Operationeel Risico Management - Consultancy.nl Consultants - Operationeel... · Operationeel...

of 64/64
Operationeel Risico Management Benchmark Rapport 2009 Schiphol Oost, 2009 Nederland ©2009 DCE Consultants Auteurs: Danielle Wareman Karel Janssen Merel Verschure Research: Khanh Ly Vincent de Winter Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009
  • date post

    11-Sep-2018
  • Category

    Documents

  • view

    214
  • download

    0

Embed Size (px)

Transcript of Operationeel Risico Management - Consultancy.nl Consultants - Operationeel... · Operationeel...

  • Operationeel Risico Management Benchmark Rapport 2009

    Schiphol Oost , 2009Neder land2009 DCE Consul tants

    Auteurs: Danie l le WaremanKare l Janssen Mere l Verschure

    Research:Khanh LyVincent de W inter

    Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009

  • Inhoudsopgave

    1 De survey 51.1 Aanleiding 51.2 Aard en omvang van de populatie 51.3 Kernvragen 7

    2 De posit ie van ORM in de organisat ie 82.1 Het Operationeel Risico Management Model 82.2 Kritische Succes Factoren 92.3 Het ORM-model in de praktijk 102.3.1 Waar en hoe is ORM belegd 102.3.2 Samenwerking 112.3.3 Cultuur 13

    3 Inr icht ing in de prakt i jk 163.1 Het Operationeel Risico Management Control Framework 163.2 Inrichting van het Framework 163.2.1 Methodes, technieken en modellen 163.2.2 Processen 173.2.3 Gegevens 193.2.4 Key Perfomance Indicators 203.3 Berekening kapitaalbeslag onder Basel II 213.4 Problemen bij de uitvoering van ORM 23

    4 Wat levert ORM op? 24

    5 Ontwikkel ingen 275.1 Enterprise Risico Management 275.1.1 ORM op Enterprise-niveau 275.1.2 Problemen bij de uitvoering van ERM 285.2 Investeringen en prioriteiten 295.3 Wet- en regelgeving 30

    Operat iona l R isk Management

  • 6 Ondersteunende systemen 326.1 De markt voor ORM-software 326.2 ORM-software in de praktijk 336.3 Waardering van de gebruikte software 36

    7 Overzicht ORM-systemen 377.1 Inleiding 377.2 De leveranciers en de markt 377.3 Product en functionaliteit 397.4 Support en Techniek 40

    8 Bi j lagen 43I Overzicht Functionaliteit Software Producten 44II Overzicht Techniek Software Producten 45III Overzicht Leveranciers 46IV Vragenlijst en Antwoorden Survey 48

    Benchmark Rapport 2009

    VerantwoordingDCE Consultants is niet verantwoordelijk voor de juistheid van de gegeven antwoorden. De resultaten zijn zorgvuldig verwerkt en gecontroleerd. DCE Consultants is echter niet verantwoordelijk voor eventuele fouten die bij het verwerken van de gegevens gemaakt zouden kunnen zijn. Wij hebben de antwoorden uit het onderzoek objectief weergegeven, om recht te doen aan de doelstelling: inzicht te verschaffen in de werkelijke stand van zaken.

  • Operat iona l R isk Management

  • Managementsamenvatt ing

    Operationeel Risico Management heeft zich in de afgelopen jaren in hoog tempo ontwikkeld tot het derde belangrijke risicogebied in de bancaire wereld, naast kredietrisico en marktrisico. Operationele risicos zijn zo oud als het ondernemen zelf, maar de kans op en de omvang van operationele verliezen zijn aanzienlijk gegroeid, zoals de gebeurtenissen bij o.a. Barings Bank en meer recent Socit Gnrale pijnlijk duidelijk hebben gemaakt. De enorme groei die de financile markt in de afgelopen decennia heeft gekend, de toegenomen complexiteit van producten en processen en de globalisering van de markt droegen allemaal bij aan deze ontwikkeling. Met de opname in het Basel II akkoord kreeg ORM de plaats die het verdient als misschien wel het belangrijkste risico voor een financile instelling volgens sommigen de basis en de operationalisering van alle andere bancaire risicos.

    De grote belangstelling voor ORM was voor DCE Consultants aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. 39 respondenten werkzaam bij banken en vermogensbeheerders voorzagen ons van evenveel ingevulde vragenformulieren.

    Governance en cultuur bl i jven aandacht verdienenWij mogen constateren dat het hoger management in bancair Nederland gecommitteerd is aan het succes van ORM: 90% van de respondenten geeft dit aan. Ook worden in vrijwel alle ondernemingen ORM-beleid, -bevoegdheden en -verantwoordelijkheden vastgelegd en goedgekeurd door de hoogste besturingslaag. Dit betekent uiteraard niet, dat het beleid ook in alle lagen van de onderneming probleemloos wordt uitgevoerd. In iets meer dan de helft (51%) van de ondernemingen zijn voor iedereen in de organisatie de eigen rol en verantwoordelijkheid duidelijk. Door 30% worden nog problemen ondervonden met cultuur en draagvlak in de organisatie, en niet meer dan 67% beoordeelt het beschikbare ORM-budget als voldoende. Qua investeringen stond ORM in relatie tot overige risicosoorten het afgelopen jaar echter op de tweede plaats; alleen in kredietrisico werd iets meer genvesteerd.

    Samenwerking tussen ORM en overige (business)afdelingen is een basisvoorwaarde voor een goede uitvoering van ORM en een indicator voor de acceptatie van ORM in de organisatie. Uit de survey blijkt dat van samenwerking zeker niet overal sprake is. Bij ruim de helft van de partijen worden basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risicos uitsluitend door de ORM-afdeling uitgevoerd. Bij bijna een kwart van de partijen is zelfs een gespecialiseerde activiteit als IT/systeemrisico alleen bij ORM belegd. Omgekeerd worden

    1

    Benchmark Rapport 2009

  • ook vaak activiteiten door businessafdelingen of staven uitgevoerd, geheel zonder betrokkenheid van ORM.

    In het algemeen kunnen we constateren dat het genoemde management commitment aan ORM op veel punten in de organisatie is terug te vinden in beleid en inrichting. Het risicobewustzijn en de samenwerking verdienen nog de nodige aanscherping.

