Risicobeheer, kapitaal- en liquiditeits­­management

6.9 Niet-financiële risico'sEDTF 2EDTF 3

6.9.1 Inleiding

Behalve de financiële risico’s dient SNS Bank ook de niet-financiële risico’s goed te beheersen. Dat is een voorwaarde om de belangen van de klant en de maatschappij te beschermen en het vertrouwen in onze organisatie te handhaven – op korte en lange termijn. Een hoge betrouwbaarheid en kwaliteit van onze dienstverlening, producten en processen betekenen eveneens lagere kosten voor de bank: de efficiency is groter, en er zijn minder onverwachte verliezen. Op die manier draagt het management van niet-financiële risico’s bij aan onze strategische doelstellingen. Voorbeelden van niet-financiële risico’s zijn systemen en websites die uit kunnen vallen, fraude, het onvoldoende noodzakelijk vermogen om duidelijke producten te maken, en het niet kunnen voldoen aan een toenemende informatiebehoefte van toezichthouders. Ook al is de oorzaak van dit type risico’s ‘niet-financieel’, de gevolgen leiden vaak tot financiële schade en reputatieschade.

6.9.2 Belangrijkste ontwikkelingen in 2015

We hebben in 2015 verder gewerkt aan de beheersing van onze niet-financiële risico’s. Met een adequate en effectieve beheersing van de processen en systemen vergroten we ons vermogen klanten excellent te bedienen en een ongestoorde service te verlenen. Door bankbreed risicoanalyses uit te voeren, regelmatig de effectiviteit van de beheersmaatregelen te monitoren en verbeteringen door te voeren, verhogen we de kwaliteit van de bedrijfsvoering.

In 2015 is de implementatie van het 'Integrated Control Framework' (ICF) gestart. Ons doel is een beheerste bedrijfsvoering te creëren op alle onderdelen van SNS Bank en deze structureel in de organisatie te borgen. We hebben dit jaar een aantal mijlpalen bereikt: het opstellen van risicobeleid voor onder andere organisatiebreed en geïntegreerd risicomanagement en niet-financieel risicomanagement, de Risk Appetite Statement en Risk Appetite Dashboard en het uitvoeren van strategische risicoanalyses voor alle bedrijfsonderdelen. Ook hebben we een forse stap voorwaarts gezet met risicoanalyses op de meest materiële en risicovolle waardestromen binnen SNS Bank, waaronder Hypotheken, Bijzonder Beheer en Finance. Verder maken de rapportages over niet-financieel risico nadrukkelijk deel uit van onze strategische besluitvorming.

6.9.3 Governance en beheersingEDTF 7

We hechten veel waarde aan het beleggen van risico-eigenaarschap bij het lijnmanagement, daar waar de risico’s ontstaan. Daarom zijn lijnmanagers vanuit hun eigen aandachtsgebied verantwoordelijk voor het analyseren en beheersen van de risico’s. Dit gebeurt binnen de kaders van het risicobeleid en het ‘three lines of defence’-model door risicolimieten vast te stellen, risicoanalyses uit te voeren, beheersmaatregelen te implementeren en beheersing van de risico’s te monitoren. Het lijnmanagement krijgt hierbij ondersteuning van afdelingen zoals Enterprise Risk & Management Control, Compliance & Veiligheidszaken, Juridische Zaken, Informatiebeveiliging en Business Continuity Management.

Comités

Het Non-Financial Risk Comité is verantwoordelijk voor het monitoren van naleven van het niet-financieel risicobeleid en de risicobereidheid. Aanvullend beoordeelt het Product Approval and Review Comité de niet-financiële risico’s van bestaande en nieuwe producten. Het Model Governance Comité ziet toe op een juist gebruik van modellen die de bank hanteert.

6.9.4 Risicothema'sEDTF 31EDTF 32

De niet-financiële risico’s hebben we onderverdeeld in verschillende risicotypen. We onderscheiden operationeel, verslagleggings-, reputatie-, IT-, compliance- en juridisch risico. Deze risico’s kunnen optreden als gevolg van interne en externe factoren. Hieronder gaan we in op de materiële niet-financiële risicothema’s die in 2015 nadrukkelijk aandacht hebben gehad binnen SNS Bank.

6.9.4.1 Processen en het Integrated Control Framework

Het Integrated Control Framework (ICF) is als strategisch programma gepositioneerd en levert een bijdrage aan onder meer een excellente bedrijfsvoering. Dit betekent dat SNS Bank haar organisatie, processen, risicobeheersing en kosten adequaat op orde heeft. Daarmee willen we de op het oog gewone dingen buitengewoon goed doen, zoals klanten en andere belanghebbenden mogen verwachten van een bank. We maken verantwoorde keuzes in onze bedrijfsvoering, altijd met het belang van de klant voorop.

