Risicobeheer is gecompliceerd, en de theorie erover is nog volop in ontwikkeling. Ondertussen stellen toezichthoudende instanties in de financiële wereld, zoals het Basle Committee en DNB, steeds meer eisen aan het monitoren van risico’s. Recente trends in de IT bieden mogelijkheden om de risico’s te monitoren en te beheersen. Toch blijkt dat in de meeste organisaties risicobeheer veel beter in de bedrijfsprocessen verankerd zou moeten zijn. Ter ondersteuning is een raamwerk ontwikkeld, dat wordt toegelicht door twee consultants.
Het voorkomen van debacles is een belangrijke reden voor het opzetten van risicobeheer binnen financiële instellingen. Daarnaast is ook de spectaculaire groei van de internationale financiële markten een belangrijke reden voor risicobeheer. Niet alleen door het aantal toegenomen producten, alsook door de omvang, snelheid en combinatiemogelijkheden die zijn geïntroduceerd.
DCE Consultants ontwikkelde een raamwerk voor risicobeheer. Dit wordt gebruikt voor de implementatie ervan binnen financiële instellingen. De basis van dit raamwerk is het ‘vangnet’. Dat is te definiëren als de elementen binnen de organisatie die goed moeten functioneren om zowel de interne als de externe financiële risico’s zo veel mogelijk te beperken, of in ieder geval te beheersen. Hierbij worden drie soorten risico’s onderscheiden.
De vermeden risico’s ketsen af op het vangnet. Risico’s worden bewust buitengesloten als gevolg van het gevoerde beleid. Dit betekent bijvoorbeeld geen handel in derivaten, het voeren van een passief ‘asset management’ beleid, enzovoort.
De gecontroleerde risico’s zijn de risico’s die bewust worden gelopen. Door bijvoorbeeld het gevoerde afdekkingsgebeleid, waarin is besloten om het risico dat de koers van de dollar loopt niet of voor 50 procent te af te dekken. Hierdoor zijn de gevolgen van een daling van de dollar voelbaar voor de organisatie, maar hiervoor is bewust gekozen. De risico’s worden zodanig afgedekt dat de gevolgen hiervan acceptabel en aanvaardbaar zijn.
De niet gecontroleerde risico’s zijn in tegenstelling tot de beide andere soorten risico’s niet beheersbaar. Het gaat hier met name om onverwachte gebeurtenissen, zoals bijvoorbeeld fraude. De niet gecontroleerde risico’s zijn het gevolg van gaten die vallen in het vangnet. Op het moment dat een niet gecontroleerd risico zich voordoet, zal dit moeten worden omgezet in een vermeden of een gecontroleerd risico.
Het vangnet is opgebouwd uit vier pijlers: IT, organisatie, processen en medewerkers. Hieronder worden deze vier pijlers verder uitgewerkt. De effectiviteit van het vangnet wordt bepaald door de mate waarin deze vier aspecten worden afgedekt. Dit betekent dat IT alleen geen oplossing biedt voor risicobeheer. Naast IT zullen ook de andere aspecten goed vertegenwoordigd moeten zijn.
IT
De eerste pijler van het vangnet, de informatietechnologie, is een belangrijke factor mede dankzij de snelle evolutie van adequate systemen voor risicobeheer. Wij verwachten, na de euro en het ‘jaar 2000’, met name grote investeringen op het gebied van risicobeheersystemen.
Het recent uitgevoerde DCE-onderzoek naar risico- en financiële beheersystemen [1] onder meer dan 350 leveranciers wereldwijd resulteerde in een aantal conclusies.
Het aanbod van risicobeheerpakketten is overweldigend; het aantal leveranciers neemt af door fusies en overnames; de pioniersfase is voorbij: veel leveranciers bieden een volwassen pakket;
nieuwe ontwikkelingen zijn met name gericht op ‘web-enabling’, het opnemen van exoten, integratie van markt, krediet en operationeel risico.
