Operationeel Risico Management Benchmark Rapport 2009 Auteurs: Danielle Wareman Karel Janssen Merel Verschure Research: Khanh Ly Vincent de W inter Schiphol Oost, 2009 Nederland 2009 DCE Consultants Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009
Operational Risk Management Inhoudsopgave 1 De survey 5 1.1 Aanleiding 5 1.2 Aard en omvang van de populatie 5 1.3 Kernvragen 7 2 De positie van ORM in de organisatie 8 2.1 Het Operationeel Risico Management Model 8 2.2 Kritische Succes Factoren 9 2.3 Het ORM-model in de praktijk 10 2.3.1 Waar en hoe is ORM belegd 10 2.3.2 Samenwerking 11 2.3.3 Cultuur 13 3 Inrichting in de praktijk 16 3.1 Het Operationeel Risico Management Control Framework 16 3.2 Inrichting van het Framework 16 3.2.1 Methodes, technieken en modellen 16 3.2.2 Processen 17 3.2.3 Gegevens 19 3.2.4 Key Perfomance Indicators 20 3.3 Berekening kapitaalbeslag onder Basel II 21 3.4 Problemen bij de uitvoering van ORM 23 4 Wat levert ORM op? 24 5 Ontwikkelingen 27 5.1 Enterprise Risico Management 27 5.1.1 ORM op Enterprise-niveau 27 5.1.2 Problemen bij de uitvoering van ERM 28 5.2 Investeringen en prioriteiten 29 5.3 Wet- en regelgeving 30
Benchmark Rapport 2009 6 Ondersteunende systemen 32 6.1 De markt voor ORM-software 32 6.2 ORM-software in de praktijk 33 6.3 Waardering van de gebruikte software 36 7 Overzicht ORM-systemen 37 7.1 Inleiding 37 7.2 De leveranciers en de markt 37 7.3 Product en functionaliteit 39 7.4 Support en Techniek 40 8 Bijlagen 43 I Overzicht Functionaliteit Software Producten 44 II Overzicht Techniek Software Producten 45 III Overzicht Leveranciers 46 IV Vragenlijst en Antwoorden Survey 48 Verantwoording DCE Consultants is niet verantwoordelijk voor de juistheid van de gegeven antwoorden. De resultaten zijn zorgvuldig verwerkt en gecontroleerd. DCE Consultants is echter niet verantwoordelijk voor eventuele fouten die bij het verwerken van de gegevens gemaakt zouden kunnen zijn. Wij hebben de antwoorden uit het onderzoek objectief weergegeven, om recht te doen aan de doelstelling: inzicht te verschaffen in de werkelijke stand van zaken.
Operational Risk Management
Benchmark Rapport 2009 M a n a g e m e n t s a m e n v a t t i n g Operationeel Risico Management heeft zich in de afgelopen jaren in hoog tempo ontwikkeld tot het derde belangrijke risicogebied in de bancaire wereld, naast kredietrisico en marktrisico. Operationele risico s zijn zo oud als het ondernemen zelf, maar de kans op en de omvang van operationele verliezen zijn aanzienlijk gegroeid, zoals de gebeurtenissen bij o.a. Barings Bank en meer recent Société Générale pijnlijk duidelijk hebben gemaakt. De enorme groei die de financiële markt in de afgelopen decennia heeft gekend, de toegenomen complexiteit van producten en processen en de globalisering van de markt droegen allemaal bij aan deze ontwikkeling. Met de opname in het Basel II akkoord kreeg ORM de plaats die het verdient als misschien wel het belangrijkste risico voor een financiële instelling volgens sommigen de basis en de operationalisering van alle andere bancaire risico s. De grote belangstelling voor ORM was voor DCE Consultants aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. 39 respondenten werkzaam bij banken en vermogensbeheerders voorzagen ons van evenveel ingevulde vragenformulieren. Gover nance en cultuur blijven aandacht verdienen Wij mogen constateren dat het hoger management in bancair Nederland gecommitteerd is aan het succes van ORM: 90% van de respondenten geeft dit aan. Ook worden in vrijwel alle ondernemingen ORM-beleid, -bevoegdheden en -verantwoordelijkheden vastgelegd en goedgekeurd door de hoogste besturingslaag. Dit betekent uiteraard niet, dat het beleid ook in alle lagen van de onderneming probleemloos wordt uitgevoerd. In iets meer dan de helft (51%) van de ondernemingen zijn voor iedereen in de organisatie de eigen rol en verantwoordelijkheid duidelijk. Door 30% worden nog problemen ondervonden met cultuur en draagvlak in de organisatie, en niet meer dan 67% beoordeelt het beschikbare ORM-budget als voldoende. Qua investeringen stond ORM in relatie tot overige risicosoorten het afgelopen jaar echter op de tweede plaats; alleen in kredietrisico werd iets meer geïnvesteerd. Samenwerking tussen ORM en overige (business)afdelingen is een basisvoorwaarde voor een goede uitvoering van ORM en een indicator voor de acceptatie van ORM in de organisatie. Uit de survey blijkt dat van samenwerking zeker niet overal sprake is. Bij ruim de helft van de partijen worden basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico s uitsluitend door de ORM-afdeling uitgevoerd. Bij bijna een kwart van de partijen is zelfs een gespecialiseerde activiteit als IT/systeemrisico alleen bij ORM belegd. Omgekeerd worden 1
