Operationeel Risico Management - Consultancy.nl Consultants - Operationeel... · Operationeel...

Operationeel Risico Management Benchmark Rapport 2009

Schiphol Oost , 2009Neder land©2009 DCE Consul tants

Auteurs: Danie l le WaremanKare l Janssen Mere l Verschure

Research:Khanh LyVincent de W inter

Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009

Inhoudsopgave

1 De survey 51.1 Aanleiding 51.2 Aard en omvang van de populatie 51.3 Kernvragen 7

2 De posit ie van ORM in de organisat ie 82.1 Het Operationeel Risico Management Model 82.2 Kritische Succes Factoren 92.3 Het ORM-model in de praktijk 102.3.1 Waar en hoe is ORM belegd 102.3.2 Samenwerking 112.3.3 Cultuur 13

3 Inr icht ing in de prakt i jk 163.1 Het Operationeel Risico Management Control Framework 163.2 Inrichting van het Framework 163.2.1 Methodes, technieken en modellen 163.2.2 Processen 173.2.3 Gegevens 193.2.4 Key Perfomance Indicators 203.3 Berekening kapitaalbeslag onder Basel II 213.4 Problemen bij de uitvoering van ORM 23

4 Wat levert ORM op? 24

5 Ontwikkel ingen 275.1 Enterprise Risico Management 275.1.1 ORM op Enterprise-niveau 275.1.2 Problemen bij de uitvoering van ERM 285.2 Investeringen en prioriteiten 295.3 Wet- en regelgeving 30

Operat iona l R isk Management

6 Ondersteunende systemen 326.1 De markt voor ORM-software 326.2 ORM-software in de praktijk 336.3 Waardering van de gebruikte software 36

7 Overzicht ORM-systemen 377.1 Inleiding 377.2 De leveranciers en de markt 377.3 Product en functionaliteit 397.4 Support en Techniek 40

8 Bi j lagen 43I Overzicht Functionaliteit Software Producten 44II Overzicht Techniek Software Producten 45III Overzicht Leveranciers 46IV Vragenlijst en Antwoorden Survey 48

Benchmark Rapport 2009

VerantwoordingDCE Consultants is niet verantwoordelijk voor de juistheid van de gegeven antwoorden. De resultaten zijn zorgvuldig verwerkt en gecontroleerd. DCE Consultants is echter niet verantwoordelijk voor eventuele fouten die bij het verwerken van de gegevens gemaakt zouden kunnen zijn. Wij hebben de antwoorden uit het onderzoek objectief weergegeven, om recht te doen aan de doelstelling: inzicht te verschaffen in de werkelijke stand van zaken.

Managementsamenvatt ing

Operationeel Risico Management heeft zich in de afgelopen jaren in hoog tempo ontwikkeld tot het derde belangrijke risicogebied in de bancaire wereld, naast kredietrisico en marktrisico. Operationele risico’s zijn zo oud als het ondernemen zelf, maar de kans op en de omvang van operationele verliezen zijn aanzienlijk gegroeid, zoals de gebeurtenissen bij o.a. Barings Bank en meer recent Société Générale pijnlijk duidelijk hebben gemaakt. De enorme groei die de financiële markt in de afgelopen decennia heeft gekend, de toegenomen complexiteit van producten en processen en de globalisering van de markt droegen allemaal bij aan deze ontwikkeling. Met de opname in het Basel II akkoord kreeg ORM de plaats die het verdient als misschien wel het belangrijkste risico voor een financiële instelling – volgens sommigen de basis en de operationalisering van alle andere bancaire risico’s.

De grote belangstelling voor ORM was voor DCE Consultants aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. 39 respondenten werkzaam bij banken en vermogensbeheerders voorzagen ons van evenveel ingevulde vragenformulieren.

Governance en cultuur bl i jven aandacht verdienenWij mogen constateren dat het hoger management in bancair Nederland gecommitteerd is aan het succes van ORM: 90% van de respondenten geeft dit aan. Ook worden in vrijwel alle ondernemingen ORM-beleid, -bevoegdheden en -verantwoordelijkheden vastgelegd en goedgekeurd door de hoogste besturingslaag. Dit betekent uiteraard niet, dat het beleid ook in alle lagen van de onderneming probleemloos wordt uitgevoerd. In iets meer dan de helft (51%) van de ondernemingen zijn voor iedereen in de organisatie de eigen rol en verantwoordelijkheid duidelijk. Door 30% worden nog problemen ondervonden met cultuur en draagvlak in de organisatie, en niet meer dan 67% beoordeelt het beschikbare ORM-budget als voldoende. Qua investeringen stond ORM in relatie tot overige risicosoorten het afgelopen jaar echter op de tweede plaats; alleen in kredietrisico werd iets meer geïnvesteerd.

Samenwerking tussen ORM en overige (business)afdelingen is een basisvoorwaarde voor een goede uitvoering van ORM en een indicator voor de acceptatie van ORM in de organisatie. Uit de survey blijkt dat van samenwerking zeker niet overal sprake is. Bij ruim de helft van de partijen worden basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico’s uitsluitend door de ORM-afdeling uitgevoerd. Bij bijna een kwart van de partijen is zelfs een gespecialiseerde activiteit als IT/systeemrisico alleen bij ORM belegd. Omgekeerd worden

1


ook vaak activiteiten door businessafdelingen of staven uitgevoerd, geheel zonder betrokkenheid van ORM.

In het algemeen kunnen we constateren dat het genoemde management commitment aan ORM op veel punten in de organisatie is terug te vinden in beleid en inrichting. Het risicobewustzijn en de samenwerking verdienen nog de nodige aanscherping.

Geïntegreerd Risicomanagement neemt toe De aandacht voor ORM heeft in de afgelopen jaren in hoge mate bijge dragen aan de ontwikkeling van geïntegreerd risicomanagement op onder nemings-niveau (ERM). ORM is immers alleen goed en zinvol uitvoerbaar als het organisatiebreed wordt geïmplementeerd. Bijna 70% van de ondervraagde ondernemingen heeft een risicobeleid op corporate niveau vastgesteld. De integratie van activiteiten in de gehele onderneming blijkt in de praktijk echter veelal beperkt tot de onderdelen audit, compliance en governance. Alle risicosoorten inclusief ORM worden bij slechts de helft van de partijen geïntegreerd op ondernemingsniveau gemanaged. Belemmering bij de uitvoering van ERM zijn net als bij ORM-beschikbaarheid en kwaliteit van gegevens, maar daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risico’s, en cultuur en draagvlak in de organisatie.

Als we de investeringen in ERM bezien als indicator voor het belang dat eraan wordt gehecht, neemt dit laatste sterk toe. De investeringen in ERM stonden in het afgelopen jaar op de laatste plaats in vergelijking tot andere risico’s; bij 27% van de ondernemingen werd er helemaal niet in geïnvesteerd. Voor het komende jaar is de verwachting dat na kredietrisico en liquiditeitsrisico het meest zal worden besteed aan ERM en ORM.

Operationeel Risico Management groeit naar volwassenheidHoe heeft men het management van de risico’s in de praktijk ingericht en zijn er al best practices te ontdekken? Nagenoeg alle partijen in ons onderzoek hebben een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. In de grote meerderheid van de gevallen bestaat dit uit Risk Self Assessments, Key Performance Indicators, Key Risk Indicators, formeel vastgelegde contingency plannen, loss databases en stresstests. Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risico’s te identificeren, analyseren en vast te leggen.

KPI’s worden bij 64% van de partijen gehanteerd en eveneens 64% van de partijen die ze nu niet gebruiken, geeft aan dit in de toekomst wel te gaan doen. Het vaststellen van de KPI’s wordt als lastig ervaren; de meest gebruikte zijn het aantal verliezen/events en de audit ratings.

2


Menige partij is nog zoekende naar optimale inrichting en implementatie van het Framework. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn volop in ontwikkeling en metrics moeten veelal nog worden verzameld. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces.

Processen bl i jven de ruggengraat van ORMProcessen worden algemeen gezien als de basis voor ORM. Daarnaast is procesmanagement voor veel organisaties een belangrijk bijproduct van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij het bereiken van meer efficiency en het beter kunnen sturen van de business processen als belangrijke potentiële opbrengsten zien voor ORM. In de praktijk blijkt dat meer efficiency bij 42%, en betere besturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Processen blijven voortdurend aan verandering onderhevig en hoewel in de afgelopen jaren veel tijd en energie gestoken in procesmanagement, blijft op dit punt nog veel werk liggen. Het merendeel (77%) van de ORM-managers geeft dan ook aan procesmanagement in de nabije toekomst de hoogste prioriteit.

De Standardardised Approach als balans tussen inspanningen en resultaat

Van alle respondenten kiest bijna een kwart (24%) de Advanced Measurement Approach (AMA) voor de berekening van het kapitaalbeslag, bijna de helft (49%) gebruikt de Standardised Approach (SA) en 16% de Basic Indicator Approach. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De AMA wordt uitsluitend gebruikt in grotere concerns, waarbij het aannemelijk is dat dit in het merendeel door de toezichthouder is verplicht. Slechts de helft van de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan.

De Word Processor en de spreadsheet bl i jven populairHet gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat software op de één na laatste plaats. Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en event tracing en het vastleggen van de events (loss database). De markt voor ORM-software is nog steeds volop in ontwikkeling en de verkrijgbare producten

3


zijn vaak gespecialiseerd op een beperkt onderdeel of nog niet volwassen genoeg. Wellicht is dit een van de redenen dat de standaard spreadsheet en Word Processor door verreweg de meeste partijen gebruikt worden als tool voor ORM.

Processen, governance en rapportage kr i jgen de hoogste prior i teitOndanks de verwachte groei in investeringen voor ERM geeft bijna de helft (47%) van de ORM-managers aan dat ERM voor hen de komende periode een lage prioriteit heeft. Ook de benadering van kapitaalbeslagberekening, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid processen (77%)en verder governance (53%), KPI’s /KRI’s (41%) en (financiële) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de benadering van kapitaalbeslagberekening aan de orde komen.

De toezichthouder bl i j f t de belangri jkste dr iver voor ORMDat er, zeker sinds de kredietcrisis, (veel) geïnvesteerd wordt in ORM en overige risicosoorten is evident. Minder helder is welke opbrengsten staan tegenover die investeringen, wat voor een groot deel verklaard kan worden uit de (on)mogelijkheden om dit te meten. Het optreden van operationele risico’s is per definitie lastiger te voorspellen dan bv. krediet- of marktrisico’s en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Het voorkomen/beperken van verliezen en van fraude wordt door 70%, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%).

De algemene verwachting is dat de maatregelen in het kader van toezicht in de komende jaren nog aanzienlijk zullen worden uitgebreid. Deze ontwikkeling wordt niet gewaardeerd. Slechts 14% van de ORM-managers zou invoering van strengere regelgeving of uitbreiding van rapportages zinvol achten en ruim 20% beoordeelt dit als ‘helemaal niet zinvol’. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), of door guidelines voor eenvoudiger interne modellen (62%).

4


1 De survey

1.1 AanleidingDe belangstelling voor ORM als geformaliseerd vakgebied en de ontwikkelingen die hierin de laatste jaren te zien zijn, waren voor ons aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. Welk belang wordt aan ORM toegekend, welke resultaten levert het op, welke ontwikkelingen ziet ‘de Nederlandse bancaire ORM-manager’ op het vakgebied? Hoe heeft men het management van de risico’s in de praktijk ingericht en zijn er al best practices te ontdekken? Ons onderzoek richt zich erop antwoorden te geven op deze vragen.

1.2 Aard en omvang van de populat ieDe survey werd ingevuld en geretourneerd door 39 personen werkzaam bij Nederlandse banken en vermogensbeheerders. 80% van de respondenten is werkzaam in Operationeel Risico Management, als CRO/directeur Risico-management, Risico Manager, Operationeel Risico Officer of als Operationeel Risico Manager. Die laatste functie is met ruim de helft (54%) van de respon-denten het meest vertegenwoordigd. De overige 20% van de respondenten is algemeen, operationeel of financieel directeur.

Zoals hierboven vermeld werd de survey gehouden onder banken en ver-mogens beheerders in Nederland. Wij hebben deze populatie onderverdeeld naar een drietal invalshoeken:• Type bedrijf• Zelfstandige onderneming / onderdeel van een groter concern• Grootte van de onderneming.

Type bedri j fDe onderverdeling naar type bedrijf geeft een breed beeld van de bancaire sector te zien. Respondenten zijn werkzaam in de retail-, investment-, private- en corporate banking sector, bij brokers en bij vermogensbeheerders. Wanneer wij de ondernemingen verdelen in bancaire instellingen en ver-mogensbeheerders zien we 10 vermogensbeheerders en 29 banken.

Zelfstandig/onderdeel van een concern36% van de ondernemingen is zelfstandig en 64% heeft een moederbedrijf, waarvan 16% in het buitenland. De moederbedrijven zijn in iets meer dan de helft van de gevallen bankverzekeraar.

