Inrichting risicomanagement

4.5. Inrichting risicomanagementEDTF 5

Risicomanagement is de balans tussen risico’s nemen, kansen creëren en beheersen en waardebescherming en -creatie. Het gevoerde risicomanagement moet een redelijke mate van zekerheid bieden omtrent het bereiken van doelstellingen van de Volksbank en waarde creëren voor haar omgeving. Om deze doelstellingen waar te kunnen maken is een aantoonbaar beheerste en verantwoorde bedrijfsvoering randvoorwaardelijk.

Het Integrated Control Framework (ICF) is het instrument wat de Volksbank hanteert om de beheerste bedrijfsvoering te verbeteren. Het ICF sluit aan op het COSO Enterprise Risk Management raamwerk1. Het ICF geeft duidelijke kaders die zorgen voor gestroomlijnde beheersprocessen met een passende infrastructuur en geeft richting aan de gewenste cultuur.

Het proces van risicobesturing bestaat uit 4 jaarlijkse cycli die met elkaar in verbinding staan: het uitvoeren van de de strategische risico-analyse (SRA) en de tactische risico-analyse (TRA), en het vaststellen van risk appetite statements (RAS) en risicostrategie. Gezamenlijk vormen deze onderdelen een solide basis die het de bank mogelijk maakt om pro-actief de risico’s te besturen die van invloed zijn op het behalen van de strategische doelen.

4.5.1 Ontwikkelingen in 2018EDTF 5

De management- en organisatiestructuur van de bank is in 2018 gewijzigd. De afdelingen Juridische en Fiscale Zaken en de Supervisory Office vallen vanaf 21 augustus 2018 onder de verantwoordelijkheid van de CEO.

De risicomanagementorganisatie in 2018 ziet er als volgt uit:

4.5.2 RisicogovernanceAuditedEDTF 5

Three lines of defence

De risicogovernance van de Volksbank is gebaseerd op het ‘three lines of defence’-model.

In dit model is de eerste lijn (de business) verantwoordelijk voor het opzetten en uitvoeren van hun eigen processen. Ze identificeren de risico’s, beoordelen en rapporteren over deze risico’s en zetten ze af tegen de vastgestelde risicobereidheid. De tweede lijn ondersteunt de business, stelt de kaders, geeft advies en monitort of de business daadwerkelijk haar verantwoordelijkheid neemt. Tevens monitort de tweede lijn of de Volksbank voldoet aan wet- en regelgeving en haar interne beleid met betrekking tot integriteit. De derde lijn (de auditfunctie) beoordeelt in onafhankelijkheid het functioneren van de eerste en tweede lijn.

De Raad van Commissarissen (RvC) is verantwoordelijk voor het toezicht op de Directie en wordt hierin geadviseerd door de Audit Commissie, de Risico Commissie en de Commissie Mens & Organisatie.

De Directie is eindverantwoordelijk voor het risicomanagement. Ze wordt hierin ondersteund door risicocomités (zie ook de begrippenlijst voor een inhoudelijke toelichting), met in elk comité vertegenwoordigers van de eerste en de tweede lijn. Elk risicocomité wordt door een lid van de Directie voorgezeten. De derde lijn kent geen vaste vertegenwoordiger in de risicocomités maar kan te allen tijde aanwezig zijn bij overleggen.

Daarnaast inventariseert de Directie jaarlijks de toprisico’s. Waar nodig formuleert ze maatregelen om de gevolgen binnen de risicobereidheid te brengen. De Directie vormt zich een oordeel over de realisatie van de strategische doelstellingen en het risicomanagement. Ze wordt daarin onder meer ondersteund door businessrapportages (maandelijks en per kwartaal), tweedelijns risicorapportages, zelfevaluatie van de risicocomités en interne auditrapporten.

Vanaf 2018 komt het Bank Risk Comité (BRC) ieder kwartaal aanvullend bijeen om met een holistische, integrale blik naar risico's en kansen voor de Volksbank te kijken. Het bespreekt en neemt in samenhang besluiten over onderwerpen als externe en interne ontwikkelingen, de strategie, het risicomanagement en implicaties voor het realiseren van de strategie. Naast de risicocomitéstructuur zijn er twee Regulatory Boards en een Information Board. De Regulatory Boards hebben als taak ontwikkelingen in relevante wet- en regelgeving te signaleren en toe te zien op een juiste en tijdige implementatie daarvan binnen de Volksbank. De Information Board stelt beleid vast over datamanagement en -definities en bewaakt de implementatie ervan. De Regulatory Boards en Information Board vallen onder de verantwoordelijkheid van een directielid.

