Rapport Risicoanalyse

Transcriptie

1 Rapport Risicoanalyse Onderlinge Verzekeringsmaatschappij voor Kunst- en Antiekzaken (OVKA) Plaats Groningen Datum Opdrachtgever J. Bakker Opgesteld door M. Jansen (studentnummer)

2 OVKA versie d.d Inleiding OVKA Aanleiding risicoanalyse Onderwerp van de risicoanalyse Gehanteerde werkwijze Opbouw van het rapport Beschrijving risicobeleid Beleid, visie en missie Algemene organisatiedoelen Risicohouding Risicodoelen Risicostrategie Risicoinventarisatie en -analyse Maatregelen Conclusies en aanbevelingen Conclusies Aanbevelingen Bijlagen A Literatuurlijst B Gebruikte bronnen C Risicoregister

3 1 Inleiding 1.1 OVKA Voor u ligt het rapport Risicoanalyse. OVKA is een onderlinge verzekering, zonder winstoogmerk, voor kunst- en antiekzaken. OVKA is een fictieve verzekeraar. Deze casus is ontstaan uit praktijkervaring bij verschillende verzekeraars in combinatie met de nodige fantasie. OVKA biedt de volgende verzekeringen aan: - Handelsvoorraadverzekering. Deze verzekering dekt alle soorten schade aan en diefstal van de handelsvoorraad. - Opstalverzekering (ook wel brandverzekering). Deze verzekering zorgt voor dekking tegen brandschade. - Inventarisverzekering. Deze verzekering dekt alle soorten schade aan en diefstal van de bedrijfsinventaris. Kernactiviteiten van OVKA zijn het afsluiten van verzekeringen, het geven van beveiligingsadviezen en het afhandelen van schades. Ondersteunende processen zijn financiële administratie, systeembeheer, beleggen en compliance. Compliance is het voldoen aan in- en externe regelgeving. De inkomsten bestaan uit premies, opbrengst beleggingen en overige inkomsten. De uitgaven bestaan uit exploitatiekosten, herverzekeringspremie, uitbetaalde schades en overige kosten. Het bestuur bestaat uit vier leden en bepaalt het beleid. Een nieuw bestuurslid wordt voorgedragen door het bestuur en benoemd door de Algemene Ledenvergadering. De Algemene Ledenvergadering is het hoogste orgaan binnen OVKA en bestaat uit leden van de Onderlinge. Je wordt lid als je een verzekering hebt afgesloten. De Algemene Ledenvergadering stelt de jaarrekening vast en accordeert de winstbestemming De directeur bereidt het beleid mede voor en zorgt voor uitvoering. Het personeelsbestand bestaat uit: - 1 directeur - 1 buitendienstmedewerker/schaderegelaar - 4 binnendienstmedewerkers - 1 administrateur - 1 systeembeheerder. De buitendienstmedewerker handelt kleine schades af. Alle schades boven worden gedaan door een extern bureau. OVKA heeft de ondersteunende processen, met uitzondering van het financiële proces en systeembeheer, uitbesteed. De organisatie maakt gebruik van het softwaresysteem Oase. Dit is een beproefd systeem met een grote groep gebruikers. 1.2 Aanleiding risicoanalyse Dit rapport is een hulpmiddel voor adequate risicobeheersing. De grootte van een risico kan worden gedefinieerd als de kans dat het zich voordoet maal het gevolg als het zich voordoet. Risico's vormen een bedreiging voor de doelstellingen van de organisatie. Adequaat risicomanagement kan ervoor zorgen dat de kans op deze risico's en/of de impact ervan, geminimaliseerd wordt. Het is hiervoor noodzakelijk de risico's in kaart te brengen en te analyseren, zodat vervolgens passende maatregelen genomen kunnen worden. 3

