Operationeel Risico Management
advertisement
Operationeel Risico Management B e n c h m a r k R a p p ort 2009 Auteurs: Danielle Wareman Karel Janssen Merel Verschure Research: Khanh Ly Vincent de W inter Schiphol Oost, 2009 Nederland ©2009 DCE Consultants Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009 Operational Risk Management I n h o u d sopgave 1 De survey 1.1 Aanleiding 1.2 Aard en omvang van de populatie 1.3 Kernvragen 5 5 5 7 2 De positie van ORM in de organisatie 2.1 Het Operationeel Risico Management Model 2.2 Kritische Succes Factoren 2.3 Het ORM-model in de praktijk 2.3.1 Waar en hoe is ORM belegd 2.3.2 Samenwerking 2.3.3 Cultuur 8 8 9 10 10 11 13 3 Inrichting in de praktijk 3.1 Het Operationeel Risico Management Control Framework 3.2 Inrichting van het Framework 3.2.1 Methodes, technieken en modellen 3.2.2 Processen 3.2.3 Gegevens 3.2.4 Key Perfomance Indicators 3.3 Berekening kapitaalbeslag onder Basel II 3.4 Problemen bij de uitvoering van ORM 16 16 16 16 17 19 20 21 23 4 Wat levert ORM op? 24 5 Ontwikkelingen 5.1 Enterprise Risico Management 5.1.1 ORM op Enterprise-niveau 5.1.2 Problemen bij de uitvoering van ERM 5.2 Investeringen en prioriteiten 5.3 Wet- en regelgeving 27 27 27 28 29 30 Benchmark Rapport 2009 6 Ondersteunende systemen 6.1 De markt voor ORM-software 6.2 ORM-software in de praktijk 6.3 Waardering van de gebruikte software 32 32 33 36 7 Overzicht ORM-systemen 7.1 Inleiding 7.2 De leveranciers en de markt 7.3 Product en functionaliteit 7.4 Support en Techniek 37 37 37 39 40 8 Bijlagen I Overzicht Functionaliteit Software Producten II Overzicht Techniek Software Producten III Overzicht Leveranciers IV Vragenlijst en Antwoorden Survey 43 44 45 46 48 Verantwoording DCE Consultants is niet verantwoordelijk voor de juistheid van de gegeven antwoorden. De resultaten zijn zorgvuldig verwerkt en gecontroleerd. DCE Consultants is echter niet verantwoordelijk voor eventuele fouten die bij het verwerken van de gegevens gemaakt zouden kunnen zijn. Wij hebben de antwoorden uit het onderzoek objectief weergegeven, om recht te doen aan de doelstelling: inzicht te verschaffen in de werkelijke stand van zaken. Operational Risk Management Benchmark Rapport 2009 Managementsamen vatting Operationeel Risico Management heeft zich in de afgelopen jaren in hoog tempo ontwikkeld tot het derde belangrijke risicogebied in de bancaire wereld, naast kredietrisico en marktrisico. Operationele risico’s zijn zo oud als het ondernemen zelf, maar de kans op en de omvang van operationele verliezen zijn aanzienlijk gegroeid, zoals de gebeurtenissen bij o.a. Barings Bank en meer recent Société Générale pijnlijk duidelijk hebben gemaakt. De enorme groei die de financiële markt in de afgelopen decennia heeft gekend, de toegenomen complexiteit van producten en processen en de globalisering van de markt droegen allemaal bij aan deze ontwikkeling. Met de opname in het Basel II akkoord kreeg ORM de plaats die het verdient als misschien wel het belangrijkste risico voor een financiële instelling – volgens sommigen de basis en de operationalisering van alle andere bancaire risico’s. De grote belangstelling voor ORM was voor DCE Consultants aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. 39 respondenten werkzaam bij banken en vermogensbeheerders voorzagen ons van evenveel ingevulde vragenformulieren. Gover nance en cultuur blijven aandacht verdienen Wij mogen constateren dat het hoger management in bancair Nederland gecommitteerd is aan het succes van ORM: 90% van de respondenten geeft dit aan. Ook worden in vrijwel alle ondernemingen ORM-beleid, -bevoegdheden en -verantwoordelijkheden vastgelegd en goedgekeurd door de hoogste besturingslaag. Dit betekent uiteraard niet, dat het beleid ook in alle lagen van de onderneming probleemloos wordt uitgevoerd. In iets meer dan de helft (51%) van de ondernemingen zijn voor iedereen in de organisatie de eigen rol en verantwoordelijkheid duidelijk. Door 30% worden nog problemen ondervonden met cultuur en draagvlak in de organisatie, en niet meer dan 67% beoordeelt het beschikbare ORM-budget als voldoende. Qua investeringen stond ORM in relatie tot overige risicosoorten het afgelopen jaar echter op de tweede plaats; alleen in kredietrisico werd iets meer geïnvesteerd. Samenwerking tussen ORM en overige (business)afdelingen is een basisvoorwaarde voor een goede uitvoering van ORM en een indicator voor de acceptatie van ORM in de organisatie. Uit de survey blijkt dat van samenwerking zeker niet overal sprake is. Bij ruim de helft van de partijen worden basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico’s uitsluitend door de ORM-afdeling uitgevoerd. Bij bijna een kwart van de partijen is zelfs een gespecialiseerde activiteit als IT/systeemrisico alleen bij ORM belegd. Omgekeerd worden 1 Operational Risk Management ook vaak activiteiten door businessafdelingen of staven uitgevoerd, geheel zonder betrokkenheid van ORM. In het algemeen kunnen we constateren dat het genoemde management commitment aan ORM op veel punten in de organisatie is terug te vinden in beleid en inrichting. Het risicobewustzijn en de samenwerking verdienen nog de nodige aanscherping. Geïntegreerd Risicomanagement neemt toe De aandacht voor ORM heeft in de afgelopen jaren in hoge mate bijge­dragen aan de ontwikkeling van geïntegreerd risicomanagement op onder­nemings­ niveau (ERM). ORM is immers alleen goed en zinvol uitvoerbaar als het organisatiebreed wordt geïmplementeerd. Bijna 70% van de ondervraagde ondernemingen heeft een risicobeleid op corporate niveau vastgesteld. De integratie van activiteiten in de gehele onderneming blijkt in de praktijk echter veelal beperkt tot de onderdelen audit, compliance en governance. Alle risicosoorten inclusief ORM worden bij slechts de helft van de partijen geïntegreerd op ondernemingsniveau gemanaged. Belemmering bij de uitvoering van ERM zijn net als bij ORM-beschikbaarheid en kwaliteit van gegevens, maar daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risico’s, en cultuur en draagvlak in de organisatie. Als we de investeringen in ERM bezien als indicator voor het belang dat eraan wordt gehecht, neemt dit laatste sterk toe. De investeringen in ERM stonden in het afgelopen jaar op de laatste plaats in vergelijking tot andere risico’s; bij 27% van de ondernemingen werd er helemaal niet in geïnvesteerd. Voor het komende jaar is de verwachting dat na kredietrisico en liquiditeitsrisico het meest zal worden besteed aan ERM en ORM. Operationeel Risico Management groeit naar volwassenheid Hoe heeft men het management van de risico’s in de praktijk ingericht en zijn er al best practices te ontdekken? Nagenoeg alle partijen in ons onderzoek hebben een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. In de grote meerderheid van de gevallen bestaat dit uit Risk Self Assessments, Key Performance Indicators, Key Risk Indicators, formeel vastgelegde contingency plannen, loss databases en stresstests. Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risico’s te identificeren, analyseren en vast te leggen. KPI’s worden bij 64% van de partijen gehanteerd en eveneens 64% van de partijen die ze nu niet gebruiken, geeft aan dit in de toekomst wel te gaan doen. Het vaststellen van de KPI’s wordt als lastig ervaren; de meest gebruikte zijn het aantal verliezen/events en de audit ratings. 2 Benchmark Rapport 2009 Menige partij is nog zoekende naar optimale inrichting en implementatie van het Framework. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn volop in ontwikkeling en metrics moeten veelal nog worden verzameld. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces. Processen blijven de ruggengraat van ORM Processen worden algemeen gezien als de basis voor ORM. Daarnaast is procesmanagement voor veel organisaties een belangrijk bijproduct van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij het bereiken van meer efficiency en het beter kunnen sturen van de business processen als belangrijke potentiële opbrengsten zien voor ORM. In de praktijk blijkt dat meer efficiency bij 42%, en betere besturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Processen blijven voortdurend aan verandering onderhevig en hoewel in de afgelopen jaren veel tijd en energie gestoken in procesmanagement, blijft op dit punt nog veel werk liggen. Het merendeel (77%) van de ORM-managers geeft dan ook aan procesmanagement in de nabije toekomst de hoogste prioriteit. De Standardardised Approach als balans tussen inspanningen en resultaat Van alle respondenten kiest bijna een kwart (24%) de Advanced Measurement Approach (AMA) voor de berekening van het kapitaalbeslag, bijna de helft (49%) gebruikt de Standardised Approach (SA) en 16% de Basic Indicator Approach. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De AMA wordt uitsluitend gebruikt in grotere concerns, waarbij het aannemelijk is dat dit in het merendeel door de toezichthouder is verplicht. Slechts de helft van de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan. De Word Processor en de spreadsheet blijven populair Het gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat software op de één na laatste plaats. Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en event tracing en het vastleggen van de events (loss database). De markt voor ORMsoftware is nog steeds volop in ontwikkeling en de verkrijgbare producten 3 Operational Risk Management zijn vaak gespecialiseerd op een beperkt onderdeel of nog niet volwassen genoeg. Wellicht is dit een van de redenen dat de standaard spreadsheet en Word Processor door verreweg de meeste partijen gebruikt worden als tool voor ORM. Processen, gover nance en rapportage krijgen de hoogste prioriteit Ondanks de verwachte groei in investeringen voor ERM geeft bijna de helft (47%) van de ORM-managers aan dat ERM voor hen de komende periode een lage prioriteit heeft. Ook de benadering van kapitaalbeslagberekening, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid processen (77%)en verder governance (53%), KPI’s /KRI’s (41%) en (financiële) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de benadering van kapitaalbeslagberekening aan de orde komen. De toezichthouder blijft de belangrijkste driver voor ORM Dat er, zeker sinds de kredietcrisis, (veel) geïnvesteerd wordt in ORM en overige risicosoorten is evident. Minder helder is welke opbrengsten staan tegenover die investeringen, wat voor een groot deel verklaard kan worden uit de (on)mogelijkheden om dit te meten. Het optreden van operationele risico’s is per definitie lastiger te voorspellen dan bv. krediet- of marktrisico’s en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Het voorkomen/beperken van verliezen en van fraude wordt door 70%, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%). De algemene verwachting is dat de maatregelen in het kader van toezicht in de komende jaren nog aanzienlijk zullen worden uitgebreid. Deze ontwikkeling wordt niet gewaardeerd. Slechts 14% van de ORM-managers zou invoering van strengere regelgeving of uitbreiding van rapportages zinvol achten en ruim 20% beoordeelt dit als ‘helemaal niet zinvol’. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), of door guidelines voor eenvoudiger interne modellen (62%). 4 Benchmark Rapport 2009 1 De survey 1.1 Aanleiding De belangstelling voor ORM als geformaliseerd vakgebied en de ontwikkelingen die hierin de laatste jaren te zien zijn, waren voor ons aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. Welk belang wordt aan ORM toegekend, welke resultaten levert het op, welke ontwikkelingen ziet ‘de Nederlandse bancaire ORM-manager’ op het vakgebied? Hoe heeft men het management van de risico’s in de praktijk ingericht en zijn er al best practices te ontdekken? Ons onderzoek richt zich erop antwoorden te geven op deze vragen. 1.2 Aard en omvang van de populatie De survey werd ingevuld en geretourneerd door 39 personen werkzaam bij Nederlandse banken en vermogensbeheerders. 