    Gentegreerd Risicomanagement neemt toe De aandacht voor ORM heeft in de afgelopen jaren in hoge mate bijge dragen aan de ontwikkeling van gentegreerd risicomanagement op onder nemings-niveau (ERM). ORM is immers alleen goed en zinvol uitvoerbaar als het organisatiebreed wordt gemplementeerd. Bijna 70% van de ondervraagde ondernemingen heeft een risicobeleid op corporate niveau vastgesteld. De integratie van activiteiten in de gehele onderneming blijkt in de praktijk echter veelal beperkt tot de onderdelen audit, compliance en governance. Alle risicosoorten inclusief ORM worden bij slechts de helft van de partijen gentegreerd op ondernemingsniveau gemanaged. Belemmering bij de uitvoering van ERM zijn net als bij ORM-beschikbaarheid en kwaliteit van gegevens, maar daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risicos, en cultuur en draagvlak in de organisatie.

    Als we de investeringen in ERM bezien als indicator voor het belang dat eraan wordt gehecht, neemt dit laatste sterk toe. De investeringen in ERM stonden in het afgelopen jaar op de laatste plaats in vergelijking tot andere risicos; bij 27% van de ondernemingen werd er helemaal niet in genvesteerd. Voor het komende jaar is de verwachting dat na kredietrisico en liquiditeitsrisico het meest zal worden besteed aan ERM en ORM.

    Operationeel Risico Management groeit naar volwassenheidHoe heeft men het management van de risicos in de praktijk ingericht en zijn er al best practices te ontdekken? Nagenoeg alle partijen in ons onderzoek hebben een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. In de grote meerderheid van de gevallen bestaat dit uit Risk Self Assessments, Key Performance Indicators, Key Risk Indicators, formeel vastgelegde contingency plannen, loss databases en stresstests. Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risicos te identificeren, analyseren en vast te leggen.

    KPIs worden bij 64% van de partijen gehanteerd en eveneens 64% van de partijen die ze nu niet gebruiken, geeft aan dit in de toekomst wel te gaan doen. Het vaststellen van de KPIs wordt als lastig ervaren; de meest gebruikte zijn het aantal verliezen/events en de audit ratings.

    2

    Operat iona l R isk Management

  • Menige partij is nog zoekende naar optimale inrichting en implementatie van het Framework. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn volop in ontwikkeling en metrics moeten veelal nog worden verzameld. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces.

    Processen bl i jven de ruggengraat van ORMProcessen worden algemeen gezien als de basis voor ORM. Daarnaast is procesmanagement voor veel organisaties een belangrijk bijproduct van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij het bereiken van meer efficiency en het beter kunnen sturen van de business processen als belangrijke potentile opbrengsten zien voor ORM. In de praktijk blijkt dat meer efficiency bij 42%, en betere besturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Processen blijven voortdurend aan verandering onderhevig en hoewel in de afgelopen jaren veel tijd en energie gestoken in procesmanagement, blijft op dit punt nog veel werk liggen. Het merendeel (77%) van de ORM-managers geeft dan ook aan procesmanagement in de nabije toekomst de hoogste prioriteit.

    De Standardardised Approach als balans tussen inspanningen en resultaat

    Van alle respondenten kiest bijna een kwart (24%) de Advanced Measurement Approach (AMA) voor de berekening van het kapitaalbeslag, bijna de helft (49%) gebruikt de Standardised Approach (SA) en 16% de Basic Indicator Approach. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De AMA wordt uitsluitend gebruikt in grotere concerns, waarbij het aannemelijk is dat dit in het merendeel door de toezichthouder is verplicht. Slechts de helft van de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan.

    De Word Processor en de spreadsheet bl i jven populairHet gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat software op de n na laatste plaats. Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en event tracing en het vastleggen van de events (loss database). De markt voor ORM-software is nog steeds volop in ontwikkeling en de verkrijgbare producten

    3

    Benchmark Rapport 2009

  • zijn vaak gespecialiseerd op een beperkt onderdeel of nog niet volwassen genoeg. Wellicht is dit een van de redenen dat de standaard spreadsheet en Word Processor door verreweg de meeste partijen gebruikt worden als tool voor ORM.

    Processen, governance en rapportage kr i jgen de hoogste prior i teitOndanks de verwachte groei in investeringen voor ERM geeft bijna de helft (47%) van de ORM-managers aan dat ERM voor hen de komende periode een lage prioriteit heeft. Ook de benadering van kapitaalbeslagberekening, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid processen (77%)en verder governance (53%), KPIs /KRIs (41%) en (financile) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de benadering van kapitaalbeslagberekening aan de orde komen.

    De toezichthouder bl i j f t de belangri jkste dr iver voor ORMDat er, zeker sinds de kredietcrisis, (veel) genvesteerd wordt in ORM en overige risicosoorten is evident. Minder helder is welke opbrengsten staan tegenover die investeringen, wat voor een groot deel verklaard kan worden uit de (on)mogelijkheden om dit te meten. Het optreden van operationele risicos is per definitie lastiger te voorspellen dan bv. krediet- of marktrisicos en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Het voorkomen/beperken van verliezen en van fraude wordt door 70%, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%).

    De algemene verwachting is dat de maatregelen in het kader van toezicht in de komende jaren nog aanzienlijk zullen worden uitgebreid. Deze ontwikkeling wordt niet gewaardeerd. Slechts 14% van de ORM-managers zou invoering van strengere regelgeving of uitbreiding van rapportages zinvol achten en ruim 20% beoordeelt dit als helemaal niet zinvol. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), of door guidelines voor eenvoudiger interne modellen (62%).

    4

    Operat iona l R isk Management

  • 1 De survey

    1.1 AanleidingDe belangstelling voor ORM als geformaliseerd vakgebied en de ontwikkelingen die hierin de laatste jaren te zien zijn, waren voor ons aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. Welk belang wordt aan ORM toegekend, welke resultaten levert het op, welke ontwikkelingen ziet de Nederlandse bancaire ORM-manager op het vakgebied? Hoe heeft men het management van de risicos in de praktijk ingericht en zijn er al best practices te ontdekken? Ons onderzoek richt zich erop antwoorden te geven op deze vragen.

    1.2 Aard en omvang van de populat ieDe survey werd ingevuld en geretourneerd door 39 personen werkzaam bij Nederlandse banken en vermogensbeheerders. 80% van de respondenten is werkzaam in Operationeel Risico Management, als CRO/directeur Risico-management, Risico Manager, Operationeel Risico Officer of als Operationeel Risico Manager. Die laatste functie is met ruim de helft (54%) van de respon-denten het meest vertegenwoordigd. De overige 20% van de respondenten is algemeen, operationeel of financieel directeur.

