klanten en de bank was zelfs lager dan in voorgaande jaren. Dit is conform het beeld in de sector: het aantal succesvolle cyberaanvallen daalt. We moeten er echter alles aan doen om te voorkomen dat ook in de toekomst cyberaanvallen kans van slagen hebben. De dreiging is reëel en zal naar verwachting groeien.

In het afgelopen jaar zijn de cybercrimeprocessen verder geprofessionaliseerd. Daarbij wordt de informatie die de bank ontvangt over nieuwe cyberdreigingen op een uniforme wijze verwerkt. Hierdoor ontstaat er een beter beeld van de cyberrisico’s en kan er een gericht actie worden ondernomen om de dreiging af te wenden. Op het gebied van bewustzijn hebben we verschillende acties ondernomen om de kennis omtrent cybercrime voor zowel klanten als interne medewerkers te verhogen. 

Verslagleggingsrisico

Het verslagleggingsrisico is het risico dat de financiële en/of niet-financiële verslaglegging van de onderneming onjuistheden of onvolledigheden van materieel belang bevat of niet tijdig is voor haar interne en externe stakeholders.

Aandachtsgebied

We streven een betrouwbare interne en externe informatieverschaffing na. De afgelopen periode hebben we meerdere projecten uitgevoerd die als doel hebben om het inzicht in de processen en de interne beheersing te verbeteren, zodat het risico op onjuistheden of onvolledigheden in de rapportage goed wordt beheerst. Dit zijn met name het Waardestroommanagement project, het Integrated Control Framework en Data Management. Data Management is hierbij cruciaal. Enerzijds vormen data een essentiële bron van informatie voor de strategische en operationele aansturing en een betere klantbediening, anderzijds stelt de toezichthouder steeds hogere eisen aan de kwaliteit, het detailniveau en de snelle beschikbaarheid.

Ontwikkelingen in 2017

De Volksbank heeft geïnvesteerd in de genoemde projecten en over 2017 is hiermee een verdere verbetering van de beheersing gerealiseerd. Dit uit zich met name in de opzet en uitkomsten van control testing in de rapportageketens.

De effectiviteit van de processen rondom financiële en niet financiële verslaglegging is echter op dit moment niet optimaal, aangezien de beheersing van deze processen functioneel is ingericht en nog niet integraal over de organisatie loopt. In 2018 gaan wij door met het adresseren van genoemde verbeterpunten.

Compliancerisico

Het compliancerisico is het risico dat de onderneming en/of haar medewerkers de geschreven en ongeschreven integriteit- en gedragsregels niet juist of volledig naleven en daar verantwoordelijk voor kunnen worden gehouden. Dit kan leiden tot verlies van reputatie en/of financiële schade. Het betreft tevens het risico op zakendoen met niet-integere klanten, onvoldoende transparantie van onze producten, alsmede criminaliteit, fraude en corruptie.

Aandachtsgebieden

Integere medewerkers

De Volksbank draagt in haar Manifest de cultuur uit van Bankieren met de menselijke maat. Dit vormt samen met de interne gedragscode ‘Gezond Verstand Gezond Geweten’ en de belofte die met de Bankierseed is gedaan, de leidraad voor onze medewerkers in hun contact met de klant. Indien handelingen van onze medewerkers leiden tot een vertrouwensbreuk met de bank of haar klanten vindt onderzoek plaats en beoordeelt de interne Sanctie Commissie of en welke maatregelen worden opgelegd. Indien vereist, wordt dit gemeld bij de toezichthouders of de Stichting Tuchtrecht Banken.

Ontwikkelingen in 2017

We hebben in 2017 de gedragsregels verder uitgebouwd. Bankieren met de menselijke maat betekent ook dat de bank vertrouwen geeft aan de medewerkers. Ze worden daarbij ondersteund door een uitbreiding van de gedragscode die een kader geeft aan medewerkers hoe ze kunnen omgaan met de dilemma’s die ze in hun werk tegenkomen.

In het jaarlijkse medewerkers onderzoek (MO) zijn ook in 2017 vragen gesteld over integriteit. De score op integriteit is licht verbeterd ten opzichte van 2016. Uit het MO-onderzoek is ook als positieve uitschieter naar voren gekomen dat medewerkers voldoende ruimte ervaren om beslissingen te kunnen nemen. En dat ze door hun leidinggevenden worden gestimuleerd om zich persoonlijk te ontwikkelen en integer te kunnen werken. Dit past bij het Manifest van de Volksbank en de vier elementen van de gedeelde waarde (klant, maatschappij, medewerkers, aandeelhouder). In datzelfde onderzoek zijn vragen gesteld over de samenhang tussen cultuur, houding en gedrag. Hieruit bleek dat de medewerkers goed omgaan met het spanningsveld tussen de werkwaarde ‘toon lef’ en naleving van wet- en regelgeving.