80% van de respondenten is werkzaam in Operationeel Risico Management, als CRO/directeur Risico­ management, Risico Manager, Operationeel Risico Officer of als Operationeel Risico Manager. Die laatste functie is met ruim de helft (54%) van de respon­ denten het meest vertegenwoordigd. De overige 20% van de respondenten is algemeen, operationeel of financieel directeur. Zoals hierboven vermeld werd de survey gehouden onder banken en ver­ mogens­beheerders in Nederland. Wij hebben deze populatie onderverdeeld naar een drietal invalshoeken: • Type bedrijf • Zelfstandige onderneming / onderdeel van een groter concern • Grootte van de onderneming. Type bedrijf De onderverdeling naar type bedrijf geeft een breed beeld van de bancaire sector te zien. Respondenten zijn werkzaam in de retail-, investment-, privateen corporate banking sector, bij brokers en bij vermogensbeheerders. Wanneer wij de ondernemingen verdelen in bancaire instellingen en ver­ mogensbeheerders zien we 10 vermogensbeheerders en 29 banken. Zelfstandig/onderdeel van een concer n 36% van de ondernemingen is zelfstandig en 64% heeft een moederbedrijf, waarvan 16% in het buitenland. De moederbedrijven zijn in iets meer dan de helft van de gevallen bankverzekeraar. 5 Operational Risk Management Omvang De grootte van de ondernemingen gemeten naar aantallen werknemers varieert van enkele tot duizenden medewerkers. Om een vergelijking naar omvang van bedrijf mogelijk te maken, hebben wij de omvang van het totale bedrijf van de zelfstandige bedrijven vergeleken met de omvang van de bedrijfsonderdelen in het geval een moederbedrijf aanwezig is (bv. zelfstandige private bank met het private bankbedrijf van een bankverzekeraar). De zo verkregen bedrijfsomvang is ingedeeld in drie groepen: kleine banken/asset managers (1-50 medewerkers), middelgrote (51-500 medewerkers) en grote (>500 medewerkers). Figuur 1: Indeling van de populatie 36% 26% 64% 41% 13% 74% 46% Moederbedrijf Bank Kleine organisatie Zelfstandig Asset Manager Middelgrote organisatie Grote organisatie In de volgende hoofdstukken zullen wij vergelijkingen tonen vanuit drie invalshoeken: •Tussen zelfstandige bedrijven en bedrijfsonderdelen van grotere concerns, waarbij geen onderscheid wordt gemaakt in Nederlandse en buitenlandse moederbedrijven; •Tussen banken en asset managers, waarbij de categorie asset managers is gedefinieerd als bedrijven die zich uitsluitend met vermogensbeheer bezig houden; •Tussen kleine, middelgrote en grote bedrijven. 6 Benchmark Rapport 2009 1.3 Ker nvragen Om een goed beeld te krijgen bij de status van ORM bij Nederlandse banken vermogensbeheerders in 2009, stellen wij de volgende kernvragen: • Welke plaats heeft ORM in het bedrijf en in de bedrijfscultuur • Hoe heeft men de formele inrichting van ORM ter hand genomen • Hoe wordt de uitvoering ervan in de praktijk ervaren • In hoeverre maakt men gebruik van automatiseringssystemen voor ORM • Welke ontwikkelingen zien onze respondenten in ORM De volledige vragenlijst met de gegeven antwoorden is als bijlage IV te vinden op blz. 48 van dit rapport. 7 Operational Risk Management 2 D e positie van ORM i n de organisatie Operationeel risico is door haar omvang en haar vele verschijningsvormen het moeilijkst te kwalificeren en te managen risico voor een bank. Met de opname van ORM in het Basel II akkoord is in ieder geval een in de financiële wereld algemeen geaccepteerde definitie ontstaan van de risico’s die onder ORM gemanaged dienen te worden. Het akkoord laat echter een grote mate van vrijheid in de uitvoering: door wie, op welke wijze en in welke mate van detail de risico’s geïdentificeerd, gerapporteerd en behandeld moeten worden is aan elke instelling zelf om te bepalen. Het verdient in ieder geval aanbeveling om beleid en inrichting van ORM vast te leggen in een Operationeel Risico Management Model. 2.1 Het Operationeel Risico Management Model Een ORM-model beschrijft de inrichting van ORM en legt o.a. de verant­woor­ delijkheden en bevoegdheden vast van alle betrokkenen in de organisatie. Betrokkenen zijn uiteraard de personen in de ORM-functie zelf, die bij voorkeur in een separate afdeling is geplaatst, maar ook hun ‘counterparts’ in de business lines en overige ondersteunende afdelingen. Verantwoordelijkheden en bevoegdheden kunnen gestructureerd worden door de klassieke indeling in strategisch, tactisch en operationeel niveau te hanteren. Op het strategisch niveau zien we aan de risicokant de CRO en/of het Risk Committee, met als voornaamste verantwoordelijkheden: • Vaststellen van het beleid; • Vaststellen van de ORM risk-appetite; •Opzetten van het ORM-model en de Operationele Risico Governance structuur. Risicodoelstellingen moeten bij voorkeur worden gedefinieerd tegelijkertijd met het vaststellen of aanpassen van de business doelstellingen. Aan de businesskant zijn CEO/RvB/directie verantwoordelijk voor het goed­ keuren van het beleid inclusief risk-appetite, het ORM-model en de governance structuur en voor de implementatie ervan in de organisatie. Het tactisch niveau (Operationeel Risico Manager) zorgt voor de inrichting van het Operationele Risico Control Framework, inclusief identificatie van risico’s, KPI’s, KRI’s, procedures, standaarden en mitigatiemaatregelen. Uiteraard ligt de verantwoordelijkheid voor de risico’s bij de managers van de business afdelingen. De ORM-functie adviseert, ondersteunt bij de uitvoering en is verantwoordelijk voor de goede werking van het ORM Control Framework. Het controleren of dit framework ook wordt toegepast is een taak van de audit functie. 8 Benchmark Rapport 2009 Op het operationeel niveau vindt het daadwerkelijke vastleggen en meten van de risico’s en de events plaats, evenals het uitvoeren van mitigerende maatregelen. Deze activiteiten worden uitgevoerd door de medewerkers in de diverse business lines, met ondersteuning van medewerkers uit supportafdelingen (IT, Finance, etc.) en van de ORM-medewerkers. Figuur 2: Inrichting ORM in de organisatie Beleid Inrichting Middelen Voorbeeldgedrag Strategisch niveau Inrichting & Governance Tactisch niveau Identificatie, Assessment, Mitigatie Operationeel niveau Monitoring & Meting Risk Control Framework 2.2 Kritische Succes Factoren ORM onderscheidt zich op diverse punten van overige risicosoorten. Ten eerste is ORM verweven met alle bedrijfsprocessen, van hoog tot laag in de organisatie en van front- tot back-office. Daarnaast kenmerken operationele risico’s zich door een grote verscheidenheid in hun eigen verschijningsvorm, maar ook in die van hun mogelijke oorzaken en consequenties. Het opzetten van een formeel ORM-model is daardoor op zichzelf al geen sinecure; daarbij komt nog de implementatie ervan, in de breedte en de diepte van de gehele organisatie. Omdat operationele risico’s niet beperkt blijven tot één vakgebied, is samen­ werking vereist tussen ORM- en businessafdelingen, AO-, fraude-, proces- en IT-specialisten en natuurlijk audit- en compliancemedewerkers. Kortom, voor een goede uitvoering van ORM zijn een actieve betrokkenheid en de bereidheid informatie uit te wisselen vereist van praktisch alle bedrijfsonderdelen. 9 Operational Risk Management Een tweede belangrijke voorwaarde voor een goede werking van ORM is dat iedereen, van hoog tot laag in de organisatie, een risicoalerte werkwijze ‘tussen de oren heeft’. Een dergelijke attitude kan alleen bestaan in een organisatiecultuur die hiervoor de ruimte biedt. Het aspect cultuur, in hoge mate beïnvloedbaar door het senior management, is dan ook van wezenlijk belang voor het slagen van ORM in de organisatie. Uit het bovenstaande zijn de volgende kritische succesfactoren voor ORM te definiëren: •Een goed begrip van ORM-taken en -verantwoordelijkheden door de hele organisatie heen; • Bereidheid tot samenwerking en uitwisseling van informatie; •Een risicobewuste organisatiecultuur, waarin beloning en sanctionering van risicogerelateerd handelen als normaal en positief worden ervaren. 2.3 Het ORM-model in de pra ktijk 2.3.1 Waar en hoe is ORM belegd Bij 87% van de onderzochte ondernemingen is ORM belegd in een separate operationele risico management unit. Ook in de kleinere ondernemingen, waar te verwachten is dat de bedrijfsomvang een separate afdeling niet altijd toelaat, bestaat bij 60% een separate ORM-afdeling. Ondernemingen die deel uitmaken van een groter concern, hebben in 100% van de gevallen een separate ORM-afdeling. Bij zelfstandige bedrijven is dit 64%. Het aantal ORM-medewerkers in de onderzochte organisaties varieert van 1 tot honderden medewerkers. Bij verreweg de meeste bedrijven wordt de ORM-functie ingevuld door een afdeling van maximaal 5 personen. Alleen bedrijven met een moederconcern kennen afdelingen van 10 of meer mede­ werkers, terwijl bij zelfstandige bedrijven bijna alle ondernemingen, ongeacht de omvang, werken met 1-5 ORM-medewerkers (38% van de grote zelf­standige ondernemingen heeft 6-10 ORM-medewerkers). Bedrijven die tot een groter concern behoren hebben dus grotere ORM-afdelingen dan zelfstandige bedrijven, ongeacht de bedrijfsomvang. 10 Benchmark Rapport 2009 Figuur 3: Omvang ORM-afdeling 10 > ORM-medewerkers 6 - 10 ORM-medewerkers 1 - 5 ORM-medewerkers 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Grote organisatie met moeder Grote organisatie zelfstandig Middelgrote organisatie met moeder Middelgrote organisatie zelfstandig Alle kleine organisaties 2.3.2 Samenwerking Wij vroegen onze respondenten waar de voornaamste ORM-activiteiten in hun organisatie zijn belegd. Daarbij kon men aangeven of uitsluitend de ORM-afdeling een activiteit uitvoert, dan wel uitsluitend een andere afdeling (compliance, IT, business afdelingen) of dat meerdere afdelingen hierin samenwerken. Enkele partijen gaven hierbij expliciet aan, dat de primaire verantwoordelijkheid voor het risicomanagement is belegd in de lijn. Operationeel Risico Management stelt dan risico control kaders, ziet toe op naleving en rapporteert aan de directie. Ook werd gemeld dat activiteiten als identificeren en monitoren mede door de lijnorganisatie worden uitgevoerd, of dat alle business units actief betrokken zijn bij de ORM-activiteiten. Toch geldt dit zeker niet als algemeen gebruikelijk. De basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico’s worden bij ruim de helft van de partijen uitsluitend door de ORMafdeling uitgevoerd. Ook het mitigeren van risico’s, primair een activiteit voor de lijnorganisatie, wordt in 41% van de ondernemingen alleen door ORM uitgevoerd. 11 Operational Risk Management Bij ongeveer 30% van de bedrijven is voor de basisactiviteiten sprake van samenwerking tussen ORM- en businessafdelingen. Er is ruimte voor meer samenwerking tussen ORM en business bij een groot deel van de Nederlandse banken en vermogensbeheerders Opvallend zijn de ondernemingen waarbij alleen ORM is betrokken bij gespecialiseerde zaken als IT/systeemrisico (23%), information security (28%) en het berekenen van kapitaalbeslag (41%). Juist bij deze specialistische activiteiten dienen de daarin gespecialiseerde afdelingen als IT en Finance betrokken te worden. Omgekeerd mag het ook niet zo zijn, dat deze afdelingen de risico activiteiten geheel zonder betrokkenheid van ORM uitvoeren. Toch komt dit uit de survey wel naar voren, bijvoorbeeld bij anti money laundering (77%), information security (56%) of business continuity planning (51%). De conclusie lijkt gerechtvaardigd dat bij een groot deel van de Nederlandse banken en vermogensbeheerders ruimte is voor meer samenwerking tussen ORM en de diverse andere bedrijfsonderdelen. 12 Benchmark Rapport 2009 Figuur 4: Samenwerking tussen ORM en andere afdelingen* I/A/V* Monitoren Rapporteren Mitigeren Loss database Bereken kapitaalbeslag Anti money laundering Business continuity planning IT/ systeemrisico Information security Stress testen 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Niet bij ORM belegd Alleen bij ORM belegd Samenwerking ORM en andere afdeling(en) * I/A/V: Identificeren, analyseren, vastleggen van risico’s 2.3.3 Cultuur Het businessmanagement op het hoogste niveau is verantwoordelijk voor het door de CRO of Risk Committee geformuleerde beleid, de Operationele Risk appetite en het Operationeel Risico Management Model. In vrijwel alle ondernemingen in onze survey zien we dit terug: het Operationele Risico Management Model wordt in 97% van de gevallen door de hoogste besturingslaag goedgekeurd. Het vaststellen van de Operationele Risk Appetite door de directie gebeurt bij 76% van de directies. Minder goed gaat het met het verbinden van ORM-doelstellingen aan de business doelstellingen: slechts 33% geeft aan, dat dit gebeurt. Wel worden bij 64% van de partijen Operationele Risico’s meegenomen in het strategisch besluitvormingsproces. 