Focusgebieden

De wijze waarop we uitvoering geven aan het ICF hebben we geclusterd in zes focusgebieden. Periodiek vindt een self assessment plaats om de voortgang en de status van deze focusgebieden te meten.

Verhogen risicobewustzijn

Voor het succesvol implementeren en borgen van het ICF is een blijvende gedragsverandering nodig in het herkennen, erkennen en bespreken van risico’s. We stimuleren het risicobewustzijn en de verankering in cultuur en gedrag door communicatie en training. We nemen beheerste bedrijfsvoering expliciet op in de beoordelings- en beloningsstructuur. De bestaande kernwaarden van SNS Bank zijn daarom vertaald naar vijf kenmerken van voorkeursgedrag: loyaliteit, integriteit, bespreekbaarheid, reflectievermogen en organisatie- en stakeholdersensitiviteit.

Verbeteren (risico)beleid

We verbeteren het proces en de structuur voor de risicoclassificatie, het risicobeleid, de risicogovernance en de definities die SNS Bank gebruikt. Hetzelfde geldt voor het proces en de structuur waarmee we nieuwe wet- en regelgeving beoordelen en implementeren.

Verbeteren besturing

Om de sturing te verbeteren, hebben we een strategische risicoanalyse uitgevoerd als onderdeel van het opstellen van de jaarlijkse begroting. Deze analyse maakt inzichtelijk welke risico’s het behalen van de doelstellingen bedreigen.

Beheersing van de veranderingen

SNS Bank heeft een programmaportfolio in het leven geroepen om de gewenste verandering integraal aan te sturen. Dit portfolio bestaat uit programma’s en projecten die bijdragen aan het behalen van de strategie. Het beheersen van projectrisico’s maakt standaard onderdeel uit van de eenduidige projectaanpak.

Beheersing processen

Waardestroommanagement geeft een compleet beeld van alle risico’s op procesniveau. Het ondersteunt de bedrijfsonderdelen om de integrale primaire bancaire- en ondersteunende processen inzichtelijk te maken. Het managen van een waardestroom beslaat een set van activiteiten waarmee we de klantgerichtheid vergroten, verspilling in de keten voorkomen en de administratieve organisatie en interne beheersing inzichtelijk maken en op orde brengen. Hierdoor zijn we beter in staat grip te houden op onze bedrijfsvoering en krijgt het management betere stuurinformatie. In 2015 is een groot aantal processen binnen dit project aan bod gekomen.

Frequent monitoren van de risico’s

We werken aan de verbetering van de monitoring, bijsturing en opvolging. We kijken daarbij zowel naar prestaties, als naar risico’s, incidenten en verliezen. We hebben een nieuwe kwartaalrapportage ingevoerd die inzicht geeft in actuele niet-financiële risico’s, operationele verliezen en in de opvolging van acties die de toprisico’s mitigeren. In combinatie met de kwartaalrapportage over financiële toprisico’s hebben we hierdoor een integraler beeld waarop bijsturingsmaatregelen kunnen worden genomen. 

6.9.4.2 Datamanagement

Het actief beheren van (klant)data wordt steeds belangrijker in de bedrijfsvoering van banken. Enerzijds vormen data een essentiële bron van informatie voor de operationele aansturing en een betere klantbediening. Anderzijds stelt de toezichthouder steeds hogere eisen aan de kwaliteit, het detailniveau en de snelle beschikbaarheid van data. De toezichthouder vraagt ook steeds vaker detailinformatie op die afwijkt van de reguliere rapportages. We maken een ontwikkeling door naar datagedreven toezicht. Het is daarom van groot belang dat we ons datamanagement op orde hebben. Niet kunnen voldoen aan de eisen van de toezichthouder onderkennen we als een risico.

In de aanloop naar de verzelfstandiging van SNS Bank is vastgesteld dat een investering nodig is in de wijze waarop we data opslaan in onze systemen en deze uitwisselen en verwerken in onze processen. Als centrale spil in onze data-architectuur fungeert het datawarehouse waarmee data uit verschillende, bestaande bronsystemen ontsloten kunnen worden. We willen dit datawarehouse uitbouwen en verbeteren. Hiervoor is in 2015 het strategische programma Datamanagement gestart. Doel van dit programma is te komen tot één geïntegreerde dataset, waarmee onze eigen bedrijfsvoering doelmatiger en efficiënter kan functioneren en waarmee we rapportages aan onder andere de toezichthouder eenvoudiger kunnen opleveren.