5


Omvang De grootte van de ondernemingen gemeten naar aantallen werknemers varieert van enkele tot duizenden medewerkers. Om een vergelijking naar omvang van bedrijf mogelijk te maken, hebben wij de omvang van het totale bedrijf van de zelfstandige bedrijven vergeleken met de omvang van de bedrijfsonderdelen in het geval een moederbedrijf aanwezig is (bv. zelfstandige private bank met het private bankbedrijf van een bankverzekeraar). De zo verkregen bedrijfsomvang is ingedeeld in drie groepen: kleine banken/asset managers (1-50 medewerkers), middelgrote (51-500 medewerkers) en grote (>500 medewerkers).

Moederbedrijf

Zelfstandig

Bank

Asset Manager

Kleine organisatie

Middelgrote organisatie

Grote organisatie

Figuur 1: Indeling van de populatie

64%

36%

74%

26%

46%

41% 13%

In de volgende hoofdstukken zullen wij vergelijkingen tonen vanuit drie invalshoeken:• Tussen zelfstandige bedrijven en bedrijfsonderdelen van grotere concerns,

waarbij geen onderscheid wordt gemaakt in Nederlandse en buitenlandse moederbedrijven;

• Tussen banken en asset managers, waarbij de categorie asset managers is gedefinieerd als bedrijven die zich uitsluitend met vermogensbeheer bezig houden;

• Tussen kleine, middelgrote en grote bedrijven.

6


1.3 KernvragenOm een goed beeld te krijgen bij de status van ORM bij Nederlandse banken vermogensbeheerders in 2009, stellen wij de volgende kernvragen:

• Welke plaats heeft ORM in het bedrijf en in de bedrijfscultuur

• Hoe heeft men de formele inrichting van ORM ter hand genomen

• Hoe wordt de uitvoering ervan in de praktijk ervaren

• In hoeverre maakt men gebruik van automatiseringssystemen voor ORM

• Welke ontwikkelingen zien onze respondenten in ORM

De volledige vragenlijst met de gegeven antwoorden is als bijlage IV te vinden op blz. 48 van dit rapport.

7


2 De posit ie van ORM in de organisat ie

Operationeel risico is door haar omvang en haar vele verschijningsvormen het moeilijkst te kwalificeren en te managen risico voor een bank. Met de opname van ORM in het Basel II akkoord is in ieder geval een in de financiële wereld algemeen geaccepteerde definitie ontstaan van de risico’s die onder ORM gemanaged dienen te worden. Het akkoord laat echter een grote mate van vrijheid in de uitvoering: door wie, op welke wijze en in welke mate van detail de risico’s geïdentificeerd, gerapporteerd en behandeld moeten worden is aan elke instelling zelf om te bepalen. Het verdient in ieder geval aanbeveling om beleid en inrichting van ORM vast te leggen in een Operationeel Risico Management Model.

2.1 Het Operat ioneel Risico Management ModelEen ORM-model beschrijft de inrichting van ORM en legt o.a. de verant woor-delijkheden en bevoegdheden vast van alle betrokkenen in de organisatie. Betrokkenen zijn uiteraard de personen in de ORM-functie zelf, die bij voorkeur in een separate afdeling is geplaatst, maar ook hun ‘counterparts’ in de business lines en overige ondersteunende afdelingen. Verantwoordelijkheden en bevoegdheden kunnen gestructureerd worden door de klassieke indeling in strategisch, tactisch en operationeel niveau te hanteren.

Op het strategisch niveau zien we aan de risicokant de CRO en/of het Risk Committee, met als voornaamste verantwoordelijkheden:• Vaststellen van het beleid; • Vaststellen van de ORM risk-appetite; • Opzetten van het ORM-model en de Operationele Risico Governance

structuur.

Risicodoelstellingen moeten bij voorkeur worden gedefinieerd tegelijkertijd met het vaststellen of aanpassen van de business doelstellingen. Aan de businesskant zijn CEO/RvB/directie verantwoordelijk voor het goed-keuren van het beleid inclusief risk-appetite, het ORM-model en de governance structuur en voor de implementatie ervan in de organisatie.

Het tactisch niveau (Operationeel Risico Manager) zorgt voor de inrichting van het Operationele Risico Control Framework, inclusief identificatie van risico’s, KPI’s, KRI’s, procedures, standaarden en mitigatiemaatregelen. Uiteraard ligt de verantwoordelijkheid voor de risico’s bij de managers van de business afdelingen. De ORM-functie adviseert, ondersteunt bij de uitvoering en is verantwoordelijk voor de goede werking van het ORM Control Framework. Het controleren of dit framework ook wordt toegepast is een taak van de audit functie.

8


Op het operationeel niveau vindt het daadwerkelijke vastleggen en meten van de risico’s en de events plaats, evenals het uitvoeren van mitigerende maatregelen. Deze activiteiten worden uitgevoerd door de medewerkers in de diverse business lines, met ondersteuning van medewerkers uit support-afdelingen (IT, Finance, etc.) en van de ORM-medewerkers.

Figuur 2: Inrichting ORM in de organisatie

Strategisch niveau

Inrichting & Governance

Identificatie, Assessment, Mitigatie

Monitoring & Meting

BeleidInrichtingMiddelenVoorbeeldgedrag

Risk Control Framework

Tactisch niveau

Operationeel niveau

2.2 Krit ische Succes FactorenORM onderscheidt zich op diverse punten van overige risicosoorten. Ten eerste is ORM verweven met alle bedrijfsprocessen, van hoog tot laag in de organisatie en van front- tot back-office. Daarnaast kenmerken operationele risico’s zich door een grote verscheidenheid in hun eigen verschijningsvorm, maar ook in die van hun mogelijke oorzaken en consequenties. Het opzetten van een formeel ORM-model is daardoor op zichzelf al geen sinecure; daarbij komt nog de implementatie ervan, in de breedte en de diepte van de gehele organisatie.

Omdat operationele risico’s niet beperkt blijven tot één vakgebied, is samen-werking vereist tussen ORM- en businessafdelingen, AO-, fraude-, proces- en IT-specialisten en natuurlijk audit- en compliancemedewerkers. Kortom, voor een goede uitvoering van ORM zijn een actieve betrokkenheid en de bereidheid informatie uit te wisselen vereist van praktisch alle bedrijfsonderdelen.

9


10


Een tweede belangrijke voorwaarde voor een goede werking van ORM is dat iedereen, van hoog tot laag in de organisatie, een risicoalerte werkwijze ‘tussen de oren heeft’. Een dergelijke attitude kan alleen bestaan in een organisatiecultuur die hiervoor de ruimte biedt. Het aspect cultuur, in hoge mate beïnvloedbaar door het senior management, is dan ook van wezenlijk belang voor het slagen van ORM in de organisatie.

Uit het bovenstaande zijn de volgende kritische succesfactoren voor ORM te definiëren: • Een goed begrip van ORM-taken en -verantwoordelijkheden door de hele

organisatie heen;• Bereidheid tot samenwerking en uitwisseling van informatie;• Een risicobewuste organisatiecultuur, waarin beloning en sanctionering

van risicogerelateerd handelen als normaal en positief worden ervaren.

2.3 Het ORM-model in de prakt i jk

2.3.1 Waar en hoe is ORM belegd Bij 87% van de onderzochte ondernemingen is ORM belegd in een separate operationele risico management unit. Ook in de kleinere ondernemingen, waar te verwachten is dat de bedrijfsomvang een separate afdeling niet altijd toelaat, bestaat bij 60% een separate ORM-afdeling. Ondernemingen die deel uitmaken van een groter concern, hebben in 100% van de gevallen een separate ORM-afdeling. Bij zelfstandige bedrijven is dit 64%.

Het aantal ORM-medewerkers in de onderzochte organisaties varieert van 1 tot honderden medewerkers. Bij verreweg de meeste bedrijven wordt de ORM-functie ingevuld door een afdeling van maximaal 5 personen. Alleen bedrijven met een moederconcern kennen afdelingen van 10 of meer mede-werkers, terwijl bij zelfstandige bedrijven bijna alle ondernemingen, ongeacht de omvang, werken met 1-5 ORM-medewerkers (38% van de grote zelf standige ondernemingen heeft 6-10 ORM-medewerkers). Bedrijven die tot een groter concern behoren hebben dus grotere ORM-afdelingen dan zelfstandige bedrijven, ongeacht de bedrijfsomvang.

11


Figuur 3: Omvang ORM-afdeling

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

10 > ORM-medewerkers

6 - 10 ORM-medewerkers

1 - 5 ORM-medewerkers

Grote organisatie met moeder

Grote organisatie zelfstandig

Middelgrote organisatie met moeder

Middelgrote organisatie zelfstandig

Alle kleine organisaties

2.3.2 SamenwerkingWij vroegen onze respondenten waar de voornaamste ORM-activiteiten in hun organisatie zijn belegd. Daarbij kon men aangeven of uitsluitend de ORM-afdeling een activiteit uitvoert, dan wel uitsluitend een andere afdeling (compliance, IT, business afdelingen) of dat meerdere afdelingen hierin samenwerken.

Enkele partijen gaven hierbij expliciet aan, dat de primaire verantwoordelijkheid voor het risicomanagement is belegd in de lijn. Operationeel Risico Management stelt dan risico control kaders, ziet toe op naleving en rapporteert aan de directie. Ook werd gemeld dat activiteiten als identificeren en monitoren mede door de lijnorganisatie worden uitgevoerd, of dat alle business units actief betrokken zijn bij de ORM-activiteiten.

Toch geldt dit zeker niet als algemeen gebruikelijk. De basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risico’s worden bij ruim de helft van de partijen uitsluitend door de ORM-afdeling uitgevoerd. Ook het mitigeren van risico’s, primair een activiteit voor de lijnorganisatie, wordt in 41% van de ondernemingen alleen door ORM uitgevoerd.

12


Bij ongeveer 30% van de bedrijven is voor de basisactiviteiten sprake van samenwerking tussen ORM- en businessafdelingen.

Er is ruimte voor meer samenwerking tussen ORM en business

bij een groot deel van de Nederlandse banken en vermogensbeheerders

Opvallend zijn de ondernemingen waarbij alleen ORM is betrokken bij gespecialiseerde zaken als IT/systeemrisico (23%), information security (28%)en het berekenen van kapitaalbeslag (41%). Juist bij deze specialistische activiteiten dienen de daarin gespecialiseerde afdelingen als IT en Finance betrokken te worden. Omgekeerd mag het ook niet zo zijn, dat deze afdelingen de risico activiteiten geheel zonder betrokkenheid van ORM uitvoeren. Toch komt dit uit de survey wel naar voren, bijvoorbeeld bij anti money laundering (77%), information security (56%) of business continuity planning (51%).

De conclusie lijkt gerechtvaardigd dat bij een groot deel van de Nederlandse banken en vermogensbeheerders ruimte is voor meer samenwerking tussen ORM en de diverse andere bedrijfsonderdelen.

13


Figuur 4: Samenwerking tussen ORM en andere afdelingen*

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

I/A/V*

Monitoren

Rapporteren

Mitigeren

Loss database

Bereken kapitaalbeslag

Anti money laundering

Business continuity planning

IT/ systeemrisico

Information security

Stress testen

Alleen bij ORM belegdNiet bij ORM belegd Samenwerking ORM en andere afdeling(en)

* I/A/V: Identificeren, analyseren, vastleggen van risico’s

2.3.3 Cultuur Het businessmanagement op het hoogste niveau is verantwoordelijk voor het door de CRO of Risk Committee geformuleerde beleid, de Operationele Risk appetite en het Operationeel Risico Management Model. In vrijwel alle ondernemingen in onze survey zien we dit terug: het Operationele Risico Management Model wordt in 97% van de gevallen door de hoogste besturingslaag goedgekeurd. Het vaststellen van de Operationele Risk Appetite door de directie gebeurt bij 76% van de directies.

Minder goed gaat het met het verbinden van ORM-doelstellingen aan de business doelstellingen: slechts 33% geeft aan, dat dit gebeurt. Wel worden bij 64% van de partijen Operationele Risico’s meegenomen in het strategisch besluitvormingsproces.

14


De verantwoordelijkheid van directie of RvB houdt niet op bij deze formele taken. Het hoogste besturingsniveau heeft een belangrijke inbreng in de inbedding van ORM in de organisatie. Dit kan zij doen door:• Communicatie: het beleid en de procedures moeten voortdurend op

heldere en eenduidige wijze worden gecommuniceerd, wil iedereen zijn/haar rol en verantwoordelijkheid begrijpen;

• Middelen: uiteraard moeten voldoende middelen worden toegewezen om het beleid te kunnen uitvoeren;

• Cultuur: het hoger management moet bevorderen dat een cultuur bestaat, waarin ORM echt is opgenomen in de dagelijkse praktijk. Dit vereist voorbeeldgedrag van het management zelf, beloning van goed gedrag en sanctionering van fout gedrag.

Alle inspanningen om ORM in de organisatie op te zetten zullen aan resultaat inboeten als aan deze voorwaarden niet wordt voldaan.

De cultuur van de onderneming bepaalt

welk gedrag wordt geaccepteerd en welk gedrag niet

De hoogste besturingslaag van onze respondenten hecht zeker aan het slagen van ORM: 77% van onze respondenten geeft aan dat de leden van de directie/RvB actief betrokken zijn bij ORM en 90% bevestigt dat het hoger management is gecommitteerd aan het succes van de ORM-functie.