13 Operational Risk Management De verantwoordelijkheid van directie of RvB houdt niet op bij deze formele taken. Het hoogste besturingsniveau heeft een belangrijke inbreng in de inbedding van ORM in de organisatie. Dit kan zij doen door: •Communicatie: het beleid en de procedures moeten voortdurend op heldere en eenduidige wijze worden gecommuniceerd, wil iedereen zijn/ haar rol en verantwoordelijkheid begrijpen; •Middelen: uiteraard moeten voldoende middelen worden toegewezen om het beleid te kunnen uitvoeren; •Cultuur: het hoger management moet bevorderen dat een cultuur bestaat, waarin ORM echt is opgenomen in de dagelijkse praktijk. Dit vereist voorbeeldgedrag van het management zelf, beloning van goed gedrag en sanctionering van fout gedrag. Alle inspanningen om ORM in de organisatie op te zetten zullen aan resultaat inboeten als aan deze voorwaarden niet wordt voldaan. De cultuur van de onderneming bepaalt welk gedrag wordt geaccepteerd en welk gedrag niet De hoogste besturingslaag van onze respondenten hecht zeker aan het slagen van ORM: 77% van onze respondenten geeft aan dat de leden van de directie/RvB actief betrokken zijn bij ORM en 90% bevestigt dat het hoger management is gecommitteerd aan het succes van de ORM-functie. Toch vindt niet meer dan 67% van de ondervraagden dat voldoende budget beschikbaar is voor ORM. Bij 54% ontbreken in het beoordelingssysteem en het performance management systeem ORM-gerelateerde KPI’s. Iets beter is het gesteld met het erkennen en belonen van acties om risico’s te beheersen (62% ), maar het sanctioneren van risicovolle activiteiten scoort slechts 44%. Ook het ‘tussen de oren krijgen’ van ORM is voor verbetering vatbaar. Op de vraag of iedereen in de organisatie begrijpt welke rol hij/zij speelt en in hoeverre men verantwoordelijk is, antwoordt iets meer dan de helft (51%) positief. 30% van onze respondenten geeft aan problemen te ondervinden met cultuur en draagvlak in de organisatie. Tenslotte is, na het constateren van commitment van het hoger management bij 90% van de partijen, de volgende bevinding verrassend: een kleine 20% van onze respondenten geeft aan, dat het commitment van hoger management enigszins tot in grote mate een probleem vormt bij de opzet en uitvoering van ORM. 14 Benchmark Rapport 2009 Figuur 5: ORM en Cultuur Commitment hoger management Voldoende budget voor ORM Business doelstellingen verbonden aan ORM-doelstellingen Beloning risicobeheersend gedrag Sanctionering risicovol gedrag ORM - KPI’s in beloningssysteem Operationele Risico’s in strategisch besluitvormingsproces Iedereen kent eigen rol en verantwoordelijkheid 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 15 Operational Risk Management 3 I n richting in de prakt ijk 3.1 Het Operationeel Risico Management Control Framework De uitwerking van het ORM-model ligt vast in het Operational Risk Management Control Framework: het geheel van methoden, technieken en ondersteunende middelen waarmee het ORM-beleid wordt uitgevoerd. Van het ORM Control Framework bestaat geen standaard uitvoering. Het concept van identificeren, meten, monitoren en managen van Operationele Risico’s is uiteraard in ieder Framework terug te vinden, maar de uitvoering varieert per organisatie. Veelal begint het uitvoeren van het Framework met Risk Self Assessments, in welke vorm dan ook. Verder kunnen KRI’s, KPI’s, modelleringtechnieken, score cards, processimulaties, loss databases, en stress tests tot het Framework behoren. Al deze hulpmiddelen kunnen uitstekend werken, mits ze goed zijn afgestemd op het gebruik. Bedrijfsomvang en -activiteiten, beschikbare data en expertise, de volwassenheid van de risico-organisatie, maar ook de organisatiecultuur dienen bij de keuze te worden meegenomen. 3.2 Inrichting van het Framework 97% van de partijen in ons onderzoek heeft een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. 87% identificeert jaarlijks de risicosoorten en stelt een risk universe vast. Figuur 6: Veel gebruikte hulpmiddelen bij Nederlandse banken en vermogensbeheerders Gebruikte hulpmiddelen RSA’s 87% KRI’s 72% Formeel vastgestelde contigency plannen 78% Loss database 95% Stress testen 95% 3.2.1 Methodes, technieken en modellen 81% van onze respondenten gebruikt voor de basis (het identificeren, analy­ seren en vastleggen van risico’s) formele methodes, technieken en modellen. Bij 78% worden deze activiteiten daarnaast ondersteund door ORMsystemen. De conclusie mag dus worden getrokken dat ongeveer 80% van de partijen de basisprocessen van ORM uitvoert op geformaliseerde, gestructureerde en door systemen ondersteunde wijze. 16 Benchmark Rapport 2009 Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risico’s te identificeren, analyseren en vast te leggen. Daarbij maakt de bedrijfsomvang geen groot verschil; wel opvallend is dat het gebruik van formele methodes, technieken en modellen bij Asset Managers hoog is (90%) ten opzichte van banken (78%). Figuur 7: Gebruik formele methodes en technieken Totale populatie Totaal banken Totaal asset managers Kleine banken/asset managers Middelgrote banken/ asset managers Grote banken/asset managers 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Bij 81% is RM actief betrokken bij verbetering van het geldende risico control framework en het oplossen van risico gerelateerde issues. 51% laat regelmatig onafhankelijke reviews uitvoeren op operationele risico management activiteiten. 3.2.2 Processen Processen en ORM zijn onlosmakelijk met elkaar verbonden. Of zoals één van de deelnemers aan onze survey het stelt: “processen zijn de ruggen­graat van ORM”. De procesbeschrijvingen van een organisatie zijn het uitgangspunt bij de identificatie en het monitoren van risico’s en het vaststellen van KRI’s. Processimulatie is hierbij een belangrijk hulpmiddel. Geautomatiseerde simulatieprogramma’s, eventueel met een database waarin risico events zijn opgenomen, kunnen hiervoor goed worden gebruikt. Een simulatie kan echter ook worden uitgevoerd op papier, in een discussie of in een workshop. Het belangrijkste is dat de bestaande procesbeschrijvingen en de in de business gehanteerde KPI’s in hoge mate structuur kunnen geven aan het vaststellen van operationele risico’s, wat als lastig en omvangrijk werk wordt ervaren. Naast het vastleggen en monitoren van de primaire en ondersteunende businessprocessen dient ook het Operationeel Risico zelf als proces te worden vastgelegd en gemonitored. Van onze respondenten geven 17 Operational Risk Management nagenoeg alle partijen (97%) aan, dat processen, procedures en werk­ instructies voor de business formeel zijn vastgelegd. Als het om de ORMfunctie zelf gaat, is dit in 84% van de gevallen zo. Processen zijn de ruggengraat van ORM Hoewel alle partijen in de afgelopen jaren veel aandacht hebben besteed aan het vastleggen en optimaliseren van de processen, loopt in de praktijk menig ORM-manager hier tegen problemen aan. Veelal zijn de processen onderzocht met als doelstelling efficiencyverbetering en niet met de doelstelling controls erin op te nemen of risico’s te identificeren. Ook heeft gebrek aan resources in veel organisaties geleid tot het stellen van prioriteiten bij het in kaart brengen van de processen. De primaire en vooral klantgerichte processen zijn dan, vanuit een BPM-model, vaak goed vastgelegd, maar de ondersteunende processen hebben minder aandacht gekregen. Tenslotte zijn processen uiteraard dynamisch van aard; de beschrijving ervan moet voortdurend worden aangepast aan de veranderende werkelijkheid. Lang niet altijd lukt het organisaties bij ingrijpende veranderingen als overnames, fusies, of het adopteren van nieuwe businessmodellen de processen tijdig aan te passen. Naast het belang van processen als basis voor ORM, vormen efficiencyverhoging en een betere controle op de processen voor veel organisaties belangrijke bijproducten van Operationeel Risico Management. Bijna 80% van de ORMmanagers in onze survey geeft aan dat zij als belangrijke opbrengsten van ORM zien: • Het bereiken van meer efficiency in de processen; • Het beter kunnen sturen van de business processen. In de praktijk blijkt dat meer efficiency bij 42%, en betere sturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Het is dan ook zeer begrijpelijk dat een groot aantal (77%) van de ORM-managers aangeeft processen in de nabije toekomst de hoogste prioriteit te geven. 18 Benchmark Rapport 2009 Figuur 8: Processen als opbrengst van ORM Meer efficiency in de processen Hulpmiddel om onze business processen te sturen 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Gerealiseerde opbrengst Potentiële opbrengst 3.2.3 Gegevens Gegevens zijn een belangrijke factor bij het opzetten van het Risico Control Framework. Risk Self Assessments (RSA’s), KRI’s, KPI’s en loss databases kunnen niet worden gecreëerd zonder betrouwbare en liefst historische gegevens. Beschikbaarheid en kwaliteit van gegevens worden in de praktijk beperkt door historisch ontstane situaties. Fusies en overnames die voor ontbrekende of inconsistente bestanden zorgen, versnipperde risicofunctionaliteit waardoor geen uniforme standaarden beschikbaar zijn, of gegevensopslag vanuit een beperkte functionaliteit zijn veel voorkomende situaties. De beschikbaarheid van gegevens lijkt voor de onderzochte partijen niet een heel groot obstakel te vormen; 27% geeft aan hiervan problemen te ondervinden. De kwaliteit van de gegevens wordt door 46% als problematisch ervaren. Bij RSA’s ligt het probleem veelal in het kwantificeren van de gegevens. Bij gebrek aan historische gegevens worden schattingen in plaats van betrouwbare, gekwantificeerde gegevens gebruikt, bijvoorbeeld voor de verwachte impact of frequentie van een event. Het opbouwen van metrics door het consequent rapporteren en vastleggen van gegevens is een remedie, zij het een die niet op de korte termijn werkt. Ook modelleren en het uitvoeren van ‘what if’ scenario’s kunnen ondersteuning bieden. In de ontwikkeling van het vakgebied zien we een toename van meer kwantitatieve benaderingen van ORM in KPI’s, KRI’s, events en modellen. In de praktijk zien we dat financiële instellingen niet uitsluitend kiezen voor de ene of de andere benadering. Zoals ook door diverse ORM-managers in gevoerde gesprekken werd aangegeven, blijft de menselijke factor een belangrijke rol spelen. Paradoxaal genoeg geldt dit zowel in positieve als in negatieve zin. Er zijn industrieën waar de ontwikkeling van ORM verder is doorgevoerd en ORM meer kwantitatief wordt benaderd dan in de financiële wereld, zoals de luchtvaartindustrie of de medische wereld. In deze omgevingen wordt ervaren, dat juist bij ORM, met de diversiteit in het karakter van de risico’s en de omstandigheden, het menselijk 19 Operational Risk Management vermogen tot inschatten onmisbaar is. Operationeel Risico Management moet niet worden verward met Operationeel Risico Measurement; of, zoals een van de deelnemers opmerkte: “Meten is weten, maar goed risicomanagement kijkt verder dan modellen en statistieken.” Het blind varen op de Value at Risk door vele financiële ondernemingen in de kredietcrisis lijkt deze stelling overigens te ondersteunen. Tegelijkertijd wijzen onderzoeken aan, dat juist in bovengenoemde industrieën als luchtvaart en medische wereld 80% van de optredende Operationele Risico’s wordt veroorzaakt door menselijk falen. Goed risicomanagement kijkt verder dan modellen en statistieken 3.2.4 Key Perfomance Indicators 64% van de partijen in ons onderzoek kent KPI’s als onderdeel van het ORM Risico Control Framework. Een aantal partijen geeft aan dat de vaststelling van KPI’s en KRI’s momenteel onderhanden is. Over de effectiviteit van KPI’s in Operationeel Risico Management zijn de meningen verdeeld. De partijen die geen KPI’s vaststellen, geven aan dat men niet overtuigd is dat KPI’s voor alle risico’s goed werken (21%), of menen dat KPI’s niet passen in de cultuur van de organisatie (14%). Een veel gebruikte KPI is het aantal verliezen/ events. Een aantal ORM-managers tekent hierbij aan, dat men met deze KPI riskeert zijn doel voorbij te schieten door het negatieve karakter ervan. Een tweede veel gebruikte KPI is een verbetering in de audit ratings. Ook het aantal claims wordt genoemd als KPI, evenals het oplossen van de AO-knelpunten binnen een afgesproken due date (overall gemeten in een percentage overdue items). Bij enkele partijen geldt het ORM-proces zelf als KPI: het behouden van de methodiek als leidende KPI (het uitvoeren van een aantal risk assessments) of het ontwikkelen en onderhouden van alle ORM-tools, die vereist zijn voor de gekozen approach onder Basel II. Het verminderen van kapitaalbeslag als KPI wordt door 30% van de respon­ denten genoemd. 