Waar het de ondersteuning van de operationele activiteiten betreft, kan de IT een bron van risico voor een organisatie vormen. Dit wordt vaak aangeduid met ‘systeemrisico’ of ‘IT-risico’: het risico dat geautomatiseerde systemen niet of onjuist functioneren of dat de leverancier van het systeem niet meer de benodigde ondersteuning kan leveren. Daarnaast geldt dat de integriteit van de in de systemen gebruikte wiskundige modellen voor het bepalen van het risico, onvoldoende kan zijn. Hierdoor vormen deze modellen voor het in kaart brengen van risico’s op zichzelf weer een risico, het zogeheten modelrisico. In verband met deze risico’s is het van belang dat voor, tijdens en na implementatie van een risicobeheersysteem voldoende aandacht wordt besteed aan de gewenste informatiearchitectuur. Deze bestaat uit applicatiearchitectuur; technische architectuur en data-architectuur.
Applicatiearchitectuur
De applicatiearchitectuur dient te waarborgen dat het risicobeheersysteem nu en in de toekomst aan de wensen van de gebruikersorganisatie voldoet. Dit betekent onder andere dat elke bedrijfseenheid binnen een organisatie de juiste functionaliteit krijgt aangeboden. Ook dienen het formaat en de frequentie van rapportages en signaleringen van overschrijdingen aan te sluiten bij de gestelde eisen.
De applicatiearchitectuur van een ondernemingsbreed (‘enterprise’) risicobeheersysteem bestaat uit een vijf-lagen omgeving.
Lokale handelssystemen, databases en koppelingen met ‘price feeds’. Een wereldwijd opererende financiële instelling kan op meerdere locaties front- en backoffice-applicaties hebben draaien die fysiek van elkaar gescheiden zijn. Dit kan op verschillende hardware-platforms en onder verschillende besturingssystemen. Daarnaast zijn van verschillende dataleveranciers data te verkrijgen.
‘Data mapping tools’. Deze brengen het formaat en de definitie van data uit de verschillende handelssystemen op één lijn, om ze te kunnen aggregeren in één gegevenspakhuis. Ook bieden ze vaak nog aanvullende functionaliteit als het opschonen en verrijken van data.
Gegevenspakhuis. Data uit de lokale, gedecentraliseerde systemen moeten worden geaggregeerd in een (virtueel) gegevenspakhuis om globale analyses, waarderingen en simulaties te kunnen uitvoeren. Dit gegevenspakhuis dient als server voor alle ‘risk engines’ die als client van deze server gebruik maken. Het gegevenspakhuis bevat een geconsolideerde, real-time kijk op de informatie.
‘Risk engine’. Hierin zit de bedrijfslogica voor het waarderen van financiële posities en instrumenten, en voor het uitvoeren van simulaties met portefeuilles en gevoeligheidsanalyses.
Eindgebruikerapplicaties. De gebruiker heeft zijn eigen applicatie waarmee hij naar behoefte data, waarderingen, gevoeligheidsanalyses, enzovoort, kan opvragen middels grafieken en rapportages.
Voorbeelden van leveranciers van ondernemingsbrede risicobeheersystemen zijn Sun Gard, Barra, Midas Kapiti International, FNX, Themasoft en Algorithmics. Naast leveranciers van dergelijke systemen zijn er leveranciers die zich meer richten op frontoffice-risicobeheersystemen. Deze bieden een zeer nauwe, maar diepgaande functionaliteit voor bijvoorbeeld de berekening van statistieken, zoals ‘de grieken’ of afdekkings (‘hedge’)strategieën. Voorbeelden van leveranciers die dit aanbieden zijn Numeri X, Risk Metrics Group, Monis Software en Quantec.
Met de integratie van operationeel risico in de pakketten, zal er in de toekomst meer aandacht komen voor backoffice-risicobeheersystemen. Deze richten zich op processen als transactieverwerking, documentbeheer, werkstroom en margebeheer.