4 1.3 Onderwerp van de risicoanalyse De risicoanalyse heeft betrekking op alle bedrijfsprocessen. Deze staan beschreven in het Handboek Administratieve Organisatie. 1.4 Gehanteerde werkwijze Onderstaand stappenplan is gebruikt. Er is gekozen voor het stappenplan van Marco Gerritsma en Roel Grit. Dit stappenplan staat beschreven in het boek Zo maak je een risicoanalyse (september 2009). - Stap 1: Voorbereiding In de eerste stap is het onderwerp van de risicoanalyse bepaald en wie erbij betrokken zijn. De directeur en het bestuur hebben de risicoanalyse uitgevoerd voor alle bedrijfsprocessen. Voor sommige risico's is navraag gedaan bij medewerkers. - Stap 2: Bepaal het risicobeleid Het risicobeleid is vastgesteld. De organisatie hanteert een behoudend risicobeleid. - Stap 3: Inventariseer huidige situatie Doelstellingen staan in het strategisch beleidsplan en de onderliggende plannen zoals het complianceplan en beleggingsplan. Per doelstelling zijn risico's benoemd die het behalen van deze doelstelling bedreigen. Vervolgens is geïnventariseerd welke maatregelen zijn genomen om risico's te beperken. - Stap 4: Analyseer huidige situatie Doel van het analyseren van risico's is het bepalen van de rangorde van de risico's, waardoor duidelijk wordt welke risico's de meeste aandacht vereisen. De grootte van een risico wordt bepaald door de kans te vermenigvuldigen met de impact (het gevolg). Er is gekozen voor een kwantitatieve analyse met behulp van kans- en gevolgklassen en risicofactoren. - Stap 5: Formuleer maatregelen Per risico zijn de genomen maatregelen geëvalueerd en is nagegaan of er aanvullende maatregelen nodig zijn. De kosten en baten van aanvullende maatregelen zijn bepaald. - Stap 6: Stel het rapport Risicoanalyse op Het rapport Risicoanalyse is opgesteld aan de hand van de checklist die hoort bij het boek Zo maak je een risicoanalyse. Een belangrijk onderdeel van het rapport is het risicoregister. Doel van het analyseren van risico's is het bepalen van de rangorde van de risico's. Hiervoor zijn verschillende methoden. - Kwantitatief in risicobedragen: de onderlinge vergelijking van risico's in geldbedragen per jaar. - Kwantitatief met risicofactoren: de onderlinge vergelijking van risico's gaat met behulp van kansklassen, gevolgklassen en risicofactoren. - Sommige risico's laten zich zeer lastig uitdrukken in getallen of geldbedragen en lenen zich eigenlijk alleen voor een kwalitatieve inschatting. Bij de kwantitatieve methoden geldt de formule: Risico = Kans Gevolg Er is gekozen voor een kwantitatieve analyse met behulp van kans- en gevolgklassen en risicofactoren. Dit is gedaan omdat de exacte bedragen en kansen niet te bepalen zijn, maar we wel een zo accuraat mogelijke schatting willen maken van de risico's. 4

5 Kansklassen Kans- Kans in Omschrijving Toelichting score % 1 10% minder dan of 1 keer per 10 jaar Zeer onwaarschijnlijk 2 30% 1 keer per 5-10 jaar Onwaarschijnlijk 3 50% 1 keer per 2-5 jaar Waarschijnlijk 4 70% 1 keer per 1-2 jaar Mogelijk 5 90% 1 keer of meer per jaar Vrijwel zeker Gevolgklassen Gevolg is de maximale schade die ontstaat als het risico zich voordoet. De bepaling van de gevolgklassen is afhankelijk van de organisatie. Er is gekozen voor de volgende gevolgklassen. Gevolg- Schade score 1 Schade < < Schade < < Schade < < Schade < Schade > Toelichting: - Een schade lager dan heeft een beperkte impact op de organisatie. - Een schade groter dan zorgt ervoor dat er verlies wordt geleden (als uitgangspunt is hierbij genomen het begrote resultaat voor 2009). - Een schade groter dan zorgt ervoor dat het eigen vermogen volledig verdwijnt (het eigen vermogen per 31 december 2008 is ). 1.5 Opbouw van het rapport Hoofdstuk 1 geeft een beschrijving van de kaders en achtergronden van dit rapport. Het tweede hoofdstuk geeft een beschrijving van de organisatie. Zaken die aan de orde komen, zijn onder andere visie, missie, doelen en strategie op het gebied van risicobeheersing. Hoofdstuk 3 bevat de inventarisatie en analyse van de risico's. Op basis hiervan worden maatregelen geformuleerd in hoofdstuk 4. In het laatste hoofdstuk volgen conclusies en aanbevelingen naar aanleiding van de risicoanalyse en een planning voor het vervolg. 5