20 Benchmark Rapport 2009 Figuur 9: Gebruikte KPI’s Processen Kapitaalbeslag Anders Compliance Audit ratings Aantal verliezen 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Een groot deel (64%) van de partijen die nu geen KPI’s hebben vastgesteld, geeft aan dit in de toekomst wel van plan te zijn. Slechts 13% van de totale populatie heeft geen KPI’s en ook geen plannen deze te gaan definiëren. Het lijkt erop dat men het nut van KPI’s wel inziet, maar nog worstelt met de uitvoering ervan in de praktijk. 3.3 Berekening kapitaalbeslag onder Basel II Zoals bekend kunnen banken en vermogensbeheerders voor de berekening van het kapitaalbeslag voor ORM kiezen uit de drie toegestane benaderingen Basic Indicator Approach (BIA), Standardised Approach (SA) en Advanced Measurement Approach (AMA). De intentie van de toezichthouder is daarbij, dat degenen die de AMA gebruiken, voor deze inspanningen worden beloond met een lager kapitaalbeslag. De ORM-managers in ons onderzoek zijn er lang niet allemaal van overtuigd dat dit in de praktijk ook zo werkt. Van alle respondenten hanteert bijna een kwart (24%) de AMA, bijna de helft (49%) gebruikt de Standardised Approach en 16% de BIA. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De algemene uiting is: hoe groter de bedrijfsomvang, hoe zinvoller het gebruik van de AMA. Ons onderzoek wijst echter uit, dat geen enkele van de zelfstandige bedrijven kiest voor de AMA, ook niet wanneer hun bedrijfsgrootte daartoe aanleiding zou geven. Van de ondernemingen met een moederbedrijf kiest 38% voor AMA. Bijna de helft (46%) gebruikt de SA, en slechts 8% gebruikt de BIA. Hoewel wij dit niet nader hebben onderzocht, lijkt het aannemelijk dat alleen die partijen kiezen voor de AMA, die hiertoe vanwege hun internationale activiteiten door de toezichthouder worden verplicht. 21 Operational Risk Management Figuur 10: Keuze BIA/SA/AMA BIA SA AMA N.v.t. 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Huidig Toekomst Banken en vermogensbeheerders hebben minimaal ruim anderhalf jaar in de praktijk kunnen toetsen of hun keuze voor een benadering de juiste is. De toezichthouder laat de mogelijkheid open van methode te veranderen, zij het alleen van BIA naar SA naar AMA. Wij vroegen onze respondenten dan ook, of zij van plan zijn in de toekomst tot een andere benadering over te gaan. Ongeveer 30% van de partijen, die nu de BIA gebruiken en 16% van de partijen die nu de SA gebruiken, geven aan in de toekomst te willen overgaan naar een andere benadering. Het gebruik van de AMA zou toenemen van 24% nu, tot 41% in de toekomst. Ook hier zien we weer een belangrijk verschil tussen zelfstandige bedrijven en bedrijven met een moederbedrijf. Van de laatste groep blijft 29% de SA gebruiken en 58% geeft aan over te stappen op de AMA. Zelfstandige bedrijven blijven ook in de toekomst voor 62% kiezen voor SA en slechts 8% voor de AMA. Als voordeel van de AMA wordt veelal, naast de beoogde reductie van kapitaalbeslag, het toegestane gebruik van eigen modellen genoemd. 38% van onze respondenten is van mening dat het gebruik van AMA toegevoegde waarde heeft, waarbij allebei de bovengenoemde voordelen even vaak worden genoemd (door 19%). 32% is van mening dat AMA meer kost, dan dat het oplevert. De AMA wordt uitsluitend gebruikt in grotere concerns, maar slechts de helft van de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan. De helft van de bedrijven die onderdeel uitmaken van een groot concern zijn overtuigd van het nut van de AMA; 25% noemt dan weer het gebruik van interne modellen als reden, en 25% de reductie van kapitaalbeslag. De andere helft van deze bedrijven heeft geen mening of ziet geen rechtvaardiging voor de kosten van het gebruik van de AMA. 22 Benchmark Rapport 2009 Van de zelfstandige bedrijven ziet slechts 15% voordeel, ook weer gelijkelijk verdeeld over beide bovengenoemde redenen. Bijna 50% is ervan overtuigd dat AMA meer kost dan het oplevert. 3.4 Problemen bij de uitvoering van ORM Zoals uit het voorgaande blijkt, is het opzetten van een Operationeel Risico Control Framework een omvangrijke taak, die bij de implementatie door veel factoren wordt beïnvloed. Een goed framework is afgestemd op de organisatie en voortdurend moet de afweging gemaakt worden tussen investering in maatregelen en hulpmiddelen enerzijds en opbrengsten en haalbaarheid anderzijds. Bij de meeste Nederlandse financiële instellingen is de formele invoering van Operationeel Risico Management slechts één tot enkele jaren oud. Menige partij is nog zoekende naar optimale inrichting en implementatie. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn nog volop in ontwikkeling en metrics moeten nog worden verzameld, terwijl deze laatste essentieel zijn bij de inrichting van het Risico Control Framework. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces. Figuur 11: Problemen bij uitvoering ORM Risico expertise Cultuur en draagvlak ORM-tools en systemen Volwassen ORM-proces Kwaliteit gegevens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben. Drie van de vijf als meest problematisch genoemde punten liggen in de eigen organisatie: gebrek aan risico expertise (30%), cultuur en draagvlak voor ORM (30%) en tenslotte de volwassenheid van het ORM-proces (41%). De rapportage naar de toezichthouder wordt door geen enkele partij als probleem genoemd. 23 Operational Risk Management 4 Wat levert ORM op? Het is evident dat aan de grote groei van ORM binnen de bancaire wereld de noodzaak tot beperking van operationele risico’s ten grondslag ligt. Dat de schade die kan ontstaan door operationele risico’s aanzienlijk kan zijn is immers in de laatste jaren door diverse partijen ondervonden. Daarnaast is uiteraard het voldoen aan de externe regelgeving een belangrijke stimulans geweest. Toch zijn dit niet de enige opbrengsten die in de praktijk worden nagestreefd. Gevraagd naar hun waardering voor de potentiële opbrengsten van ORM, geven de respondenten als voornaamste aan: • Het voorkomen/beperken van verliezen • Het voldoen aan de regels van toezichthouder/interne regels • Het voorkomen/beperken van fraude • Beter sturen van de business processen • Meer efficiency in de processen. Figuur 12: Waardering potentiële opbrengsten ORM Geen opbrengsten Winstmaximalisatie Kapitaalbeslag Sturen businessprocessen Efficiency van de processen Interne regelgeving Fraude Regels toezichthouder Verliezen voorkomen 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Minder kapitaalbeslag wordt met 33% minder vaak dan bovenstaande redenen genoemd (waarbij moet worden aangetekend dat dit sterk afhankelijk is van de gekozen benadering voor de berekening ervan). Vervolgens is het uiteraard interessant te bezien in hoeverre de genoemde potentiële opbrengsten worden gerealiseerd. De antwoorden op onze vraag hiernaar zijn divers, wat voor een groot deel verklaard kan worden uit de 24 Benchmark Rapport 2009 (on)mogelijkheden om dit te meten. Het optreden van operationele risico’s is per definitie lastiger te voorspellen dan bv. krediet- of marktrisico’s en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Kennelijk is het lastiger te voldoen aan de interne regel­geving; 59% geeft aan dat hier (aanzienlijke) opbrengsten worden gerealiseerd. ORM-managers zien efficiency en betere sturing van de processen als belangrijke opbrengsten van ORM Het voorkomen/beperken van verliezen en van fraude wordt door 70, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%). Figuur 13: Realisatie mogelijke opbrengsten ORM Geen opbrengsten Winstmaximalisatie Kapitaalbeslag Efficiency van de processen Sturen businessprocessen Interne regelgeving Fraude Verliezen voorkomen Regels toezichthouder 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Winstmaximalisatie en hogere efficiency in de processen worden het meest genoemd als onbekend, omdat men niet in staat is dit te meten (36%, resp. 26%). De omvang van de organisatie levert geen significante verschillen op in de opbrengsten die worden gerealiseerd. Bij het type organisatie constateren we dat asset managers in het algemeen meer gerealiseerde opbrengsten 25 Operational Risk Management van ORM zien dan banken. Verschillen zitten vooral in het sturen van de businessprocessen (90% bij de asset managers versus 46% bij de banken), de efficiency in de processen (70% bij de asset managers, 32% bij de banken) en het voorkomen van verliezen (90% bij de asset managers en 62% bij de banken). Zelfstandige bedrijven en bedrijven met een moederorganisatie rapporteren exact dezelfde opbrengsten als het om de processen gaat. De verschillen zitten hier vooral in het voorkomen van verliezen ( 76% van de bedrijven met een moeder versus 57% van de zelfstandige bedrijven), fraude (71%, respectievelijk 50%) en het voldoen aan de regels van de toezichthouder (87% versus 50%). Op al deze punten melden bedrijven met een moederorganisatie dus hogere opbrengsten dan zelfstandige bedrijven. 26 Benchmark Rapport 2009 5 Ontwikkelingen 5.1 Enterprise Risico Management Aanvankelijk werden bij de meeste financiële instellingen alleen kredietrisico en marktrisico belegd, en dit dan meestal als van elkaar gescheiden opererende functies. Een gemeenschappelijke terminologie of aanpak, een overall frame­ work of informatie-uitwisseling tussen de diverse risicofuncties ontbraken meestal. De afgelopen jaren laten een ontwikkeling zien waarbij steeds meer gestreefd wordt naar een holistische benadering van risicomanagement, algemeen aangeduid als Enterprise Risico Management. De vraag is wat nu precies verstaan moet worden onder ERM. Een gangbare definitie is dat ERM een framework is, waarin alle risico’s van een onderneming worden geïdentificeerd en gemanaged. De COSO-definitie wordt in dit verband vaak genoemd. In de praktijk blijkt het formuleren van een risicobeleid op concernniveau goed te doen, maar integratie van de uitvoering ervan niet eenvoudig uitvoerbaar. Dit wordt zeker niet eenvoudiger door het ontbreken van consensus over de reikwijdte en invulling van ERM. Veelgehoord is dat één uniforme aanpak voor de uitvoering van het beleid moet worden gehanteerd, en dat dit beleid door alle afdelingen/business units op uniforme wijze moet worden uitgevoerd. Een verdergaande definitie is dat de afzonderlijke risicosoorten niet separaat gemonitored en gemanaged worden, maar dat deze activiteiten moeten worden samengevoegd. Daarbij kan de informatie op het hoogste niveau worden geaggregeerd, geconsolideerd of geïntegreerd. In de laatste definitie behoort ook het vaststellen van correlaties tussen risico’s tot ERM. 5.1.1 ORM op Enterprise-niveau Onder ORM-managers bestaat grote belangstelling voor ERM. ORM is immers alleen goed en zinvol uitvoerbaar als het ‘enterprise wide’ wordt geïmplementeerd. De vlucht die ORM heeft genomen, heeft de invoering van ERM bij organisaties in de afgelopen jaren versterkt. 69% van onze respondenten geeft aan, dat hun organisatie een integrale aanpak voor risicomanagement op corporate niveau kent. Als we kijken naar het totale risicolandschap (dus niet alleen ORM), dan blijkt een integrale aanpak nog niet te betekenen dat de diverse functies ook zijn geïntegreerd. Audit, compliance en governance worden wel veelal geïntegreerd op concern niveau uitgevoerd: respectievelijk 72%, 64% en 57% van onze respondenten geeft aan dat dit in hun organisatie het geval is. Integratie van de risicofuncties is iets anders: ORM, liquiditeits risico, counterparty risico, krediet risico en markt risico worden bij 50% van de partijen uitgevoerd op afdelings/business unit/ divisie niveau en zijn voor ongeveer 50% op corporate niveau geïntegreerd. 