“Three Lines of Defence” Model: bepaling van de rollen en verantwoordelijkheden voor een internationale bank

Case study
Updated: 
In dit project werkten we voor een internationale retail- en commerciële bank actief in Europa. De klant had onlangs een nieuwe ERM-functie (Enterprise Risk Management) opgezet die toezicht houdt op alle risicoactiviteiten van het hoofdkantoor en haar internationale dochterondernemingen. 

De klant vroeg ons om hulp bij de verduidelijking van de rollen en verantwoordelijkheden van de drie verdedigingslinies in hun verschillende bedrijfsentiteiten. Meer bepaald voor de verschillende soorten categorieën niet-financiële risico's waarmee de bank geconfronteerd werd en die zij beheerde. 

De organisatie had een aantal specifieke eisen op het gebied van definities en documentatie, om te voldoen aan de regelgevende instanties in verschillende landen en om intern geaccepteerd te worden. 

Challenge

De belangrijkste uitdaging van deze opdracht was om snel een oplossing te bieden die zowel de toezichthouders tevreden stelde als in lijn was met de geschiedenis en werkwijze van de organisatie. 

De nieuwe ERM-afdeling moest zich integreren in en afstemmen op andere bestaande tweedelijnsfuncties en tegelijkertijd toezicht houden op de risicomanagementactiviteiten van alle belangrijke risicocategorieën.  

Er was sprake van tijdsdruk omdat de toezichthouder goede documentatie verwachtte, terwijl het senior management van de bank bewijs wilde dat deze nieuwe benadering van risk management kon werken. De nieuwe ERM-afdeling stond dus onder druk om hun mandaat snel uit te voeren.  

BDO's op maat aanpak & oplossingen

Methodologie

Voor de rollen en verantwoordelijkheden van de drie verdedigingslinies hebben we ons strikt gehouden aan de richtlijnen van de Akkoorden van Basel en hebben we de belangrijkste taken van de risicofunctie en de interne audit benadrukt.  

De uitdaging was om de verantwoordelijkheidslijnen te coördineren over de verschillende risicotypes heen, zoals gedefinieerd door de ERM-functie. Bijvoorbeeld voor risico's zoals compliance, IT, informatiebeveiliging, juridische risico's, procedurerisico's enz.  

Gezien de verschillende eigenschappen van deze risico's hebben we bepaald welke soorten risico's het best centraal beheerd kunnen worden en wie daarvoor verantwoordelijk is. Voor risico's zoals systeemrisico's of juridische risico's, die beter geschikt zijn voor gecentraliseerd beheer, werd één afdeling verantwoordelijk. Voor meer procesmatige risico's, zoals verwerkingsfouten of fraude, was de verantwoordelijkheid daarentegen verspreid over meerdere bedrijfseenheden.  

Dat verschil had invloed op de aanwijzing van de personen die verantwoordelijk zijn voor de risico's en zij die verantwoordelijk zijn voor de beheersing ervan, en wat ze precies moeten doen.

Documentatie en implementatie

Documentatie was een belangrijk onderdeel van dit project. De risicobeheersing moest duidelijk en schriftelijk gecommuniceerd worden naar alle betrokken partijen, zowel intern als extern. We stelden een beleid op dat grondig herzien werd door zowel de klanten als het BDO-team totdat het volledig geschikt was voor het doel. 

Het tweede deel van de deliverable bestond erin dit beleid in de verschillende afdelingen van het bedrijf te verankeren door middel van een communicatiecampagne. We spraken regelmatig met de klant om hen te helpen met communiceren en overleggen met de onderneming over het nieuwe beleid. Dat resulteerde uiteindelijk in een soepele implementatie. 

Risk Colleagues

Impact & resultaten

Hierdoor kon de nieuwe ERM-afdeling werken met een duidelijk mandaat, waarmee zowel het management van de bank als de toezichthouders tevreden waren.  

Risk Colleagues

Bekijk onze volledige Risk Blueprint videoserie

Deze serie deelt waardevolle expertise over de essentiële aspecten van risicobeheer.
Bekijk alle videos hier

Ontdek onze andere case studies