6.9.4.3 Reputatie

De reputatie van een organisatie is de optelsom van ervaringen en verwachtingen van belanghebbenden. Door de reputatie van SNS Bank organisatiebreed te managen, zijn we beter in staat de reputationele risico’s te verkleinen en communicatieve kansen te benutten. Het helpt ons gerichte keuzes te maken, die passen in de geest van het Manifest. We streven naar een duidelijke en onderscheidende profilering, waardoor we klanten, medewerkers en op langere termijn investeerders voor ons weten te winnen.

SNS Bank is in het vierde kwartaal 2015 begonnen met het meten van haar reputatie en die van haar merken middels een beproefd reputatiemeetmodel, de RepTrak-monitor. Het is een wetenschappelijke en veelgebruikte standaard op het gebied van reputatiemeting en -management. We kunnen hiermee onze scores effectief benchmarken en betrouwbare trendanalyse doen.

6.9.4.4 IT-organisatie en cyber resilience

Change

De IT-organisatie is primair verantwoordelijk voor het ondersteunen van de bedrijfsonderdelen om veranderingen in de bestaande dienstverlening door te voeren. We geven onze IT-processen vorm conform algemeen geaccepteerde standaarden en best practices of varianten daarop, zoals bijvoorbeeld het 'Capability Maturity Model for Software Development' (CMMI-DEV), PRINCE2, 'Business information Services Library' (BiSL) en 'Managing Successful Program’s' (MSP). Binnen de IT-organisatie staan drie processen centraal bij het wijzigen van de informatievoorziening en infrastructuur. Het betreft Change Management, Release Management en Functioneel Wijzigingenbeheer. Met deze processen borgt SNS Bank dat uitbreidingen en/of verbeteringen in de bestaande hardware- en software-infrastructuur en nieuwe functionaliteiten op een effectieve en efficiënte wijze worden doorgevoerd in de informatiesystemen.

Informatiebeveiliging en Continuïteit dienstverlening

SNS Bank beschouwt informatiebeveiliging en de continuïteit van de dienstverlening voor haar klanten, 24 uur per dag, als belangrijke speerpunten. We beheersen de (IT-)risico’s door maatregelen te (laten) treffen waarmee de veiligheid en continuïteit van de informatievoorziening en kritische bedrijfsprocessen van SNS Bank worden gewaarborgd.

In 2015 is veel (security-)onderzoek uitgevoerd: (beveiligings)incidenten zijn tijdig gesignaleerd dan wel op adequate wijze opgelost. Samenwerking binnen én buiten SNS Bank is hierbij van essentieel belang. Regelmatig worden calamiteiten getest met uitwijktesten om de continuïteit te borgen. Ook in 2015 behoorde de beschikbaarheid van onze kernsystemen, het mobiele en internetkanaal tot de hoogste in de financiële / bancaire markt.

Cyber Resilience

SNS Bank streeft ernaar dat klanten en de bedrijfsonderdelen zo min mogelijk last hebben van cyberaanvallen. Dit is een uitdaging omdat het gebruik van onze digitale dienstverlening blijft stijgen terwijl de phishing-, malware- en Distributed Denial of Service (DDoS) aanvallen toenemen in frequentie en omvang. Cybercrime kan daarom impact hebben op steeds meer klanten. Desondanks zijn we erin geslaagd de financiële schade voor klanten en de bank beperkt te houden: die is zelfs lager dan in voorgaande jaren. Deze dalende trend geldt overigens voor de gehele sector, omdat we intensief samenwerken.

Gedurende 2015 hebben we geïnvesteerd in het verder versterken van onze cyber resilience (weerbaarheid) met een eigentijdse aanpak. We hebben een unieke organisatie opgericht waarin specialisten uit de business, risico-organisatie en IT samenwerken aan de veiligheid en beschikbaarheid van de dienstverlening aan klanten. Daarnaast zorgen we ervoor dat onze digitale diensten steeds beter beschikbaar zijn en werken we continu aan de integriteit ervan.

SNS Bank heeft een Intelligence team waarin een groot aantal cyberspecialisten zijn vertegenwoordigd vanuit verschillende afdelingen. Als onderdeel van de Cyber Resilience- organisatie maakt dit team analyses aan de hand waarvan we de effectiviteit van onze cybercrimebestrijding verder verbeteren. Dit doen we onder meer door verdere verbetering en integratie van onze detectie- en responsmaatregelen en door intensieve interbancaire samenwerking: we kunnen nu en in de toekomst snel en flexibel reageren op cyberaanvallen. De risicospecialisten brengen niet alleen hun kennis in maar kunnen vanuit hun rol in de tweede lijn in ons ‘three lines of defence’-model onafhankelijk adviseren en waar nodig escaleren.