    Zoals hierboven vermeld werd de survey gehouden onder banken en ver-mogens beheerders in Nederland. Wij hebben deze populatie onderverdeeld naar een drietal invalshoeken: Type bedrijf Zelfstandige onderneming / onderdeel van een groter concern Grootte van de onderneming.

    Type bedri j fDe onderverdeling naar type bedrijf geeft een breed beeld van de bancaire sector te zien. Respondenten zijn werkzaam in de retail-, investment-, private- en corporate banking sector, bij brokers en bij vermogensbeheerders. Wanneer wij de ondernemingen verdelen in bancaire instellingen en ver-mogensbeheerders zien we 10 vermogensbeheerders en 29 banken.

    Zelfstandig/onderdeel van een concern36% van de ondernemingen is zelfstandig en 64% heeft een moederbedrijf, waarvan 16% in het buitenland. De moederbedrijven zijn in iets meer dan de helft van de gevallen bankverzekeraar.

    5

    Benchmark Rapport 2009

  • Omvang De grootte van de ondernemingen gemeten naar aantallen werknemers varieert van enkele tot duizenden medewerkers. Om een vergelijking naar omvang van bedrijf mogelijk te maken, hebben wij de omvang van het totale bedrijf van de zelfstandige bedrijven vergeleken met de omvang van de bedrijfsonderdelen in het geval een moederbedrijf aanwezig is (bv. zelfstandige private bank met het private bankbedrijf van een bankverzekeraar). De zo verkregen bedrijfsomvang is ingedeeld in drie groepen: kleine banken/asset managers (1-50 medewerkers), middelgrote (51-500 medewerkers) en grote (>500 medewerkers).

    Moederbedrijf

    Zelfstandig

    Bank

    Asset Manager

    Kleine organisatie

    Middelgrote organisatie

    Grote organisatie

    Figuur 1: Indeling van de populatie

    64%

    36%

    74%

    26%

    46%

    41% 13%

    In de volgende hoofdstukken zullen wij vergelijkingen tonen vanuit drie invalshoeken: Tussen zelfstandige bedrijven en bedrijfsonderdelen van grotere concerns,

    waarbij geen onderscheid wordt gemaakt in Nederlandse en buitenlandse moederbedrijven;

    Tussen banken en asset managers, waarbij de categorie asset managers is gedefinieerd als bedrijven die zich uitsluitend met vermogensbeheer bezig houden;

    Tussen kleine, middelgrote en grote bedrijven.

    6

    Operat iona l R isk Management

  • 1.3 KernvragenOm een goed beeld te krijgen bij de status van ORM bij Nederlandse banken vermogensbeheerders in 2009, stellen wij de volgende kernvragen:

    Welke plaats heeft ORM in het bedrijf en in de bedrijfscultuur

    Hoe heeft men de formele inrichting van ORM ter hand genomen

    Hoe wordt de uitvoering ervan in de praktijk ervaren

    In hoeverre maakt men gebruik van automatiseringssystemen voor ORM

    Welke ontwikkelingen zien onze respondenten in ORM

    De volledige vragenlijst met de gegeven antwoorden is als bijlage IV te vinden op blz. 48 van dit rapport.

    7

    Benchmark Rapport 2009

  • 2 De posit ie van ORM in de organisat ie

    Operationeel risico is door haar omvang en haar vele verschijningsvormen het moeilijkst te kwalificeren en te managen risico voor een bank. Met de opname van ORM in het Basel II akkoord is in ieder geval een in de financile wereld algemeen geaccepteerde definitie ontstaan van de risicos die onder ORM gemanaged dienen te worden. Het akkoord laat echter een grote mate van vrijheid in de uitvoering: door wie, op welke wijze en in welke mate van detail de risicos gedentificeerd, gerapporteerd en behandeld moeten worden is aan elke instelling zelf om te bepalen. Het verdient in ieder geval aanbeveling om beleid en inrichting van ORM vast te leggen in een Operationeel Risico Management Model.

    2.1 Het Operat ioneel Risico Management ModelEen ORM-model beschrijft de inrichting van ORM en legt o.a. de verant woor-delijkheden en bevoegdheden vast van alle betrokkenen in de organisatie. Betrokkenen zijn uiteraard de personen in de ORM-functie zelf, die bij voorkeur in een separate afdeling is geplaatst, maar ook hun counterparts in de business lines en overige ondersteunende afdelingen. Verantwoordelijkheden en bevoegdheden kunnen gestructureerd worden door de klassieke indeling in strategisch, tactisch en operationeel niveau te hanteren.

    Op het strategisch niveau zien we aan de risicokant de CRO en/of het Risk Committee, met als voornaamste verantwoordelijkheden: Vaststellen van het beleid; Vaststellen van de ORM risk-appetite; Opzetten van het ORM-model en de Operationele Risico Governance

    structuur.

    Risicodoelstellingen moeten bij voorkeur worden gedefinieerd tegelijkertijd met het vaststellen of aanpassen van de business doelstellingen. Aan de businesskant zijn CEO/RvB/directie verantwoordelijk voor het goed-keuren van het beleid inclusief risk-appetite, het ORM-model en de governance structuur en voor de implementatie ervan in de organisatie.

    Het tactisch niveau (Operationeel Risico Manager) zorgt voor de inrichting van het Operationele Risico Control Framework, inclusief identificatie van risicos, KPIs, KRIs, procedures, standaarden en mitigatiemaatregelen. Uiteraard ligt de verantwoordelijkheid voor de risicos bij de managers van de business afdelingen. De ORM-functie adviseert, ondersteunt bij de uitvoering en is verantwoordelijk voor de goede werking van het ORM Control Framework. Het controleren of dit framework ook wordt toegepast is een taak van de audit functie.

    8

    Operat iona l R isk Management

  • Op het operationeel niveau vindt het daadwerkelijke vastleggen en meten van de risicos en de events plaats, evenals het uitvoeren van mitigerende maatregelen. Deze activiteiten worden uitgevoerd door de medewerkers in de diverse business lines, met ondersteuning van medewerkers uit support-afdelingen (IT, Finance, etc.) en van de ORM-medewerkers.