Operational Risk Management ook vaak activiteiten door businessafdelingen of staven uitgevoerd, geheel zonder betrokkenheid van ORM. In het algemeen kunnen we constateren dat het genoemde management commitment aan ORM op veel punten in de organisatie is terug te vinden in beleid en inrichting. Het risicobewustzijn en de samenwerking verdienen nog de nodige aanscherping. Geïntegreerd Risicomanagement neemt toe De aandacht voor ORM heeft in de afgelopen jaren in hoge mate bijge dragen aan de ontwikkeling van geïntegreerd risicomanagement op onder nemingsniveau (ERM). ORM is immers alleen goed en zinvol uitvoerbaar als het organisatiebreed wordt geïmplementeerd. Bijna 70% van de ondervraagde ondernemingen heeft een risicobeleid op corporate niveau vastgesteld. De integratie van activiteiten in de gehele onderneming blijkt in de praktijk echter veelal beperkt tot de onderdelen audit, compliance en governance. Alle risicosoorten inclusief ORM worden bij slechts de helft van de partijen geïntegreerd op ondernemingsniveau gemanaged. Belemmering bij de uitvoering van ERM zijn net als bij ORM-beschikbaarheid en kwaliteit van gegevens, maar daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risico s, en cultuur en draagvlak in de organisatie. Als we de investeringen in ERM bezien als indicator voor het belang dat eraan wordt gehecht, neemt dit laatste sterk toe. De investeringen in ERM stonden in het afgelopen jaar op de laatste plaats in vergelijking tot andere risico s; bij 27% van de ondernemingen werd er helemaal niet in geïnvesteerd. Voor het komende jaar is de verwachting dat na kredietrisico en liquiditeitsrisico het meest zal worden besteed aan ERM en ORM. Operationeel Risico Management groeit naar volwassenheid Hoe heeft men het management van de risico s in de praktijk ingericht en zijn er al best practices te ontdekken? Nagenoeg alle partijen in ons onderzoek hebben een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. In de grote meerderheid van de gevallen bestaat dit uit Risk Self Assessments, Key Performance Indicators, Key Risk Indicators, formeel vastgelegde contingency plannen, loss databases en stresstests. Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risico s te identificeren, analyseren en vast te leggen. KPI s worden bij 64% van de partijen gehanteerd en eveneens 64% van de partijen die ze nu niet gebruiken, geeft aan dit in de toekomst wel te gaan doen. Het vaststellen van de KPI s wordt als lastig ervaren; de meest gebruikte zijn het aantal verliezen/events en de audit ratings. 2
Benchmark Rapport 2009 Menige partij is nog zoekende naar optimale inrichting en implementatie van het Framework. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn volop in ontwikkeling en metrics moeten veelal nog worden verzameld. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces. Processen blijven de ruggengraat van ORM Processen worden algemeen gezien als de basis voor ORM. Daarnaast is procesmanagement voor veel organisaties een belangrijk bijproduct van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij het bereiken van meer efficiency en het beter kunnen sturen van de business processen als belangrijke potentiële opbrengsten zien voor ORM. In de praktijk blijkt dat meer efficiency bij 42%, en betere besturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Processen blijven voortdurend aan verandering onderhevig en hoewel in de afgelopen jaren veel tijd en energie gestoken in procesmanagement, blijft op dit punt nog veel werk liggen. Het merendeel (77%) van de ORM-managers geeft dan ook aan procesmanagement in de nabije toekomst de hoogste prioriteit. De Standardardised Approach als balans tussen inspanningen en resultaat Van alle respondenten kiest bijna een kwart (24%) de Advanced Measurement Approach (AMA) voor de berekening van het kapitaalbeslag, bijna de helft (49%) gebruikt de Standardised Approach (SA) en 16% de Basic Indicator Approach. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De AMA wordt uitsluitend gebruikt in grotere concerns, waarbij het aannemelijk is dat dit in het merendeel door de toezichthouder is verplicht. Slechts de helft van de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan. De Word Processor en de spreadsheet blijven populair Het gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat software op de één na laatste plaats. Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en event tracing en het vastleggen van de events (loss database). De markt voor ORMsoftware is nog steeds volop in ontwikkeling en de verkrijgbare producten 3
Operational Risk Management zijn vaak gespecialiseerd op een beperkt onderdeel of nog niet volwassen genoeg. Wellicht is dit een van de redenen dat de standaard spreadsheet en Word Processor door verreweg de meeste partijen gebruikt worden als tool voor ORM. Processen, gover nance en rapportage krijgen de hoogste prioriteit Ondanks de verwachte groei in investeringen voor ERM geeft bijna de helft (47%) van de ORM-managers aan dat ERM voor hen de komende periode een lage prioriteit heeft. Ook de benadering van kapitaalbeslagberekening, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid processen (77%)en verder governance (53%), KPI s /KRI s (41%) en (financiële) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de benadering van kapitaalbeslagberekening aan de orde komen. De toezichthouder blijft de belangrijkste driver voor ORM Dat er, zeker sinds de kredietcrisis, (veel) geïnvesteerd wordt in ORM en overige risicosoorten is evident. Minder helder is welke opbrengsten staan tegenover die investeringen, wat voor een groot deel verklaard kan worden uit de (on)mogelijkheden om dit te meten. Het optreden van operationele risico s is per definitie lastiger te voorspellen dan bv. krediet- of marktrisico s en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Het voorkomen/beperken van verliezen en van fraude wordt door 70%, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%). De algemene verwachting is dat de maatregelen in het kader van toezicht in de komende jaren nog aanzienlijk zullen worden uitgebreid. Deze ontwikkeling wordt niet gewaardeerd. Slechts 14% van de ORM-managers zou invoering van strengere regelgeving of uitbreiding van rapportages zinvol achten en ruim 20% beoordeelt dit als helemaal niet zinvol. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), of door guidelines voor eenvoudiger interne modellen (62%). 4
Benchmark Rapport 2009 1 De survey 1.1 Aanleiding De belangstelling voor ORM als geformaliseerd vakgebied en de ontwikkelingen die hierin de laatste jaren te zien zijn, waren voor ons aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. Welk belang wordt aan ORM toegekend, welke resultaten levert het op, welke ontwikkelingen ziet de Nederlandse bancaire ORM-manager op het vakgebied? Hoe heeft men het management van de risico s in de praktijk ingericht en zijn er al best practices te ontdekken? Ons onderzoek richt zich erop antwoorden te geven op deze vragen. 1.2 Aard en omvang van de populatie De survey werd ingevuld en geretourneerd door 39 personen werkzaam bij Nederlandse banken en vermogensbeheerders. 80% van de respondenten is werkzaam in Operationeel Risico Management, als CRO/directeur Risicomanagement, Risico Manager, Operationeel Risico Officer of als Operationeel Risico Manager. Die laatste functie is met ruim de helft (54%) van de respondenten het meest vertegenwoordigd. De overige 20% van de respondenten is algemeen, operationeel of financieel directeur. Zoals hierboven vermeld werd de survey gehouden onder banken en vermogens beheerders in Nederland. Wij hebben deze populatie onderverdeeld naar een drietal invalshoeken: Type bedrijf Zelfstandige onderneming / onderdeel van een groter concern Grootte van de onderneming. Type bedrijf De onderverdeling naar type bedrijf geeft een breed beeld van de bancaire sector te zien. Respondenten zijn werkzaam in de retail-, investment-, privateen corporate banking sector, bij brokers en bij vermogensbeheerders. Wanneer wij de ondernemingen verdelen in bancaire instellingen en vermogensbeheerders zien we 10 vermogensbeheerders en 29 banken. Zelfstandig/onderdeel van een concer n 36% van de ondernemingen is zelfstandig en 64% heeft een moederbedrijf, waarvan 16% in het buitenland. De moederbedrijven zijn in iets meer dan de helft van de gevallen bankverzekeraar. 5