4.5.3 RisicocultuurEDTF 6

Onze risico-organisatie is een integraal onderdeel van de bank, maar stelt zich onafhankelijk op. Ze informeert, daagt uit, neemt standpunten in en geeft gevraagd en ongevraagd advies. Als deskundige en kenner van de organisatie geeft ze verheldering van en inzicht in de risico’s. Luisteren en verbinden zijn daarbij essentieel. De risico-organisatie heeft oog voor en het perspectief op alle belanghebbenden en geeft haar visie zonder te veroordelen. Ze denkt mee in oplossingen die recht doen aan de diverse belangen en die bijdragen aan de realisatie van de strategie. Zelfreflectie is een belangrijk onderdeel van de cultuur. De risico-organisatie groeit verder in haar rol.

Uitdragen risicocultuur

Cultuur is een bepalende factor voor risicomanagement en risicobewustzijn en is daarom ook onderdeel van het ICF. We willen dat de risicocultuur door de hele organisatie wordt uitgedragen. Directie en medewerkers zijn zich bewust van hun (voorbeeld)rol en verantwoordelijkheden. De Directie is eindverantwoordelijk en keurt het risicobeleid goed. Leden van de Directie zitten de verschillende risicocomités voor en geven hiermee ook invulling aan de betrokkenheid van de Directie bij het risicomanagement.

Duidelijke governanceEDTF 5

We hebben een duidelijke governance ingericht met risicocomités. In de comités vindt discussie plaats tussen de business die de risico’s stuurt, en de risico-organisatie die de risico’s en de sturing daarop monitort. Besluitvorming over risico’s volgt de lijnen van de governance en wordt getoetst aan de risicorichtlijnen. Eventuele overschrijdingen van risicolimieten of inbreuk op de risicobereidheid bespreken we in de risicocomités. Indien nodig legt een risicocomité een discussiepunt voor aan de Directie.

De Directie bekrachtigt belangrijke of overkoepelende risicorichtlijnen en stelt deze jaarlijks opnieuw vast. Elk jaar voeren we een integrale zelfevaluatie uit over alle risicocomités. Indien nodig worden verbeterpunten geformuleerd.

Risicorichtlijnen

De Volksbank beschikt over een uitgebreide set aan risicorichtlijnen. Deze beschrijven bijvoorbeeld de risicobereidheid, taken en verantwoordelijkheden, alsook rapportage- en communicatielijnen. Onze risicorichtlijnen sluiten aan bij onze positie als een maatschappelijke bank met laag-risicoactiviteiten. We scherpen onze richtlijnen voortdurend aan en hebben de gedeelde waarde opgenomen in onze risicorichtlijnen. We verwachten dat de verhoogde aandacht voor klant, maatschappij, medewerker en aandeelhouder de komende jaren leidt tot het beter nadenken over de verhouding tussen risico en rendement. Hierbij zijn, naast het financieel rendement, ook aspecten als nut voor de klant, oprechte aandacht voor de medewerker en verantwoordelijkheid voor de maatschappij belangrijk.

Ontwikkelen van risicobewustzijn

Leidinggevenden zorgen ervoor dat de risicorichtlijnen inzichtelijk zijn en dat ze bij de medewerkers bekend zijn. Hiermee beogen we dat onze medewerkers hun taken op de gewenste manier uitoefenen en verantwoordelijkheid nemen voor hun deel van het risicomanagement. Binnen de organisatie worden trainingen, workshops en e-learnings gegeven om het risicobewustzijn verder te ontwikkelen. Ook worden successen en leerervaringen op het gebied van risicobewustzijn gedeeld.

Interne gedragscode

We hebben een interne gedragscode die leidend is voor de integere handelwijze die we verwachten van al onze medewerkers. We besteden aandacht aan morele dilemma’s en hoe medewerkers ermee kunnen omgaan. Een goed gespreid netwerk van vertrouwenspersonen biedt medewerkers de gelegenheid eventuele misstanden bespreekbaar te maken.

Beloningsbeleid

In ons beloningsbeleid houden we rekening met de juiste verhouding tussen risico en rendement. Onze ambitie geeft aan dat naast het financieel rendement ook andere aspecten belangrijk zijn. We stellen doelen die zijn gericht op het creëren van gedeelde waarde voor alle belanghebbenden. Vanaf 1 januari 2018 kent de Volksbank geen variabele beloning meer. Eerder waren de RvC en de Directie al uitgesloten van variabele beloning (zie ook paragraaf 6.7 Remuneratierapport).

Stel uw jaarverslag zelf samen