Steeds meer softwarefabrikanten zeggen dat hun software is aangepast aan de richtlijnen van Basel II. Banken zouden daarmee hun operationele en kredietrisico’s in kaart kunnen brengen, wat over een paar jaar verplicht is in heel Europa. Maar wat is er nou werkelijk veranderd in de software? Computable nam een steekproef.
Oracle, Peoplesoft, Hyperion en Consul hebben ieder vanuit hun eigen achtergrond en expertise, producten op de markt gebracht die banken en verzekeringsmaatschappijen op één of andere manier ondersteunen bij de voorzieningen die zij moeten treffen om te voldoen aan de wettelijke eisen van Basel II (zie kader).
Vooropgesteld, geen enkele softwarefabrikant lijkt in staat om banken te ondersteunen bij álle facetten van Basel II. Tim Buckley, director Industry & Corporate Product Marketing Peoplesoft Emea en tevens Basel II-specialist bij Peoplesoft, zegt dat het veelal zal neerkomen op hulp van nichespelers die specialistische kennis hebben van bijvoorbeeld tools om statistische modellen te genereren. “In elke Basel II-omgeving zal het systeem zijn opgebouwd uit oplossingen van verschillende fabrikanten. Daarvan ben ik overtuigd.”
Het volledig Basel II-geschikt maken van een bancaire omgeving, wordt door fabrikant Oracle bovendien als onhaalbaar beschouwd. “De term ‘Basel II-geschikt’ is daarom een hele vage kreet,” zegt Pieter Jan Doets, marketing manager bij Oracle Nederland. “Als bank moet je daar meteen doorheen prikken als een softwareleverancier dat roept. Het Basel II-geschikt maken van de gigantische informatiesystemen die bij banken draaien, dat is bijna een utopie. Het enige wat je kunt doen, is een deken over de legacy-systemen heen gooien en proberen om tegemoet te komen aan de eisen en wensen die Basel II met zich meebrengt.”
Veel veranderd
Om inzicht te krijgen in de veranderingen die de fabrikanten hebben aangebracht in hun software, is het goed om eerst kort in te gaan op wat Basel II nou eigenlijk vraagt van banken. In de Basel II-wetgeving is een aantal zaken veranderd ten opzichte van Basel I, dat stamt uit 1988. Globaal is Basel II bedoeld om de risico’s die banken lopen, verder te beperken en hun werkprocessen transparanter te maken. In de nieuwe wetgeving zijn de regels aangescherpt als het gaat om kredietrisico’s (in hoeverre banken problemen met kredietnemers kunnen opvangen) en operationele risico’s (bijvoorbeeld fraude rond systemen, mensen en processen, of uitval van systemen). De vereisten ten aanzien van marktrisico’s die een bank loopt, zijn vrijwel gelijk gebleven met de vereisten die gesteld werden binnen Basel I.
Niet alle banken zullen over de middelen beschikken om de meest geavanceerde producten hiervoor in te zetten. Sommigen zullen volstaan met wat simpele berekeningen en rapportages, terwijl de grotere partijen wellicht willen kiezen voor de wat meer geavanceerde oplossingen.
Softwarefabrikanten lijken dezelfde pragmatische benadering te hebben gekozen. “Veel van onze concurrenten hebben geen aanpassingen in hun producten gemaakt,” zegt Koen Bouwers, ceo van softwareleverancier Consul. “Die hebben gewoon een ‘whitepaper’ geschreven. Een document waarin staat: als je het op deze manier implementeert, dan is het oké. Dat is dus meer een beschrijving van een aanvullende procedure bovenop het product.”
Fabrikanten hanteren dus verschillende strategieën om banken te ondersteunen bij hun acties rond de Basel-richtlijnen. Sommige fabrikanten beseffen dat banken kort door de bocht kunnen volstaan met het ontwikkelen van een aantal rapportjes, en daarmee tegen een relatief lage investering in staat kunnen zijn om aan verplichte berekeningen en rapportageslagen tegemoet te komen. Deze partijen maken hoogstens een kleine aanpassing in een bestaand product. Andere fabrikanten pakken het wat fundamenteler aan.
Leverancier Consul lijkt in ieder geval grondig te werk te zijn gegaan. Binnen afzienbare tijd komt het product Consul Insight Security Manager 5.0 op de markt, en daarin is veel aandacht besteed aan de eisen van de Basel II-wetgeving. Consul concentreert zich op het beveiligingsvraagstuk voor beperking van het operationele risico. Het meten en monitoren van de dagelijkse processen behoort tot de kernactiviteit van deze fabrikant. “Vooraf dachten we dat het weinig werk zou zijn,” zegt Bouwers. “Een beetje hier aanpassen en een beetje daar. Maar toen we begonnen, merkten we dat we een heleboel dingen moesten veranderen. Wij hebben een module gemaakt die ons veel meer werk kostte dan we verwacht hadden. We moesten significante veranderingen in het product maken om die nieuwe standaard goed te kunnen volgen. Maar er is wel een mooi product uitgerold. We hebben zelfs een fraaie userinterface gemaakt, met een dashboard waarin zichtbaar wordt welke regels je volgt bij het aanmaken van welk rapport. Dus producttechnisch hebben we er veel aan veranderd en ervoor gezorgd dat je er nu veel meer mee kunt doen.”