    Figuur 2: Inrichting ORM in de organisatie

    Strategisch niveau

    Inrichting & Governance

    Identificatie, Assessment, Mitigatie

    Monitoring & Meting

    BeleidInrichtingMiddelenVoorbeeldgedrag

    Risk Control Framework

    Tactisch niveau

    Operationeel niveau

    2.2 Krit ische Succes FactorenORM onderscheidt zich op diverse punten van overige risicosoorten. Ten eerste is ORM verweven met alle bedrijfsprocessen, van hoog tot laag in de organisatie en van front- tot back-office. Daarnaast kenmerken operationele risicos zich door een grote verscheidenheid in hun eigen verschijningsvorm, maar ook in die van hun mogelijke oorzaken en consequenties. Het opzetten van een formeel ORM-model is daardoor op zichzelf al geen sinecure; daarbij komt nog de implementatie ervan, in de breedte en de diepte van de gehele organisatie.

    Omdat operationele risicos niet beperkt blijven tot n vakgebied, is samen-werking vereist tussen ORM- en businessafdelingen, AO-, fraude-, proces- en IT-specialisten en natuurlijk audit- en compliancemedewerkers. Kortom, voor een goede uitvoering van ORM zijn een actieve betrokkenheid en de bereidheid informatie uit te wisselen vereist van praktisch alle bedrijfsonderdelen.

    9

    Benchmark Rapport 2009

  • 10

    Operat iona l R isk Management

    Een tweede belangrijke voorwaarde voor een goede werking van ORM is dat iedereen, van hoog tot laag in de organisatie, een risicoalerte werkwijze tussen de oren heeft. Een dergelijke attitude kan alleen bestaan in een organisatiecultuur die hiervoor de ruimte biedt. Het aspect cultuur, in hoge mate benvloedbaar door het senior management, is dan ook van wezenlijk belang voor het slagen van ORM in de organisatie.

    Uit het bovenstaande zijn de volgende kritische succesfactoren voor ORM te definiren: Een goed begrip van ORM-taken en -verantwoordelijkheden door de hele

    organisatie heen; Bereidheid tot samenwerking en uitwisseling van informatie; Een risicobewuste organisatiecultuur, waarin beloning en sanctionering

    van risicogerelateerd handelen als normaal en positief worden ervaren.

    2.3 Het ORM-model in de prakt i jk

    2.3.1 Waar en hoe is ORM belegd Bij 87% van de onderzochte ondernemingen is ORM belegd in een separate operationele risico management unit. Ook in de kleinere ondernemingen, waar te verwachten is dat de bedrijfsomvang een separate afdeling niet altijd toelaat, bestaat bij 60% een separate ORM-afdeling. Ondernemingen die deel uitmaken van een groter concern, hebben in 100% van de gevallen een separate ORM-afdeling. Bij zelfstandige bedrijven is dit 64%.

    Het aantal ORM-medewerkers in de onderzochte organisaties varieert van 1 tot honderden medewerkers. Bij verreweg de meeste bedrijven wordt de ORM-functie ingevuld door een afdeling van maximaal 5 personen. Alleen bedrijven met een moederconcern kennen afdelingen van 10 of meer mede-werkers, terwijl bij zelfstandige bedrijven bijna alle ondernemingen, ongeacht de omvang, werken met 1-5 ORM-medewerkers (38% van de grote zelf standige ondernemingen heeft 6-10 ORM-medewerkers). Bedrijven die tot een groter concern behoren hebben dus grotere ORM-afdelingen dan zelfstandige bedrijven, ongeacht de bedrijfsomvang.

  • 11

    Benchmark Rapport 2009

    Figuur 3: Omvang ORM-afdeling

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    10 > ORM-medewerkers

    6 - 10 ORM-medewerkers

    1 - 5 ORM-medewerkers

    Grote organisatie met moeder

    Grote organisatie zelfstandig

    Middelgrote organisatie met moeder

    Middelgrote organisatie zelfstandig

    Alle kleine organisaties

    2.3.2 SamenwerkingWij vroegen onze respondenten waar de voornaamste ORM-activiteiten in hun organisatie zijn belegd. Daarbij kon men aangeven of uitsluitend de ORM-afdeling een activiteit uitvoert, dan wel uitsluitend een andere afdeling (compliance, IT, business afdelingen) of dat meerdere afdelingen hierin samenwerken.

    Enkele partijen gaven hierbij expliciet aan, dat de primaire verantwoordelijkheid voor het risicomanagement is belegd in de lijn. Operationeel Risico Management stelt dan risico control kaders, ziet toe op naleving en rapporteert aan de directie. Ook werd gemeld dat activiteiten als identificeren en monitoren mede door de lijnorganisatie worden uitgevoerd, of dat alle business units actief betrokken zijn bij de ORM-activiteiten.

    Toch geldt dit zeker niet als algemeen gebruikelijk. De basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risicos worden bij ruim de helft van de partijen uitsluitend door de ORM-afdeling uitgevoerd. Ook het mitigeren van risicos, primair een activiteit voor de lijnorganisatie, wordt in 41% van de ondernemingen alleen door ORM uitgevoerd.

  • 12

    Operat iona l R isk Management

    Bij ongeveer 30% van de bedrijven is voor de basisactiviteiten sprake van samenwerking tussen ORM- en businessafdelingen.

    Er is ruimte voor meer samenwerking tussen ORM en business

    bij een groot deel van de Nederlandse banken en vermogensbeheerders

    Opvallend zijn de ondernemingen waarbij alleen ORM is betrokken bij gespecialiseerde zaken als IT/systeemrisico (23%), information security (28%)en het berekenen van kapitaalbeslag (41%). Juist bij deze specialistische activiteiten dienen de daarin gespecialiseerde afdelingen als IT en Finance betrokken te worden. Omgekeerd mag het ook niet zo zijn, dat deze afdelingen de risico activiteiten geheel zonder betrokkenheid van ORM uitvoeren. Toch komt dit uit de survey wel naar voren, bijvoorbeeld bij anti money laundering (77%), information security (56%) of business continuity planning (51%).

    De conclusie lijkt gerechtvaardigd dat bij een groot deel van de Nederlandse banken en vermogensbeheerders ruimte is voor meer samenwerking tussen ORM en de diverse andere bedrijfsonderdelen.