Integere producten

Transparante en eerlijke producten passen bij de normen en waarden van de Volksbank. We richten ons daarom op vereenvoudiging van het productenpalet en zorgen ervoor dat onze reclame-uitingen duidelijk en eenvoudig zijn. Daarom staat het belang van de klant op de eerste plaats bij zowel de ontwikkeling van nieuwe producten en diensten als de beoordeling van bestaande producten.

We toetsen op de uitgangspunten van het Manifest, inzichten op basis van maatschappelijke ontwikkelingen en nieuwe wet- en regelgeving.

Klantintegriteit, criminaliteit, fraude en corruptie

De Volksbank onderhoudt relaties met een groot aantal klanten. Het is voor ons van belang dat we de klant goed kennen. Hierdoor kunnen we passende producten aanbieden en voorkomen we dat een relatie wordt aangegaan met personen of organisaties waarmee volgens wet en regelgeving (Wft, Sanctiewet) geen overeenkomst mag worden gesloten. Ook hecht de Volksbank groot belang aan het voorkomen en bestrijden van fraude en criminaliteit. Om dit te bereiken hanteren we voor iedere klant het Customer Due Diligence (CDD) protocol en is er een continue transactiemonitoring. Op het gebied van betalingsverkeer zijn medewerkers en monitoring- en detectiesystemen steeds sneller en beter in staat frauduleuze of gesanctioneerde transacties te herkennen. Indien nodig worden verdachte transacties gemeld bij de autoriteiten.

Ontwikkelingen in 2017

In 2016 zijn verschillende initiatieven gestart om met de integriteit van de klant samenhangende processen aan te passen aan de (gewijzigde) wet- en regelgeving.

In lijn met de vaststelling dat compliance risico enigszins boven de risicobereidheid van de bank ligt, zijn in 2017 aanvullende maatregelen geïmplementeerd waarmee de beheersing op het gebied van klantacceptatie en transactiemonitoring is aangescherpt. Er zijn acties genomen op het gebied van detectie en controle van klanten, rekeningen en transacties om te voorkomen dat de bank en haar producten worden misbruikt voor verkeerde doeleinden zoals witwassen, terrorismefinanciering en fraude. Hierbij is onder andere een nieuw monitoringsysteem in gebruik genomen en zijn diverse verbeteringen doorgevoerd in de detectiescenario’s. Deze verbeteringen komen in belangrijke mate tegemoet aan de eerder met DNB afgestemde maatregelen, na een door DNB opgelegde bestuurlijke boete van € 500.000 wegens het niet onverwijld melden van ongebruikelijke transacties. Verdere maatregelen worden getroffen om de effectiviteit van procedures en systemen op het gebied van het voorkomen van witwassen en terrorismefinanciering te verhogen zodat het integriteitsrisico op dit gebied voor de Volksbank bij voortduring adequaat gemitigeerd wordt. Hiermee zal naar verwachting tevens volledig worden voldaan aan de door DNB opgelegde maatregelen. Bovendien blijft de bank jaarlijks haar beleid op het gebied van klantintegriteit aanpassen op basis van nieuwe regelgeving.

Om de risico’s voor de bank, maar vooral voor de samenleving, te beheersen die ontstaan door ram- en plofkraken op geldautomaten, heeft de Volksbank de geldautomaten in de directe nabijheid van woningen verwijderd of verplaatst. De geldautomaten die nog op risicolocaties staan, zijn voorzien van extra beveiliging. Hierbij houden we rekening met het spanningsveld tussen enerzijds onze verantwoordelijkheid om contant geld beschikbaar te houden in de maatschappij en anderzijds de veiligheid van omwonenden. De Volksbank staat in nauw contact met andere banken en opsporingsinstanties om relevante informatie uit te wisselen.

Modelrisico

Het gebruik van economische modellen introduceert onzekerheid, omdat het een vereenvoudigde weergave van de werkelijkheid betreft. Modelrisico is het risico dat modellen verkeerde uitkomsten geven, of het risico dat modellen verkeerd worden gebruikt of geïnterpreteerd. De Volksbank streeft ernaar modelrisico te beperken, onder andere door middel van helder beleid met betrekking tot modelrisico.