6.9.4.5 Compliance en integriteit

Een integere bedrijfsvoering is fundamenteel voor SNS Bank. Dit omvat zowel de integriteit van bestuurders, medewerkers, onze producten en diensten als van onze klanten en samenwerkingsverbanden. SNS Bank wil bankieren met de menselijk maat concreet gestalte geven. Het Manifest is daarbij onze leidraad. Het gedrag van management en medewerkers is daarvan afgeleid en moet bijdragen aan het herstel van vertrouwen in ons bedrijf en in de financiële markt in het algemeen.

Integere medewerkers

De integriteit van onze medewerkers is cruciaal. De Raad van Commissarissen en de Directie hebben begin 2015 als eerste de bankierseed afgelegd. In het eerste kwartaal van 2015 is ook gestart met het afleggen van de bankierseed door de medewerkers. Zij onderwerpen zich daarmee eveneens aan het tuchtrecht dat geldt voor banken in Nederland.

In het medewerkersonderzoek dat we jaarlijks laten uitvoeren, zijn ook vragen gesteld over integriteit. Daarbij wordt gemeten in hoeverre gewenst gedrag van medewerkers wordt gestimuleerd en ongewenst gedrag wordt voorkomen. Hieruit komt naar voren dat SNS Bank goed en op een aantal onderwerpen zoals uitvoerbaarheid van regels en betrokkenheid beter scoort dan in 2014.

In 2015 zijn de Gedragscode ‘Gezond Verstand, Gezond Geweten’ en de aanvullende gedragsregels voor medewerkers aangepast en toegespitst op SNS Bank. De gedragscode sluit nu aan bij het Manifest van de bank.

Sinds 1 januari 2015 kennen we een Sanctie Commissie die beoordeelt of en zo ja, welke maatregelen opgelegd moeten worden aan medewerkers die de gedragsregels overschrijden. Het gaat om handelingen die leiden tot een ernstige inbreuk op het vertrouwen dat de bank heeft in haar medewerkers en/of reputatieschade voor SNS Bank. De Sanctie Commissie bewaakt ook de consistentie van de opgelegde maatregelen. Indien daartoe aanleiding bestaat, besluit de Sanctie Commissie of de overtreding van de regels gemeld moet worden bij de toezichthouders of de Stichting Tuchtrecht Banken. In 2015 is de Sanctie Commissie vier maal bijeengekomen om een uitspraak te doen over dergelijke overtredingen en gepaste maatregelen vast te stellen. Tweemaal heeft dat geleid tot ontslag, tweemaal is naar aanleiding daarvan een normoverdragend gesprek met de medewerker gevoerd.

Klantintegriteit

Op 1 juli 2015 is het Beleid Klantintegriteit herzien. Het heeft tot doel witwassen en financieren van terrorisme te voorkomen. Met dit beleid wil SNS Bank haar integriteit beschermen maar ook de belangen van andere betrokkenen, zoals klanten.

We ronden het programma Klantintegriteit af, dat in 2014 is gestart om klantinformatie verder aan te vullen en de verschillende beheersmaatregelen in het klantbeheerproces te versterken.

Klantbelang en klantvertrouwen

Bij de ontwikkeling en herbeoordeling van onze producten letten we  onder andere op de toegevoegde waarde van onze producten voor klanten en of de informatie over die producten begrijpelijk is. Ook voor de vernieuwde website www.snsbank.nl hebben we beoordeeld of we begrijpelijke en juiste informatie aan onze klanten bieden conform de eisen die daaraan wettelijk gesteld worden.

6.9.4.6 Privacy van klanten

SNS Bank heeft privacy hoog in het vaandel. We vinden het belangrijk dat duidelijk en transparant is hoe we met persoonsgegevens omgaan, zodat zowel klanten als medewerkers erop kunnen vertrouwen dat hun gegevens bij ons in goede handen zijn.

We hebben een privacyprogramma om deze zekerheid te kunnen bieden en vertrouwelijkheid van persoongegevens te borgen in onze bedrijfsvoering. In 2015 hebben we privacy-impactassesments uitgevoerd op onze systemen. Deze gaan we de komende jaren periodiek herhalen. We werken aan een centraal systeem waarin we de verkregen privacytoestemmingen van klanten  gaan vastleggen. We voeren diverse processen in die toezien op rechten van klanten, zoals het inzagerecht. Ook hebben we het proces verbeterd dat in gang gezet wordt als er sprake is van een mogelijk datalek.