27 Operational Risk Management 61% van de bedrijven kent wel een op corporate niveau geïntegreerd beleid voor ORM. Bijna 20% geeft aan, dat men wel een corporate beleid kent, maar dat dit nog niet (geheel) is geïmplementeerd. Bij 31% van de respondenten is de uitvoering van ORM uniform in het gehele bedrijf. Een even groot percentage geeft aan, dat het beleid weliswaar op corpo­ rate niveau wordt vastgesteld, maar dat de afdelingen onafhankelijk van elkaar dit beleid uitvoeren. Eveneens bij 31% wordt de informatie op concern niveau geïntegreerd en 23% geeft aan dat correlaties tussen de risico’s in de ver­schil­ lende afdelingen/business units worden bekeken en dat hierop wordt geacteerd. 5.1.2 Problemen bij de uitvoering van ERM Het blijkt dus nog niet zo eenvoudig om een op corporate niveau vastgesteld beleid in de gehele onderneming te implementeren. Ook bij de invoering van ERM spelen beschikbaarheid en kwaliteit van gegevens een rol. Daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risico’s en cultuur en draagvlak in de organisatie. Figuur 14: Problemen bij de uitvoering van ERM Kwaliteit gegevens Beschikbaarheid gegevens Conflicterende belangen Integratie van de risico's Cultuur en draagvlak 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Toch ziet bijna 70% van de partijen voldoende voordelen in ERM om zich de moeite te getroosten een ERM-beleid te formuleren en uit te voeren. Onze respondenten gaven aan dat zij een betere besluitvorming als grootste voordeel zien van ERM; dit werd door 56% aangegeven. Direct daarna volgen de vermindering van het overall risico (52%) en operationele efficiency (44%). 28% van onze respondenten geven aan dat zij geen integrale aanpak kennen. 73% daarvan (20% van de totale populatie) ziet kennelijk de voordelen in het geheel niet; zij geven aan dat zij geen ERM-strategie hebben en ook niet van plan zijn ERM in te voeren. 27% heeft wel plannen om ERM in te voeren, maar heeft daartoe alleen nog de strategie geformuleerd (9%) of helemaal nog geen stappen ondernomen (18%). 28 Benchmark Rapport 2009 Over de opbrengsten van Enterprise Risico Management zijn de meningen verdeeld. Als belangrijkste opbrengsten worden genoemd ‘betere besluit­ vorming’ (56%) en ‘vermindering van overall risico’ (52%). 44% meent dat de operationele efficiency zal toenemen door het invoeren van ERM en 36% ziet voordelen in een betere balans tussen risico’s en een betere ondersteuning van de businessplanning. 5.2 Investeringen en prioriteiten Hoewel ERM een onderwerp is dat ORM-managers bezighoudt en het ook diverse keren werd genoemd in de gesprekken die wij voerden, staat het toch niet bovenaan de prioriteitenlijst van de ORM-manager. Bijna de helft (47%) van de ORM-managers geeft zelfs aan dat ERM de komende periode een lage prioriteit heeft. Ook de keuze voor BIA, SA of AMA, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid procesverbetering (77%) en verder governance (53%), KPI’s /KRI’s (41%) en (financiële) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de berekening van kapitaalbeslag aan de orde komen. Top 3 prioriteiten van de Nederlandse ORM-manager: 1.Processen 2.Governance 3.KPI’s/KRI’s en rapportage Het stellen van prioriteiten heeft uiteraard ook veel te maken met de ruimte die de ORM-manager wordt geboden. Wij vroegen onze respondenten op een schaal van 1-10 aan te geven, in welke risicosoorten de afgelopen periode in hun onderneming het meest is geïnvesteerd. Wanneer wij de scores van 7 t/m 10 optellen en omzetten in een percentage, levert dit een duidelijke 1e prioriteit op voor kredietrisico (59%). Ook aan marktrisico (47%) en counterparty risico (38%) werd veel besteed. Gezien tegen de achtergrond van de kredietcrisis zijn dit voor de hand liggende uitslagen. ORM staat echter met 53% op de tweede plaats qua investeringen; een bevestiging van het belang dat ORM in de laatste jaren heeft gekregen. Ook in het komende jaar worden de hoogste investeringen verwacht in krediet­ risico, hoewel met 53% die investeringen wel iets zullen afnemen. Ook in markt­ risico (38%), counterparty risico (28%) en ORM (41%) verwacht men minder bestedingen. De daarmee ontstane ruimte wordt kennelijk besteed aan Enter­ prise Risico Management, dat stijgt van 29% nu naar 41% in het komende jaar. 29 Operational Risk Management Figuur 15: Investeringen per risicosoort Kredietrisico Marktrisico Liquiditeitsrisico Counterparty risico Operationeel risico Enterprise risico 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Afgelopen periode 5.3 Toekomst Wet- en regelgeving Het Basel II akkoord was nog niet formeel ingevoerd toen medio 2007 de eerste verschijnselen optraden van de kredietcrisis, gevolgd door de heftige en wereld­ omvattende crisis die op het moment van publicatie van dit rapport de financiële wereld nog steeds teistert. De gebeurtenissen in de afgelopen twee jaar in de bancaire wereld geven de toezichthouder aanleiding het net ingevoerde akkoord alweer aan te passen. Hoewel in de crisis vooral krediet-, counterparty- en marktrisico een rol spelen, is te verwachten dat ook de regelgeving voor ORM zal worden aangescherpt. De ‘commissie Maas’ gaf al enige voorzetten in haar rapport ‘Naar herstel van vertrouwen’, waarvan inmiddels de twee eerste hoofdstukken tot een Code Banken met wettelijke basis zijn verheven. Hoewel wijzigingen in de regelgeving nog niet in detail bekend zijn, hebben wij toch gepeild hoe ‘de ORM-manager’ in het Nederlandse bankenlandschap hier tegenover staat. Wij gaven een achttal stellingen over aangescherpt beleid waarvan men kon aangeven of men ze als zinvol beoordeelt. De antwoorden geven een heldere lijn te zien: mogelijke maatregelen die betrekking hebben op strengere regelgeving, uitbreiding van rapportages, of verhoging van de frequentie daarvan, worden niet gewaardeerd. Slechts 6% zou een hogere frequentie van rapportages zinvol achten, en 14% invoering van strenge of uitgebreidere regels. 18 – 24% beoordeelt ze zelfs als ‘helemaal niet zinvol’. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), guidelines voor eenvoudiger interne modellen (62%) of eenvoudiger templates voor gegevensverzameling (50%). In dit verband werden in gesprekken met ORM-managers ook regelmatig de toegestane benaderingen voor berekening van kapitaalbeslag genoemd, waarbij enkele managers aangaven dat de toezichthouder er goed aan zou doen de zaak te vereenvoudigen door de AMA helemaal af te schaffen. 30 Benchmark Rapport 2009 Aan strengere regelgeving is geen behoefte; wel aan vereenvoudiging en meer duidelijkheid Hoewel de mogelijkheid hiervoor wel bestond, werden geen andere suggesties aangedragen door de respondenten. 31 Operational Risk Management 6 O ndersteunende syst emen 6.1 De markt voor ORM-software ‘ORM-software’ is een term die een breed scala aan functionaliteit en toepas­ singen dekt. Net als het vakgebied zelf is ook de markt voor de ondersteunende software nog volop in ontwikkeling. Dit geldt zowel voor het aanbod van func­ tionaliteit, als voor het aantal en het type partijen dat ORM-software aanbiedt. De markt voor ORM-software is winstgevend en nog steeds groeiend. We zien dan ook dat in de afgelopen jaren veel leveranciers van oorspronkelijk niet voor ORM ontwikkelde systemen haar hebben ontdekt. Workflow management-, data management- en BI (dashboard) toepassingen, business process rule engines, Anti Money Laundering en IT-beveiligingssystemen worden aangeboden als ORM-systeem. Mede door het aanbod van leveranciers van marktrisico­systemen worden ook steeds meer ORM-systemen op de markt gebracht met een meer kwantitatieve benadering, gebaseerd op modellen en berekeningen met historische gegevens, in plaats van de kwalitatieve of procesgerichte benadering. Door dit brede aanbod in de markt wordt de ORM-manager gesteld voor een klassieke keuze bij de aanschaf van applicaties: ‘best of breed’ of een geïntegreerd systeem. In die afweging spelen enerzijds de specialisatie op een deelgebied, in het algemeen resulterend in een hoge kwaliteit van het product, tegenover de kosten en inspanningen van een ‘best of breed’ oplossing qua beheersbaarheid, vendor management en integratie van de diverse applicaties. Ook in een op enterprise-niveau gecentraliseerd ORM-software­ beleid is plaats, en zal waarschijnlijk de noodzaak blijven bestaan, voor gespecialiseerde oplossingen om aan de eisen in de diverse business units te voldoen. Zolang deze applicaties passen in een op enterprise IT-strategie met een onderliggende applicatiearchitectuur kan dit goed werken. De aanbieders van ORM-software streven er ook naar, hun productsuite zo breed mogelijk te maken door zelf te ontwikkelen of complete andere partijen over te nemen. Dit laatste laat al enige jaren een consolidatie zien in de markt, die nog niet ten einde lijkt. Tegelijkertijd blijft een relatief ‘nieuw’ vakgebied als ORM nieuwe nichespelers trekken die met hun producten de laatste ontwikkelingen volgen. Ook voor ORM-software geldt de vuistregel dat een later door ontwikkeling of acquisitie uitgebreid product in het algemeen toch het beste voldoet op het gebied van de originele functionaliteit. De eerste producten die in de markt verschenen richtten zich op het voldoen aan de regelgeving en waren voornamelijk gebaseerd op kwalitatieve metingen door self assessments. Veel ORM-software is geëvolueerd uit procesanalyse- of 32 Benchmark Rapport 2009 workflow management software. Een deel komt uit de meer kwantitatief gerichte BI-wereld en een deel wordt op de markt gebracht door producenten van markt- of kredietsoftware die hun aanbod uitbreiden met ORM. Ook zijn veel aanbieders van oorsprong niet gericht op toepassingen specifiek voor de financiële wereld. Aanbieders uit de processen/WM hoek kan het ontbreken aan de gespecialiseerde kennis die de berekening van kapitaalbeslag vereist. Ook is in het gebruik van de software het primair denken vanuit processen en niet vanuit events soms een belemmering. Andersom hebben suppliers uit de kwantitatieve (markt, krediet) risico wereld vaak weinig kennis en ervaring met het procesgericht denken. Hoewel in de ORM-software markt een groeiend aantal producten wordt aangeboden onder de verzamelnaam GRC (Governance, Risico & Compliance) software, lijkt er nog geen product voorhanden dat alle onderdelen van ORM adequaat ondersteunt. 6.2 ORM-software i n de praktijk Het gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat ORM ondersteunende software zelfs op de laatste plaats, met slechts 18% van onze respondenten die hieraan de komende tijd een hoge prioriteit toekennen. 30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben. Zoals uit de vorige paragraaf blijkt is ‘ORM-Software’ een term waarmee een breed scala aan functionaliteit wordt aangeduid. Om een veelheid aan inter­ pretaties te voorkomen hebben wij elf belangrijke onderdelen van het Risico Control Framework als deelgebied gedefinieerd. Onze respondenten konden op elk van die deelgebieden aangeven of zij hiervoor ondersteunende soft­ware gebruiken, en zo ja, of dit standaard voor ORM ontwikkelde software betreft, standaard tools als spreadsheets en Word Processors, of zelf ontwikkelde applicaties. Het resultaat wordt weergegeven in figuur 16. Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en tracing en vastleggen van de events (loss database). Minder softwarematige ondersteuning kennen AML/fraudedetectie (68%), scenario analyse (59%), KPI’s (62%) en een Basel II event library (41%). Niet verrassend wordt weinig software zelf ontwikkeld. Alleen voor de loss database is dit veel toegepast: bijna de helft van de partijen die hiervoor software gebruiken, heeft deze zelf ontwikkeld. Verzameling van risicogegevens, event tracing en vastlegging en berekening van kapitaalbeslag worden alle drie door ongeveer 20% van de partijen ondersteund met zelf ontwikkelde software. 