Technische en data-architectuur
Binnen de technische architectuur moeten de backup- en herstelfaciliteiten worden geregeld. Zeker voor ondernemingsbrede risicobeheersystemen geldt dat deze 24 uur per dag wereldwijd operationeel moeten zijn. Dit stelt extreem hoge eisen aan de technische architectuur. Gezien de hoeveelheid data die nodig zijn voor risicobeheer zal binnen de technische architectuur ook aandacht besteed moeten worden aan de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van data.
Daarnaast zal goed moeten worden nagedacht over de wijze waarop alle benodigde data aangeboden worden aan het risicobeheersysteem. Het betreft hier zowel de opslag van data, één groot gegevenspakhuis of kleinere data-marts, alsook het transport van data, de interfaces tussen de diverse systemen.
De data-architectuur beschrijft de inhoud en definitie van de gebruikte data in de risicobeheersystemen alsmede de bronnen waar de data vandaan komen. De organisatie zal duidelijke keuzes moeten maken welke interne front- en/of backofficesystemen gebruikt zullen worden als datavoeding voor het risicobeheersysteem. Naast de verschillende technische mogelijkheden speelt hier vooral de afwegingen tussen tijdigheid (frontoffice) en kwaliteit (backoffice).
Zeer belangrijk in de data-architectuur is het aanwijzen van verantwoordelijken binnen een organisatie voor het onderhoud en voor het bewaken van de consistentie van de data. Het betreft hier niet alleen alle benodigde transactie-, positie- en stamgegevens maar ook de data die van externe dataleveranciers worden betrokken. Er is helaas niet één dataleverancier die alle data kan leveren. Dat maakt het vaak noodzakelijk om marktdata (DRI, Reuters, Datastream, enzovoort), productinformatie (Bridge, Bloomberg, enzovoort) en ‘counterparty’-informatie (S&P, Moody’s, enzovoort) van verschillende leveranciers te betrekken.
Processen
Bij de tweede pijler van het vangnet, de processen, wordt een ’top-down’ benadering gehanteerd. Het algemeen gevoerde beleid binnen de organisatie is de spil van de bedrijfsvoering en zodoende ook van de processen. Dit beleid wordt als uitgangspunt gebruikt voor het in kaart brengen van de processen. Bij het inzichtelijk maken van de processen binnen een organisatie, richten we ons op de belangrijkste ‘businessprocessen’ van het bedrijfsproces. Deze processen worden in kaart gebracht aan de hand van een aantal kenmerkende karakteristieken, waaronder: het doel van het proces; de procesverantwoordelijke; belangrijkste prestatie-indicatoren; managementinformatie, en interne controlemaatregelen.
Op procesniveau worden tegelijkertijd de gesignaleerde risico’s in kaart gebracht. Op deze manier krijgen we op bedrijfsniveau inzicht in de risico’s die worden gelopen. Van ieder proces is bekend wat de risico’s zijn en wie hiervoor verantwoordelijk is. Met name over verantwoordelijkheden bestaan binnen organisaties vaak onduidelijkheden. Zo kan bijvoorbeeld valutarisico de verantwoordelijkheid zijn van de afdeling ’treasury’ alsook van de frontoffice. Afgezien van het belang hiervan voor risicobeheer, stellen ook externe partijen, zoals accountants, tegenwoordig hoge eisen aan het leggen van verantwoordelijkheden binnen organisaties.
Nadat op procesniveau de risico’s in kaart gebracht zijn, zullen de nodige maatregelen met betrekking tot deze risico’s getroffen moeten worden. Hierbij gaat het om preventieve, detectieve, alsook repressieve maatregelen. Preventieve maatregelen zijn gericht op het voorkomen van het optreden van schades, terwijl detectieve maatregelen gericht zijn op het beperken van de omvang van de schades. Repressieve maatregelen tenslotte, zijn gericht op het opsporen van afwijkingen die kunnen leiden tot het optreden van schades. Welke maatregelen binnen een organisatie getroffen moeten worden, is afhankelijk van de gevonden risico’s en de urgentie ervan. Om die vast te stellen wordt van de risico’s de frequentie en de mogelijke schade bepaald.