Toch vindt niet meer dan 67% van de ondervraagden dat voldoende budget beschikbaar is voor ORM. Bij 54% ontbreken in het beoordelingssysteem en het performance management systeem ORM-gerelateerde KPI’s. Iets beter is het gesteld met het erkennen en belonen van acties om risico’s te beheersen (62% ), maar het sanctioneren van risicovolle activiteiten scoort slechts 44%.

Ook het ‘tussen de oren krijgen’ van ORM is voor verbetering vatbaar. Op de vraag of iedereen in de organisatie begrijpt welke rol hij/zij speelt en in hoeverre men verantwoordelijk is, antwoordt iets meer dan de helft (51%) positief. 30% van onze respondenten geeft aan problemen te ondervinden met cultuur en draagvlak in de organisatie. Tenslotte is, na het constateren van commitment van het hoger management bij 90% van de partijen, de volgende bevinding verrassend: een kleine 20% van onze respondenten geeft aan, dat het commitment van hoger management enigszins tot in grote mate een probleem vormt bij de opzet en uitvoering van ORM.

15


Figuur 5: ORM en Cultuur

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Commitment hoger management

Voldoende budget voor ORM

Business doelstellingen verbonden aan ORM-doelstellingen

Beloning risicobeheersend gedrag

Sanctionering risicovol gedrag

ORM - KPI’s in beloningssysteem

Operationele Risico’s in strategisch besluitvormingsproces

Iedereen kent eigen rolen verantwoordelijkheid

16


3 Inr icht ing in de prakt i jk

3.1 Het Operat ioneel Risico Management Control FrameworkDe uitwerking van het ORM-model ligt vast in het Operational Risk Management Control Framework: het geheel van methoden, technieken en ondersteunende middelen waarmee het ORM-beleid wordt uitgevoerd.

Van het ORM Control Framework bestaat geen standaard uitvoering. Het concept van identificeren, meten, monitoren en managen van Operationele Risico’s is uiteraard in ieder Framework terug te vinden, maar de uitvoering varieert per organisatie. Veelal begint het uitvoeren van het Framework met Risk Self Assessments, in welke vorm dan ook. Verder kunnen KRI’s, KPI’s, modelleringtechnieken, score cards, processimulaties, loss databases, en stress tests tot het Framework behoren. Al deze hulpmiddelen kunnen uitstekend werken, mits ze goed zijn afgestemd op het gebruik. Bedrijfsomvang en -activiteiten, beschikbare data en expertise, de volwassenheid van de risico-organisatie, maar ook de organisatiecultuur dienen bij de keuze te worden meegenomen.

3.2 Inr icht ing van het Framework 97% van de partijen in ons onderzoek heeft een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. 87% identificeert jaarlijks de risicosoorten en stelt een risk universe vast.

Figuur 6: Veel gebruikte hulpmiddelen bij Nederlandse banken en vermogensbeheerders

Gebruikte hulpmiddelen

RSA’s 87%

KRI’s 72%

Formeel vastgestelde contigency plannen 78%

Loss database 95%

Stress testen 95%

3.2.1 Methodes, technieken en model len81% van onze respondenten gebruikt voor de basis (het identificeren, analy-seren en vastleggen van risico’s) formele methodes, technieken en modellen. Bij 78% worden deze activiteiten daarnaast ondersteund door ORM-systemen. De conclusie mag dus worden getrokken dat ongeveer 80% van de partijen de basisprocessen van ORM uitvoert op geformaliseerde, gestructureerde en door systemen ondersteunde wijze.

17


Een kleine 20% van de partijen kent geen geformaliseerde en

gestructureerde wijze om risico’s te identificeren, analyseren en vast te leggen.

Daarbij maakt de bedrijfsomvang geen groot verschil; wel opvallend is dat het gebruik van formele methodes, technieken en modellen bij Asset Managers hoog is (90%) ten opzichte van banken (78%).

Figuur 7: Gebruik formele methodes en technieken

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Totale populatie

Totaal banken

Totaal asset managers

Kleine banken/asset managers

Grote banken/asset managers

Middelgrote banken/asset managers

Bij 81% is RM actief betrokken bij verbetering van het geldende risico control framework en het oplossen van risico gerelateerde issues. 51% laat regelmatig onafhankelijke reviews uitvoeren op operationele risico management activiteiten.

3.2.2 ProcessenProcessen en ORM zijn onlosmakelijk met elkaar verbonden. Of zoals één van de deelnemers aan onze survey het stelt: “processen zijn de ruggen graat van ORM”. De procesbeschrijvingen van een organisatie zijn het uitgangspunt bij de identificatie en het monitoren van risico’s en het vaststellen van KRI’s. Processimulatie is hierbij een belangrijk hulpmiddel. Geautomatiseerde simulatieprogramma’s, eventueel met een database waarin risico events zijn opgenomen, kunnen hiervoor goed worden gebruikt. Een simulatie kan echter ook worden uitgevoerd op papier, in een discussie of in een workshop. Het belangrijkste is dat de bestaande procesbeschrijvingen en de in de business gehanteerde KPI’s in hoge mate structuur kunnen geven aan het vaststellen van operationele risico’s, wat als lastig en omvangrijk werk wordt ervaren.

Naast het vastleggen en monitoren van de primaire en ondersteunende businessprocessen dient ook het Operationeel Risico zelf als proces te worden vastgelegd en gemonitored. Van onze respondenten geven

18


nagenoeg alle partijen (97%) aan, dat processen, procedures en werk-instructies voor de business formeel zijn vastgelegd. Als het om de ORM-functie zelf gaat, is dit in 84% van de gevallen zo.

Processen zijn de ruggengraat van ORM

Hoewel alle partijen in de afgelopen jaren veel aandacht hebben besteed aan het vastleggen en optimaliseren van de processen, loopt in de praktijk menig ORM-manager hier tegen problemen aan.

Veelal zijn de processen onderzocht met als doelstelling efficiencyverbetering en niet met de doelstelling controls erin op te nemen of risico’s te identificeren. Ook heeft gebrek aan resources in veel organisaties geleid tot het stellen van prioriteiten bij het in kaart brengen van de processen. De primaire en vooral klantgerichte processen zijn dan, vanuit een BPM-model, vaak goed vastgelegd, maar de ondersteunende processen hebben minder aandacht gekregen. Tenslotte zijn processen uiteraard dynamisch van aard; de beschrijving ervan moet voortdurend worden aangepast aan de veranderende werkelijkheid. Lang niet altijd lukt het organisaties bij ingrijpende veranderingen als overnames, fusies, of het adopteren van nieuwe businessmodellen de processen tijdig aan te passen.

Naast het belang van processen als basis voor ORM, vormen efficiencyverhoging en een betere controle op de processen voor veel organisaties belangrijke bijproducten van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij als belangrijke opbrengsten van ORM zien:• Het bereiken van meer efficiency in de processen;• Het beter kunnen sturen van de business processen.

In de praktijk blijkt dat meer efficiency bij 42%, en betere sturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Het is dan ook zeer begrijpelijk dat een groot aantal (77%) van de ORM-managers aangeeft processen in de nabije toekomst de hoogste prioriteit te geven.

19


Figuur 8: Processen als opbrengst van ORM

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Meer efficiency in de processen

Hulpmiddel om onze business processen te sturen

Gerealiseerde opbrengst

Potentiële opbrengst

3.2.3 GegevensGegevens zijn een belangrijke factor bij het opzetten van het Risico Control Framework. Risk Self Assessments (RSA’s), KRI’s, KPI’s en loss databases kunnen niet worden gecreëerd zonder betrouwbare en liefst historische gegevens. Beschikbaarheid en kwaliteit van gegevens worden in de praktijk beperkt door historisch ontstane situaties. Fusies en overnames die voor ontbrekende of inconsistente bestanden zorgen, versnipperde risicofunctionaliteit waardoor geen uniforme standaarden beschikbaar zijn, of gegevensopslag vanuit een beperkte functionaliteit zijn veel voorkomende situaties.

De beschikbaarheid van gegevens lijkt voor de onderzochte partijen niet een heel groot obstakel te vormen; 27% geeft aan hiervan problemen te ondervinden. De kwaliteit van de gegevens wordt door 46% als problematisch ervaren.

Bij RSA’s ligt het probleem veelal in het kwantificeren van de gegevens. Bij gebrek aan historische gegevens worden schattingen in plaats van betrouwbare, gekwantificeerde gegevens gebruikt, bijvoorbeeld voor de verwachte impact of frequentie van een event. Het opbouwen van metrics door het consequent rapporteren en vastleggen van gegevens is een remedie, zij het een die niet op de korte termijn werkt. Ook modelleren en het uitvoeren van ‘what if’ scenario’s kunnen ondersteuning bieden. In de ontwikkeling van het vakgebied zien we een toename van meer kwantitatieve benaderingen van ORM in KPI’s, KRI’s, events en modellen. In de praktijk zien we dat financiële instellingen niet uitsluitend kiezen voor de ene of de andere benadering.

Zoals ook door diverse ORM-managers in gevoerde gesprekken werd aangegeven, blijft de menselijke factor een belangrijke rol spelen. Paradoxaal genoeg geldt dit zowel in positieve als in negatieve zin. Er zijn industrieën waar de ontwikkeling van ORM verder is doorgevoerd en ORM meer kwantitatief wordt benaderd dan in de financiële wereld, zoals de luchtvaartindustrie of de medische wereld. In deze omgevingen wordt ervaren, dat juist bij ORM, met de diversiteit in het karakter van de risico’s en de omstandigheden, het menselijk

20


vermogen tot inschatten onmisbaar is. Operationeel Risico Management moet niet worden verward met Operationeel Risico Measurement; of, zoals een van de deelnemers opmerkte: “Meten is weten, maar goed risicomanagement kijkt verder dan modellen en statistieken.” Het blind varen op de Value at Risk door vele financiële ondernemingen in de kredietcrisis lijkt deze stelling overigens te ondersteunen.

Tegelijkertijd wijzen onderzoeken aan, dat juist in bovengenoemde industrieën als luchtvaart en medische wereld 80% van de optredende Operationele Risico’s wordt veroorzaakt door menselijk falen.

Goed risicomanagement kijkt verder dan modellen en statistieken

3.2.4 Key Perfomance Indicators64% van de partijen in ons onderzoek kent KPI’s als onderdeel van het ORM Risico Control Framework. Een aantal partijen geeft aan dat de vaststelling van KPI’s en KRI’s momenteel onderhanden is. Over de effectiviteit van KPI’s in Operationeel Risico Management zijn de meningen verdeeld. De partijen die geen KPI’s vaststellen, geven aan dat men niet overtuigd is dat KPI’s voor alle risico’s goed werken (21%), of menen dat KPI’s niet passen in de cultuur van de organisatie (14%). Een veel gebruikte KPI is het aantal verliezen/events. Een aantal ORM-managers tekent hierbij aan, dat men met deze KPI riskeert zijn doel voorbij te schieten door het negatieve karakter ervan.

Een tweede veel gebruikte KPI is een verbetering in de audit ratings. Ook het aantal claims wordt genoemd als KPI, evenals het oplossen van de AO-knelpunten binnen een afgesproken due date (overall gemeten in een percentage overdue items). Bij enkele partijen geldt het ORM-proces zelf als KPI: het behouden van de methodiek als leidende KPI (het uitvoeren van een aantal risk assessments) of het ontwikkelen en onderhouden van alle ORM-tools, die vereist zijn voor de gekozen approach onder Basel II. Het verminderen van kapitaalbeslag als KPI wordt door 30% van de respon-denten genoemd.

21


Figuur 9: Gebruikte KPI’s

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Aantal verliezen

Kapitaalbeslag

Compliance

Audit ratings

Processen

Anders

Een groot deel (64%) van de partijen die nu geen KPI’s hebben vastgesteld, geeft aan dit in de toekomst wel van plan te zijn. Slechts 13% van de totale populatie heeft geen KPI’s en ook geen plannen deze te gaan definiëren. Het lijkt erop dat men het nut van KPI’s wel inziet, maar nog worstelt met de uitvoering ervan in de praktijk.

3.3 Berekening kapitaalbeslag onder Basel I IZoals bekend kunnen banken en vermogensbeheerders voor de berekening van het kapitaalbeslag voor ORM kiezen uit de drie toegestane benaderingen Basic Indicator Approach (BIA), Standardised Approach (SA) en Advanced Measurement Approach (AMA). De intentie van de toezichthouder is daarbij, dat degenen die de AMA gebruiken, voor deze inspanningen worden beloond met een lager kapitaalbeslag. De ORM-managers in ons onderzoek zijn er lang niet allemaal van overtuigd dat dit in de praktijk ook zo werkt.

Van alle respondenten hanteert bijna een kwart (24%) de AMA, bijna de helft (49%) gebruikt de Standardised Approach en 16% de BIA. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA.

De algemene uiting is: hoe groter de bedrijfsomvang, hoe zinvoller het gebruik van de AMA. Ons onderzoek wijst echter uit, dat geen enkele van de zelfstandige bedrijven kiest voor de AMA, ook niet wanneer hun bedrijfsgrootte daartoe aanleiding zou geven. Van de ondernemingen met een moederbedrijf kiest 38% voor AMA. Bijna de helft (46%) gebruikt de SA, en slechts 8% gebruikt de BIA. Hoewel wij dit niet nader hebben onderzocht, lijkt het aannemelijk dat alleen die partijen kiezen voor de AMA, die hiertoe vanwege hun internationale activiteiten door de toezichthouder worden verplicht.