In dit modelrisicobeleid wordt een duidelijke verdeling beschreven van de activiteiten rondom het ontwikkelen, gebruik en onderhoud van modellen. Zo werkt de afdeling Modelling aan het verbeteren van bestaande en het ontwikkelen van nieuwe, meer geavanceerde modellen. Daarnaast valideert de onafhankelijke afdeling Model Validatie alle modellen. Bij deze validaties wordt het modelrisico in kaart gebracht en worden voorstellen gedaan voor verbeteringen.

Ontwikkelingen in 2017

In lijn met de vaststelling dat model risico enigszins boven de risicobereidheid van de bank ligt, zijn in 2017 verschillende verbeteringen doorgevoerd op bestaande modellen. Zo is bijvoorbeeld PHIRM, het kredietmodel voor onze hypotheekportefeuille, uitgebreid met een raamwerk voor het bepalen van de onnauwkeurigheid in onze schattingen. Door de oorzaken van de onnauwkeurigheden in kaart te brengen, is de Volksbank beter in staat het kapitaal te berekenen in overeenstemming met de regelgeving. De wijzigingen in PHIRM, inclusief het raamwerk, zijn voorgelegd aan de toezichthouder. De opmerkingen die we hebben gekregen verwerken we in 2018.

Om te voldoen aan de vereisten van IFRS 9 zijn er ook enkele nieuwe modellen ontwikkeld om de voorzieningen voor hypotheken en andere leningen te bepalen. Verder hebben we een nieuw model dat de liquiditeits-typische looptijd van de direct opvraagbare tegoeden bepaalt.

Ten slotte is ook het beleid met betrekking tot modelrisico binnen de Volksbank verder uitgebreid. Zo zijn richtlijnen opgesteld voor het ontwikkelen en gebruiken van zogenoemde expertmodellen, die vooral zijn gebaseerd op input van experts in plaats van historische data. Daarnaast zijn er gestandaardiseerde tests gedefinieerd die zullen leiden tot een consistente beoordeling van modellen binnen de Volksbank.

Juridisch risico

Onder juridisch risico verstaat de Volksbank het risico dat we ons niet houden aan afspraken uit overeenkomsten die we hebben gesloten met anderen, zoals onze klanten. Of dat wij de op ons toepasselijke wet- en regelgeving niet naleven, dan wel dat sprake is van een onvoorziene interpretatie daarvan. Verder is er ook het risico van niet-contractuele aansprakelijkheid. Als een juridisch risico zich manifesteert, kan dit resulteren in financieel verlies, sancties opgelegd door de toezichthouder of reputatieschade.

Bij het juridische risico gaat het niet alleen om de strikt juridische norm, het naleven van (contractuele) verplichtingen of wet- en regelgeving. Tegenwoordig gaat het – met name in de financiële sector – ook om de maatschappelijke norm die leidt tot (niet verwachte) interpretatie van wet- en regelgeving of ongeschreven regels. Hierin onderkent de bank het risico als onvoldoende met de invloed van belangen- en claimorganisaties rekening wordt gehouden. Deze maatschappelijke norm is uitdrukkelijk onderdeel van het juridisch risico binnen de Volksbank.

Het juridisch risico wordt daarom door de Volksbank niet alleen beperkt tot de (bank)balans, maar wordt ook beoordeeld vanuit haar strategie van de gedeelde waarde. Juridisch risicomanagement dient gericht te zijn op het creëren van waarde voor de klant, de maatschappij, de medewerker en de aandeelhouder door de juiste balans te vinden tussen de juridische norm en de maatschappelijke norm.

Ontwikkelingen in 2017

De risico-indicatoren die in 2016 zijn opgesteld om het juridisch risico weer te geven zijn het afgelopen jaar op onderdelen verbeterd. Daardoor wegen kwalitatieve signalen nadrukkelijker naast de kwantitatieve elementen mee. We verwachten daarmee sneller en beter in staat te zijn om de trends in het juridische landschap, die mogelijk duiden op onvoorziene interpretaties of op andere wijze kunnen leiden tot een aansprakelijkheid van de Volksbank, waar te nemen.

In het afgelopen jaar zijn de gebruikte kaders voor juridische risico-beheersing vastgelegd in een Risk Management Policy (RMP). Hierin staan de belangrijkste middelen, processen en rapportages beschreven die onderdeel vormen van de juridische beheersmaatregelen van de Volksbank.

In de toelichting op de niet uit de balans blijkende verplichtingen geven we een overzicht van juridische procedures waar de Volksbank bij betrokken is.