33 Operational Risk Management Het aanschaffen van gespecialiseerde ORM-software is evenmin zeer populair. De meest gebruikte ORM-toepassing is overduidelijk die voor proces­onder­ steuning. Van de 82% die dit ondersteunt met een systeem kiest 2/3 (53% van het totaal) hiervoor een gespecialiseerd ORM-tool. 25% van de onder­ vraagden legt de processen vast met behulp van een word processor. Voor de keuze voor speciale ORM-software als het om processen gaat zijn diverse verklaringen te geven. Het belang dat de ORM-manager hecht aan het registreren, optimaliseren en controleren van de processen speelt zeker mee, maar ook het ruime marktaanbod en de relatief lage kosten van de software. Tenslotte is de ‘return on investment’ van dit type ORM-software relatief hoog, aangezien met het vastleggen van processen immers meer doelstellingen dan alleen ORM worden bereikt. 34 Benchmark Rapport 2009 Figuur 16: Software in gebruik Risico rapportage Basel II event library Loss database Scenario-analyse toepassing Berekening van kapitaalbeslag Process mapping Key performance indicators Key risk indicators Event tracing en vastlegging Verzameling van risicogegevens Anti money laundering / Fraudedetectie 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ORM-software aangeschaft Zelf software ontwikkeld Standaard software (spreadsheet, Word Processor) N.V.T. Onze survey toont aan dat de standaard spreadsheet en word processor verreweg door de meeste partijen worden gebruikt als tool voor ORM. Zes van de elf framework onderdelen worden het meest door deze tools ondersteund: risico rapportage (65%), berekening van kapitaalbeslag (50%), scenario analyse (50%), KPI’s (44%), KRI’s (39%), en verzameling van risicogegevens (35%). 35 Operational Risk Management 6.3 Waardering van de gebruikte software Over het algemeen is de ORM-manager uit onze survey tevreden over het gebruikte software product. Opvallend is dat het gebruik van zelf ontwikkelde software, waarvan te verwachten valt dat deze op maat gemaakt is, op slechts vier van de elf onderdelen hoger scoort dan standaard software. Speciaal voor ORM ontwikkelde software scoort in het algemeen iets hoger dan standaard spreadsheets of word processors, behalve bij de KPI’s. Toch is het verschil op alle onderdelen minder dan één punt op een schaal van 10. Het grootste verschil in waardering tussen zelf ontwikkelde software en standaard software (al dan niet voor ORM ontwikkeld) blijkt te bestaan voor proces mapping en KPI’s. Figuur 17: Waardering gebruikte software Waardering 9 8 7 Ve r risi zame co lin ge g v ge an ve Be ns rek ka en pit in aa g v lbe an Ke sla yr g isk ind ica tor Ke s yp erf orm ind an ica ce tor Pro s ce ss ma pp ing Be rek ka en pit in aa g v lbe an Sc sla en g ari oa toe na pa lys ss e ing Lo ss da tab as Ba e se l II ev en t lib rar Ris y ico rap An po ti M rta on ge ey Fra lau ud nde ed rin ete g/ cti e 6 Standaard software Zelf software ontwikkeld Bestaande ORM-software ORM-managers kiezen voor de ondersteuning van risicorapportage massaal voor het gebruik van een standaard word processor (65%, bijna driekwart van de 91% die hiervoor een softwareproduct gebruikt). Toch voldoet dit hulpmiddel kennelijk niet heel goed, want de Word Processor voor risicorapportage scoort tegelijkertijd met een 6,3 gemiddeld de laagste waardering. 36 Benchmark Rapport 2009 7 Overzicht ORM-systemen 7.1 Inleiding Voor ons overzicht van ORM-systemen namen wij als uitgangspunt de ‘Magic Quadrant 2008’ van Gartner. Uit dit overzicht selecteerden wij de markt­ leiders en de nichespelers en vulden deze lijst aan met systemen die door deel­nemende ORM-managers werden genoemd. De initiële lijst van software leveranciers bevatte Algorithmics, BWise, Chase Cooper, CHH, FRSGlobal, List S.p.A, Mega Int., OpenPages, Optial, Oracle Financial Services, Protiviti, RimaOne en het SAS Institute. Iets meer dan 50% van de bovengenoemde leveranciers reageerde positief op onze uitnodiging gegevens te verstrekken. Van de overige leveranciers was List niet in staat zelfstandig te reageren (het product wordt verkocht door Fermat, dat op zijn beurt is overgenomen door Moody’s), enkele partijen zijn te weinig gericht op de Nederlandse markt of zijn niet geïnteresseerd in deelname aan surveys. In totaal geven wij hiermee een overzicht van de volgende 8 partijen en producten: • Algorithmics — Algo OpVar 6 • Avanon – Avanon Oprisk • BWise — v.3.3 • CCH — Sword v.8.0 • Mega International — Mega GRC Suite • Optial — Operational Risk Platform v.6.0 •SAS Institute — SAS ORM suite, OpRisk Global Data, OpRisk Monitor v.3.4 and OpRisk VaR v.3.2 • Protiviti — The Governance Portal 7.2 De leveranciers en de markt Alle leveranciers in ons onderzoek geven aan dat hun product van oorsprong als ORM-product is ontwikkeld, behalve Protiviti. Protiviti heeft vooral een sterke reputatie als leverancier van consulting diensten, maar heeft een groeiend marktaandeel met hun ‘Governance Portal’. Dit product werd oorspronkelijk ontwikkeld als financieel controle systeem, waaraan later audit-, compliance, ERM en ORM-functionaliteit werd toegevoegd. De ‘Governance Portal’ is dan ook meer een GRC, dan een ORM-toepassing. Avanon groeit naar een GRC suite, maar hun product Oprisk, oorspronkelijk voor ORM ontworpen, is het belangrijkste product en levert het overgrote deel van Avanon’s omzet. Algorithmics en CHH Sword leveren naast een ORM-product ook producten voor markt- en kredietrisico, en financiële en BI software. Algorithmics, hoewel vooral bekend door de marktgerichte risicoproducten, ziet ERM-software als 37 Operational Risk Management hun primaire product. Het bedrijf richt zich als enige van de leveranciers uitsluitend op de finance markt. Het SAS institute is van oorsprong gericht op BI en data management software, maar profileert zich nu als leverancier van enterprise wide GRC software. Verreweg het grootste marktaandeel heeft het Nederlandse BWise. Deze leverancier van GRC software ontwikkelt van oorsprong procesmanagement software en richt zich daarbij niet alleen op de financiële markt. Het product BWise heeft dan ook een sterk procesgeoriënteerde opzet en wordt bij een groot aantal banken en vermogensbeheerders in Nederland gebruikt voor diverse procesgerelateerde doeleinden. Naast de twee Nederlandse leveranciers BWise en SAS hebben alleen Protiviti en Avanon een of meer licenties verkocht in de Nederlandse financiële markt, waarbij moet worden aangetekend dat de licenties in Nederland van Avanon alle drie ‘indirect’ zijn, dat wil zeggen verkocht aan internationale ondernemingen met een vestiging in Nederland. Behalve BWise en SAS hebben ook Mega International en CCH Sword een vestiging in Nederland. CHH Sword komt voort uit Ci3, dat in 2008 werd overgenomen door Wolters Kluwer. Figuur 18 geeft het overzicht van het aantal verkochte licenties per leveran­ cier achtereenvolgens in het totaal, in de Nederlandse markt, in de financiële markt en in de Nederlandse financiële markt. Ter indicatie van de groei van de leverancier zijn de totaal-aantallen voor 2008 en 2009 toegevoegd. Waar streepjes staan werd het betreffende aantal door de leverancier niet opgegeven. Figuur 18: Marktoverzicht ORM-software Leverancier Algorithmics (1989) 38 Totaal In NL In Finance 40 0 40 In Finance in NL In 2008 In 2009 0 1 2 Avanon AG (1999) 25 3 22 3 8 4 BWise (1994) 500 - 175 - 57 - CCH Sword (1995) 38 0 38 0 14 - MEGA International (1991) 70 - 30 - 17 7 Optial 7 0 6 0 - - Protiviti (2002) 10 3 3 1 7 2 SAS Institute (1976) 60 6 60 6 10 5 Benchmark Rapport 2009 7.3 Product en functionaliteit Alle producten zijn modulair opgebouwd en parametriseerbaar. Modificaties aan de software kunnen bij Avanon, BWise, CCH Sword, Mega en SAS door de gebruiker of een derde partij voor de gebruiker worden uitgevoerd. Bij Algorithmitc, Optial en Protiviti zijn uitsluitend modificaties mogelijk als die worden uitgevoerd door de leverancier zelf. Alle producten bieden taal­ keuze, waarbij Avanon, BWise en SAS standaard versies in het Nederlands aanbieden. Risk self assessments Alle leveranciers bieden risk self assessments als onderdeel van de software. De functionaliteit daarvan is qua aanbod voor alle producten nagenoeg gelijk. Bij alle producten kunnen risico’s worden gewogen, gekwantificeerd, gescoord en kan een rangorde worden aangebracht. Risico’s kunnen worden geplaatst in de organisatiestructuur, in de Basel II business lines en in de pro­­ cessen en activiteiten in de organisatie. Wijzigingen in organisatiestructuur of in de processen zijn bij alle producten mogelijk en alle producten onder­steu­nen de Basel II indeling in risico type. Alle producten bieden een work­flow-module en in alle producten kunnen controle metingen worden bijge­houden. Alle producten bieden questionnaires met standaardvragen, met uitzondering van Algoritmics, Mega en Optial, die alleen ‘blanco’ questionnaires bieden. Key risk indicators Alle producten bevatten standaard KRI’s en bij alle producten behalve AlgoOpvar 6 kan een hiërarchie in de KRI’s worden aangebracht. Alle pro­ ducten kennen minimum waarden met signalering wanneer deze wordt over­ schreden. Bij alle producten kunnen gegevens uit onderliggende databases gebruikt worden om de KRI’s te updaten, waarbij de updates ook automatisch kunnen worden uitgevoerd. Loss database Alle producten bevatten een loss database, met classificatie van de loss data naar de acht Business Lines en zeven loss types onder Basel II. In alle pro­ ducten kunnen de verliezen worden gemapped op de organisatiestructuur. Alle data­bases zijn multi-user en multi-site en alle producten bieden work­flow functio­naliteit om acties als gevolg van een verlies te monitoren. Alle pro­duc­ ten onder­steunen het vier-ogen principe, bieden audit trails en de mogelijkheid om ‘near misses’ te registreren. Behalve bij Algorithmics en Optial kunnen gebruikers zelf aantal en indeling van de velden in de database wijzigen. Een external loss database wordt slechts door drie partijen aangeboden: Algorithmics, CCH Sword en SAS. Alle drie bieden ook een loss database voor alleen de financiële markt. Benchmarking, ook alleen tegen Nederlandse partijen, is mogelijk bij Algorithmics en SAS. 39 Operational Risk Management Verzameling en analyse van risico gegevens De meest complete functionaliteit om risicogegevens te verzamelen en te analyseren wordt geboden door Avanon, Bwise, CCH Sword en SAS. Alle partijen bieden data analyse en diverse standaard distrubuties, waarbij allen behalve Algorithmics ook de mogelijkheid bieden eigen distributies toe te voegen. Ook data aggregatie, ‘drill down’ mogelijkheden en ‘what if’ analyses wordt door het merendeel van de leveranciers aangeboden. Events tracing, simulaties, scenario en trend analyses worden door de meeste partijen geboden, waarbij Mega het minst uitgebreide aanbod heeft. De mogelijkheid correlaties tussen risico’s te bepalen wordt geboden door Avanon, Bwise, CCH Sword, Protiviti en SAS. Berekening van kapitaalbeslag Alle producten behalve Mega bevatten een ‘engine’ voor de berekening van kapitaalbeslag volgens de drie benaderingen onder Basel II. Het gebruik van Bayesiaanse modellen om de kapitaalbeslagberekening aan een risicoprofiel te koppelen wordt geboden door Algorithmics, Bwise, Optial en Protiviti. Rapportages Alle leveranciers bieden standaard rapportages over alle functionaliteiten die zij bieden, met daarbij ook de mogelijkheid voor de gebruiker eigen rapportages op te zetten. Algorithmitcs, CCH Sword en Protiviti maken daarbij gebruik van een externe report generator. Bij alle producten kan een externe report generator gekoppeld worden. Een volledig overzicht van de geboden functionaliteit per product is als bijlage I te vinden op blz. 44 van dit rapport. 7.4 Support en Techniek Alle leveranciers bieden ondersteuning via een helpdesk, maar alleen BWise en SAS hebben een helpdesk in Nederland. De meeste helpdesks zijn wel 24/7 bereikbaar. Voor alle producten bestaat een gebruikersgroep, maar ook hiervan is het merendeel internationaal; alleen BWise kent een Nederlandse gebruikersgroep. Nederlandse documentatie is ook alleen bij BWise standaard beschikbaar. Onderstaande tabel geeft een volledig overzicht van de geboden services. 