22


Figuur 10: Keuze BIA/SA/AMA

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

BIA

SA

AMA

N.v.t.

Huidig Toekomst

Banken en vermogensbeheerders hebben minimaal ruim anderhalf jaar in de praktijk kunnen toetsen of hun keuze voor een benadering de juiste is. De toezichthouder laat de mogelijkheid open van methode te veranderen, zij het alleen van BIA naar SA naar AMA. Wij vroegen onze respondenten dan ook, of zij van plan zijn in de toekomst tot een andere benadering over te gaan. Ongeveer 30% van de partijen, die nu de BIA gebruiken en 16% van de partijen die nu de SA gebruiken, geven aan in de toekomst te willen overgaan naar een andere benadering. Het gebruik van de AMA zou toenemen van 24% nu, tot 41% in de toekomst. Ook hier zien we weer een belangrijk verschil tussen zelfstandige bedrijven en bedrijven met een moederbedrijf. Van de laatste groep blijft 29% de SA gebruiken en 58% geeft aan over te stappen op de AMA. Zelfstandige bedrijven blijven ook in de toekomst voor 62% kiezen voor SA en slechts 8% voor de AMA.

Als voordeel van de AMA wordt veelal, naast de beoogde reductie van kapitaalbeslag, het toegestane gebruik van eigen modellen genoemd. 38% van onze respondenten is van mening dat het gebruik van AMA toegevoegde waarde heeft, waarbij allebei de bovengenoemde voordelen even vaak worden genoemd (door 19%). 32% is van mening dat AMA meer kost, dan dat het oplevert.

De AMA wordt uitsluitend gebruikt in grotere concerns, maar slechts de helft van

de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan.

De helft van de bedrijven die onderdeel uitmaken van een groot concern zijn overtuigd van het nut van de AMA; 25% noemt dan weer het gebruik van interne modellen als reden, en 25% de reductie van kapitaalbeslag. De andere helft van deze bedrijven heeft geen mening of ziet geen rechtvaardiging voor de kosten van het gebruik van de AMA.

23


Van de zelfstandige bedrijven ziet slechts 15% voordeel, ook weer gelijkelijk verdeeld over beide bovengenoemde redenen. Bijna 50% is ervan overtuigd dat AMA meer kost dan het oplevert.

3.4 Problemen bi j de uitvoering van ORMZoals uit het voorgaande blijkt, is het opzetten van een Operationeel Risico Control Framework een omvangrijke taak, die bij de implementatie door veel factoren wordt beïnvloed. Een goed framework is afgestemd op de organisatie en voortdurend moet de afweging gemaakt worden tussen investering in maatregelen en hulpmiddelen enerzijds en opbrengsten en haalbaarheid anderzijds. Bij de meeste Nederlandse financiële instellingen is de formele invoering van Operationeel Risico Management slechts één tot enkele jaren oud. Menige partij is nog zoekende naar optimale inrichting en implementatie. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn nog volop in ontwikkeling en metrics moeten nog worden verzameld, terwijl deze laatste essentieel zijn bij de inrichting van het Risico Control Framework.

Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces.

Figuur 11: Problemen bij uitvoering ORM

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Risico expertise

Cultuur en draagvlak

ORM-tools en systemen

Volwassen ORM-proces

Kwaliteit gegevens

30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben. Drie van de vijf als meest problematisch genoemde punten liggen in de eigen organisatie: gebrek aan risico expertise (30%), cultuur en draagvlak voor ORM (30%) en tenslotte de volwassenheid van het ORM-proces (41%). De rapportage naar de toezichthouder wordt door geen enkele partij als probleem genoemd.

24


4 Wat levert ORM op?

Het is evident dat aan de grote groei van ORM binnen de bancaire wereld de noodzaak tot beperking van operationele risico’s ten grondslag ligt. Dat de schade die kan ontstaan door operationele risico’s aanzienlijk kan zijn is immers in de laatste jaren door diverse partijen ondervonden. Daarnaast is uiteraard het voldoen aan de externe regelgeving een belangrijke stimulans geweest. Toch zijn dit niet de enige opbrengsten die in de praktijk worden nagestreefd.

Gevraagd naar hun waardering voor de potentiële opbrengsten van ORM, geven de respondenten als voornaamste aan:• Het voorkomen/beperken van verliezen• Het voldoen aan de regels van toezichthouder/interne regels• Het voorkomen/beperken van fraude• Beter sturen van de business processen• Meer efficiency in de processen.

Figuur 12: Waardering potentiële opbrengsten ORM

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Geen opbrengsten

Fraude

Efficiency van de processen

Kapitaalbeslag

Interne regelgeving

Regels toezichthouder

Winstmaximalisatie

Verliezen voorkomen

Sturen businessprocessen

Minder kapitaalbeslag wordt met 33% minder vaak dan bovenstaande redenen genoemd (waarbij moet worden aangetekend dat dit sterk afhankelijk is van de gekozen benadering voor de berekening ervan).

Vervolgens is het uiteraard interessant te bezien in hoeverre de genoemde potentiële opbrengsten worden gerealiseerd. De antwoorden op onze vraag hiernaar zijn divers, wat voor een groot deel verklaard kan worden uit de

25


(on)mogelijkheden om dit te meten. Het optreden van operationele risico’s is per definitie lastiger te voorspellen dan bv. krediet- of marktrisico’s en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Kennelijk is het lastiger te voldoen aan de interne regel geving; 59% geeft aan dat hier (aanzienlijke) opbrengsten worden gerealiseerd.

ORM-managers zien efficiency en betere sturing

van de processen als belangrijke opbrengsten van ORM

Het voorkomen/beperken van verliezen en van fraude wordt door 70, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%).

Figuur 13: Realisatie mogelijke opbrengsten ORM

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Geen opbrengsten

Fraude

Efficiency van de processen

Kapitaalbeslag

Interne regelgeving

Regels toezichthouder

Winstmaximalisatie

Verliezen voorkomen

Sturen businessprocessen

Winstmaximalisatie en hogere efficiency in de processen worden het meest genoemd als onbekend, omdat men niet in staat is dit te meten (36%, resp. 26%).

De omvang van de organisatie levert geen significante verschillen op in de opbrengsten die worden gerealiseerd. Bij het type organisatie constateren we dat asset managers in het algemeen meer gerealiseerde opbrengsten

26


van ORM zien dan banken. Verschillen zitten vooral in het sturen van de businessprocessen (90% bij de asset managers versus 46% bij de banken), de efficiency in de processen (70% bij de asset managers, 32% bij de banken) en het voorkomen van verliezen (90% bij de asset managers en 62% bij de banken).

Zelfstandige bedrijven en bedrijven met een moederorganisatie rapporteren exact dezelfde opbrengsten als het om de processen gaat. De verschillen zitten hier vooral in het voorkomen van verliezen ( 76% van de bedrijven met een moeder versus 57% van de zelfstandige bedrijven), fraude (71%, respectievelijk 50%) en het voldoen aan de regels van de toezichthouder (87% versus 50%). Op al deze punten melden bedrijven met een moederorganisatie dus hogere opbrengsten dan zelfstandige bedrijven.

27


5 Ontwikkel ingen

5.1 Enterprise Risico ManagementAanvankelijk werden bij de meeste financiële instellingen alleen kredietrisico en marktrisico belegd, en dit dan meestal als van elkaar gescheiden opererende functies. Een gemeenschappelijke terminologie of aanpak, een overall frame-work of informatie-uitwisseling tussen de diverse risicofuncties ontbraken meestal. De afgelopen jaren laten een ontwikkeling zien waarbij steeds meer gestreefd wordt naar een holistische benadering van risicomanagement, algemeen aangeduid als Enterprise Risico Management.

De vraag is wat nu precies verstaan moet worden onder ERM. Een gangbare definitie is dat ERM een framework is, waarin alle risico’s van een onderneming worden geïdentificeerd en gemanaged. De COSO-definitie wordt in dit verband vaak genoemd. In de praktijk blijkt het formuleren van een risicobeleid op concernniveau goed te doen, maar integratie van de uitvoering ervan niet eenvoudig uitvoerbaar. Dit wordt zeker niet eenvoudiger door het ontbreken van consensus over de reikwijdte en invulling van ERM. Veelgehoord is dat één uniforme aanpak voor de uitvoering van het beleid moet worden gehanteerd, en dat dit beleid door alle afdelingen/business units op uniforme wijze moet worden uitgevoerd. Een verdergaande definitie is dat de afzonderlijke risicosoorten niet separaat gemonitored en gemanaged worden, maar dat deze activiteiten moeten worden samengevoegd. Daarbij kan de informatie op het hoogste niveau worden geaggregeerd, geconsolideerd of geïntegreerd. In de laatste definitie behoort ook het vaststellen van correlaties tussen risico’s tot ERM.

5.1.1 ORM op Enterprise-niveau Onder ORM-managers bestaat grote belangstelling voor ERM. ORM is immers alleen goed en zinvol uitvoerbaar als het ‘enterprise wide’ wordt geïmplementeerd. De vlucht die ORM heeft genomen, heeft de invoering van ERM bij organisaties in de afgelopen jaren versterkt.

69% van onze respondenten geeft aan, dat hun organisatie een integrale aanpak voor risicomanagement op corporate niveau kent. Als we kijken naar het totale risicolandschap (dus niet alleen ORM), dan blijkt een integrale aanpak nog niet te betekenen dat de diverse functies ook zijn geïntegreerd. Audit, compliance en governance worden wel veelal geïntegreerd op concern niveau uitgevoerd: respectievelijk 72%, 64% en 57% van onze respondenten geeft aan dat dit in hun organisatie het geval is. Integratie van de risicofuncties is iets anders: ORM, liquiditeits risico, counterparty risico, krediet risico en markt risico worden bij 50% van de partijen uitgevoerd op afdelings/business unit/divisie niveau en zijn voor ongeveer 50% op corporate niveau geïntegreerd.

28


61% van de bedrijven kent wel een op corporate niveau geïntegreerd beleid voor ORM. Bijna 20% geeft aan, dat men wel een corporate beleid kent, maar dat dit nog niet (geheel) is geïmplementeerd.

Bij 31% van de respondenten is de uitvoering van ORM uniform in het gehele bedrijf. Een even groot percentage geeft aan, dat het beleid weliswaar op corpo-rate niveau wordt vastgesteld, maar dat de afdelingen onafhankelijk van elkaar dit beleid uitvoeren. Eveneens bij 31% wordt de informatie op concern niveau geïntegreerd en 23% geeft aan dat correlaties tussen de risico’s in de ver schil-lende afdelingen/business units worden bekeken en dat hierop wordt geacteerd.

5.1.2 Problemen bi j de uitvoering van ERMHet blijkt dus nog niet zo eenvoudig om een op corporate niveau vastgesteld beleid in de gehele onderneming te implementeren. Ook bij de invoering van ERM spelen beschikbaarheid en kwaliteit van gegevens een rol. Daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risico’s en cultuur en draagvlak in de organisatie.

Figuur 14: Problemen bij de uitvoering van ERM

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Kwaliteit gegevens

Beschikbaarheid gegevens

Conflicterende belangen

Integratie van de risico's

Cultuur en draagvlak

Toch ziet bijna 70% van de partijen voldoende voordelen in ERM om zich de moeite te getroosten een ERM-beleid te formuleren en uit te voeren. Onze respondenten gaven aan dat zij een betere besluitvorming als grootste voordeel zien van ERM; dit werd door 56% aangegeven. Direct daarna volgen de vermindering van het overall risico (52%) en operationele efficiency (44%).

28% van onze respondenten geven aan dat zij geen integrale aanpak kennen. 73% daarvan (20% van de totale populatie) ziet kennelijk de voordelen in het geheel niet; zij geven aan dat zij geen ERM-strategie hebben en ook niet van plan zijn ERM in te voeren. 27% heeft wel plannen om ERM in te voeren, maar heeft daartoe alleen nog de strategie geformuleerd (9%) of helemaal nog geen stappen ondernomen (18%).

29


Over de opbrengsten van Enterprise Risico Management zijn de meningen verdeeld. Als belangrijkste opbrengsten worden genoemd ‘betere besluit-vorming’ (56%) en ‘vermindering van overall risico’ (52%). 44% meent dat de operationele efficiency zal toenemen door het invoeren van ERM en 36% ziet voordelen in een betere balans tussen risico’s en een betere ondersteuning van de businessplanning.

5.2 Invester ingen en prior i teiten Hoewel ERM een onderwerp is dat ORM-managers bezighoudt en het ook diverse keren werd genoemd in de gesprekken die wij voerden, staat het toch niet bovenaan de prioriteitenlijst van de ORM-manager. Bijna de helft (47%) van de ORM-managers geeft zelfs aan dat ERM de komende periode een lage prioriteit heeft. Ook de keuze voor BIA, SA of AMA, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid procesverbetering (77%) en verder governance (53%), KPI’s /KRI’s (41%) en (financiële) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de berekening van kapitaalbeslag aan de orde komen.