In paragraaf 2.2 Ontwikkelingen in wet- en regelgeving geven we een toelichting op actuele veranderingen in wet- en regelgeving.

Reputatierisico

Het reputatierisico is het risico op reputatieschade, waardoor het vertrouwen in de bank door klanten, tegenpartijen, aandeelhouders en toezichthouders wordt aangetast. Als de bank bijvoorbeeld onvoldoende in staat is om de klanten te bewegen hun huis te verduurzamen dan bestaat het risico dat de bank de doelstelling als klimaatneutrale bank in 2030 niet realiseert. Reputatieschade kan daarvan het gevolg zijn.

De reputatie van een organisatie is de optelsom van ervaringen en verwachtingen van belanghebbenden. Door de reputatie van de Volksbank organisatiebreed te managen, zijn we beter in staat de reputatierisico’s te verkleinen en communicatieve kansen te benutten. Het helpt ons gerichte keuzes te maken, die passen in de geest van het Manifest. We streven naar een duidelijke en onderscheidende profilering, waardoor we klanten, medewerkers en op langere termijn investeerders voor ons weten te winnen.

Ontwikkelingen in 2017 

Sinds 1 januari 2017 gebruiken we onze nieuwe naam, de Volksbank. Dat heeft gevolgen voor onze bekendheid; de buitenwereld moet de nieuwe naam leren kennen. Dat zien we aan de scores in het reputatiemeetmodel, RepTrak®. Het is een wetenschappelijke en veelgebruikte standaard op het gebied van reputatiemeting en -management. We benchmarken hiermee onze scores, en we doen trendanalyses. Om de reputatie als klimaatneutrale bank te ondersteunen zijn in 2017 diverse initiatieven gestart, waaronder de zonnepaneelactie van BLG Wonen en de Slim Wonen Wijzer van SNS.

Change risico

Change risico is het risico dat de Volksbank strategische doelen niet (tijdig) behaald of niet tijdig voldoet aan wet- en regelgeving. Dit kan ontstaan door een gebrekkige opzet of implementatie van veranderingen in de organisatie. Ook kan dit risico zich openbaren door het maken van keuzes die niet zijn afgestemd met de strategische doelen, vanwege onvoldoende veranderkracht of benodigde compententies.

Ontwikkelingen in 2017

In 2017 is een aantal Huis op Orde-programma’s waaronder ICF en WSM (Waarde Stroom Management) zover gevorderd dat in 2018 door de projectorganisatie decharge zal worden aangevraagd. Daarmee worden de projectmatig uitgevoerde activiteiten overgedragen aan en uitgevoerd door de lijn. Deze programma’s dragen bij aan een beheerste bedrijfsvoering en hoger risicobewustzijn binnen de Volksbank. Het PERDARR-programma voor de implementatie van standaarden in de risicorapportageketens is afgerond. Andere programma’s voor de implementatie van wet- en regelgeving zijn in de afrondende fase, zoals IFRS 9, of lopen door in 2018, zoals ons Privacy Programma. Om onze strategische doelstellingen te bereiken, hebben we in 2017 een aantal nieuwe veranderprogramma’s toegevoegd aan het programma portfolio. Bijvoorbeeld op het gebied van Klantintegriteit en Transactiemonitoring.

De veranderprogramma’s vergen veel capaciteit en kennis van onze organisatie waaronder die van een beperkte groep experts. Het risico dat de resultaten van onze veranderprogramma’s niet tijdig worden behaald is dit jaar vergroot. Daarom is er in 2017 meer actieve sturing geweest vanuit de Directie en is onderzoek geweest naar de veranderkracht van onze organisatie. Het onderzoek geeft aan dat verbetering mogelijk is door een meer coherente aanpak, gerichte interventies en een goede vertaling van de strategische doelstellingen naar de dagelijkse praktijk.

De Volksbank kiest voor een aanpak waarin initiatieven decentraal worden bedacht, gerealiseerd en geïmplementeerd én centraal de aansluiting van de veranderkalender op de strategie wordt getoetst. De Directie van de Volksbank heeft een sturende rol naar haar eigen lijn om deze aanpak mogelijk te maken.

Om vast te stellen of we voldoen aan wet- en regelgeving is in 2017 een aantal onderzoeken uitgevoerd die hebben geleid tot betere beheersmaatregelen in onze processen. Het aantal onderzoeken in 2017 is minder geweest dan verwacht omdat hiervoor niet genoeg capaciteit was. In 2018 wordt dit verder ingevuld.

Stel uw jaarverslag zelf samen