Twee keer per jaar organiseren we de ‘Dag van de Privacy’ om het privacybewustzijn van onze medewerkers te vergroten. Daarnaast besteden we er extra aandacht aan dat mensen zich bewust zijn van het ontstaan van mogelijke datalekken. Op het intranet kunnen medewerkers de benodigde informatie vinden hoe zij de privacy van de klanten en van hen zelf kunnen waarborgen.

Om de privacy te borgen is een nieuwe governancestructuur opgesteld. We hebben een Privacy Officer en Medewerkers Privacy benoemd, die toezien op de naleving van de privacyregelgeving en -bescherming. De Medewerkers Privacy zitten decentraal op diverse posities in de organisatie en zijn daar aanspreekpunt op het gebied van privacy. De Privacy Officer is het centraal aanspreekpunt voor zowel de organisatie als de toezichthouder.

6.9.4.7 Toename eisen toezichthouder

De financiële crisis heeft geleid tot meer wet- en regelgeving om klanten te beschermen, banken weerbaarder te maken en de financiële sector meer solide. Ook het gewijzigde, op Europees niveau gecentraliseerde, toezicht is daar een gevolg van.

In 2015 hebben we te maken gehad met de publicatie van een groot aantal standaarden die nadere invulling geven aan de wetgevende kaders. Tevens is er sprake van een intensieve communicatie en gegevensuitwisseling met onze toezichthouder. Zoals eerder gesteld zien we deze verhoogde regeldruk en nog aanhoudende stroom nieuwe wetten en regels tevens als een risico. Dit doet een aanzienlijk beroep op de specialisten die we hiervoor kunnen inzetten, en de mogelijkheden om processen en systemen aan te passen . We verwachten dat dit in het komend jaar niet zal afnemen.

Om te waarborgen dat nieuwe regelgeving tijdig wordt gesignaleerd en geïmplementeerd, bestaat sinds 2014 een Regulatory Board, die toeziet op prudentiële wet- en regelgeving. Onder deze board functioneren werkgroepen die de signalering, impactanalyse, implementatie en het toezicht op naleving nader vormgeven. De monitoring door de Regulatory Board heeft het inzicht verhoogd en helpt ons de beheersing te verbeteren. Indien nodig stellen we prioriteiten om de beschikbare menskracht effectief in te zetten. We volgen de ontwikkelingen op de voet en zo mogelijk maken we een inschatting van de effecten van voorgestelde wet- en regelgeving. Ook dragen we bij aan consultaties van de Nederlandse en Europese regelgevers.

De relatie met de Europese toezichthouder is frequent en intensief. De introductie van uniforme rapportageprocessen en uitvragen die zijn opgelegd door EBA, ECB of andere autoriteiten stellen hoge eisen aan snelle beschikbaarheid van data, rapportage en beleidsmatige informatie in voorgeschreven templates. Ook voert de toezichthouder als onderdeel van het reguliere toezicht on-site inspecties uit en wisselt ze regelmatig van gedachten met de leiding van de bank. Om de communicatie met de toezichthouder te stroomlijnen, gaan we in 2016 een aparte ECB Office inrichten. Die zal als spil dienen tussen de toezichthouder en de bank.

6.9.5 Kapitaalvereiste niet-financiële risico's/operationeel risicoEDTF 14

We houden kapitaal aan voor het opvangen van onverwachte verliezen die kunnen ontstaan als gevolg van het optreden van niet-financiële risico’s. In 2015 was dit € 136 miljoen (2014: € 125 miljoen). We hanteren de gestandaardiseerde benadering voor de berekening van de wettelijke kapitaalvereisten voor niet-financiële risico’s conform CRD IV (Pillar 1). De baten van de bank worden risicogewogen verdeeld in categorieën zoals retail banking, payment and settlement en retail brokerage. Afhankelijk van de categorie houden we tussen de 12 procent en 18 procent van de baten aan als kapitaalbeslag. Behalve de Pillar 1-berekening maken we een Pillar 2-berekening van het kapitaalbeslag. Omdat Pillar 1 en 2 slechts beperkt van elkaar verschillen, onderzoeken we of een meer geavanceerde berekeningsmethode nuttig en nodig is.

Daarnaast voeren we jaarlijks het zogenoemde Internal Capital Adequacy Assessment Process (ICAAP) uit. Op grond daarvan bepalen we de omvang van het benodigde kapitaal. Zie voor een verdere toelichting op het ICAAP paragraaf 6.4.

SLUITENDOWNLOAD SELECTIE

Stel uw jaarverslag zelf samen

SELECTIE (0)