Operational Risk Management Omvang De grootte van de ondernemingen gemeten naar aantallen werknemers varieert van enkele tot duizenden medewerkers. Om een vergelijking naar omvang van bedrijf mogelijk te maken, hebben wij de omvang van het totale bedrijf van de zelfstandige bedrijven vergeleken met de omvang van de bedrijfsonderdelen in het geval een moederbedrijf aanwezig is (bv. zelfstandige private bank met het private bankbedrijf van een bankverzekeraar). De zo verkregen bedrijfsomvang is ingedeeld in drie groepen: kleine banken/asset managers (1-50 medewerkers), middelgrote (51-500 medewerkers) en grote (>500 medewerkers). Figuur 1: Indeling van de populatie 36% 26% 41% 13% 64% 74% 46% Moederbedrijf Zelfstandig Bank Asset Manager Kleine organisatie Middelgrote organisatie Grote organisatie In de volgende hoofdstukken zullen wij vergelijkingen tonen vanuit drie invalshoeken: Tussen zelfstandige bedrijven en bedrijfsonderdelen van grotere concerns, waarbij geen onderscheid wordt gemaakt in Nederlandse en buitenlandse moederbedrijven; Tussen banken en asset managers, waarbij de categorie asset managers is gedefinieerd als bedrijven die zich uitsluitend met vermogensbeheer bezig houden; Tussen kleine, middelgrote en grote bedrijven. 6
Benchmark Rapport 2009 1.3 Ker nvragen Om een goed beeld te krijgen bij de status van ORM bij Nederlandse banken vermogensbeheerders in 2009, stellen wij de volgende kernvragen: Welke plaats heeft ORM in het bedrijf en in de bedrijfscultuur Hoe heeft men de formele inrichting van ORM ter hand genomen Hoe wordt de uitvoering ervan in de praktijk ervaren In hoeverre maakt men gebruik van automatiseringssystemen voor ORM Welke ontwikkelingen zien onze respondenten in ORM De volledige vragenlijst met de gegeven antwoorden is als bijlage IV te vinden op blz. 48 van dit rapport. 7
Operational Risk Management 2 D e p o s i t i e v a n O R M i n d e o r g a n i s a t i e Operationeel risico is door haar omvang en haar vele verschijningsvormen het moeilijkst te kwalificeren en te managen risico voor een bank. Met de opname van ORM in het Basel II akkoord is in ieder geval een in de financiële wereld algemeen geaccepteerde definitie ontstaan van de risico s die onder ORM gemanaged dienen te worden. Het akkoord laat echter een grote mate van vrijheid in de uitvoering: door wie, op welke wijze en in welke mate van detail de risico s geïdentificeerd, gerapporteerd en behandeld moeten worden is aan elke instelling zelf om te bepalen. Het verdient in ieder geval aanbeveling om beleid en inrichting van ORM vast te leggen in een Operationeel Risico Management Model. 2.1 Het Operationeel Risico Management Model Een ORM-model beschrijft de inrichting van ORM en legt o.a. de verant woordelijkheden en bevoegdheden vast van alle betrokkenen in de organisatie. Betrokkenen zijn uiteraard de personen in de ORM-functie zelf, die bij voorkeur in een separate afdeling is geplaatst, maar ook hun counterparts in de business lines en overige ondersteunende afdelingen. Verantwoordelijkheden en bevoegdheden kunnen gestructureerd worden door de klassieke indeling in strategisch, tactisch en operationeel niveau te hanteren. Op het strategisch niveau zien we aan de risicokant de CRO en/of het Risk Committee, met als voornaamste verantwoordelijkheden: Vaststellen van het beleid; Vaststellen van de ORM risk-appetite; Opzetten van het ORM-model en de Operationele Risico Governance structuur. Risicodoelstellingen moeten bij voorkeur worden gedefinieerd tegelijkertijd met het vaststellen of aanpassen van de business doelstellingen. Aan