6 2 Beschrijving risicobeleid 2.1 Beleid, visie en missie Het risicobeleid is onderdeel van het algemene beleid van een organisatie en wordt daarvan afgeleid. Het algemene beleid staat beschreven in het strategisch beleidsplan. Het beleid bevat de organisatiedoelstellingen en de strategie om deze doelstellingen te behalen. Het risicobeleid is leidraad voor hoe wij met risico's willen omgaan en de mate van bereidheid om risico's te aanvaarden. 2.2 Algemene organisatiedoelen De algemene organisatiedoelen staan beschreven in het strategisch beleidsplan en in onderliggende plannen zoals het beleggingsbeleidsplan. 2.3 Risicohouding Uit missie en aard van de organisatie (waaronder: geen winstoogmerk) kan afgeleid worden dat de houding ten opzichte van risico's van nature behoudend is. 2.4 Risicodoelen Ons risicobeleid is behoudend. Wij hebben geen winstoogmerk en wij nemen geen onverantwoorde risico's. Belangrijke risicodoelen zijn onder andere: - Wij willen onze risico's kennen en in voldoende mate beheersen tegen acceptabele kosten. - Wij streven naar een gezonde verzekeringsportefeuille. - Wij streven naar een passend rendement op beleggingen bij een zeer defensief beleggingsbeleid. 2.5 Risicostrategie - Wij nemen alleen risico's in portefeuille die voldoen aan ons acceptatiebeleid. - Wij kopen herverzekering in voor risico's die wij niet zelf willen of kunnen dragen. - Er worden alleen bedrijfsprocessen uitbesteed als er waarborgen van de leverancier zijn dat het proces op beheerste wijze wordt uitgevoerd. - Het beleggingsbeleid is defensief. Dit beleid is vastgelegd in het beleggingsbeleidsplan. 6

7 3 Risicoinventarisatie en -analyse De risicoanalyse is conform de beschreven werkwijze uitgevoerd. De doelstellingen zijn gerangschikt per proces. Per doelstelling zijn de risico's benoemd. Tijdens de analysefase is per risico de kans maal impact bepaald (zogenoemde brutorisicoscore). Per risico is geïnventariseerd welke maatregelen al zijn genomen om dit risico te beperken. Vervolgens is de risicoscore berekend ná toepassing van de genomen maatregelen (zogenoemde nettorisicoscore). De uitkomsten van de risicoanalyse staan in het risicoregister (zie hoofdstuk Bijlagen). Een voorbeeld Strategische doelstellingen (directieniveau) Risico Streven naar continuïteit Extreme storm en andere extreme gebeurtenissen Maatregelen Herverzekeringscontract Brutorisico Nettorisico OVKA heeft als doelstelling streven naar continuïteit. Een van de risico's die deze doelstelling bedreigt, is een extreme gebeurtenis zoals een grote storm. Een grote storm doet zich gemiddeld eens in de tien jaar voor. De kansscore is dus 1. De maximale schade van een dergelijke gebeurtenis is hoger dan Vandaar een gevolgscore 5. De risicoscore (het brutorisico) is 1 5 = 5. Een maatregel om dit risico te beperken is het afsluiten van een herverzekeringscontract. Hiermee wordt de kans niet kleiner (die blijft 1), maar de impact wel (deze wordt 2). De risicoscore na genomen maatregelen (het nettorisico) is 1 2 = 2. Er zijn acht risico's die een schade kunnen veroorzaken van meer dan Hieronder staat een overzicht, met de belangrijkste risico's en de genomen maatregelen. Risico Extreme gebeurtenissen zoals een extreme storm Diverse schaden in combinatie met faillissement herverzekeraar Explosieve toename van het aantal schades als gevolg van bijvoorbeeld overvallen Cumulatierisico schade Uitbesteding die niet voldoet Maatregelen Hercontract Hercontract Ga na wat de rating is van herverzekeraar en beoordeel deze Ga na wie de herverzekeraars van herverzekeraar zijn en welke rating zij hebben Hercontract Hercontract en bij acceptatie individuele post wordt gecontroleerd of er sprake kan zijn van cumulatierisico Er is een risicoanalyse opgesteld voor elk uitbesteed proces Er is met leveranciers een contract en Service Level Agreement afgesloten Leveringsprestaties worden gemonitord 7

