Renze Munnik: Het ene risico dichttimmeren is het andere creëren
Renze Munnik: Het ene risico dichttimmeren is het andere creëren
Door Renze Munnik, Risk Management Consultant bij Probability & Partners
IT is voor financiële instellingen van groot belang. En zij blijft, met alle digitalisering, steeds belangrijker worden. We gebruiken IT voor steeds meer toepassingen en we vertrouwen steeds meer op de systemen die we gebruiken. Daarom is het belangrijk dat systemen betrouwbaar en stabiel zijn.
Het is nu eenmaal niet fijn als de risicotools, de performancemeting, kwantitatieve aandelenscreening, of de pre-trade compliance-modules niet functioneren. Tegelijkertijd is het, vanwege de rol die systemen tegenwoordig voor financiële instellingen spelen, ook steeds belangrijker dat ze blijven aansluiten bij de wensen van de organisatie. Ze moeten de organisatie de kans geven te blijven concurreren. Snelheid en flexibiliteit zijn gewenst. En daar wringt precies de schoen.
We hebben met z’n allen de afgelopen jaren (decennia) veel geleerd over hoe we met IT om moeten gaan. Om de betrouwbaarheid te garanderen hebben we in die periode strikte procedures ingericht met betrekking tot hoe we applicaties ontwikkelen of wijzigen. Al die stappen die doorlopen moeten worden, zijn erop gericht de betrouwbare werking van het systeem te garanderen.
Maar met zulke dichtgetimmerde processen wordt het er niet altijd sneller op. Er moeten veel verschillende stappen worden genomen, documenten worden opgesteld (requirements, functioneel ontwerp, technisch ontwerp, etc.), goedkeuring worden verkregen bij (veel) verschillende mensen, uitgebreide testplannen worden opgesteld, veel verschillende personen (zoals beheerders en gebruikers) systemen laten testen, et cetera. En daarna moeten de systemen nog in productie worden genomen met verschillende tussenstappen en waarborgen, om vervolgens het beheer over te dragen aan de beheerorganisatie. Betrouwbaar, maar weinig flexibel en snel.
Je kan het verwachten – en we hebben het al zien gebeuren – dat door dit soort uitgebreide trajecten systemen niet tijdig gereed zijn, of zelfs nooit in productie komen. Dan ontstaat er een ander risico. We kunnen de strategische kansen niet grijpen die er liggen. We zijn niet op tijd om het voordeel ten opzichte van onze concurrenten te krijgen of te behouden. De IT-systemen ondersteunen de organisatie niet meer voldoende. We worden ingehaald. Fintechbedrijven (of start-ups in die hoek) zijn doorgaans aanzienlijk wendbaarder en in staat om sneller te ontwikkelen en systemen in productie te nemen.
En daar hebben we het… twee risico’s met (ogenschijnlijk) tegengestelde belangen. Een trade-off? Veelal prevaleert nu de IT-kant: dichttimmeren van het risico dat het systeem misschien niet perfect is, dat het niet 100% betrouwbaar is, dat het misschien af en toe minder stabiel is.
Maar deze trade-off hoeft niet tussen de extremen te zijn. Er zit nog zoveel tussen. Je kan het risicobeheer hieromtrent ook risicogebaseerd inrichten. Risicobeheer, of risicobeheersing, betekent niet per se dat een risico naar nul teruggebracht moet worden. Door middel van beheersing breng je het risico terug naar wat jij acceptabel vindt. Acceptabel. Niet per se nul. En dan kom je op twee keuzes waar je afwegingen kan gaan maken. En dat is geen of-of-situatie, maar en-en.
Ten eerste kan je de processen voor IT-ontwikkeling en IT-wijzigingen risicogebaseerd inrichten. Begin je proces met een stap voor risico-inschatting. Op basis van het risico dat de ontwikkeling of wijziging met zich meebrengt, zul je zwaardere of minder zware maatregelen moeten nemen in de rest van het proces. Een module die bij een foute werking de organisatie onderuit kan halen, zal je strikter willen managen en testen dan een wijziging waarbij alleen de kleurstelling van de schermen wordt veranderd (om het maar even in extreem te schetsen).
Ten tweede kan je als management de afweging maken: hoeveel risico lopen we hier als we ons niet (geheel) aan de strikte procedures houden? En welk risico lopen we als het gewenste systeem er niet of niet tijdig is? Als je die twee in kaart hebt kun je weloverwogen de keuze maken welk risico zwaarder weegt. Dan kan je kiezen om bewust van de processen/procedures af te wijken, of – nog mooier – je neemt dit soort afwegingen mee in de risico-inschatting die ik bij het eerste punt beschreef. Maak de inschatting van het risico om bepaalde kansen niet (tijdig) te kunnen benutten een formeel onderdeel van de afweging hoe zwaar een proces aangezet wordt. Vooral dit laatste zien we in praktijk nog maar weinig gebeuren.
Onthoud: een keuze om het ene risico dicht te timmeren, lijkt veilig, maar betekent ook dat een ander risico wordt opengezet. Uiteindelijk gaat het bij risicobeheer toch om de vraag hoeveel risico je wilt nemen om je doelen te bereiken.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.