de businesskant zijn CEO/RvB/directie verantwoordelijk voor het goedkeuren van het beleid inclusief risk-appetite, het ORM-model en de governance structuur en voor de implementatie ervan in de organisatie. Het tactisch niveau (Operationeel Risico Manager) zorgt voor de inrichting van het Operationele Risico Control Framework, inclusief identificatie van risico s, KPI s, KRI s, procedures, standaarden en mitigatiemaatregelen. Uiteraard ligt de verantwoordelijkheid voor de risico s bij de managers van de business afdelingen. De ORM-functie adviseert, ondersteunt bij de uitvoering en is verantwoordelijk voor de goede werking van het ORM Control Framework. Het controleren of dit framework ook wordt toegepast is een taak van de audit functie. 8
Benchmark Rapport 2009 Op het operationeel niveau vindt het daadwerkelijke vastleggen en meten van de risico s en de events plaats, evenals het uitvoeren van mitigerende maatregelen. Deze activiteiten worden uitgevoerd door de medewerkers in de diverse business lines, met ondersteuning van medewerkers uit supportafdelingen (IT, Finance, etc.) en van de ORM-medewerkers. Figuur 2: Inrichting ORM in de organisatie Beleid Inrichting Middelen Voorbeeldgedrag Strategisch niveau Inrichting & Governance Tactisch niveau Identificatie, Assessment, Mitigatie Operationeel niveau Monitoring & Meting Risk Control Framework 2.2 Kritische Succes Factoren ORM onderscheidt zich op diverse punten van overige risicosoorten. Ten eerste is ORM verweven met alle bedrijfsprocessen, van hoog tot laag in de organisatie en van front- tot back-office. Daarnaast kenmerken operationele risico s zich door een grote verscheidenheid in hun eigen verschijningsvorm, maar ook in die van hun mogelijke oorzaken en consequenties. Het opzetten van een formeel ORM-model is daardoor op zichzelf al geen sinecure; daarbij komt nog de implementatie ervan, in de breedte en de diepte van de gehele organisatie. Omdat operationele risico s niet beperkt blijven tot één vakgebied, is samenwerking vereist tussen ORM- en businessafdelingen, AO-, fraude-, proces- en IT-specialisten en natuurlijk audit- en compliancemedewerkers. Kortom, voor een goede uitvoering van ORM zijn een actieve betrokkenheid en de bereidheid informatie uit te wisselen vereist van praktisch alle bedrijfsonderdelen. 9
Operational Risk Management Een tweede belangrijke voorwaarde voor een goede werking van ORM is dat iedereen, van hoog tot laag in de organisatie, een risicoalerte werkwijze tussen de oren heeft. Een dergelijke attitude kan alleen bestaan in een organisatiecultuur die hiervoor de ruimte biedt. Het aspect cultuur, in hoge mate beïnvloedbaar door het senior management, is dan ook van wezenlijk belang voor het slagen van ORM in de organisatie. Uit het bovenstaande zijn de volgende kritische succesfactoren voor ORM te definiëren: Een goed begrip van ORM-taken en -verantwoordelijkheden door de hele organisatie heen; Bereidheid tot samenwerking en uitwisseling van informatie; Een risicobewuste organisatiecultuur, waarin beloning en sanctionering van risicogerelateerd handelen als normaal en positief worden ervaren. 2.3 Het ORM-model in de praktijk 2.3.1 Waar en hoe is ORM belegd Bij 87% van de onderzochte ondernemingen is ORM belegd in een separate operationele risico management unit. Ook in de kleinere ondernemingen, waar te verwachten is dat de bedrijfsomvang een separate afdeling niet altijd toelaat, bestaat bij 60% een separate ORM-afdeling. Ondernemingen die deel uitmaken van een groter concern, hebben in 100% van de gevallen een separate ORM-afdeling. Bij zelfstandige bedrijven is dit 64%. Het aantal ORM-medewerkers in de onderzochte organisaties varieert van 1 tot honderden medewerkers. Bij verreweg de meeste bedrijven wordt de ORM-functie ingevuld door een afdeling van maximaal 5 personen. Alleen bedrijven met een moederconcern kennen afdelingen van 10 of meer medewerkers, terwijl bij zelfstandige bedrijven bijna alle ondernemingen, ongeacht de omvang, werken met 1-5 ORM-medewerkers (38% van de grote zelf standige ondernemingen heeft 6-10 ORM-medewerkers). Bedrijven die tot een groter concern behoren hebben dus grotere ORM-afdelingen dan zelfstandige bedrijven, ongeacht de bedrijfsomvang. 10