ISO-17799 als leidraad
De wetgeving rond Basel II zit evenwel op een hoog niveau en dus zijn de richtlijnen nogal algemeen omschreven. Men zou zich daarom kunnen afvragen in hoeverre een softwarefabrikant zijn product werkelijk geschikt kan maken voor Basel II. Bouwers: “Basel II heeft inderdaad niet heel specifieke eisen gesteld. Ze zijn nogal algemeen en ze verwijzen naar een ‘best practices’-aanpak. En ‘best practices’ is volgens ons ISO-17799. Vroeger gebruikten we meer een algemeen ijkpunt voor het product. Dan zeiden we: je moet een ‘policy’ hebben en ten opzichte daarvan moet je gaan meten. Nu zeggen we dat de ‘policy’ om aan Basel II te moeten voldoen, gelijk staat aan de ‘policy’ die je terugvindt in de ISO-standaard.” ISO-17799 bepaalt binnen het product Consul Insight Security Manager 5.0 bijvoorbeeld welke rapporten een bank moet aanmaken.
De ISO-standaard komt ook om de hoek kijken bij de ‘audit policies’ van een bank. Als iemand deze ‘audit policies’ gaat veranderen, dan weet een bank dat dat ongelooflijk gevaarlijk kan zijn, want daarmee kijk je naar wat er gelogd wordt in het systeem. Dat is iets wat je voor ISO per se moet laten zien. Een ander voorbeeld is functiescheiding en het aanmaken van gebruikers-id’s. Je moet zorgen dat niemand de combinatie van gebruikers-id’s en wachtwoorden kan aanmaken. Ook dat zijn ‘policies’ vanuit ISO, om dat soort dingen goed te kunnen scheiden. Het product van Consul kan dus meten of die zaken nog steeds gescheiden zijn.
Maar is het product van Consul wel Basel II-geschikt? “Ja en nee,” zegt Bouwers. “Omdat het zo algemeen gesteld is, kun je niet zeggen dat iemand precies bepaalde regels moet volgen. Maar iedereen die een Basel II ‘enabled’ product maakt, die moet iets kiezen. Wij hebben ISO-17799 gekozen, dat lijkt ons de meest reële keuze.”
Samenwerking
Softwarefabrikant Hyperion, leverancier van ‘business performance’-managementoplossingen, heeft zich eveneens op het vraagstuk van operationele risico’s gestort. Voor de ontbrekende schakels binnen de Basel II-eisen – met name op het gebied van kredietrisico’s – heeft Hyperion samenwerking gezocht met andere partijen in de markt. Binnen het framework van Basel II heeft het gekeken naar wat belangrijk is en daaruit is nu een vijftal nieuwe softwaremodules ontstaan. Het gaat om een ‘self-assessment module’, om op regelmatige tijden zelf assessments te kunnen doen. Daarnaast is er een ‘key risk indicator collection module’, een ‘loss event collection module’, een ‘statistical analysis and capital calculation module’ en een ‘scenario analysis module’. “Het zijn zaken die zijn aangegeven in het ‘operationele-risico-verhaal’ van de Bank of International Settlement“, zo verklaart Stefan Lamberigts, product marketing manager Emea bij Hyperion, de keuze voor het lanceren van juist deze modules.
Hyperion noemt het zelf ‘een volledige oplossing’ voor het managen van de operationele risico’s die banken tegenkomen. Maar tegelijkertijd realiseert de fabrikant zich dat deze volledigheid betrekkelijk is. “Het beperken van operationele risico’s is eigenlijk meer een kwalitatief gegeven,” zegt Lamberigts. “Het is niet zozeer kwantitatief. Wat is nou het operationele risico dat een bank loopt? Het is moeilijk om daar definities en formules aan vast te hangen en om dat te kwantificeren.”
Voor het ontbrekende stuk, het beperken van kredietrisico’s, heeft Hyperion samenwerking gezocht met onder andere Accenture. Lamberigts: “Op het gebied van kredietrisico werken we samen met bepaalde partners in de markt die reeds modellen hebben opgezet. Accenture is er één van. Dat heeft een specifiek model opgezet voor kredietrisico’s, eigenlijk een ‘datawarehouse’-infrastructuur. Hyperion neemt in dat geval de rapportage- en analysekant voor zijn rekening. We zijn ook bezig met IBM BCS, waar wij op inpluggen. En met Teradata, waarop wij ons ‘business intelligence’-platform inpluggen. We werken nauw samen met deze drie partijen om die integratie als een pakket te kunnen aanbieden.”