  • 13

    Benchmark Rapport 2009

    Figuur 4: Samenwerking tussen ORM en andere afdelingen*

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    I/A/V*

    Monitoren

    Rapporteren

    Mitigeren

    Loss database

    Bereken kapitaalbeslag

    Anti money laundering

    Business continuity planning

    IT/ systeemrisico

    Information security

    Stress testen

    Alleen bij ORM belegdNiet bij ORM belegd Samenwerking ORM en andere afdeling(en)

    * I/A/V: Identificeren, analyseren, vastleggen van risicos

    2.3.3 Cultuur Het businessmanagement op het hoogste niveau is verantwoordelijk voor het door de CRO of Risk Committee geformuleerde beleid, de Operationele Risk appetite en het Operationeel Risico Management Model. In vrijwel alle ondernemingen in onze survey zien we dit terug: het Operationele Risico Management Model wordt in 97% van de gevallen door de hoogste besturingslaag goedgekeurd. Het vaststellen van de Operationele Risk Appetite door de directie gebeurt bij 76% van de directies.

    Minder goed gaat het met het verbinden van ORM-doelstellingen aan de business doelstellingen: slechts 33% geeft aan, dat dit gebeurt. Wel worden bij 64% van de partijen Operationele Risicos meegenomen in het strategisch besluitvormingsproces.

  • 14

    Operat iona l R isk Management

    De verantwoordelijkheid van directie of RvB houdt niet op bij deze formele taken. Het hoogste besturingsniveau heeft een belangrijke inbreng in de inbedding van ORM in de organisatie. Dit kan zij doen door: Communicatie: het beleid en de procedures moeten voortdurend op

    heldere en eenduidige wijze worden gecommuniceerd, wil iedereen zijn/haar rol en verantwoordelijkheid begrijpen;

    Middelen: uiteraard moeten voldoende middelen worden toegewezen om het beleid te kunnen uitvoeren;

    Cultuur: het hoger management moet bevorderen dat een cultuur bestaat, waarin ORM echt is opgenomen in de dagelijkse praktijk. Dit vereist voorbeeldgedrag van het management zelf, beloning van goed gedrag en sanctionering van fout gedrag.

    Alle inspanningen om ORM in de organisatie op te zetten zullen aan resultaat inboeten als aan deze voorwaarden niet wordt voldaan.

    De cultuur van de onderneming bepaalt

    welk gedrag wordt geaccepteerd en welk gedrag niet

    De hoogste besturingslaag van onze respondenten hecht zeker aan het slagen van ORM: 77% van onze respondenten geeft aan dat de leden van de directie/RvB actief betrokken zijn bij ORM en 90% bevestigt dat het hoger management is gecommitteerd aan het succes van de ORM-functie.

    Toch vindt niet meer dan 67% van de ondervraagden dat voldoende budget beschikbaar is voor ORM. Bij 54% ontbreken in het beoordelingssysteem en het performance management systeem ORM-gerelateerde KPIs. Iets beter is het gesteld met het erkennen en belonen van acties om risicos te beheersen (62% ), maar het sanctioneren van risicovolle activiteiten scoort slechts 44%.

    Ook het tussen de oren krijgen van ORM is voor verbetering vatbaar. Op de vraag of iedereen in de organisatie begrijpt welke rol hij/zij speelt en in hoeverre men verantwoordelijk is, antwoordt iets meer dan de helft (51%) positief. 30% van onze respondenten geeft aan problemen te ondervinden met cultuur en draagvlak in de organisatie. Tenslotte is, na het constateren van commitment van het hoger management bij 90% van de partijen, de volgende bevinding verrassend: een kleine 20% van onze respondenten geeft aan, dat het commitment van hoger management enigszins tot in grote mate een probleem vormt bij de opzet en uitvoering van ORM.

  • 15

    Benchmark Rapport 2009

    Figuur 5: ORM en Cultuur

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Commitment hoger management

    Voldoende budget voor ORM

    Business doelstellingen verbonden aan ORM-doelstellingen

    Beloning risicobeheersend gedrag

    Sanctionering risicovol gedrag

    ORM - KPIs in beloningssysteem

    Operationele Risicos in strategisch besluitvormingsproces

    Iedereen kent eigen rolen verantwoordelijkheid

  • 16

    Operat iona l R isk Management

    3 Inr icht ing in de prakt i jk

    3.1 Het Operat ioneel Risico Management Control FrameworkDe uitwerking van het ORM-model ligt vast in het Operational Risk Management Control Framework: het geheel van methoden, technieken en ondersteunende middelen waarmee het ORM-beleid wordt uitgevoerd.

    Van het ORM Control Framework bestaat geen standaard uitvoering. Het concept van identificeren, meten, monitoren en managen van Operationele Risicos is uiteraard in ieder Framework terug te vinden, maar de uitvoering varieert per organisatie. Veelal begint het uitvoeren van het Framework met Risk Self Assessments, in welke vorm dan ook. Verder kunnen KRIs, KPIs, modelleringtechnieken, score cards, processimulaties, loss databases, en stress tests tot het Framework behoren. Al deze hulpmiddelen kunnen uitstekend werken, mits ze goed zijn afgestemd op het gebruik. Bedrijfsomvang en -activiteiten, beschikbare data en expertise, de volwassenheid van de risico-organisatie, maar ook de organisatiecultuur dienen bij de keuze te worden meegenomen.

    3.2 Inr icht ing van het Framework 97% van de partijen in ons onderzoek heeft een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. 87% identificeert jaarlijks de risicosoorten en stelt een risk universe vast.

    Figuur 6: Veel gebruikte hulpmiddelen bij Nederlandse banken en vermogensbeheerders

    Gebruikte hulpmiddelen

    RSAs 87%

    KRIs 72%

    Formeel vastgestelde contigency plannen 78%

    Loss database 95%

    Stress testen 95%

    3.2.1 Methodes, technieken en model len81% van onze respondenten gebruikt voor de basis (het identificeren, analy-seren en vastleggen van risicos) formele methodes, technieken en modellen. Bij 78% worden deze activiteiten daarnaast ondersteund door ORM-systemen. De conclusie mag dus worden getrokken dat ongeveer 80% van de partijen de basisprocessen van ORM uitvoert op geformaliseerde, gestructureerde en door systemen ondersteunde wijze.

  • 17

    Benchmark Rapport 2009

    Een kleine 20% van de partijen kent geen geformaliseerde en

    gestructureerde wijze om risicos te identificeren, analyseren en vast te leggen.

    Daarbij maakt de bedrijfsomvang geen groot verschil; wel opvallend is dat het gebruik van formele methodes, technieken en modellen bij Asset Managers hoog is (90%) ten opzichte van banken (78%).