Benchmark Rapport 2009 Figuur 3: Omvang ORM-afdeling 10 > ORM-medewerkers 6-10 ORM-medewerkers 1-5 ORM-medewerkers 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Grote organisatie met moeder Grote organisatie zelfstandig Middelgrote organisatie met moeder Middelgrote organisatie zelfstandig Alle kleine organisaties 2.3.2 Samenwerking Wij vroegen onze respondenten waar de voornaamste ORM-activiteiten in hun organisatie zijn belegd. Daarbij kon men aangeven of uitsluitend de ORM-afdeling een activiteit uitvoert, dan wel uitsluitend een andere afdeling (compliance, IT, business afdelingen) of dat meerdere afdelingen hierin samenwerken. Enkele partijen gaven hierbij expliciet aan, dat de primaire verantwoordelijkheid voor het risicomanagement is belegd in de lijn. Operationeel Risico Management stelt dan risico control kaders, ziet toe op naleving en rapporteert aan de directie. Ook werd gemeld dat activiteiten als identificeren en monitoren mede door de lijnorganisatie worden uitgevoerd, of dat alle business units actief betrokken zijn bij de ORM-activiteiten. Toch geldt dit zeker niet als algemeen gebruikelijk. De basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico s worden bij ruim de helft van de partijen uitsluitend door de ORMafdeling uitgevoerd. Ook het mitigeren van risico s, primair een activiteit voor de lijnorganisatie, wordt in 41% van de ondernemingen alleen door ORM uitgevoerd. 11
Operational Risk Management Bij ongeveer 30% van de bedrijven is voor de basisactiviteiten sprake van samenwerking tussen ORM- en businessafdelingen. Er is ruimte voor meer samenwerking tussen ORM en business bij een groot deel van de Nederlandse banken en vermogensbeheerders Opvallend zijn de ondernemingen waarbij alleen ORM is betrokken bij gespecialiseerde zaken als IT/systeemrisico (23%), information security (28%) en het berekenen van kapitaalbeslag (41%). Juist bij deze specialistische activiteiten dienen de daarin gespecialiseerde afdelingen als IT en Finance betrokken te worden. Omgekeerd mag het ook niet zo zijn, dat deze afdelingen de risico activiteiten geheel zonder betrokkenheid van ORM uitvoeren. Toch komt dit uit de survey wel naar voren, bijvoorbeeld bij anti money laundering (77%), information security (56%) of business continuity planning (51%). De conclusie lijkt gerechtvaardigd dat bij een groot deel van de Nederlandse banken en vermogensbeheerders ruimte is voor meer samenwerking tussen ORM en de diverse andere bedrijfsonderdelen. 12
Benchmark Rapport 2009 Figuur 4: Samenwerking tussen ORM en andere afdelingen* I/A/V* Monitoren Rapporteren Mitigeren Loss database Bereken kapitaalbeslag Anti money laundering Business continuity planning IT/ systeemrisico Information security Stress testen 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Niet bij ORM belegd Alleen bij ORM belegd Samenwerking ORM en andere afdeling(en) * I/A/V: Identificeren, analyseren, vastleggen van risico s 2.3.3 Cultuur Het businessmanagement op het hoogste niveau is verantwoordelijk voor het door de CRO of Risk Committee geformuleerde beleid, de Operationele Risk appetite en het Operationeel Risico Management Model. In vrijwel alle ondernemingen in onze survey zien we dit terug: het Operationele Risico Management Model wordt in 97% van de gevallen door de hoogste besturingslaag goedgekeurd. Het vaststellen van de Operationele Risk Appetite door de directie gebeurt bij 76% van de directies. Minder goed gaat het met het verbinden van ORM-doelstellingen aan de business doelstellingen: slechts 33% geeft aan, dat dit gebeurt. Wel worden bij 64% van de partijen Operationele Risico s meegenomen in het strategisch besluitvormingsproces. 13