De genoemde operationele oplossingen zijn voor banken overigens niet alleen interessant om aan de Basel II-richtlijnen te voldoen. Doordat zij meer inzicht krijgen in de risico’s die ze lopen, kunnen ze ook betere beslissingen nemen. En als je kijkt naar het product van Consul, dat voldoet bijvoorbeeld ook aan belangrijke Amerikaanse financiële wetgeving en regulering, zoals de Gramm-Leach Bliley Act (Gbla) en Sarbanes-Oxley.
Kredietrisico’s
De richtlijnen voor het beperken van kredietrisico’s zijn voor de softwarefabrikanten wat moeilijker op te volgen. Althans, op dit moment. Peoplesoft heeft voor Basel II eind 2002 een aantal aanpassingen gemaakt in zijn datamodel voor financiële diensten – dat al sinds 1998 op de markt is – om te kunnen voldoen aan een aantal eisen betreffende kredietrisico’s. Het model moest worden verbeterd en er moest meer ruimte komen voor nieuwe gegevens, om de benodigde berekeningen te kunnen maken. Volgens Peoplesofts Basel II-expert Tim Buckley zijn er echter nog veel onzekerheden om definitief een goed product voor Basel II op de markt te brengen. “Wij wachten eigenlijk nog op het moment dat Basel II is ingevoerd in elk Europees land. Dat is ook de reden waarom wij de term Basel II ‘enabled’ gebruiken voor onze software, en niet ‘compliant’. Het is natuurlijk wél zo dat je op een hoger en minder gedetailleerd niveau al een aantal aanpassingen kunt maken. En dat hebben we ook gedaan.”
De software van Peoplesoft is niet geschikt om aan alle eisen van Basel II te voldoen. Om inzicht te krijgen in wat de software wél kan, is het allereerst belangrijk om onderscheid te maken tussen de drie niveaus in het Basel II-akkoord. Aan de basis liggen de brondata, op basis waarvan de berekeningen en algoritmen gemaakt worden. Dat is dus het instrumentele niveau; daar staan bijvoorbeeld alle creditcardnummers in. Op het tweede niveau staan de wiskundige en statistische berekeningen, die de mogelijkheid inschatten van foute statistieken. En op het hoogste niveau heb je de Basel II-algoritmen zelf, die de verbanden berekenen.
In de onderste laag verandert er niet veel. Die gegevens blijven gelijk. Op het hoogste niveau zijn de berekeningen voor 99,9 procent volledig. Maar in het middelste niveau, waar banken zogenoemde ‘probability of default’-modellen creëren en verliesgevende foutmodellen, dáár is het momenteel nog onzeker wat er precies gedaan moet worden. Banken zijn er zelf nog niet uit eens hoe ze exact moeten omgaan met het samenstellen van die modellen, laat staan dat de softwarefabrikanten dat weten.
Wat is Basel II? Basel II bevat wetgeving op Europees niveau en is een uitbreiding van Basel I, dat stamt uit 1988. Basel II verplicht banken om de risico’s die zij lopen verder te beperken. Het gaat om het beperken van operationele risico’s en kredietrisico’s, en het kunnen inschatten van marktrisico’s. De deadline voor banken om te voldoen aan Basel II is in 2006. |
Bestaand product
Oracle levert net als Peoplesoft geen oplossing voor specifieke calculatie van kredietrisico’s. Daarvoor heeft de softwarefabrikant eveneens samenwerking gezocht met partners in de markt, zodat banken via een ‘best-of-breed’-oplossing toch kunnen voldoen aan de eisen van Basel II. In het product Oracle Financial Services Application zitten bijvoorbeeld wel datawarehousingtools en tools om rapportages te maken.
“Ik moet wel zeggen dat dit al een bestaand product was,” zegt Pieter Jan Doets van Oracle Nederland. “Het bestond ook al voordat de Basel II-richtlijnen er waren. Een deel is nu alleen ook wettelijk verplicht en toegesneden op de Basel-eisen. Het is dus eigenlijk een oud product in een nieuw jasje. Maar daarom trommelen we in de markt ook niet zo heel hard op die Basel-trom. De positionering die we vóór Basel II al hadden, en nog steeds hebben, is dat je bepaalde gereedschappen nodig hebt om je ‘risk- en profitability-management’ in te richten. Toevallig is een deel van onze oplossing nu een verplicht nummer vanuit Basel.”
Onderzoeksbureau Forrester Research waarschuwt banken overigens voor een te simpele voostelling van zaken. In een recent onderzoek zegt Forrester dat enterprise-softwarefabrikanten grote datapakhuizen promoten als hét antwoord op Basel II, terwijl het zwaartepunt van Basel II ergens anders ligt. De grootste uitdaging voor banken is eigenlijk om te bepalen welke data nodig zijn als input voor de risicomodellen, en om uit te vinden waar die data in de systemen zitten.< BR>