40 Benchmark Rapport 2009 Figuur 19: Service en support Service en Support Medewerkers fulltime beschikbaar voor support Helpdesk in Nederland IT support IT consulting Consulting services via netwerk Consulting services Customer support Gebruikersgroep in Nederland Beschikbare documentatie: Functionele specificaties Gebruikershandleiding Beheerderhandleiding Ontwikkelrichtlijnen Aantal releases per jaar Algo rithmics Avanon AG Bwise CCH Sword Mega Int. Optial Protiviti SAS Institute ? • • • - 20 • • • - 15 • • • • • • 5 - ? - • • - 70 • • • • - • • - 75 • • • • • - 100 • • • • • • - Eng Eng >1 Eng Eng Eng Eng 1 Eng/Nl Eng/Nl Eng/Nl Eng/Nl 1 Eng Eng 1 Eng Eng Eng Eng >1 Eng Eng Eng 1 Eng Eng Eng Eng 1 Eng Eng Eng Eng >1 Alle leveranciers werken volgens marktstandaarden qua techniek. Alle pro­duc­ ten zijn web-based en de meeste leveranciers ondersteunen Unix, Linux en een of meerdere versies van MS Windows. Allen werken met SQL en de meeste daarnaast met Java en XML. Als database wordt door het merendeel van de leveranciers SQL aangegeven, met daarnaast veelal Oracle. Bij alle producten is het mogelijk elektronisch documenten als attachment bij te voegen. Optial is de enige leverancier die geen standaard interfaces ter beschikking heeft. Algorithmics, BWise, CCH Sword en Protiviti geven aan dat zij voor de rapportages werken met een report generator van een derde partij. Een volledig overzicht van de technische mogelijkheden is te vinden als bijlage II op blz. 45 van dit rapport. 41 Operational Risk Management D C E C onsultants Implementing Strategy & Innova tion DCE Consultants is een toonaangevend onafhankelijk management­advies­ bureau opgericht in 1980 in Amsterdam. DCE is sinds 1997 de management consultancy tak van Altran. Met de 18.500 Altran-professionals is de slag­ kracht en expertise van DCE versterkt. Het stelt DCE in staat haar relaties in 15 Europese landen te ondersteunen. Wij ondersteunen onze klanten internationaal met het implementeren van hun strategie, het leidinggeven aan veranderingsprocessen en het inrichten van een effectieve bedrijfsvoering. De dienstverlening strekt zich uit over vijf expertisegebieden: strategie assesment, project (portfolio) management, verandermanagement, proces management en IT management. Door de marktgerichte organisatie heeft DCE actuele kennis over vraag­ stukken in de financiële dienstverlening, publieke sector en handel & industrie. Onze adviseurs hebben visie en advieservaring met de laatste trends. Zo dragen zij bij aan de ontwikkeling in hun vakgebied en zijn zij gelijkwaardig gesprekspartner voor u. DCE staat voor een resultaatgerichte implementatie van de gekozen veranderingen altijd in samenwerking met de klant. Om dit te bereiken zoekt DCE nauwe samenwerking met uw medewerkers en management. Daarom staat kennisoverdracht en training hoog in ons vaandel, onder meer via de DCE-Academy. www.dceconsultants.com [email protected] 42 Benchmark Rapport 2009 Bijlagen 43 Operational Risk Management Bijlage I: O v e r z i c h t F u n c t i o n a l i t eit Software Producten Leverancier Algo­ Avanon Optial Protiviti rithmics AG • • • • • • Standaard vragen - • • • Key Risk Indicators • • • • - - • • • • • • Loss Database • • • • Aantal en indeling velden aanpasbaar - • • • • • • • • - • • Industry loss database • - - Industry loss db voor de finance markt • - - • - - - • • - - - • Benchmarking • - Benchmarking alleen in NL • - - - - - - • - - - - - • Verzameling van risico gegevens • • • • • • • • Events tracing Basel II event library - • • • • • • • • • • • • • • • Toevoegen eigen distributies Analyse van loss data - • • • • • • • • • • • • • • • Aggregatie van distributies Frequentieverdeling • • • • • • • • • • • • • • • • Simulaties • • • • • - • • Scenario analyse • • • • • - • • Sensitiviteitsanalyses • • • • - - - • Trend analyses • • • • - • • • Stress testing • • • • - - • • Correlaties tussen risico’s bepalen - • • • - - • • Berekening Kapitaalbeslag • • • • • - • • Bayesiaanse modellen / risicoprofiel • - • - - • • - Rapportages - RSA, KRI, Loss DB, Analyse verliezen • • • • • • • • Industry loss DB • - - • - - - • Berekening kapitaalbeslag • • • • • - • • Externe report generator toevoegen • • • • • • • • Exportfunctie data • • • • • • • • Eigen rapportages maken • • • • • • • • Data aggregatie • • • • - • • • Drilling down • • • • • • • • What-if analyses - • • • - - • • Graphische analyses • • • • • • • • Risk Self Assessments 44 Bwise CCH Mega Sword Int. • • SAS Institute Benchmark Rapport 2009 Bijla g e I I : Ove r z i c h t Te c h n i e k S o f t w a re Producten Leverancier Architectuur Platforms Talen Data base Standaard Techniek Document Externe report interfaces interfaces attaching generator Algorithmics Web based Unix, Linux, Java, SQL, Oracle ja XML, Web ja BIRT SAAS Windows XML, Tcp ja nee ja MS Reporting services 2000, Windows Vista MS Windows lp XP Avanon Web based Unix, Linux, Java, SQL, Oracle, SQL, ja XML, SQL, Macintosh, XML, Odbc, Sybase Import / Windows: Tcp, lp export 3.1 x, 95, 98, 2000, NT, XP, Vista CCH Sword Web based Windows SQL, Tcp SQL ja SQL, XML 2000, 2003, Services Internet Explorer 6 Mega web based Unix, Java, SQL, Windows: Tcp, lp Oracle ja XML ja SQL nee XML, SQL, ja nee ja BO, Crystal ja nee Vista, XP Optial Web based, Java, SQL, SAAS XML Import / export Protiviti Web based Windows: SQL, XML SQL ja 2000, XP XML, SQL, Odbc, Import/export SAS Web based, Unix, Linux, Server MS Windows XML, Ole, based, SAAS XP Java, SQL, Access, ja ? Oracle, SQL Odbc, Tcp, lp 45 Operational Risk Management Bijlage III: Overzicht Leveranciers Algorithmics Adres:185 Spadina Avenue, M5T 2C6 Toronto Land: Canada Telefoonnummer: +44 (0)2073925820 Website: www.algorithmics.com Avanon AG Adres:Technoparkstrasse 1, 8005 Zurich Land: Zwitserland Telefoonnummer: +41 (0)79 782 8707 Website: www.avanon.com BWise Adres:Rietbeemdenborch 14-18, Rosmalen Land: Nederland Telefoonnummer: +31 (0)73 6464914 Website: www.bwise.com CCH SWord Adres:65-66 Lower Mount Street, Dublin Land: Ierland Telefoonnummer: 01306730354 Website: www.cchsword.com Mega International Adres:Kingsfordweg 151, 1043 GR Amsterdam Land: Nederland Telefoonnummer: +31 (0)20 491741 Website: www.mega.com Optial Adres:The Courtyard Building, 11 Curtain Road, EC2A 3LT London Land: Verenigd Koninkrijk Telefoonnummer: +44 (0)20 7247 7673 Website: www.optial.com 46 Benchmark Rapport 2009 Protiviti Adres:SOM 1 Gebouw, Gustav Mahlerlaan 32, 1082 MC Amsterdam Land: Nederland Telefoonnummer: +31 (0)20 3460400 Website: www.Protiviti.nl SAS Institute Adres:Flevolaan 69, 1270 EB Huizen Land: Nederland Telefoonnummer: +31 (0)35 6996833 Website: www.sas.com 47 Operational Risk Management B i j l a g e I V: Vr a g e n l i j s t e n A n t w o o rden Survey 1. Maak t uw bedrijf deel uit van een groter concer n? • Ja. De overkoepelende organisatie is in Nederland gevestigd 48,7% • Ja. De overkoepelende organisatie is in het buitenland gevestigd 15,4% • Nee 35,9% 2.Welke activiteiten voert uw overkoepelende organisatie uit? (meerdere antwoorden mogelijk) • Bank-verzekeraar 16,9% • Retail bank 15,6% • Investment bank 8,4% • Private bank 16,9% • Asset management 19,3% • Corporate bank 9,6% • Broker 7,2% • Anders 6% 3. Hoeveel medewerkers telt uw overkoepelende organisatie? • < - 50 • 50 - 200 • 201 - 500 • 501 - 1000 • 1000 - 2500 • 2500 - > 4.Bij/voor welk organisatieonderdeel bent u werkzaam? (meerdere antwoorden mogelijk) • Retail bank • Investment bank • Private bank • Asset Management • Corporate bank • Broker • Anders 48 0% 0% 0% 4% 4% 92% 13,9% 11,1% 22,2% 25% 11,1% 2,8% 13,9% Benchmark Rapport 2009 5.Hoeveel medewerkers telt uw bedrijfsonderdeel? (indien “Ja” bij vraag 1) • < - 10 • 10 - 50 • 50 - 200 • 201 - 500 • 501 - 1000 • 1001 - 2500 • 2501 - > 0% 8% 24% 28% 12% 12% 16% 6.Welke ker nactiviteiten typeren uw organisatie? (indien “Nee” bij vraag 1, meerdere antwoorden mogelijk) • Bank-verzekeraar • Retail bank • Investment bank • Private bank • Asset management • Corporate bank • Broker • Anders 13,6% 18,2% 9,1% 4,5% 22,7% 13,6% 0% 18,2% 7.Hoeveel medewerkers telt uw organisatie? (indien “Nee” bij vraag 1) • < - 10 • 10 - 50 • 50 - 200 • 201 - 500 • 501 - 1000 • 1001 - 2500 • 2501 - > 7% 14,3% 7% 14,3% 21,4% 35,7% 0% 8.Heeft uw organisat ie een separate risico management afdeling? • Ja, namelijk (group) operationeel risico management 87,2% • Nee, deze verantwoordelijkheid valt onder de afdeling operations 0% • Nee, deze verantwoordelijkheid valt onder de afdeling compliance 7,7% • Nee, deze verantwoordelijkheid valt onder de afdeling finance 0% • Nee, er is geen separate afdeling 5,1% • Nee, ORM is bij ons niet belegd 0% 49 Operational Risk Management 9.Hoeveel medewerkers zijn er binnen uw bedrijfsonderdeel verantwoordelijk voor opera tioneel risico management? • 1 - 5 • 6 - 10 • 10 - > 10.Welk van onderstaande benamingen komt het dichtste bij uw titelbenaming? • CEO / Algemeen directeur • CFO / Financieel directeur • CRO / Directeur risico management • COO / Directeur operations • Operationeel risico manager • Operationeel risico officer • Risico manager 63% 21% 15% 5,1% 7,7% 10,2% 7,7% 53,8% 10,2% 5,1% 11.Waar zijn de volgende ORM activiteiten in uw organisatie belegd? (meerdere antwoorden mogelijk) Opera­ Fraude Com­ ICT tio­neel risico pliance afde­ling risico afdeling afdeling Anders N.V.T. afdeling Identificeren, analyseren en vast­ 87,2% 7,7% 33,3% 10,3% 25,6% 0% 89,7% 10,3% 23,1% 7,7% 23,1% 0% Rapporteren van operationele risico’s 89,7% 10,3% 28,2% 5,1% 20,5% 0% Mitigeren van operationele risico’s 74,4% 2,6% 30,8% 15,4% 48,7% 0% Opzetten en onderhouden van 76,9% 0% 12,8% 2,6% 7,7% 5,1% Berekenen van kapitaalbeslag 46,2% 0% 7,7% 0% 43,6% 7,7% Anti money laundering 23,1% 10,3% 76,9% 0% 12,8% 0% Business continuity planning 48,7% 2,6% 10,3% 30,8% 25,6% 0% IT/systeemrisico management 46,2% 0% 12,8% 64,1% 12,8% 0% Information security 44,7% 2,6% 18,4% 47,4% 10,5% 0% Stress testen 63,2% 0% 5,3% 18,4% 44,7% 5,3% Anders 50% 0% 0% 0% 0% 50% leggen van operationele risico’s Monitoren van operationele risico’s loss database 50 Benchmark Rapport 2009 12.Op welk(e) niveau(’s), binnen uw organisatie, is men actief betrokken bij operationeel risico management? (meerdere antwoorden mogelijk) • Leden van de directie/raad van bestuur • CFO en corporate finance functie • Chief risk officer en (centrale) risico management functie • Management business unit • Operationeel risk committee business unit • Operationeel risico manager business unit • Operationeel risk officers/medewerkers • Overige medewerkers • Interne audit functie • Externe auditors/externe consultants 76,9% 48,7% 64,1% 64,1% 51,3% 41,0% 61,5% 38,5% 46,2% 23,1% 13.In hoeverre zijn onderstaande stellingen op uw organisatie van toepassing? Hele­ Niet Neu­ maal waar traal Waar Hele­ maal niet waar waar Het hoger management is gecommitteerd aan het 0% 0% 10,3% 56,4% 33,3% 0% 7,7% 25,6% 61,5% 5,1% 0% 20,5% 46,2% 28,2% 5,1% 0% 5,1% succes van de ORM functie Er wordt voldoende budget beschikbaar gesteld voor ORM Aan onze business doelstellingen zijn altijd helder gedefinieerde ORM doelstellingen verbonden In onze organisatie worden acties om risico’s te 33,3% 51,3% 10,3% beheersen erkend en beloond In onze organisatie worden risicovolle activiteiten 5,1% 15,4% 35,9% 38,5% 5,1% 7,7% 30,8% 7,7% 0% 5,1% 30,8% 56,4% 7,7% 0% 25,6% 23,1% 46,2% 5,1% ontmoedigd en gesanctioneerd In het beoordelingssysteem en in het performance 41,0% 12,8% managementsysteem zijn ORM – gerelateerde KPI’s opgenomen OR’s worden meegenomen in het strategisch besluitvormingsproces Als het om ORM gaat, begrijpt iedereen in onze organisatie welke rol hij/zij speelt en in hoeverre men verantwoordelijk is Onze organisatie laat regelmatig onafhankelijke 10,3% 17,9% 20,5% 38,5% 12,8% reviews uitvoeren op onze operationele risico management activiteiten 51 Operational Risk Management 14.Kunt u door middel van een rapportcijfer aangeven welke waardering u geeft aan mogelijke opbrengsten van ORM? Gemiddelde score Hulpmiddel om onze business processen te sturen 7 Verliezen voorkomen/beperken 7,82 Winst maximalisatie 5,79 Voldoen aan de regels van de toezichthouder 7,59 Voldoen aan de interne regelgeving 7,56 Minder kapitaalbeslag 6,21 Meer efficiency in de processen 7,33 Voorkomt/beperkt fraude 7,59 Geen opbrengsten, ORM is kostenpost 4,48 15. Kunt u aangeven of de mogelijke opbrengsten in de afgelopen jaren daadwerkelijk zijn gerealiseerd? Niet Niet in Mini­male Opbreng­ Aanzien­ relevant staat te opbreng­ sten lijke op-­ voor ons meten sten 2,6% 10,5% 28,9% 52,6% 5,3% Verliezen voorkomen/beperken 5,1% 10,3% 15,4% 66,7% 2,6% Winst maximalisatie 17,9% 35,9% 