    Figuur 7: Gebruik formele methodes en technieken

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Totale populatie

    Totaal banken

    Totaal asset managers

    Kleine banken/asset managers

    Grote banken/asset managers

    Middelgrote banken/asset managers

    Bij 81% is RM actief betrokken bij verbetering van het geldende risico control framework en het oplossen van risico gerelateerde issues. 51% laat regelmatig onafhankelijke reviews uitvoeren op operationele risico management activiteiten.

    3.2.2 ProcessenProcessen en ORM zijn onlosmakelijk met elkaar verbonden. Of zoals n van de deelnemers aan onze survey het stelt: processen zijn de ruggen graat van ORM. De procesbeschrijvingen van een organisatie zijn het uitgangspunt bij de identificatie en het monitoren van risicos en het vaststellen van KRIs. Processimulatie is hierbij een belangrijk hulpmiddel. Geautomatiseerde simulatieprogrammas, eventueel met een database waarin risico events zijn opgenomen, kunnen hiervoor goed worden gebruikt. Een simulatie kan echter ook worden uitgevoerd op papier, in een discussie of in een workshop. Het belangrijkste is dat de bestaande procesbeschrijvingen en de in de business gehanteerde KPIs in hoge mate structuur kunnen geven aan het vaststellen van operationele risicos, wat als lastig en omvangrijk werk wordt ervaren.

    Naast het vastleggen en monitoren van de primaire en ondersteunende businessprocessen dient ook het Operationeel Risico zelf als proces te worden vastgelegd en gemonitored. Van onze respondenten geven

  • 18

    Operat iona l R isk Management

    nagenoeg alle partijen (97%) aan, dat processen, procedures en werk-instructies voor de business formeel zijn vastgelegd. Als het om de ORM-functie zelf gaat, is dit in 84% van de gevallen zo.

    Processen zijn de ruggengraat van ORM

    Hoewel alle partijen in de afgelopen jaren veel aandacht hebben besteed aan het vastleggen en optimaliseren van de processen, loopt in de praktijk menig ORM-manager hier tegen problemen aan.

    Veelal zijn de processen onderzocht met als doelstelling efficiencyverbetering en niet met de doelstelling controls erin op te nemen of risicos te identificeren. Ook heeft gebrek aan resources in veel organisaties geleid tot het stellen van prioriteiten bij het in kaart brengen van de processen. De primaire en vooral klantgerichte processen zijn dan, vanuit een BPM-model, vaak goed vastgelegd, maar de ondersteunende processen hebben minder aandacht gekregen. Tenslotte zijn processen uiteraard dynamisch van aard; de beschrijving ervan moet voortdurend worden aangepast aan de veranderende werkelijkheid. Lang niet altijd lukt het organisaties bij ingrijpende veranderingen als overnames, fusies, of het adopteren van nieuwe businessmodellen de processen tijdig aan te passen.

    Naast het belang van processen als basis voor ORM, vormen efficiencyverhoging en een betere controle op de processen voor veel organisaties belangrijke bijproducten van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij als belangrijke opbrengsten van ORM zien: Het bereiken van meer efficiency in de processen; Het beter kunnen sturen van de business processen.

    In de praktijk blijkt dat meer efficiency bij 42%, en betere sturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Het is dan ook zeer begrijpelijk dat een groot aantal (77%) van de ORM-managers aangeeft processen in de nabije toekomst de hoogste prioriteit te geven.

  • 19

    Benchmark Rapport 2009

    Figuur 8: Processen als opbrengst van ORM

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Meer efficiency in de processen

    Hulpmiddel om onze business processen te sturen

    Gerealiseerde opbrengst

    Potentile opbrengst

    3.2.3 GegevensGegevens zijn een belangrijke factor bij het opzetten van het Risico Control Framework. Risk Self Assessments (RSAs), KRIs, KPIs en loss databases kunnen niet worden gecreerd zonder betrouwbare en liefst historische gegevens. Beschikbaarheid en kwaliteit van gegevens worden in de praktijk beperkt door historisch ontstane situaties. Fusies en overnames die voor ontbrekende of inconsistente bestanden zorgen, versnipperde risicofunctionaliteit waardoor geen uniforme standaarden beschikbaar zijn, of gegevensopslag vanuit een beperkte functionaliteit zijn veel voorkomende situaties.

    De beschikbaarheid van gegevens lijkt voor de onderzochte partijen niet een heel groot obstakel te vormen; 27% geeft aan hiervan problemen te ondervinden. De kwaliteit van de gegevens wordt door 46% als problematisch ervaren.

    Bij RSAs ligt het probleem veelal in het kwantificeren van de gegevens. Bij gebrek aan historische gegevens worden schattingen in plaats van betrouwbare, gekwantificeerde gegevens gebruikt, bijvoorbeeld voor de verwachte impact of frequentie van een event. Het opbouwen van metrics door het consequent rapporteren en vastleggen van gegevens is een remedie, zij het een die niet op de korte termijn werkt. Ook modelleren en het uitvoeren van what if scenarios kunnen ondersteuning bieden. In de ontwikkeling van het vakgebied zien we een toename van meer kwantitatieve benaderingen van ORM in KPIs, KRIs, events en modellen. In de praktijk zien we dat financile instellingen niet uitsluitend kiezen voor de ene of de andere benadering.

    Zoals ook door diverse ORM-managers in gevoerde gesprekken werd aangegeven, blijft de menselijke factor een belangrijke rol spelen. Paradoxaal genoeg geldt dit zowel in positieve als in negatieve zin. Er zijn industrien waar de ontwikkeling van ORM verder is doorgevoerd en ORM meer kwantitatief wordt benaderd dan in de financile wereld, zoals de luchtvaartindustrie of de medische wereld. In deze omgevingen wordt ervaren, dat juist bij ORM, met de diversiteit in het karakter van de risicos en de omstandigheden, het menselijk

  • 20

    Operat iona l R isk Management

    vermogen tot inschatten onmisbaar is. Operationeel Risico Management moet niet worden verward met Operationeel Risico Measurement; of, zoals een van de deelnemers opmerkte: Meten is weten, maar goed risicomanagement kijkt verder dan modellen en statistieken. Het blind varen op de Value at Risk door vele financile ondernemingen in de kredietcrisis lijkt deze stelling overigens te ondersteunen.

    Tegelijkertijd wijzen onderzoeken aan, dat juist in bovengenoemde industrien als luchtvaart en medische wereld 80% van de optredende Operationele Risicos wordt veroorzaakt door menselijk falen.