Top 3 prioriteiten van de Nederlandse ORM-manager:

1. Processen

2. Governance

3. KPI’s/KRI’s en rapportage

Het stellen van prioriteiten heeft uiteraard ook veel te maken met de ruimte die de ORM-manager wordt geboden. Wij vroegen onze respondenten op een schaal van 1-10 aan te geven, in welke risicosoorten de afgelopen periode in hun onderneming het meest is geïnvesteerd. Wanneer wij de scores van 7 t/m 10 optellen en omzetten in een percentage, levert dit een duidelijke 1e prioriteit op voor kredietrisico (59%). Ook aan marktrisico (47%) en counterparty risico (38%) werd veel besteed. Gezien tegen de achtergrond van de kredietcrisis zijn dit voor de hand liggende uitslagen. ORM staat echter met 53% op de tweede plaats qua investeringen; een bevestiging van het belang dat ORM in de laatste jaren heeft gekregen.

Ook in het komende jaar worden de hoogste investeringen verwacht in krediet-risico, hoewel met 53% die investeringen wel iets zullen afnemen. Ook in markt-risico (38%), counterparty risico (28%) en ORM (41%) verwacht men minder bestedingen. De daarmee ontstane ruimte wordt kennelijk besteed aan Enter-prise Risico Management, dat stijgt van 29% nu naar 41% in het komende jaar.

30


Figuur 15: Investeringen per risicosoort

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Kredietrisico

Marktrisico

Liquiditeitsrisico

Counterparty risico

Operationeel risico

Enterprise risico

Afgelopen periode Toekomst

5.3 Wet- en regelgevingHet Basel II akkoord was nog niet formeel ingevoerd toen medio 2007 de eerste verschijnselen optraden van de kredietcrisis, gevolgd door de heftige en wereld-omvattende crisis die op het moment van publicatie van dit rapport de financiële wereld nog steeds teistert. De gebeurtenissen in de afgelopen twee jaar in de bancaire wereld geven de toezichthouder aanleiding het net ingevoerde akkoord alweer aan te passen. Hoewel in de crisis vooral krediet-, counterparty- en marktrisico een rol spelen, is te verwachten dat ook de regelgeving voor ORM zal worden aangescherpt. De ‘commissie Maas’ gaf al enige voorzetten in haar rapport ‘Naar herstel van vertrouwen’, waarvan inmiddels de twee eerste hoofdstukken tot een Code Banken met wettelijke basis zijn verheven.

Hoewel wijzigingen in de regelgeving nog niet in detail bekend zijn, hebben wij toch gepeild hoe ‘de ORM-manager’ in het Nederlandse bankenlandschap hier tegenover staat. Wij gaven een achttal stellingen over aangescherpt beleid waarvan men kon aangeven of men ze als zinvol beoordeelt. De antwoorden geven een heldere lijn te zien: mogelijke maatregelen die betrekking hebben op strengere regelgeving, uitbreiding van rapportages, of verhoging van de frequentie daarvan, worden niet gewaardeerd. Slechts 6% zou een hogere frequentie van rapportages zinvol achten, en 14% invoering van strenge of uitgebreidere regels. 18 – 24% beoordeelt ze zelfs als ‘helemaal niet zinvol’. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), guidelines voor eenvoudiger interne modellen (62%) of eenvoudiger templates voor gegevensverzameling (50%). In dit verband werden in gesprekken met ORM-managers ook regelmatig de toegestane benaderingen voor berekening van kapitaalbeslag genoemd, waarbij enkele managers aangaven dat de toezichthouder er goed aan zou doen de zaak te vereenvoudigen door de AMA helemaal af te schaffen.

31


Aan strengere regelgeving is geen behoefte;

wel aan vereenvoudiging en meer duidelijkheid

Hoewel de mogelijkheid hiervoor wel bestond, werden geen andere suggesties aangedragen door de respondenten.

32


6 Ondersteunende systemen

6.1 De markt voor ORM-software‘ORM-software’ is een term die een breed scala aan functionaliteit en toepas-singen dekt. Net als het vakgebied zelf is ook de markt voor de ondersteunende software nog volop in ontwikkeling. Dit geldt zowel voor het aanbod van func-tionaliteit, als voor het aantal en het type partijen dat ORM-software aanbiedt.

De markt voor ORM-software is winstgevend en nog steeds groeiend. We zien dan ook dat in de afgelopen jaren veel leveranciers van oorspronkelijk niet voor ORM ontwikkelde systemen haar hebben ontdekt. Workflow management-, data management- en BI (dashboard) toepassingen, business process rule engines, Anti Money Laundering en IT-beveiligingssystemen worden aangeboden als ORM-systeem. Mede door het aanbod van leveranciers van marktrisico systemen worden ook steeds meer ORM-systemen op de markt gebracht met een meer kwantitatieve benadering, gebaseerd op modellen en berekeningen met historische gegevens, in plaats van de kwalitatieve of procesgerichte benadering.

Door dit brede aanbod in de markt wordt de ORM-manager gesteld voor een klassieke keuze bij de aanschaf van applicaties: ‘best of breed’ of een geïntegreerd systeem. In die afweging spelen enerzijds de specialisatie op een deelgebied, in het algemeen resulterend in een hoge kwaliteit van het product, tegenover de kosten en inspanningen van een ‘best of breed’ oplossing qua beheersbaarheid, vendor management en integratie van de diverse applicaties. Ook in een op enterprise-niveau gecentraliseerd ORM-software-beleid is plaats, en zal waarschijnlijk de noodzaak blijven bestaan, voor gespecialiseerde oplossingen om aan de eisen in de diverse business units te voldoen. Zolang deze applicaties passen in een op enterprise IT-strategie met een onderliggende applicatiearchitectuur kan dit goed werken.

De aanbieders van ORM-software streven er ook naar, hun productsuite zo breed mogelijk te maken door zelf te ontwikkelen of complete andere partijen over te nemen. Dit laatste laat al enige jaren een consolidatie zien in de markt, die nog niet ten einde lijkt. Tegelijkertijd blijft een relatief ‘nieuw’ vakgebied als ORM nieuwe nichespelers trekken die met hun producten de laatste ontwikkelingen volgen.

Ook voor ORM-software geldt de vuistregel dat een later door ontwikkeling of acquisitie uitgebreid product in het algemeen toch het beste voldoet op het gebied van de originele functionaliteit. De eerste producten die in de markt verschenen richtten zich op het voldoen aan de regelgeving en waren voornamelijk gebaseerd op kwalitatieve metingen door self assessments. Veel ORM-software is geëvolueerd uit procesanalyse- of

33


workflow management software. Een deel komt uit de meer kwantitatief gerichte BI-wereld en een deel wordt op de markt gebracht door producenten van markt- of kredietsoftware die hun aanbod uitbreiden met ORM. Ook zijn veel aanbieders van oorsprong niet gericht op toepassingen specifiek voor de financiële wereld. Aanbieders uit de processen/WM hoek kan het ontbreken aan de gespecialiseerde kennis die de berekening van kapitaalbeslag vereist. Ook is in het gebruik van de software het primair denken vanuit processen en niet vanuit events soms een belemmering. Andersom hebben suppliers uit de kwantitatieve (markt, krediet) risico wereld vaak weinig kennis en ervaring met het procesgericht denken. Hoewel in de ORM-software markt een groeiend aantal producten wordt aangeboden onder de verzamelnaam GRC (Governance, Risico & Compliance) software, lijkt er nog geen product voorhanden dat alle onderdelen van ORM adequaat ondersteunt.

6.2 ORM-software in de prakt i jkHet gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat ORM ondersteunende software zelfs op de laatste plaats, met slechts 18% van onze respondenten die hieraan de komende tijd een hoge prioriteit toekennen. 30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben.

Zoals uit de vorige paragraaf blijkt is ‘ORM-Software’ een term waarmee een breed scala aan functionaliteit wordt aangeduid. Om een veelheid aan inter-pretaties te voorkomen hebben wij elf belangrijke onderdelen van het Risico Control Framework als deelgebied gedefinieerd. Onze respondenten konden op elk van die deelgebieden aangeven of zij hiervoor ondersteunende soft ware gebruiken, en zo ja, of dit standaard voor ORM ontwikkelde software betreft, standaard tools als spreadsheets en Word Processors, of zelf ontwikkelde applicaties. Het resultaat wordt weergegeven in figuur 16.

Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en tracing en vastleggen van de events (loss database). Minder softwarematige ondersteuning kennen AML/fraudedetectie (68%), scenario analyse (59%), KPI’s (62%) en een Basel II event library (41%).

Niet verrassend wordt weinig software zelf ontwikkeld. Alleen voor de loss database is dit veel toegepast: bijna de helft van de partijen die hiervoor software gebruiken, heeft deze zelf ontwikkeld. Verzameling van risicogegevens, event tracing en vastlegging en berekening van kapitaalbeslag worden alle drie door ongeveer 20% van de partijen ondersteund met zelf ontwikkelde software.

34


Het aanschaffen van gespecialiseerde ORM-software is evenmin zeer populair. De meest gebruikte ORM-toepassing is overduidelijk die voor proces onder-steuning. Van de 82% die dit ondersteunt met een systeem kiest 2/3 (53% van het totaal) hiervoor een gespecialiseerd ORM-tool. 25% van de onder-vraagden legt de processen vast met behulp van een word processor. Voor de keuze voor speciale ORM-software als het om processen gaat zijn diverse verklaringen te geven. Het belang dat de ORM-manager hecht aan het registreren, optimaliseren en controleren van de processen speelt zeker mee, maar ook het ruime marktaanbod en de relatief lage kosten van de software. Tenslotte is de ‘return on investment’ van dit type ORM-software relatief hoog, aangezien met het vastleggen van processen immers meer doelstellingen dan alleen ORM worden bereikt.

35


Figuur 16: Software in gebruik

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Risico rapportage

Basel II event library

Loss database

Scenario-analyse toepassing

Berekening van kapitaalbeslag

Process mapping

Key performance indicators

Key risk indicators

Event tracing en vastlegging

Verzameling van risicogegevens

Anti money laundering / Fraudedetectie

Standaard software (spreadsheet, Word Processor)

N.V.T.

ORM-software aangeschaft

Zelf software ontwikkeld

Onze survey toont aan dat de standaard spreadsheet en word processor verreweg door de meeste partijen worden gebruikt als tool voor ORM. Zes van de elf framework onderdelen worden het meest door deze tools ondersteund: risico rapportage (65%), berekening van kapitaalbeslag (50%), scenario analyse (50%), KPI’s (44%), KRI’s (39%), en verzameling van risicogegevens (35%).

36


6.3 Waardering van de gebruikte softwareOver het algemeen is de ORM-manager uit onze survey tevreden over het gebruikte software product. Opvallend is dat het gebruik van zelf ontwikkelde software, waarvan te verwachten valt dat deze op maat gemaakt is, op slechts vier van de elf onderdelen hoger scoort dan standaard software. Speciaal voor ORM ontwikkelde software scoort in het algemeen iets hoger dan standaard spreadsheets of word processors, behalve bij de KPI’s. Toch is het verschil op alle onderdelen minder dan één punt op een schaal van 10. Het grootste verschil in waardering tussen zelf ontwikkelde software en standaard software (al dan niet voor ORM ontwikkeld) blijkt te bestaan voor proces mapping en KPI’s.

9

8

7

6

Figuur 17: Waardering gebruikte software

Standaard software Zelf software ontwikkeld

Bestaande ORM-software

Verz

amel

ing

van

risi

coge

geve

ns

Waa

rder

ing

Bere

keni

ng v

an

kap

itaal

besl

agKe

y ris

k in

dica

tors

Key

perfo

rman

ce in

dica

tors

Proc

ess

map

ping

Bere

keni

ng v

an

kap

itaal

besl

agSc

enar

io a

nalys

e to

epas

sing

Loss

dat

abas

eBa

sel I

I eve

nt li

brar

yRi

sico

rapp

orta

ge

Anti

Mon

ey la

unde

ring/

Frau

dede

tect

ie

ORM-managers kiezen voor de ondersteuning van risicorapportage massaal voor het gebruik van een standaard word processor (65%, bijna driekwart van de 91% die hiervoor een softwareproduct gebruikt). Toch voldoet dit hulpmiddel kennelijk niet heel goed, want de Word Processor voor risicorapportage scoort tegelijkertijd met een 6,3 gemiddeld de laagste waardering.

37


7 Overzicht ORM-systemen

7.1 InleidingVoor ons overzicht van ORM-systemen namen wij als uitgangspunt de ‘Magic Quadrant 2008’ van Gartner. Uit dit overzicht selecteerden wij de markt-leiders en de nichespelers en vulden deze lijst aan met systemen die door deel nemende ORM-managers werden genoemd. De initiële lijst van software leveranciers bevatte Algorithmics, BWise, Chase Cooper, CHH, FRSGlobal, List S.p.A, Mega Int., OpenPages, Optial, Oracle Financial Services, Protiviti, RimaOne en het SAS Institute.

Iets meer dan 50% van de bovengenoemde leveranciers reageerde positief op onze uitnodiging gegevens te verstrekken. Van de overige leveranciers was List niet in staat zelfstandig te reageren (het product wordt verkocht door Fermat, dat op zijn beurt is overgenomen door Moody’s), enkele partijen zijn te weinig gericht op de Nederlandse markt of zijn niet geïnteresseerd in deelname aan surveys.