8 Risico Niet voldoen aan wet- en regelgeving waardoor de toezichthouder de vergunning intrekt Plegen van financiële fraude o.a. onjuiste uitkering doen Niet naleven acceptatiebeleid Maatregelen Complianceplan, Compliance Officer en auditplan Factuurcontrole, vierogenprincipe bij betalingsverkeer Deskundige medewerkers en stel een preventieplan op Leg het huidige acceptatiebeleid schriftelijk vast 8

9 4 Maatregelen De volgende aanvullende maatregelen zijn geformuleerd. Actie Wie? Wanneer? Bedrag Toelichting Stel een marketingplan op Directeur Directeur stelt in samenwerking met medewerkers dit plan op. Geschatte tijdsbesteding is 80 uur Stel een onderhoudsplan (is onderdeel van marketingplan) op en zorg voor indexatie van verzekeringen Geef een opdracht aan een stagiair voor het uitvoeren van een klanttevredenheidsonderzoek Stel een preventieplan op Leg het huidige acceptatiebeleid schriftelijk vast Geef een opdracht aan extern bureau voor het laten uitvoeren van een nulmeting op gebied van wet- en regelgeving Zorg voor periodieke managementrapportage inzake beleggingsresultaten en laat de portefeuille beoordelen door een onafhankelijke vermogensbeheerder Zorg voor evaluatie werkprocessen op efficiëntie en effectiviteit en bepaal normen voor processen Geef een opdracht aan extern bureau voor het laten opstellen van een scholingsplan Directeur Directeur Onderhoudsplan is onderdeel van marketingplan Geschatte tijdsbesteding begeleiding student is 40 uur Directeur Directeur stelt in samenwerking met medewerkers dit plan op. Geschatte tijdsbesteding is 60 uur Bestuur Er zijn diverse offertes opgevraagd Directeur Directeur Directeur Geschatte tijdsbesteding is 16 uur De geschatte tijdsbesteding is 60 uur Er zijn diverse offertes opgevraagd 9

10 Actie Wie? Wanneer? Bedrag Toelichting Geef opdracht aan een stagiair voor het uitvoeren van een haalbaarheidsonderzoek naar nieuwe doelgroepen (ambtelijke creatieve bedrijven zoals pottenbakkers, meubelmakers) Er is opdracht gegeven voor een stageplusopdracht. De student wordt intensief begeleidt door een docent. De hogeschool staat garant voor een kwalitatief goed onderzoek 10

11 5 Conclusies en aanbevelingen 5.1 Conclusies Er zijn acht risico's die een schade kunnen veroorzaken van meer dan Het risico met de hoogste brutorisicoscore is een aanzienlijk verlies van marktaandeel als gevolg van hevige concurrentie. Voor een groot aantal risico's geldt dat de nettorisicoscore gelijk is aan de brutorisicoscore. Hiervoor kunnen feitelijk twee verklaringen zijn: de genomen maatregelen hebben geen effect gehad of de maatregelen hebben wel effect gehad, maar de nieuwe situatie valt nog steeds binnen dezelfde kans- en gevolgklassen. 5.2 Aanbevelingen Directie moet bewaken dat maatregelen worden uitgevoerd. Directie benoemt de maatregelen die worden getoetst door de externe auditor. Directie bepaalt of er aanvullende maatregelen nodig zijn. Directie evalueert jaarlijks de uitgevoerde risicoanalyse en beoordeelt of risicomanagement efficiënt en effectief is toegepast. 11

12 Bijlagen A Literatuurlijst Grit, R. & Gerritsma, M. Zo maak je een risicoanalyse. Groningen: Noordhoff Uitgevers. Dit boek verschijnt in B Gebruikte bronnen - strategisch beleidsplan - beleggingsbeleidsplan - begroting C Risicoregister Legenda Proces: Al = Algemeen Bp = Beheer van processen Cm = Commercieel Co = Compliance Fi = Financieel In = Inkoop Ip = Interne processen IT = ICT Pe = Personeel Vz = Verzekeren Brutorisico Nettorisico Proces Al Doelstellingen Streven naar continuïteit Risico Extreme gebeurtenissen zoals een extreme storm Maatregelen Hercontract Al Streven naar continuïteit Diverse schades in combinatie met faillissement herverzekeraar Hercontract Aanvullende maatregelen: ga na wat de rating is van herverzekeraar en beoordeel deze en ga na wie de herverzekeraars van herverzekeraar zijn en welke rating zij hebben