30,8% 15,4% 0% Voldoen aan de regels van de 2,7% 7,7% 16,2% 54,1% 18,9% 7,7% 7,7% 25,6% 48,7% 10,3% Minder kapitaalbeslag 20,5% 7,7% 38,5% 25,6% 7,7% Meer efficiency in de processen 2,6% 26,3% 28,9% 36,8% 5,3% Voorkomt/beperkt fraude 5,3% 15,8% 15,8% 57,9% 5,3% Geen opbrengsten, ORM is 65,7% 17,1% 11,4% 5,7% 0% Hulpmiddel om onze business brengsten processen te sturen toezichthouder Voldoen aan de interne regelgeving kostenpost 16.Zijn er key performance indicators (KPI’s) vastgesteld voor de ORM functie(s)? • Ja • Nee 52 64,1% 35,9% Benchmark Rapport 2009 17. Welke KPI’s heeft u vastgesteld? (meerdere antwoorden mogelijk) • Aantal verliezen/events 62,5% • Kapitaalbeslag 29,2% • Afwijkingen op complianceregels 41,7% • Audit ratings 54,2% • Efficiency in de processen 25,0% • Anders 29,2% 18.Bent u van plan in de toekomst KPI’s vast te stellen? (meerdere antwoorden mogelijk) • Ja • Nee, we zijn dit niet van plan uit kosten overweging • Nee, KPI’s passen niet binnen de cultuur van onze organisatie • Nee, we zijn dit niet van plan in verband met andere prioriteiten •Nee, we zijn er niet van overtuigd dat KPI’s voor alle risico’s goed werken 19.Bestaat er binnen uw organisatie voor OR een formeel vastgestelde risk appetite? • Ja, alleen kwantitatief • Ja, alleen kwalitatief • Ja, beide • Nee 64,3% 0% 14,3% 7,1% 21,4% 18,9% 21,6% 35,1% 24,3% 20.Maakt u gebruik van onderstaande activiteiten, middelen, methoden en tools? Formeel vastgelegde processen, procedures en werkinstructies voor de Nee Ja 2,7% 97,3% business Formeel vastgelegde processen, procedures en werkinstructies voor ORM 16,2% 83,8% Jaarlijkse identificatie van risicosoorten en vaststelling risk universe 13,5% 86,5% Vastgelegd en door de directie goedgekeurd risico control framework 2,7% Stress testing methodes worden gebruikt 59,5% 40,5% 97,3% De organisatie voert Risk selfassessments uit 13,5% 86,5% ORM voert zelfstanding audits/risk assesments uit 21,6% 78,4% De organisatie kent een formele procedure voor de opvolging van risico 8,1% 91,9% incidenten Contingency planning formeel vastgelegd 21,6% 78,4% KRI’s worden vastgesteld en gemonitord 27,8% 72,2% 53 Operational Risk Management 21.Kunt u aangeven in hoeverre onderstaande stellingen op uw organisatie van toepassing zijn? Hele­ Niet Neu­ maal waar traal Waar Hele­ maal niet waar waar RM is actief betrokken bij verbetering van het geldend 2,7% 0% 16,2% 48,6% 32,4% 2,7% 0% 16,2% 51,4% 29,7% 2,7% 13,5% 5,4% 45,9% 32,4% 5,4% 10,8% 8,1% 32,4% 43,2% risico control framework binnen de organisatie en het oplossen van risico gerelateerde issues Formele methodes, technieken en modellen worden gebruikt om risico’s te identificeren, te meten, vast te leggen, te rapporteren en te monitoren Operationeel risico management systemen worden gebruikt om risico’s te identificeren, te meten, vast te leggen, te rapporteren en te monitoren Organisatie maakt gebruik van een corporate loss database voor vastlegging van alle ORM incidenten 22.Van welke van onderstaande benaderingen maakt u op dit moment gebruik voor de berekening van het risicokapitaal? • Basic Indicator Approach (BIA) • Standardised Approach (SA) • Advanced Measurement Approach (AMA) • Wij berekenen geen risicokapitaal 16,2% 48,6% 24,3% 10,8% 23.Van welke van onderstaande benaderingen wilt u in de toekomst gebruik maken voor de berekening van het risicokapitaal? • Basic Indicator Approach (BIA) 10,8% • Standardised Approach (SA) 40,5% • Advanced Measurement Approach (AMA) 40,5% • Wij zijn niet van plan risicokapitaal te gaan berekenen 8,1% 24.Vindt u • • • • 54 dat het gebruik van AMA toegevoegde waarde heeft? Ja, reductie van kapitaalbeslag rechtvaardigt de inspanning Ja, het gebruik van interne modellen rechtvaardigt de inspanning Nee, het kost meer dan dat het oplevert Geen mening 18,9% 18,9% 32,4% 29,7% Benchmark Rapport 2009 25.In welke mate vormen onderstaande punten een probleem voor u bij de opzet en uitvoering van het ORM beleid? Helemaal Niet erg Neutraal Enigszins In hoge niet mate Beschikbaarheid van gegevens 13,5% 37,8% 21,6% 18,9% 8,1%% Kwaliteit van gegevens 10,8% 29,7% 13,5% 37,8% 8,1% Het gebruik van een loss database 29,7% 24,3% 24,3% 16,2% 5,4% Volwassenheid van het ORM proces 13,5% 27% 18,9% 32,4% 8,1% Beschikbaarheid van ORM support 13,5% 32,4% 24,3% 18,9% 10,8% 10,8% 45,9% 24,3% 13,5% 5,4% Cultuur en draagvlak in de organisatie 24,3% 24,3% 21,6% 21,6% 8,1% Committent van (senior) management 29,7% 40,5% 10,8% 16,2% 2,7% Risico framework 27% 37,8% 27% 5,4% 2,7% Risico expertise binnen de 13,5% 37,8% 18,9% 29,7% 0% Interne rapportage 24,3% 43,2% 27% 0% 5,4% Rapportage naar toezichthouder 27,8% 61,1% 11,1% 0% 0% tools en systemen Beschikbaarheid van budgetten organisatie 26.Kent uw organisatie een integrale aanpak voor risico management op corporate niveau (Enterprise Risico Management)? • Ja 69,4% • Nee 27,8% • Onbekend 2,8% 27.Op welk niveau zijn de onderstaande functies in uw organisatie geïntegreerd? Niet van Operationeel risico management Per afdeling/ toepassing business unit 2,8% 30,6% Per divisie Op corporate 19,4% 47,2% niveau Krediet risico management 2,8% 27,8% 19,4% 50,0% Markt risico management 8,3% 22,2% 25,0% 44,4% Liquiditeits risico management 11,1% 19,4% 22,2% 47,2% Counterparty risico management 11,1% 13,9% 22,2% 52,8% Audit 2,8% 11,1% 13,9% 72,2% Compliance 2,8% 22,2% 11,1% 63,9% Governance 17,1% 8,6% 17,1% 57,1% 55 Operational Risk Management 28.Kunt u aangeven of uw organisatie een formeel, vastgelegd ORM beleid kent? • Het ORM beleid is op corporate niveau geheel geïntegreerd •Het ORM beleid is op corporate niveau geïntegreerd, maar dit is nog niet (geheel) geïmplementeerd •Alle afdelingen hebben een ORM beleid, per afdeling vastgelegd en doorgevoerd •Niet alle afdelingen hebben een ORM beleid vastgelegd en doorgevoerd • Nee, wij hebben geen vastgelegd ORM beleid 61,1% 19,4% 8,3% 8,3% 2,8% 29.Kunt u aangeven welke situatie in uw organisatie van toepassing is? (indien nee bij vraag 26) •Wij hebben plannen om ERM op korte termijn in te voeren, maar nog geen stappen ondernomen 18,2% •Wij hebben een ERM strategie geformuleerd, maar nog niet (geheel) geïmplementeerd 9,1% • Wij hebben geen plannen om ERM in te voeren 72,7% 30.Als het om ORM op enterprise niveau gaat, welke van onderstaande situaties zijn dan in uw organisatie van toepassing: (meerdere antwoorden mogelijk) • De uitvoering van ORM is uniform in het gehele bedrijf 30,8% •Het beleid wordt op corporate niveau vastgesteld, maar per afdeling/divisie onafhankelijk uitgevoerd 30,8% •Informatie over risico’s wordt geaggregeerd op het hoogste niveau 30,8% •Correlaties tussen risico’s in verschillende afdelingen/business units worden bekeken en hierop wordt actie ondernomen 23,1% 31.Wat zijn volgens u de grootste uitdagingen bij het implementeren van ERM? (Er zijn meerdere antwoorden mogelijk, maximaal 3) •Kwaliteit van gegevens 20,8% • Beschikbaarheid van gegevens 33,3% • Verantwoordelijkheden zijn diffuus 8,3% • Conflicterende belangen tussen verschillende units 37,5% • Integratie/vergelijking van de risico’s uit verschillende units 45,8% • Cultuur/acceptatie in organisatie 54,2% • Rapportage 12,5% • Kosten 4,2% • Anders 16,7% 56 Benchmark Rapport 2009 32.Wat zijn volgens u de belangrijkste redenen om ERM in te voeren? (meerdere antwoorden mogelijk) • Betere balans tussen risico’s 36,0% • Betere besluitvorming mogelijk 56,0% • Ondersteunt de business planning 36,0% • Operational efficiency 44,0% • Kapitaalbeslag 12,0% • Performance management 20,0% • Vermindering van overall risico 52,0% • Anders 8,0% 33.Voor welke onderdelen gebruikt u software en is die zelf ontwikkeld of heeft u hiervoor een softwarepakket aangeschaft? Software N.V.T. Standaard software Zelf software (spreadsheet, word software aange­ processor) ontwikkeld schaft Verzameling van risicogegevens 5,9% 35,3% 26,5% 32,4% Event tracing en vastlegging 23,5% 23,5% 23,5% 29,4% Key risk indicators 30,3% 39,4% 15,2% 15,2% Key performance indicators 38,3% 44,1% 5,9% 11,8% Process mapping 17,6% 26,5% 2,9% 52,9% Berekening van kapitaalbeslag 23,5% 50,0% 17,6% 8,8% Scenario analyse toepassing 41,2% 50,0% 2,9% 5,9% Loss database 20,6 17,6% 44,1% 17,6% Basel II event library 58,8% 20,6% 14,7% 5,9% Risico rapportage 8,8% 64,7% 17,6% 8,8% Anti money laundering / 32,4% 26,5% 14,7% 26,5% Fraudedetectie Tevredenheid Gemiddelde score Verzameling van risicogegevens 6,79 Event tracing en vastlegging 6,62 Key risk indicators 6,52 Key performance indicators 6,53 Process mapping 6,81 Berekening van kapitaalbeslag 7,05 Scenario analyse toepassing 7,17 Loss database 6,81 Basel II event library 6,56 Risico rapportage 6,66 Anti money laundering /Fraudedetectie 7,30 57 Operational Risk Management 34.In welke mate vormen onderstaande aspecten van uw ORM software een probleem voor u? n.v.t. Integratie van ORM software met 30,6% Geen Weinig Proble­ Zeer veel problemen problemen men problemen 16,7% 30,6% 13,9% 8,3% overige systemen Hoge onderhoudskosten 27,8% 25% 27,8% 16,7% 2,8% Hoge licentiekosten 27,8% 27,8% 25% 19,4% 0% Verouderde technologie 30,6% 25% 33,3% 8,3% 2,8% Support van de leverancier 38,9% 22,2% 33,3% 22,2% 5,6% Functionaliteit schiet tekort 25% 13,9% 33,3% 22,2% 5,6% Rapportagemogelijkheden 22,9% 11,4% 42,9% 17,1% 5,7% 41,7% 16,7% 33,3% 5,6% 2,8% (intern) Rapportagemogelijkheden (toezichthouder) 35.Hoe zinvol denkt u dat onderstaande maatregelen zouden zijn als de toezichthouder ze zou invoeren? Helemaal Niet zo niet zinvol zinvol Neutraal Zinvol Heel zinvol Strengere regelgeving op ORM-gebied 23,5% 41,2% 20,6% 14,7% 0% Uitgebreidere ORM rapportages 20,6% 41,2% 23,5% 14,7% 0% Hogere frequentie van ORM 17,6% 52,9% 23,5% 5,9% 0% 5,9% 17,6% 11,8% 50% 14,7% 5,9% 14,7% 17,6% 47,1% 14,7% 8,8% 23,5% 47,1% 8,8% 11,8% Implementatie Europees toezichthouder 8,8% 23,5% 47,1% 8,8% 11,8% Meer bevoegdheden tot ingrijpen van 14,7% 20,6% 41,2% 20,6% 2,9% rapportages Meer/betere adviezen van de toezichthouder over ORM Guidelines voor eenvoudiger interne modellen Eenvoudiger templates voor gegevensverzameling toezichthouder/overheid 58 Benchmark Rapport 2009 36.Geef door middel van een rapportcijfer aan in welke risicosoorten uw organisatie de afgelopen periode het meest geïnvesteerd (antwoorden met 6 of hoger op een schaal van 10) Krediet risico management 67,6% Markt risico management 55,9% Liquiditeits risico management 55,8% Counterparty risico management 58,8% Operationeel risico management 64,6% Enterprise risico management 44% 37.Op welk gebied verwacht u het komende jaar de grootste investeringen? (antwoorden met 6 of hoger op een schaal van Krediet risico management Markt risico management Liquiditeits risico management Counterparty risico management Operationeel risico management Enterprise risico management 10) 58,7% 50% 51% 47% 58,7% 55,8% 38. Waar ligt voor u de komende tijd de grootste uitdaging? N.V.T. Lage prioriteit Hoge prioriteit ERM 23,5% 47,1% 29,4% KPI’s/KRI’s 5,9% 52,9% 41,2% Processen 3,2% 19,4% 77,4% (Financiële) rapportage 8,8% 50,0% 41,2% Governance 8,8% 38,2% 52,9% ORM ondersteunende software 11,8% 70,6% 17,6% Kapitaalberekening onder Basel II 15,6% 68,8% 15,6% 59 Operational Risk Management 39.In hoeverre bent u het eens met de volgende aanbevelingen uit het rapport van de Commissie Maas? Hele­ On­eens Neu­ maal Eens traal mee oneens Nieuwe producten kunnen niet op de markt Helemaal eens 0% 5,9% 2,9% 38,2% 52,9% 0% 11,8% 41,2% 38,2% 8,8% 0% 26,5% 26,5% 29,4% 17,6% 8,8% 11,8% 41,2% 23,5% 14,7% 0% 8,8% 8,8% 50% 32,4% 0% 14,7% 14,7% 35,3% 35,3% worden gebracht zonder uitdrukkelijke instem­ming van de risico manage­ment­ functie van de bank In aanvulling op de kapitaaleisen van Basel II moet een algemeen maximum worden gesteld aan de verhouding tussen balans­totaal en risicodragend vermogen (leverage ratio) Indien banken de grenzen opzoeken van de regels van Pillar I dienen toezichthouders hen daar door het opleggen van additionele kapitaalseisen van te weerhouden Een European System of Financial Supervision moet worden opgericht De Chief Risk Officer (CRO) dient zitting te hebben in de Raad van Bestuur van een bank Risicomanagement is verantwoordelijk voor het adequaat functioneren van het zogeheten Product Approval Process dat iedere bank behoort te hebben 60