In totaal geven wij hiermee een overzicht van de volgende 8 partijen en producten:• Algorithmics — Algo OpVar 6 • Avanon – Avanon Oprisk• BWise — v.3.3 • CCH — Sword v.8.0 • Mega International — Mega GRC Suite• Optial — Operational Risk Platform v.6.0 • SAS Institute — SAS ORM suite, OpRisk Global Data,

OpRisk Monitor v.3.4 and OpRisk VaR v.3.2• Protiviti — The Governance Portal

7.2 De leveranciers en de markt Alle leveranciers in ons onderzoek geven aan dat hun product van oorsprong als ORM-product is ontwikkeld, behalve Protiviti. Protiviti heeft vooral een sterke reputatie als leverancier van consulting diensten, maar heeft een groeiend marktaandeel met hun ‘Governance Portal’. Dit product werd oorspronkelijk ontwikkeld als financieel controle systeem, waaraan later audit-, compliance, ERM en ORM-functionaliteit werd toegevoegd. De ‘Governance Portal’ is dan ook meer een GRC, dan een ORM-toepassing. Avanon groeit naar een GRC suite, maar hun product Oprisk, oorspronkelijk voor ORM ontworpen, is het belangrijkste product en levert het overgrote deel van Avanon’s omzet.

Algorithmics en CHH Sword leveren naast een ORM-product ook producten voor markt- en kredietrisico, en financiële en BI software. Algorithmics, hoewel vooral bekend door de marktgerichte risicoproducten, ziet ERM-software als

38


hun primaire product. Het bedrijf richt zich als enige van de leveranciers uitsluitend op de finance markt. Het SAS institute is van oorsprong gericht op BI en data management software, maar profileert zich nu als leverancier van enterprise wide GRC software.

Verreweg het grootste marktaandeel heeft het Nederlandse BWise. Deze leverancier van GRC software ontwikkelt van oorsprong procesmanagement software en richt zich daarbij niet alleen op de financiële markt. Het product BWise heeft dan ook een sterk procesgeoriënteerde opzet en wordt bij een groot aantal banken en vermogensbeheerders in Nederland gebruikt voor diverse procesgerelateerde doeleinden.

Naast de twee Nederlandse leveranciers BWise en SAS hebben alleen Protiviti en Avanon een of meer licenties verkocht in de Nederlandse financiële markt, waarbij moet worden aangetekend dat de licenties in Nederland van Avanon alle drie ‘indirect’ zijn, dat wil zeggen verkocht aan internationale ondernemingen met een vestiging in Nederland.

Behalve BWise en SAS hebben ook Mega International en CCH Sword een vestiging in Nederland. CHH Sword komt voort uit Ci3, dat in 2008 werd overgenomen door Wolters Kluwer.

Figuur 18 geeft het overzicht van het aantal verkochte licenties per leveran-cier achtereenvolgens in het totaal, in de Nederlandse markt, in de financiële markt en in de Nederlandse financiële markt. Ter indicatie van de groei van de leverancier zijn de totaal-aantallen voor 2008 en 2009 toegevoegd. Waar streepjes staan werd het betreffende aantal door de leverancier niet opgegeven.

Figuur 18: Marktoverzicht ORM-software

Leverancier Totaal In NL In Finance In Finance in NL In 2008 In 2009

Algorithmics (1989) 40 0 40 0 1 2

Avanon AG (1999) 25 3 22 3 8 4

BWise (1994) 500 - 175 - 57 -

CCH Sword (1995) 38 0 38 0 14 -

MEGA International (1991) 70 - 30 - 17 7

Optial 7 0 6 0 - -

Protiviti (2002) 10 3 3 1 7 2

SAS Institute (1976) 60 6 60 6 10 5

39


7.3 Product en functional i teitAlle producten zijn modulair opgebouwd en parametriseerbaar. Modificaties aan de software kunnen bij Avanon, BWise, CCH Sword, Mega en SAS door de gebruiker of een derde partij voor de gebruiker worden uitgevoerd. Bij Algorithmitc, Optial en Protiviti zijn uitsluitend modificaties mogelijk als die worden uitgevoerd door de leverancier zelf. Alle producten bieden taal-keuze, waarbij Avanon, BWise en SAS standaard versies in het Nederlands aanbieden.

Risk self assessmentsAlle leveranciers bieden risk self assessments als onderdeel van de software. De functionaliteit daarvan is qua aanbod voor alle producten nagenoeg gelijk. Bij alle producten kunnen risico’s worden gewogen, gekwantificeerd, gescoord en kan een rangorde worden aangebracht. Risico’s kunnen worden geplaatst in de organisatiestructuur, in de Basel II business lines en in de pro -cessen en activiteiten in de organisatie. Wijzigingen in organisatiestructuur of in de processen zijn bij alle producten mogelijk en alle producten onder steu nen de Basel II indeling in risico type. Alle producten bieden een work flow-module en in alle producten kunnen controle metingen worden bijge houden. Alle producten bieden questionnaires met standaardvragen, met uitzondering van Algoritmics, Mega en Optial, die alleen ‘blanco’ questionnaires bieden.

Key r isk indicatorsAlle producten bevatten standaard KRI’s en bij alle producten behalve AlgoOpvar 6 kan een hiërarchie in de KRI’s worden aangebracht. Alle pro-ducten kennen minimum waarden met signalering wanneer deze wordt over-schreden. Bij alle producten kunnen gegevens uit onderliggende databases gebruikt worden om de KRI’s te updaten, waarbij de updates ook automatisch kunnen worden uitgevoerd. Loss databaseAlle producten bevatten een loss database, met classificatie van de loss data naar de acht Business Lines en zeven loss types onder Basel II. In alle pro-ducten kunnen de verliezen worden gemapped op de organisatiestructuur. Alle data bases zijn multi-user en multi-site en alle producten bieden work flow functio naliteit om acties als gevolg van een verlies te monitoren. Alle pro duc-ten onder steunen het vier-ogen principe, bieden audit trails en de mogelijkheid om ‘near misses’ te registreren. Behalve bij Algorithmics en Optial kunnen gebruikers zelf aantal en indeling van de velden in de database wijzigen.

Een external loss database wordt slechts door drie partijen aangeboden: Algorithmics, CCH Sword en SAS. Alle drie bieden ook een loss database voor alleen de financiële markt. Benchmarking, ook alleen tegen Nederlandse partijen, is mogelijk bij Algorithmics en SAS.

40


Verzameling en analyse van r is ico gegevensDe meest complete functionaliteit om risicogegevens te verzamelen en te analyseren wordt geboden door Avanon, Bwise, CCH Sword en SAS. Alle partijen bieden data analyse en diverse standaard distrubuties, waarbij allen behalve Algorithmics ook de mogelijkheid bieden eigen distributies toe te voegen. Ook data aggregatie, ‘drill down’ mogelijkheden en ‘what if’ analyses wordt door het merendeel van de leveranciers aangeboden. Events tracing, simulaties, scenario en trend analyses worden door de meeste partijen geboden, waarbij Mega het minst uitgebreide aanbod heeft. De mogelijkheid correlaties tussen risico’s te bepalen wordt geboden door Avanon, Bwise, CCH Sword, Protiviti en SAS.

Berekening van kapitaalbeslagAlle producten behalve Mega bevatten een ‘engine’ voor de berekening van kapitaalbeslag volgens de drie benaderingen onder Basel II. Het gebruik van Bayesiaanse modellen om de kapitaalbeslagberekening aan een risicoprofiel te koppelen wordt geboden door Algorithmics, Bwise, Optial en Protiviti.

RapportagesAlle leveranciers bieden standaard rapportages over alle functionaliteiten die zij bieden, met daarbij ook de mogelijkheid voor de gebruiker eigen rapportages op te zetten. Algorithmitcs, CCH Sword en Protiviti maken daarbij gebruik van een externe report generator. Bij alle producten kan een externe report generator gekoppeld worden.

Een volledig overzicht van de geboden functionaliteit per product is als bijlage I te vinden op blz. 44 van dit rapport.

7.4 Support en TechniekAlle leveranciers bieden ondersteuning via een helpdesk, maar alleen BWise en SAS hebben een helpdesk in Nederland. De meeste helpdesks zijn wel 24/7 bereikbaar. Voor alle producten bestaat een gebruikersgroep, maar ook hiervan is het merendeel internationaal; alleen BWise kent een Nederlandse gebruikersgroep. Nederlandse documentatie is ook alleen bij BWise standaard beschikbaar.

Onderstaande tabel geeft een volledig overzicht van de geboden services.

41


Figuur 19: Service en support

Service en Support Algo Avanon Bwise CCH Mega Optial Protiviti SAS rithmics AG Sword Int. InstituteMedewerkers fulltime beschikbaar voor support ? 20 15 5 70 ? 75 100Helpdesk in Nederland - - • - - - - •IT support • • • • • •IT consulting - - • - - - • •Consulting services via netwerk - • - - • • • •Consulting services • - • • • - • •Customer support • • • • • • • • Gebruikersgroep in Nederland - - • - - - - -Beschikbare documentatie: Functionele specificaties Eng Eng Eng/Nl Eng Eng Eng Eng EngGebruikershandleiding Eng Eng Eng/Nl Eng Eng Eng Eng EngBeheerderhandleiding - Eng Eng/Nl - Eng - Eng EngOntwikkelrichtlijnen - Eng Eng/Nl - Eng Eng Eng EngAantal releases per jaar >1 1 1 1 >1 1 1 >1

Alle leveranciers werken volgens marktstandaarden qua techniek. Alle pro duc-ten zijn web-based en de meeste leveranciers ondersteunen Unix, Linux en een of meerdere versies van MS Windows. Allen werken met SQL en de meeste daarnaast met Java en XML. Als database wordt door het merendeel van de leveranciers SQL aangegeven, met daarnaast veelal Oracle. Bij alle producten is het mogelijk elektronisch documenten als attachment bij te voegen. Optial is de enige leverancier die geen standaard interfaces ter beschikking heeft. Algorithmics, BWise, CCH Sword en Protiviti geven aan dat zij voor de rapportages werken met een report generator van een derde partij.

Een volledig overzicht van de technische mogelijkheden is te vinden als bijlage II op blz. 45 van dit rapport.

42


DCE Consultants

Implementing Strategy & InnovationDCE Consultants is een toonaangevend onafhankelijk management advies-bureau opgericht in 1980 in Amsterdam. DCE is sinds 1997 de management consultancy tak van Altran. Met de 18.500 Altran-professionals is de slag-kracht en expertise van DCE versterkt. Het stelt DCE in staat haar relaties in 15 Europese landen te ondersteunen.

Wij ondersteunen onze klanten internationaal met het implementeren van hun strategie, het leidinggeven aan veranderingsprocessen en het inrichten van een effectieve bedrijfsvoering. De dienstverlening strekt zich uit over vijf expertisegebieden: strategie assesment, project (portfolio) management, verandermanagement, proces management en IT management.

Door de marktgerichte organisatie heeft DCE actuele kennis over vraag-stukken in de financiële dienstverlening, publieke sector en handel & industrie. Onze adviseurs hebben visie en advieservaring met de laatste trends. Zo dragen zij bij aan de ontwikkeling in hun vakgebied en zijn zij gelijkwaardig gesprekspartner voor u.

DCE staat voor een resultaatgerichte implementatie van de gekozen veranderingen altijd in samenwerking met de klant. Om dit te bereiken zoekt DCE nauwe samenwerking met uw medewerkers en management. Daarom staat kennisoverdracht en training hoog in ons vaandel, onder meer via de DCE-Academy.

[email protected]

43


Bijlagen

44


Bij lage I : Overzicht Functional i teit Software Producten

Leverancier Algo-

rithmics

Avanon

AG

Bwise CCH

Sword

Mega

Int.

