Wat is operationeel risicomanagement en hoe kan dit organisaties helpen?

Voor de juristen onder ons: onder operationeel risico’s worden de risico’s verstaan die zijn toe te rekenen aan interne processen in de bedrijfsvoering, menselijke fouten, systeemfouten of externe factoren. Markt- en kredietrisico laten we buiten beschouwing.

Voor de niet-juristen: Het Kelderluik-arrest is de eerste standaarduitspraak die men leert op de rechtenstudie, waarin de voorwaarden staan voor de aansprakelijkheid wegens het niet wegnemen van risico’s.

Meer concreet: wie betaalt de ziekenhuisrekening van de heer Duchateau, die op een ongelukkige winterdag in 1961 in het Amsterdamse Café de Munt onderweg naar de wc in een openstaand kelderluik viel? Welke kelderluiken staan open binnen uw organisatie?

Beheersing van operationeel risico is in 2008 na de val van Lehman Brothers bij banken bovenaan de agenda komen te staan. In de zogeheten Basel-akkoorden zijn namelijk afspraken gemaakt over de hoogte van de reserves die banken moeten aanhouden om onverwachte tegenvallers op te vangen. Voor risico’s die banken lopen, moeten aanzienlijke bedragen als reserve worden aangehouden. Operationeel risico is daar een belangrijk onderdeel van en banken nemen steeds meer beheersmaatregelen om dit risico binnen de perken te houden.

Openstaande luiken

Ondanks de monetair geïnspireerde naam van Café de Munt, is het nog altijd geen bank. Maar wie de Kelderluik-uitspraak van de Hoge Raad leest, merkt op dat de magistraten met een ORM-bril naar de zaak hebben gekeken.

De situatie was als volgt. Voordat de heer Duchateau het gebouw betrad, was daar een medewerker van een frisdrankbedrijf de drankkelder aan het bevoorraden. Terwijl hij op en neer liep naar zijn wagen, liet hij tussentijds het toegangsluik naar de kelder openstaan. Toen de heer Duchateau zich door het slecht verlichte café richting de wc begaf, stortte hij door het luik naar beneden en brak zijn been. Het operationele risico “Kelderluik” werd een ongeluk; de schade was aanzienlijk.

Operationeel risicomanagement volgt doorgaans vijf stappen: identificatie, inschatting, mitigatie, implementatie en monitoring. Na dit stappenplan volgt evaluatie, waarna de cyclus weer opnieuw begint. Laten we de ORM-cyclus eens doorlopen aan de hand van deze uitspraak van de Hoge Raad.

Identificatie en inschatting

Om vast te stellen welke risico’s banken lopen is grondige kennis van de organisatie en de bedrijfsvoering nodig. Quickscans en evaluaties zijn een middel om kennis te krijgen en houden van de bedrijfsvoering. De eigenaar van Café de Munt was destijds op de hoogte van de risico’s van een openstaand luik in de looproute naar de wc, blijkt uit: “Dat volgens de verklaring van de toenmalige eigenaar van de zaak (…) deze in geval hij het luik moest openen, het keldergat barricadeerde met stoelen.” Van banken wordt eveneens verwacht dat zij leren van fouten, weten waar risico’s in de hun processen zitten en proactief deze risico’s beheersen.

Wanneer een risico bij een bank is geïdentificeerd, moet een inschatting worden gemaakt over de kans dat hieruit een schadepost ontstaat. Ofwel zoals de Hoge Raad overwoog: “dat daarbij dient te worden gelet niet alleen op de mate van waarschijnlijkheid waarmee de niet-inachtneming van de vereiste oplettendheid en voorzichtigheid kan worden verwacht, maar ook op de hoegrootheid van de kans dat daaruit ongevallen ontstaan.” De urgentie van het nemen van maatregelen wordt bepaald aan de hand van twee factoren: de waarschijnlijkheid van het voordoen van de schade en de mogelijke impact van de schade.

Mitigatie

Wanneer een redelijk beeld is ontstaan van de risico’s, kan het management bepalen hoe met deze risico’s wordt omgegaan. Nemen ze risico’s op de koop toe of zal men proberen het risico te beheersen? De Hoge Raad is duidelijk: als men niet mitigeert, ben je aansprakelijk voor geleden schade: “dat dit onrechtmatig gedrag bestaat in het verzuimen en achterwege laten van de noodzakelijke beveiligingsmaatregelen; desnoods bestaande in het aanbrengen van een waarschuwingsteken, zoals het plaatsen van een stoel of een krat voor het bewuste luik.”