Frequent optredende risico’s of risico’s waarvan de schade aanzienlijk is, verlangen eerder actie dan risico’s waarvoor dit niet geldt. Aan de hand van de urgentie van de risico’s wordt uiteindelijk besloten voor welke risico’s op korte termijn maatregelen getroffen moeten worden. Deze maatregelen kunnen zowel wijzigingen in systemen tot gevolg hebben, als procedurele, organisatorische of personele wijzigingen.
Organisatie
De manier waarop de organisatiestructuur is opgezet, is de derde pijler van het vangnet. Hierbij gaat het met name om de organisatie van de risicobeheerfunctie. Deze kan zowel centraal als decentraal worden gepositioneerd in de organisatie. Door de risicobeheerder centraal te laten opereren, is het eenvoudiger een gestructureerde aanpak binnen de gehele organisatie neer te zetten en bedrijfsbreed een eenduidige filosofie na te leven. Een gevolg hiervan kan echter ook zijn dat de risicobeheerafdeling een ivoren toren binnen de organisatie wordt.
Een decentrale invulling van de risicobeheerfunctie heeft het voordeel dat een goede relatie met de bedrijfsvoering kan worden opgebouwd en dat de risicobeheerder voldoende operationele kennis in de organisatie kan opdoen. De keerzijde is dat de risicobeheerder deel uitmaakt van het operationele proces en als gevolg hiervan het overzicht kan verliezen.
Het streven is evenwicht te vinden in het spanningsveld tussen enerzijds de onafhankelijke stafafdeling en anderzijds de risicomanager als onderdeel van de bedrijfseenheid. Anders gezegd: hoe behouden we de helikopterview terwijl de relatie met de business niet verloren gaat. Een methode om bovengenoemd evenwicht te bereiken is het onderscheiden van de functie van ‘risk control’ van de functie van ‘risk operations’. Hierbij vindt ‘risk control’ centraal plaats, terwijl ‘risk operations’ in de business wordt gelegd.
‘Risk control’ is verantwoordelijk voor het organisatiebreed monitoren en beheersen van risico’s en tegelijkertijd voor de verantwoording aan externe partijen, zoals de externe accountants en DNB. ‘Risk operations’ richt zich op specifieke risico’s binnen bedrijfseenheden en het afdekken van deze risico’s, en heeft zo de mogelijkheid zich te richten op kennis die hiervoor noodzakelijk is. Hierbij gaat het om risico’s als valutarisico en berekeningen als ’tracking errors’. ‘Risk operations’ legt hierover verantwoording af aan ‘risk control’, die vervolgens de mogelijkheid heeft deze risico’s organisatiebreed te monitoren en beheersen.
Medewerkers
De laatste pijler van het vangnet, de medewerkers, is wellicht de factor die het minst eenvoudig is te kwantificeren en te sturen. Toch is het wel degelijk mogelijk om op basis van een multicriteria-analyse het risicobewustzijn van medewerkers vast te stellen. Aan de hand van een checklist met meetbare criteria is dit te beoordelen. Door het toepassen van een multivariabelenanalyse is ook het risicobewustzijn van de totale organisatie te bepalen.
Het management is zich vaak niet bewust van de mogelijkheid om het risicobewustzijn van de medewerkers in de gewenste richting te sturen en de kans op fraude te verkleinen. Dit kan bijvoorbeeld door training van de medewerkers; de aanwezigheid van back-ups voor medewerkers; de bewaking van de AO-procedures, en een adequaat bonussysteem.
Dit laatste hoort het risicobeheerbeleid te ondersteunen en niet tegen te werken. Een bekend voorbeeld van een bonussysteem dat conflicteert met het risicobeheerbeleid is het volgende.