Optial Protiviti SAS

Institute

Risk Self Assessments • • • • • • • •

Standaard vragen - • • • - - • •

Key Risk Indicators • • • • • • • •

Loss Database • • • • • • • •

Aantal en indeling velden aanpasbaar - • • • • - • •

Industry loss database • - - • - - - •

Industry loss db voor de finance markt • - - • - - - •

Benchmarking • - - - - - - •

Benchmarking alleen in NL • - - - - - - •

Verzameling van risico gegevens • • • • • • • •

Events tracing - • • • • • • •

Basel II event library • • • • • • • •

Toevoegen eigen distributies - • • • • • • •

Analyse van loss data • • • • • • • •

Aggregatie van distributies • • • • • • • •

Frequentieverdeling • • • • • • • •

Simulaties • • • • • - • •

Scenario analyse • • • • • - • •

Sensitiviteitsanalyses • • • • - - - •

Trend analyses • • • • - • • •

Stress testing • • • • - - • •

Correlaties tussen risico’s bepalen - • • • - - • •

Berekening Kapitaalbeslag • • • • • - • •

Bayesiaanse modellen / risicoprofiel • - • - - • • -

Rapportages - RSA, KRI, Loss DB, Analyse verliezen • • • • • • • •

Industry loss DB • - - • - - - •

Berekening kapitaalbeslag • • • • • - • •

Externe report generator toevoegen • • • • • • • •

Exportfunctie data • • • • • • • •

Eigen rapportages maken • • • • • • • •

Data aggregatie • • • • - • • •

Drilling down • • • • • • • •

What-if analyses - • • • - - • •

Graphische analyses • • • • • • • •

45


Bij lage I I : Overzicht Techniek Software Producten

Leverancier Architectuur Platforms Talen Data base Standaard

interfaces

Techniek

interfaces

Document

attaching

Externe report

generator

Algorithmics Web based

SAAS

Unix, Linux,

Windows

2000,

Windows

Vista

Java, SQL,

XML, Tcp

Oracle ja XML, Web

services

ja BIRT

MS Windows

XP

lp

Avanon Web based Unix, Linux,

Macintosh,

Windows:

3.1 x, 95,

98, 2000,

NT, XP, Vista

Java, SQL,

XML, Odbc,

Tcp, lp

Oracle, SQL,

Sybase

ja XML, SQL,

Import /

export

ja nee

CCH Sword Web based Windows

2000, 2003,

Internet

Explorer 6

SQL, Tcp SQL ja SQL, XML ja MS Reporting

Services

Mega web based Unix,

Windows:

Vista, XP

Java, SQL,

Tcp, lp

Oracle ja XML ja

Optial Web based,

SAAS

Java, SQL,

XML

SQL nee XML, SQL,

Import /

export

ja nee

Protiviti Web based Windows:

2000, XP

SQL, XML SQL ja XML, SQL,

Odbc,

Import/export

ja BO, Crystal

SAS Web based,

Server

based, SAAS

Unix, Linux,

MS Windows

XP

Java, SQL,

XML, Ole,

Odbc, Tcp,

lp

Access,

Oracle, SQL

ja ? ja nee

46


Bij lage I I I : Overzicht Leveranciers

AlgorithmicsAdres: 185 Spadina Avenue, M5T 2C6 TorontoLand: CanadaTelefoonnummer: +44 (0)2073925820Website: www.algorithmics.com

Avanon AG Adres: Technoparkstrasse 1, 8005 ZurichLand: ZwitserlandTelefoonnummer: +41 (0)79 782 8707Website: www.avanon.com

BWise Adres: Rietbeemdenborch 14-18, RosmalenLand: NederlandTelefoonnummer: +31 (0)73 6464914Website: www.bwise.com

CCH SWord Adres: 65-66 Lower Mount Street, DublinLand: IerlandTelefoonnummer: 01306730354Website: www.cchsword.com

Mega InternationalAdres: Kingsfordweg 151, 1043 GR AmsterdamLand: NederlandTelefoonnummer: +31 (0)20 491741Website: www.mega.com

Optial Adres: The Courtyard Building, 11 Curtain Road, EC2A 3LT LondonLand: Verenigd KoninkrijkTelefoonnummer: +44 (0)20 7247 7673Website: www.optial.com

47


Protiviti Adres: SOM 1 Gebouw, Gustav Mahlerlaan 32, 1082 MC AmsterdamLand: NederlandTelefoonnummer: +31 (0)20 3460400Website: www.Protiviti.nl

SAS InstituteAdres: Flevolaan 69, 1270 EB HuizenLand: NederlandTelefoonnummer: +31 (0)35 6996833Website: www.sas.com

48


Bij lage IV: Vragenl i jst en Antwoorden Survey

1. Maakt uw bedri j f deel uit van een groter concern?• Ja. De overkoepelende organisatie is in Nederland gevestigd 48,7%• Ja. De overkoepelende organisatie is in het buitenland gevestigd 15,4%• Nee 35,9%

2. Welke act ivi teiten voert uw overkoepelende organisat ie uit? (meerdere antwoorden mogel i jk )

• Bank-verzekeraar 16,9%• Retail bank 15,6%• Investment bank 8,4%• Private bank 16,9%• Asset management 19,3%• Corporate bank 9,6%• Broker 7,2%• Anders 6%

3. Hoeveel medewerkers telt uw overkoepelende organisat ie? • < - 50 0% • 50 - 200 0% • 201 - 500 0% • 501 - 1000 4% • 1000 - 2500 4% • 2500 - > 92%

4. Bi j /voor welk organisat ieonderdeel bent u werkzaam? (meerdere antwoorden mogel i jk )

• Retail bank 13,9%• Investment bank 11,1%• Private bank 22,2%• Asset Management 25%• Corporate bank 11,1%• Broker 2,8%• Anders 13,9%

49


5. Hoeveel medewerkers telt uw bedri j fsonderdeel? ( ind ien “Ja” b i j vraag 1)

• < - 10 0%• 10 - 50 8%• 50 - 200 24%• 201 - 500 28%• 501 - 1000 12%• 1001 - 2500 12%• 2501 - > 16%

6. Welke kernactiviteiten typeren uw organisat ie? ( ind ien “Nee” b i j vraag 1, meerdere antwoorden mogel i jk )

• Bank-verzekeraar 13,6%• Retail bank 18,2%• Investment bank 9,1%• Private bank 4,5%• Asset management 22,7%• Corporate bank 13,6%• Broker 0%• Anders 18,2%

7. Hoeveel medewerkers telt uw organisat ie? ( ind ien “Nee” b i j vraag 1)

• < - 10 7%• 10 - 50 14,3% • 50 - 200 7%• 201 - 500 14,3% • 501 - 1000 21,4%• 1001 - 2500 35,7%• 2501 - > 0%

8. Heeft uw organisat ie een separate r is ico management afdel ing?• Ja, namelijk (group) operationeel risico management 87,2% • Nee, deze verantwoordelijkheid valt onder de afdeling operations 0%• Nee, deze verantwoordelijkheid valt onder de afdeling compliance 7,7%• Nee, deze verantwoordelijkheid valt onder de afdeling finance 0%• Nee, er is geen separate afdeling 5,1%• Nee, ORM is bij ons niet belegd 0%

50


9. Hoeveel medewerkers zi jn er binnen uw bedri j fsonderdeel verantwoordel i jk voor operat ioneel r is ico management?

• 1 - 5 63% • 6 - 10 21%• 10 - > 15%

10. Welk van onderstaande benamingen komt het dichtste bi j uw t i telbenaming?

• CEO / Algemeen directeur 5,1% • CFO / Financieel directeur 7,7% • CRO / Directeur risico management 10,2% • COO / Directeur operations 7,7% • Operationeel risico manager 53,8% • Operationeel risico officer 10,2% • Risico manager 5,1%

11. Waar zijn de volgende ORM activiteiten in uw organisatie belegd? (meerdere antwoorden mogel i jk )

Opera-

tio neel

risico

afdeling

Fraude

risico

afdeling

Com-

pliance

afdeling

ICT

afde ling

Anders N.V.T.

Identificeren, analyseren en vast-

leggen van operationele risico’s

87,2% 7,7% 33,3% 10,3% 25,6% 0%

Monitoren van operationele risico’s 89,7% 10,3% 23,1% 7,7% 23,1% 0%

Rapporteren van operationele risico’s 89,7% 10,3% 28,2% 5,1% 20,5% 0%

Mitigeren van operationele risico’s 74,4% 2,6% 30,8% 15,4% 48,7% 0%

Opzetten en onderhouden van

loss database

76,9% 0% 12,8% 2,6% 7,7% 5,1%

Berekenen van kapitaalbeslag 46,2% 0% 7,7% 0% 43,6% 7,7%

Anti money laundering 23,1% 10,3% 76,9% 0% 12,8% 0%

Business continuity planning 48,7% 2,6% 10,3% 30,8% 25,6% 0%

IT/systeemrisico management 46,2% 0% 12,8% 64,1% 12,8% 0%

Information security 44,7% 2,6% 18,4% 47,4% 10,5% 0%

Stress testen 63,2% 0% 5,3% 18,4% 44,7% 5,3%

Anders 50% 0% 0% 0% 0% 50%

51


12. Op welk(e) niveau(’s) , binnen uw organisat ie, is men act ief betrokken bi j operat ioneel r is ico management? (meerdere antwoorden mogel i jk )

• Leden van de directie/raad van bestuur 76,9% • CFO en corporate finance functie 48,7% • Chief risk officer en (centrale) risico management functie 64,1% • Management business unit 64,1% • Operationeel risk committee business unit 51,3% • Operationeel risico manager business unit 41,0%• Operationeel risk officers/medewerkers 61,5% • Overige medewerkers 38,5%• Interne audit functie 46,2%• Externe auditors/externe consultants 23,1%

13. In hoeverre zi jn onderstaande stel l ingen op uw organisat ie van toepassing?

Hele-

maal

niet

waar

Niet

waar

Neu-

traal

Waar Hele-

maal

waar

Het hoger management is gecommitteerd aan het

succes van de ORM functie

0% 0% 10,3% 56,4% 33,3%

Er wordt voldoende budget beschikbaar gesteld

voor ORM

0% 7,7% 25,6% 61,5% 5,1%

Aan onze business doelstellingen zijn altijd helder

gedefinieerde ORM doelstellingen verbonden

0% 20,5% 46,2% 28,2% 5,1%

In onze organisatie worden acties om risico’s te

beheersen erkend en beloond

0% 5,1% 33,3% 51,3% 10,3%

In onze organisatie worden risicovolle activiteiten

ontmoedigd en gesanctioneerd

5,1% 15,4% 35,9% 38,5% 5,1%

In het beoordelingssysteem en in het performance

managementsysteem zijn ORM – gerelateerde KPI’s

opgenomen

7,7% 30,8% 7,7% 41,0% 12,8%

OR’s worden meegenomen in het strategisch

besluitvormingsproces

0% 5,1% 30,8% 56,4% 7,7%

Als het om ORM gaat, begrijpt iedereen in onze

organisatie welke rol hij/zij speelt en in hoeverre men

verantwoordelijk is

0% 25,6% 23,1% 46,2% 5,1%

Onze organisatie laat regelmatig onafhankelijke

reviews uitvoeren op onze operationele risico

management activiteiten

10,3% 17,9% 20,5% 38,5% 12,8%

52


14. Kunt u door middel van een rapportcijfer aangeven welke waardering u geeft aan mogelijke opbrengsten van ORM?

Gemiddelde score

Hulpmiddel om onze business processen te sturen 7

Verliezen voorkomen/beperken 7,82

Winst maximalisatie 5,79

Voldoen aan de regels van de toezichthouder 7,59

Voldoen aan de interne regelgeving 7,56

Minder kapitaalbeslag 6,21

Meer efficiency in de processen 7,33

Voorkomt/beperkt fraude 7,59

Geen opbrengsten, ORM is kostenpost 4,48

15. Kunt u aangeven of de mogelijke opbrengsten in de afgelopen jaren daadwerkelijk zijn gerealiseerd?

Niet

relevant

voor ons

Niet in

staat te

meten

Mini male

opbreng-

sten

Opbreng-

sten

Aanzien-

lijke op-

brengsten

Hulpmiddel om onze business

processen te sturen

2,6% 10,5% 28,9% 52,6% 5,3%

Verliezen voorkomen/beperken 5,1% 10,3% 15,4% 66,7% 2,6%

Winst maximalisatie 17,9% 35,9% 30,8% 15,4% 0%

Voldoen aan de regels van de

toezichthouder

2,7% 7,7% 16,2% 54,1% 18,9%

Voldoen aan de interne

regelgeving

7,7% 7,7% 25,6% 48,7% 10,3%

Minder kapitaalbeslag 20,5% 7,7% 38,5% 25,6% 7,7%

Meer efficiency in de processen 2,6% 26,3% 28,9% 36,8% 5,3%

Voorkomt/beperkt fraude 5,3% 15,8% 15,8% 57,9% 5,3%

Geen opbrengsten, ORM is

kostenpost

65,7% 17,1% 11,4% 5,7% 0%

16. Zijn er key performance indicators (KPI’s) vastgesteld voor de ORM functie(s)?

• Ja 64,1%• Nee 35,9%

53


17. Welke KPI’s heeft u vastgesteld? (meerdere antwoorden mogeli jk)• Aantal verliezen/events 62,5% • Kapitaalbeslag 29,2% • Afwijkingen op complianceregels 41,7% • Audit ratings 54,2% • Efficiency in de processen 25,0% • Anders 29,2%

18. Bent u van plan in de toekomst KPI’s vast te stellen? (meerdere antwoorden mogel i jk)

• Ja 64,3% • Nee, we zijn dit niet van plan uit kosten overweging 0% • Nee, KPI’s passen niet binnen de cultuur van onze organisatie 14,3% • Nee, we zijn dit niet van plan in verband met andere prioriteiten 7,1% • Nee, we zijn er niet van overtuigd dat KPI’s voor alle risico’s

goed werken 21,4%

19. Bestaat er binnen uw organisatie voor OR een formeel vastgestelde risk appetite?

• Ja, alleen kwantitatief 18,9% • Ja, alleen kwalitatief 21,6% • Ja, beide 35,1% • Nee 24,3%

20. Maakt u gebruik van onderstaande activiteiten, middelen, methoden en tools?

Nee Ja

Formeel vastgelegde processen, procedures en werkinstructies voor de

business

2,7% 97,3%

Formeel vastgelegde processen, procedures en werkinstructies voor ORM 16,2% 83,8%

Jaarlijkse identificatie van risicosoorten en vaststelling risk universe 13,5% 86,5%

Vastgelegd en door de directie goedgekeurd risico control framework 2,7% 97,3%

Stress testing methodes worden gebruikt 59,5% 40,5%

De organisatie voert Risk selfassessments uit 13,5% 86,5%

ORM voert zelfstanding audits/risk assesments uit 21,6% 78,4%

De organisatie kent een formele procedure voor de opvolging van risico

incidenten

8,1% 91,9%

Contingency planning formeel vastgelegd 21,6% 78,4%

KRI’s worden vastgesteld en gemonitord 27,8% 72,2%

54


21. Kunt u aangeven in hoeverre onderstaande stellingen op uw organisatie van toepassing zijn?

Hele-

maal

niet

waar

Niet

waar

Neu-

traal

Waar Hele-

maal

waar

RM is actief betrokken bij verbetering van het geldend

risico control framework binnen de organisatie en het

oplossen van risico gerelateerde issues

2,7% 0% 16,2% 48,6% 32,4%

Formele methodes, technieken en modellen worden

gebruikt om risico’s te identificeren, te meten, vast

te leggen, te rapporteren en te monitoren

2,7% 0% 16,2% 51,4% 29,7%

Operationeel risico management systemen worden

gebruikt om risico’s te identificeren, te meten, vast

te leggen, te rapporteren en te monitoren

2,7% 13,5% 5,4% 45,9% 32,4%

Organisatie maakt gebruik van een corporate loss

database voor vastlegging van alle ORM incidenten

5,4% 10,8% 8,1% 32,4% 43,2%

22. Van welke van onderstaande benaderingen maakt u op dit moment gebruik voor de berekening van het r is icokapitaal?

• Basic Indicator Approach (BIA) 16,2%• Standardised Approach (SA) 48,6%• Advanced Measurement Approach (AMA) 24,3%• Wij berekenen geen risicokapitaal 10,8%

23. Van welke van onderstaande benaderingen wilt u in de toekomst gebruik maken voor de berekening van het risicokapitaal?