Hierbij bestaat overigens wel ruimte voor een afweging door het management: “dat daarbij dient te worden gelet niet alleen op (…) de ernst die de gevolgen daarvan kunnen hebben, en op de mate van bezwaarlijkheid van te nemen veiligheidsmaatregelen.” Wanneer het bezwaarlijk is om het risico te verkleinen, kan ook worden gekozen de omvang van de schade te beperken. In casu zou dat kunnen betekenen dat kussens onderin het kelderluik worden gelegd.

De keuze inzake hoe om te gaan met risico’s wordt de risk appetite genoemd. De volgende vier smaken bestaan: accepteren, vermijden, beheersen en uitbesteden. Dit laatste was tot op zekere hoogte het geval in Café de Munt, omdat de drankbevoorrading niet door de uitbater zelf werd uitgevoerd, maar door het frisdrankbedrijf. Tevens kan door middel van uitbesteding achteraf ingetreden schade worden gealloceerd. Door uit te besteden worden enkel financiële risico’s tot op zekere hoogte gemitigeerd, maar de kans op ongelukken wordt niet weggenomen.

Implementatie, monitoring en evaluatie

Wanneer de keuze is gemaakt voor het al dan niet nemen van mitigerende maatregelen, kunnen maatregelen worden geïmplementeerd in de bedrijfsvoering. Banken moeten de effecten van deze implementatie monitoren, want de effectiviteit van deze maatregelen heeft gevolgen voor de hoogte van de reserves die zij moeten aanhouden. Terug naar het kelderluik: Café de Munt wordt voorzien van betere verlichting, waarschuwingsbordjes worden geplaatst rond het kelderluik en het personeel krijgt een uitgebreide veiligheidsinstructie. Wanneer deze maatregelen leiden tot minder valpartijen, zijn ze effectief en hoeft Café de Munt minder reserves achter te houden voor schadevergoedingen.

Tijdens het evalueren ligt ook de taak bij het management om nieuwe toekomstige risico’s te identificeren en daarop beleid met een gewenste risk appetite te maken. Zo begint het stappenplan weer van voren af aan.

Sluit de luiken

In de wereld van de risicoaansprakelijkheid spelen de Kelderluik-criteria nog altijd een belangrijke rol. Van de vuurwerkramp in Enschede tot de Klimaatzaak van Urgenda; op eenieder rust een verplichting om risico’s te beheersen wanneer dat van hem kan worden verwacht. Ook voor banken geldt dat zij de plicht hebben om ongelukken zo goed als mogelijk te voorkomen. Inmiddels zijn zij met snel voortschrijdende technieken, voortdurende monitoring en vroegsignalering steeds beter in staat kelderluiken tijdig af te sluiten. Dat is niet alleen prettig voor de hoogte van de aan te houden reserves, maar ook het juiste om te doen.

Risicomanagement in uw organisatie vraagt om creativiteit en een breed scala aan Governance, Risk & Control kennis en ervaring. Capgemini Invent heeft Team ORM beschikbaar om te helpen bij het verkrijgen van het gewenste inzicht in de processen, de bijbehorende risico’s en de gewenste beheersmaatregelen – natuurlijk niet alleen bij banken maar ook voor andere organisaties. Allereerst wordt samen met de organisatie inzicht verkregen in de huidige en de gewenste processen, daarna met de proceseigenaren en het management bepaald wat de gewenste risk appetite is en met welke beheersmaatregelen tot de gewenste aanpak kan worden gekomen. Deze aanpak is in samenspraak met het management en de proceseigenaren om te zorgen dat de beheersmaatregelen zowel de juiste informatie opleveren als efficiënt zijn voor de bedrijfsvoering.

Mocht u interesse hebben in een vrijblijvend gesprek over risicobeheersing in uw organisatie, dan horen wij graag van u.

Auteurs

	Saskia van Staa Senior Manager en Team Lead ORM
	Niels Honkoop Consultant ORM