Een handelaar op de ‘dealing room’ ontvangt zijn bonus op basis van de in een boekjaar behaalde prestatie. Het gedrag van deze handelaar aan het einde van het boekjaar zal nu sterk beïnvloed worden door zijn behaalde resultaat tot dan toe. Indien dat zeer positief was, zal hij afkerig zijn van het nemen van risico’s, teneinde zijn jaarbonus veilig te stellen. Heel anders zal zijn gedrag zijn bij een negatief resultaat aan het einde van het jaar. De neiging om (onverantwoorde) risico’s te nemen is veel hoger, omdat hij alleen op deze wijze zijn verlies nog kan omzetten in winst en daarmee een bonus kan behalen.
In bovenstaand voorbeeld zijn de marktomstandigheden identiek en toch is de risico-aversie van de handelaar totaal verschillend als gevolg van een verkeerd gedefinieerd bonussysteem. De zogenaamde ‘risk adjusted performance’ zal daarom een belangrijke rol dienen te spelen in het bonussysteem. Naar aanleiding daarvan wordt in de AIMR- en GIPS-standaarden het rapporteren gepropageerd van verschillende risicomaatstaven als Treynor’s maatstaf, ’tracking error’ of de informatieratio. Dit om het risico bij de presentatie van prestatiecijfers inzichtelijk te maken. Het is te verwachten dat deze risicomaatstaven binnen afzienbare tijd als verplicht te rapporteren onderdeel zullen worden opgenomen in de standaarden.
Ook in de literatuur zien we in toenemende mate aandacht voor de factor mens. M.J.M Jochems en H.C. de Wit geven aan dat ‘het binnen de randvoorwaarde van een voldoende graad van automatisering de combinatie is van collectieve kennis en de individuele kwaliteiten van het personeel die de concurrentiekracht bepaalt’ [2]. In het artikel pleiten de beide auteurs voor ‘het hanteren van beheerratio’s als een instrument voor de individuele medewerkers of afdelingen om zelf hun werkzaamheden te sturen in combinatie met het gebruik van management ratio’s voor evaluatie van de resultaten achteraf’. Dat risico voldoende in deze beheerratio’s geïncorporeerd dient te zijn en dat deze ratio’s in overeenstemming dienen te zijn met de algemene bedrijfsdoelstellingen, spreekt uiteraard voor zich.
J. Loeffen en A. de Jong [3] beschrijven het integriteitsinterview dat als onderdeel van een samenhangend veiligheidsbeleid zijn nut moet gaan bewijzen. Door een medewerker of sollicitant te laten aangeven hoe hij of zij in situaties van tegenstrijdige belangen beslissingen neemt, kan op gestructureerde wijze onderzoek worden gedaan naar de integriteit van deze persoon.
Effectief risicobeheer
In de praktijk ontstaan steeds meer mogelijkheden om risico’s te monitoren en te beheersen met behulp van informatietechnologie. Daarnaast zou risicobeheer binnen organisaties veel beter in de bedrijfsprocessen verankerd moeten zijn. Het hierboven geschetste vangnet is een praktisch kader voor het implementeren van risicobeheer binnen organisaties. Het is een concreet uitgangspunt voor het professionaliseren van risicobeheer binnen financiële instellingen op basis van vier pijlers: de IT, de processen, de organisatie en tenslotte de medewerkers. De mate waarin deze vier aspecten worden afgedekt, bepaalt hoe effectief het risicobeheer binnen de organisatie is neergezet.
Harriet Boonacker, senior consultant, unit Banken en Beleggingsinstellingen DCE, en Roy Seuren, consultant bij dezelfde unit
Literatuur
[1]. Risk & Treasury Management package solutions – 2000, DCE Consultants
[2]. Jochems, M.J.M. en Wit, H.C. de, Banken: op geld sturen alleen is niet genoeg, Management ratio’s 1
[3]. Loeffen, J., Jong, A. de, Het integriteitsinterview als selectiemiddel, Bank- en Effectenbedrijf (maart 1999)