• Basic Indicator Approach (BIA) 10,8%• Standardised Approach (SA) 40,5%• Advanced Measurement Approach (AMA) 40,5%• Wij zijn niet van plan risicokapitaal te gaan berekenen 8,1%

24. Vindt u dat het gebruik van AMA toegevoegde waarde heeft?• Ja, reductie van kapitaalbeslag rechtvaardigt de inspanning 18,9% • Ja, het gebruik van interne modellen rechtvaardigt de inspanning 18,9% • Nee, het kost meer dan dat het oplevert 32,4% • Geen mening 29,7%

55


25. In welke mate vormen onderstaande punten een probleem voor u bi j de opzet en uitvoering van het ORM beleid?

Helemaal

niet

Niet erg Neutraal Enigszins In hoge

mate

Beschikbaarheid van gegevens 13,5% 37,8% 21,6% 18,9% 8,1%%

Kwaliteit van gegevens 10,8% 29,7% 13,5% 37,8% 8,1%

Het gebruik van een loss database 29,7% 24,3% 24,3% 16,2% 5,4%

Volwassenheid van het ORM proces 13,5% 27% 18,9% 32,4% 8,1%

Beschikbaarheid van ORM support

tools en systemen

13,5% 32,4% 24,3% 18,9% 10,8%

Beschikbaarheid van budgetten 10,8% 45,9% 24,3% 13,5% 5,4%

Cultuur en draagvlak in de organisatie 24,3% 24,3% 21,6% 21,6% 8,1%

Committent van (senior) management 29,7% 40,5% 10,8% 16,2% 2,7%

Risico framework 27% 37,8% 27% 5,4% 2,7%

Risico expertise binnen de

organisatie

13,5% 37,8% 18,9% 29,7% 0%

Interne rapportage 24,3% 43,2% 27% 0% 5,4%

Rapportage naar toezichthouder 27,8% 61,1% 11,1% 0% 0%

26. Kent uw organisatie een integrale aanpak voor risico management op corporate niveau (Enterprise Risico Management)?

• Ja 69,4% • Nee 27,8% • Onbekend 2,8%

27. Op welk niveau zijn de onderstaande functies in uw organisatie geïntegreerd?

Niet van

toepassing

Per afdeling/

business unit

Per divisie Op corporate

niveau

Operationeel risico management 2,8% 30,6% 19,4% 47,2%

Krediet risico management 2,8% 27,8% 19,4% 50,0%

Markt risico management 8,3% 22,2% 25,0% 44,4%

Liquiditeits risico management 11,1% 19,4% 22,2% 47,2%

Counterparty risico management 11,1% 13,9% 22,2% 52,8%

Audit 2,8% 11,1% 13,9% 72,2%

Compliance 2,8% 22,2% 11,1% 63,9%

Governance 17,1% 8,6% 17,1% 57,1%

56


28. Kunt u aangeven of uw organisat ie een formeel, vastgelegd ORM beleid kent?

• Het ORM beleid is op corporate niveau geheel geïntegreerd 61,1%• Het ORM beleid is op corporate niveau geïntegreerd,

maar dit is nog niet (geheel) geïmplementeerd 19,4%• Alle afdelingen hebben een ORM beleid,

per afdeling vastgelegd en doorgevoerd 8,3%• Niet alle afdelingen hebben een ORM beleid vastgelegd

en doorgevoerd 8,3%• Nee, wij hebben geen vastgelegd ORM beleid 2,8%

29. Kunt u aangeven welke situatie in uw organisatie van toepassing is? ( indien nee bi j vraag 26)

• Wij hebben plannen om ERM op korte termijn in te voeren, maar nog geen stappen ondernomen 18,2%

• Wij hebben een ERM strategie geformuleerd, maar nog niet (geheel) geïmplementeerd 9,1%

• Wij hebben geen plannen om ERM in te voeren 72,7%

30. Als het om ORM op enterprise niveau gaat, welke van onderstaande situaties zijn dan in uw organisat ie van toepassing: (meerdere antwoorden mogel i jk )

• De uitvoering van ORM is uniform in het gehele bedrijf 30,8% • Het beleid wordt op corporate niveau vastgesteld,

maar per afdeling/divisie onafhankelijk uitgevoerd 30,8% • Informatie over risico’s wordt geaggregeerd op het hoogste niveau 30,8%• Correlaties tussen risico’s in verschillende afdelingen/business

units worden bekeken en hierop wordt actie ondernomen 23,1%

31. Wat zijn volgens u de grootste uitdagingen bij het implementeren van ERM? (Er zi jn meerdere antwoorden mogel i jk , maximaal 3)

• Kwaliteit van gegevens 20,8% • Beschikbaarheid van gegevens 33,3% • Verantwoordelijkheden zijn diffuus 8,3% • Conflicterende belangen tussen verschillende units 37,5% • Integratie/vergelijking van de risico’s uit verschillende units 45,8% • Cultuur/acceptatie in organisatie 54,2% • Rapportage 12,5% • Kosten 4,2% • Anders 16,7%

57


32. Wat zijn volgens u de belangrijkste redenen om ERM in te voeren? (meerdere antwoorden mogel i jk )

• Betere balans tussen risico’s 36,0% • Betere besluitvorming mogelijk 56,0% • Ondersteunt de business planning 36,0%• Operational efficiency 44,0%• Kapitaalbeslag 12,0% • Performance management 20,0% • Vermindering van overall risico 52,0% • Anders 8,0%

33. Voor welke onderdelen gebruikt u software en is die zelf ontwikkeld of heeft u hiervoor een softwarepakket aangeschaft?

Software N.V.T. Standaard software

(spreadsheet, word

processor)

Zelf

software

ontwikkeld

software

aange-

schaft

Verzameling van risicogegevens 5,9% 35,3% 26,5% 32,4%

Event tracing en vastlegging 23,5% 23,5% 23,5% 29,4%

Key risk indicators 30,3% 39,4% 15,2% 15,2%

Key performance indicators 38,3% 44,1% 5,9% 11,8%

Process mapping 17,6% 26,5% 2,9% 52,9%

Berekening van kapitaalbeslag 23,5% 50,0% 17,6% 8,8%

Scenario analyse toepassing 41,2% 50,0% 2,9% 5,9%

Loss database 20,6 17,6% 44,1% 17,6%

Basel II event library 58,8% 20,6% 14,7% 5,9%

Risico rapportage 8,8% 64,7% 17,6% 8,8%

Anti money laundering /

Fraudedetectie

32,4% 26,5% 14,7% 26,5%

TevredenheidGemiddelde score

Verzameling van risicogegevens 6,79

Event tracing en vastlegging 6,62

Key risk indicators 6,52

Key performance indicators 6,53

Process mapping 6,81

Berekening van kapitaalbeslag 7,05

Scenario analyse toepassing 7,17

Loss database 6,81

Basel II event library 6,56

Risico rapportage 6,66

Anti money laundering /Fraudedetectie 7,30

58


34. In welke mate vormen onderstaande aspecten van uw ORM software een probleem voor u?

n.v.t. Geen

problemen

Weinig

problemen

Proble-

men

Zeer veel

problemen

Integratie van ORM software met

overige systemen

30,6% 16,7% 30,6% 13,9% 8,3%

Hoge onderhoudskosten 27,8% 25% 27,8% 16,7% 2,8%

Hoge licentiekosten 27,8% 27,8% 25% 19,4% 0%

Verouderde technologie 30,6% 25% 33,3% 8,3% 2,8%

Support van de leverancier 38,9% 22,2% 33,3% 22,2% 5,6%

Functionaliteit schiet tekort 25% 13,9% 33,3% 22,2% 5,6%

Rapportagemogelijkheden

(intern)

22,9% 11,4% 42,9% 17,1% 5,7%

Rapportagemogelijkheden

(toezichthouder)

41,7% 16,7% 33,3% 5,6% 2,8%

35. Hoe zinvol denkt u dat onderstaande maatregelen zouden zi jn als de toezichthouder ze zou invoeren?

Helemaal

niet zinvol

Niet zo

zinvol

Neutraal Zinvol Heel

zinvol

Strengere regelgeving op ORM-gebied 23,5% 41,2% 20,6% 14,7% 0%

Uitgebreidere ORM rapportages 20,6% 41,2% 23,5% 14,7% 0%

Hogere frequentie van ORM

rapportages

17,6% 52,9% 23,5% 5,9% 0%

Meer/betere adviezen van de

toezichthouder over ORM

5,9% 17,6% 11,8% 50% 14,7%

Guidelines voor eenvoudiger interne

modellen

5,9% 14,7% 17,6% 47,1% 14,7%

Eenvoudiger templates voor

gegevensverzameling

8,8% 23,5% 47,1% 8,8% 11,8%

Implementatie Europees toezichthouder 8,8% 23,5% 47,1% 8,8% 11,8%

Meer bevoegdheden tot ingrijpen van

toezichthouder/overheid

14,7% 20,6% 41,2% 20,6% 2,9%

59


36. Geef door middel van een rapportci j fer aan in welke r is icosoorten uw organisat ie de afgelopen periode het meest geïnvesteerd (antwoorden met 6 of hoger op een schaal van 10)

Krediet risico management 67,6%Markt risico management 55,9%Liquiditeits risico management 55,8%Counterparty risico management 58,8%Operationeel risico management 64,6%Enterprise risico management 44%

37. Op welk gebied verwacht u het komende jaar de grootste invester ingen? (antwoorden met 6 of hoger op een schaal van 10)

Krediet risico management 58,7%Markt risico management 50%Liquiditeits risico management 51%Counterparty risico management 47%Operationeel risico management 58,7%Enterprise risico management 55,8%

38. Waar l igt voor u de komende t i jd de grootste uitdaging?

N.V.T. Lage prioriteit Hoge prioriteit

ERM 23,5% 47,1% 29,4%

KPI’s/KRI’s 5,9% 52,9% 41,2%

Processen 3,2% 19,4% 77,4%

(Financiële) rapportage 8,8% 50,0% 41,2%

Governance 8,8% 38,2% 52,9%

ORM ondersteunende software 11,8% 70,6% 17,6%

Kapitaalberekening onder Basel II 15,6% 68,8% 15,6%

60


39. In hoeverre bent u het eens met de volgende aanbevel ingen uit het rapport van de Commissie Maas?

Hele-

maal

oneens

On eens Neu-

traal

Eens Helemaal

mee

eens

Nieuwe producten kunnen niet op de markt

worden gebracht zonder uitdrukkelijke

instem ming van de risico manage ment-

functie van de bank

0% 5,9% 2,9% 38,2% 52,9%

In aanvulling op de kapitaaleisen van Basel II

moet een algemeen maximum worden gesteld

aan de verhouding tussen balans totaal en

risicodragend vermogen (leverage ratio)

0% 11,8% 41,2% 38,2% 8,8%

Indien banken de grenzen opzoeken van

de regels van Pillar I dienen toezichthouders

hen daar door het opleggen van additionele

kapitaalseisen van te weerhouden

0% 26,5% 26,5% 29,4% 17,6%

Een European System of Financial

Supervision moet worden opgericht

8,8% 11,8% 41,2% 23,5% 14,7%

De Chief Risk Officer (CRO) dient zitting te

hebben in de Raad van Bestuur van een bank

0% 8,8% 8,8% 50% 32,4%

Risicomanagement is verantwoordelijk

voor het adequaat functioneren van het

zogeheten Product Approval Process dat

iedere bank behoort te hebben

0% 14,7% 14,7% 35,3% 35,3%

Operationeel Risico Management - Consultancy.nl Consultants - Operationeel... · Operationeel...

Documents

Transcript of Operationeel Risico Management - Consultancy.nl Consultants - Operationeel... · Operationeel...