Operational Risk Management De verantwoordelijkheid van directie of RvB houdt niet op bij deze formele taken. Het hoogste besturingsniveau heeft een belangrijke inbreng in de inbedding van ORM in de organisatie. Dit kan zij doen door: Communicatie: het beleid en de procedures moeten voortdurend op heldere en eenduidige wijze worden gecommuniceerd, wil iedereen zijn/ haar rol en verantwoordelijkheid begrijpen; Middelen: uiteraard moeten voldoende middelen worden toegewezen om het beleid te kunnen uitvoeren; Cultuur: het hoger management moet bevorderen dat een cultuur bestaat, waarin ORM echt is opgenomen in de dagelijkse praktijk. Dit vereist voorbeeldgedrag van het management zelf, beloning van goed gedrag en sanctionering van fout gedrag. Alle inspanningen om ORM in de organisatie op te zetten zullen aan resultaat inboeten als aan deze voorwaarden niet wordt voldaan. De cultuur van de onderneming bepaalt welk gedrag wordt geaccepteerd en welk gedrag niet De hoogste besturingslaag van onze respondenten hecht zeker aan het slagen van ORM: 77% van onze respondenten geeft aan dat de leden van de directie/rvb actief betrokken zijn bij ORM en 90% bevestigt dat het hoger management is gecommitteerd aan het succes van de ORM-functie. Toch vindt niet meer dan 67% van de ondervraagden dat voldoende budget beschikbaar is voor ORM. Bij 54% ontbreken in het beoordelingssysteem en het performance management systeem ORM-gerelateerde KPI s. Iets beter is het gesteld met het erkennen en belonen van acties om risico s te beheersen (62% ), maar het sanctioneren van risicovolle activiteiten scoort slechts 44%. Ook het tussen de oren krijgen van ORM is voor verbetering vatbaar. Op de vraag of iedereen in de organisatie begrijpt welke rol hij/zij speelt en in hoeverre men verantwoordelijk is, antwoordt iets meer dan de helft (51%) positief. 30% van onze respondenten geeft aan problemen te ondervinden met cultuur en draagvlak in de organisatie. Tenslotte is, na het constateren van commitment van het hoger management bij 90% van de partijen, de volgende bevinding verrassend: een kleine 20% van onze respondenten geeft aan, dat het commitment van hoger management enigszins tot in grote mate een probleem vormt bij de opzet en uitvoering van ORM. 14
Benchmark Rapport 2009 Figuur 5: ORM en Cultuur Commitment hoger management Voldoende budget voor ORM Business doelstellingen verbonden aan ORM-doelstellingen Beloning risicobeheersend gedrag Sanctionering risicovol gedrag ORM - KPI s in beloningssysteem Operationele Risico s in strategisch besluitvormingsproces Iedereen kent eigen rol en verantwoordelijkheid 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 15
Operational Risk Management 3 I n r i c h t i n g i n d e p r a k t i j k 3.1 Het Operationeel Risico Management Control Framework De uitwerking van het ORM-model ligt vast in het Operational Risk Management Control Framework: het geheel van methoden, technieken en ondersteunende middelen waarmee het ORM-beleid wordt uitgevoerd. Van het ORM Control Framework bestaat geen standaard uitvoering. Het concept van identificeren, meten, monitoren en managen van Operationele Risico s is uiteraard in ieder Framework terug te vinden, maar de uitvoering varieert per organisatie. Veelal begint het uitvoeren van het Framework met Risk Self Assessments, in welke vorm dan ook. Verder kunnen KRI s, KPI s, modelleringtechnieken, score cards, processimulaties, loss databases, en stress tests tot het Framework behoren. Al deze hulpmiddelen kunnen uitstekend werken, mits ze goed zijn afgestemd op het gebruik. Bedrijfsomvang en -activiteiten, beschikbare data en expertise, de volwassenheid van de risico-organisatie, maar ook de organisatiecultuur dienen bij de keuze te worden meegenomen. 3.2 Inrichting van het Framework 97% van de partijen in ons onderzoek heeft een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. 87% identificeert jaarlijks de risicosoorten en stelt een risk universe vast. Figuur 6: Veel gebruikte hulpmiddelen bij Nederlandse banken en vermogensbeheerders Gebruikte hulpmiddelen RSA s 87% KRI s 72% Formeel vastgestelde contigency plannen 78% Loss database 95% Stress testen 95% 3.2.1 Methodes, technieken en modellen 81% van onze respondenten gebruikt voor de basis (het identificeren, analyseren en vastleggen van risico s) formele methodes, technieken en modellen. Bij 78% worden deze activiteiten daarnaast ondersteund door ORMsystemen. De conclusie mag dus worden getrokken dat ongeveer 80% van de partijen de basisprocessen van ORM uitvoert op geformaliseerde, gestructureerde en door systemen ondersteunde wijze. 16