13 Proces Al Al A1 A1 Cm Brutorisico Nettorisico Doelstellingen Streven naar continuïteit Streven naar continuïteit Streven naar continuïteit Streven naar continuïteit Streven naar groei Risico Maatregelen Explosieve toename van Hercontract het aantal schades als gevolg van bijvoorbeeld overvallen Cumulatierisico schade Hercontract Ga bij acceptatie van een individuele post na of er sprake kan zijn van cumulatierisico Onvoldoende beschikbaarheid van het geautomatiseerde systeem, nodig voor de continuïteit van (kritische) bedrijfsprocessen Uitbesteding die niet voldoet Verlies van marktaandeel als gevolg van hevige concurrentie Er is een contract en een Service Level Agreement afgesloten Leveringsprestaties worden beoordeeld en indien nodig wordt actie ondernomen Er is een aparte risicoanalyse uitgevoerd voor elk proces dat uitbesteed is Er is een contract en een Service Level Agreement afgesloten Leveringsprestaties worden beoordeeld en indien nodig wordt actie ondernomen Er is een strategisch beleidsplan opgesteld Acties van concurrenten worden gemonitord en indien nodig wordt hierop gereageerd Aanvullende maatregelen zijn: stel een marketingplan op (inclusief onderhoudsplan)

14 Brutorisico Nettorisico Proces Cm Co Co Doelstellingen Zorgen voor klanttevredenheid Voldoen aan wet- en regelgeving Medewerkers handelen integer Risico Klant is ontevreden over dienstverlening en zegt verzekeringen op waardoor het royementspercentage hoger ligt dan de gestelde norm Niet voldoen aan wet- en regelgeving waardoor de toezichthouder de vergunning intrekt Reputatieschade door niet integer handelen van een medewerker Maatregelen en geef opdracht aan een stagiair voor het uitvoeren van een haalbaarheidsonderzoek naar nieuwe doelgroepen (ambtelijke creatieve bedrijven zoals pottenbakkers, meubelmakers) Klachtenprocedure Aanvullende maatregel is, geef een opdracht aan een stagiair voor het uitvoeren van een klanttevredenheidsonderzoek Complianceplan is opgesteld Externe Compliance Officer is aangesteld Auditplan is opgesteld Externe auditor moet nog benoemd worden Complianceplan is opgesteld Compliance wordt in de toekomst een vast agendapunt van het werkoverleg Aanvullende maatregel: geef een opdracht aan extern bureau voor het laten uitvoeren van een nulmeting op gebied van weten regelgeving 14

15 Proces Fi Ip Pe Pe Vz Fi Brutorisico Nettorisico Doelstellingen Risico Rendement Uitbreken van een op belegd financiële crisis waardoor vermogen (zie de waarde van het beleggingsbeleidsplan) belegde vermogen zal dalen Efficiënte werkprocessen Medewerker met klantcontact voldoet aan opleidingseisen Integere medewerkers Gezonde verzekeringsportefeuille Juiste en tijdige debiteurenadministratie en incasso van vorderingen Maatregelen Beleggingsplan is opgesteld Aanvullende maatregelen: resultaten op belegd vermogen moeten in toekomst een onderdeel gaan vormen van kwartaalrapportage en laat portefeuille beoordelen door een onafhankelijke vermogensbeheerder Inefficiënte werkprocessen Zorg voor evaluatie werkprocessen op efficiëntie en effectiviteit en bepaal normen voor processen Klant stelt organisatie aansprakelijk voor de gevolgen van een onjuist advies van een medewerker Plegen van financiële fraude Niet naleven acceptatiebeleid Debiteuren betalen niet of niet tijdig Geef een opdracht aan extern bureau voor het laten opstellen van een scholingsplan Factuur controle en functiescheiding bij betalingsverkeer Deskundige medewerkers en auditplan Aanvullende maatregelen zijn: stel een preventieplan op en leg huidige acceptatiebeleid schriftelijk vast Administratieve systeem zorgt voor automatische debiteurenbewaking en deskundige medewerkers

16 Brutorisico Nettorisico Proces Fi Doelstellingen Juiste en tijdige incassering van provisies Risico Opbrengsten zijn niet volledig Maatregelen Controle van de volledigheid van de opbrengsten Begrote opbrengsten worden vergeleken met gerealiseerde opbrengsten Controle nota op detailniveau (zie procedure polisadministratie) 16