    Goed risicomanagement kijkt verder dan modellen en statistieken

    3.2.4 Key Perfomance Indicators64% van de partijen in ons onderzoek kent KPIs als onderdeel van het ORM Risico Control Framework. Een aantal partijen geeft aan dat de vaststelling van KPIs en KRIs momenteel onderhanden is. Over de effectiviteit van KPIs in Operationeel Risico Management zijn de meningen verdeeld. De partijen die geen KPIs vaststellen, geven aan dat men niet overtuigd is dat KPIs voor alle risicos goed werken (21%), of menen dat KPIs niet passen in de cultuur van de organisatie (14%). Een veel gebruikte KPI is het aantal verliezen/events. Een aantal ORM-managers tekent hierbij aan, dat men met deze KPI riskeert zijn doel voorbij te schieten door het negatieve karakter ervan.

    Een tweede veel gebruikte KPI is een verbetering in de audit ratings. Ook het aantal claims wordt genoemd als KPI, evenals het oplossen van de AO-knelpunten binnen een afgesproken due date (overall gemeten in een percentage overdue items). Bij enkele partijen geldt het ORM-proces zelf als KPI: het behouden van de methodiek als leidende KPI (het uitvoeren van een aantal risk assessments) of het ontwikkelen en onderhouden van alle ORM-tools, die vereist zijn voor de gekozen approach onder Basel II. Het verminderen van kapitaalbeslag als KPI wordt door 30% van de respon-denten genoemd.

  • 21

    Benchmark Rapport 2009

    Figuur 9: Gebruikte KPIs

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Aantal verliezen

    Kapitaalbeslag

    Compliance

    Audit ratings

    Processen

    Anders

    Een groot deel (64%) van de partijen die nu geen KPIs hebben vastgesteld, geeft aan dit in de toekomst wel van plan te zijn. Slechts 13% van de totale populatie heeft geen KPIs en ook geen plannen deze te gaan definiren. Het lijkt erop dat men het nut van KPIs wel inziet, maar nog worstelt met de uitvoering ervan in de praktijk.

    3.3 Berekening kapitaalbeslag onder Basel I IZoals bekend kunnen banken en vermogensbeheerders voor de berekening van het kapitaalbeslag voor ORM kiezen uit de drie toegestane benaderingen Basic Indicator Approach (BIA), Standardised Approach (SA) en Advanced Measurement Approach (AMA). De intentie van de toezichthouder is daarbij, dat degenen die de AMA gebruiken, voor deze inspanningen worden beloond met een lager kapitaalbeslag. De ORM-managers in ons onderzoek zijn er lang niet allemaal van overtuigd dat dit in de praktijk ook zo werkt.

    Van alle respondenten hanteert bijna een kwart (24%) de AMA, bijna de helft (49%) gebruikt de Standardised Approach en 16% de BIA. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA.

    De algemene uiting is: hoe groter de bedrijfsomvang, hoe zinvoller het gebruik van de AMA. Ons onderzoek wijst echter uit, dat geen enkele van de zelfstandige bedrijven kiest voor de AMA, ook niet wanneer hun bedrijfsgrootte daartoe aanleiding zou geven. Van de ondernemingen met een moederbedrijf kiest 38% voor AMA. Bijna de helft (46%) gebruikt de SA, en slechts 8% gebruikt de BIA. Hoewel wij dit niet nader hebben onderzocht, lijkt het aannemelijk dat alleen die partijen kiezen voor de AMA, die hiertoe vanwege hun internationale activiteiten door de toezichthouder worden verplicht.

  • 22

    Operat iona l R isk Management

    Figuur 10: Keuze BIA/SA/AMA

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    BIA

    SA

    AMA

    N.v.t.

    Huidig Toekomst

    Banken en vermogensbeheerders hebben minimaal ruim anderhalf jaar in de praktijk kunnen toetsen of hun keuze voor een benadering de juiste is. De toezichthouder laat de mogelijkheid open van methode te veranderen, zij het alleen van BIA naar SA naar AMA. Wij vroegen onze respondenten dan ook, of zij van plan zijn in de toekomst tot een andere benadering over te gaan. Ongeveer 30% van de partijen, die nu de BIA gebruiken en 16% van de partijen die nu de SA gebruiken, geven aan in de toekomst te willen overgaan naar een andere benadering. Het gebruik van de AMA zou toenemen van 24% nu, tot 41% in de toekomst. Ook hier zien we weer een belangrijk verschil tussen zelfstandige bedrijven en bedrijven met een moederbedrijf. Van de laatste groep blijft 29% de SA gebruiken en 58% geeft aan over te stappen op de AMA. Zelfstandige bedrijven blijven ook in de toekomst voor 62% kiezen voor SA en slechts 8% voor de AMA.

    Als voordeel van de AMA wordt veelal, naast de beoogde reductie van kapitaalbeslag, het toegestane gebruik van eigen modellen genoemd. 38% van onze respondenten is van mening dat het gebruik van AMA toegevoegde waarde heeft, waarbij allebei de bovengenoemde voordelen even vaak worden genoemd (door 19%). 32% is van mening dat AMA meer kost, dan dat het oplevert.

    De AMA wordt uitsluitend gebruikt in grotere concerns, maar slechts de helft van

    de ORM-managers die de benadering gebruiken is overtuigd van het nut ervan.

    De helft van de bedrijven die onderdeel uitmaken van een groot concern zijn overtuigd van het nut van de AMA; 25% noemt dan weer het gebruik van interne modellen als reden, en 25% de reductie van kapitaalbeslag. De andere helft van deze bedrijven heeft geen mening of ziet geen rechtvaardiging voor de kosten van het gebruik van de AMA.

  • 23

    Benchmark Rapport 2009

    Van de zelfstandige bedrijven ziet slechts 15% voordeel, ook weer gelijkelijk verdeeld over beide bovengenoemde redenen. Bijna 50% is ervan overtuigd dat AMA meer kost dan het oplevert.

    3.4 Problemen bi j de uitvoering van ORMZoals uit het voorgaande blijkt, is het opzetten van een Operationeel Risico Control Framework een omvangrijke taak, die bij de implementatie door veel factoren wordt benvloed. Een goed framework is afgestemd op de organisatie en voortdurend moet de afweging gemaakt worden tussen investering in maatregelen en hulpmiddelen enerzijds en opbrengsten en haalbaarheid anderzijds. Bij de meeste Nederlandse financile instellingen is de formele invoering van Operationeel Risico Management slechts n tot enkele jaren oud. Menige partij is nog zoekende naar optimale inrichting en implementatie. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn nog volop in ontwikkeling en metrics moeten nog worden verzameld, terwijl deze laatste essentieel zijn bij de inrichting van het Risico Control Framework.

    Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces.

    Figuur 11: Problemen bij uitvoering ORM

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Risico expertise

    Cultuur en draagvlak

    ORM-tools en systemen

    Volwassen ORM-proces

    Kwaliteit gegevens

    30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben. Drie van de vijf als meest problematisch genoemde punten liggen in de eigen organisatie: gebrek aan risico expertise (30%), cultuur en draagvlak voor ORM (30%) en tenslotte de volwassenheid van het ORM-proces (41%). De rapportage naar de toezichthouder wordt door geen enkele partij als probleem genoemd.

  • 24

    Operat iona l R isk Management

    4 Wat levert ORM op?

    Het is evident dat aan de grote groei van ORM binnen de bancaire wereld de noodzaak tot beperking van operationele risicos ten grondslag ligt. Dat de schade die kan ontstaan door operationele risicos aanzienlijk kan zijn is immers in de laatste jaren door diverse partijen ondervonden. Daarnaast is uiteraard het voldoen aan de externe regelgeving een belangrijke stimulans geweest. Toch zijn dit niet de enige opbrengsten die in de praktijk worden nagestreefd.

    Gevraagd naar hun waardering voor de potentile opbrengsten van ORM, geven de respondenten als voornaamste aan: Het voorkomen/beperken van verliezen Het voldoen aan de regels van toezichthouder/interne regels Het voorkomen/beperken van fraude Beter sturen van de business processen Meer efficiency in de processen.

    Figuur 12: Waardering potentile opbrengsten ORM

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Geen opbrengsten

    Fraude

    Efficiency van de processen

    Kapitaalbeslag

    Interne regelgeving

    Regels toezichthouder

    Winstmaximalisatie

    Verliezen voorkomen

    Sturen businessprocessen

    Minder kapitaalbeslag wordt met 33% minder vaak dan bovenstaande redenen genoemd (waarbij moet worden aangetekend dat dit sterk afhankelijk is van de gekozen benadering voor de berekening ervan).

    Vervolgens is het uiteraard interessant te bezien in hoeverre de genoemde potentile opbrengsten worden gerealiseerd. De antwoorden op onze vraag hiernaar zijn divers, wat voor een groot deel verklaard kan worden uit de

  • 25

    Benchmark Rapport 2009

    (on)mogelijkheden om dit te meten. Het optreden van operationele risicos is per definitie lastiger te voorspellen dan bv. krediet- of marktrisicos en daarmee is het ook lastig vast te stellen of risicobeperkende maatregelen hun vruchten afwerpen. Eenvoudiger vast te stellen is of men voldoet aan de regels van de toezichthouder. Dit is dan ook de meest genoemde gerealiseerde opbrengst van ORM (73%). Kennelijk is het lastiger te voldoen aan de interne regel geving; 59% geeft aan dat hier (aanzienlijke) opbrengsten worden gerealiseerd.

    ORM-managers zien efficiency en betere sturing

    van de processen als belangrijke opbrengsten van ORM

    Het voorkomen/beperken van verliezen en van fraude wordt door 70, respectievelijk 63% van de respondenten genoemd als gerealiseerde opbrengst. De opbrengsten in de processen worden meer gerealiseerd in het sturen ervan (58%) dan in de verhoging van de efficiency (42%).

    Figuur 13: Realisatie mogelijke opbrengsten ORM

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Geen opbrengsten

    Fraude

    Efficiency van de processen

    Kapitaalbeslag

    Interne regelgeving

    Regels toezichthouder

    Winstmaximalisatie

    Verliezen voorkomen

    Sturen businessprocessen

    Winstmaximalisatie en hogere efficiency in de processen worden het meest genoemd als onbekend, omdat men niet in staat is dit te meten (36%, resp. 26%).

    De omvang van de organisatie levert geen significante verschillen op in de opbrengsten die worden gerealiseerd. Bij het type organisatie constateren we dat asset managers in het algemeen meer gerealiseerde opbrengsten

  • 26

    Operat iona l R isk Management

    van ORM zien dan banken. Verschillen zitten vooral in het sturen van de businessprocessen (90% bij de asset managers versus 46% bij de banken), de efficiency in de processen (70% bij de asset managers, 32% bij de banken) en het voorkomen van verliezen (90% bij de asset managers en 62% bij de banken).

    Zelfstandige bedrijven en bedrijven met een moederorganisatie rapporteren exact dezelfde opbrengsten als het om de processen gaat. De verschillen zitten hier vooral in het voorkomen van verliezen ( 76% van de bedrijven met een moeder versus 57% van de zelfstandige bedrijven), fraude (71%, respectievelijk 50%) en het voldoen aan de regels van de toezichthouder (87% versus 50%). Op al deze punten melden bedrijven met een moederorganisatie dus hogere opbrengsten dan zelfstandige bedrijven.

  • 27

    Benchmark Rapport 2009

    5 Ontwikkel ingen

    5.1 Enterprise Risico ManagementAanvankelijk werden bij de meeste financile instellingen alleen kredietrisico en marktrisico belegd, en dit dan meestal als van elkaar gescheiden opererende functies. Een gemeenschappelijke terminologie of aanpak, een overall frame-work of informatie-uitwisseling tussen de diverse risicofuncties ontbraken meestal. De afgelopen jaren laten een ontwikkeling zien waarbij steeds meer gestreefd wordt naar een holistische benadering van risicomanagement, algemeen aangeduid als Enterprise Risico Management.

    De vraag is wat nu precies verstaan moet worden onder ERM. Een gangbare definitie is dat ERM een framework is, waarin alle risicos van een onderneming worden gedentificeerd en gemanaged. De COSO-definitie wordt in dit verband vaak genoemd. In de praktijk blijkt het formuleren van een risicobeleid op concernniveau goed te doen, maar integratie van de uitvoering ervan niet eenvoudig uitvoerbaar. Dit wordt zeker niet eenvoudiger door het ontbreken van consensus over de reikwijdte en invulling van ERM. Veelgehoord is dat n uniforme aanpak voor de uitvoering van het beleid moet worden gehanteerd, en dat dit beleid door alle afdelingen/business units op uniforme wijze moet worden uitgevoerd. Een verdergaande definitie is dat de afzonderlijke risicosoorten niet separaat gemonitored en gemanaged worden, maar dat deze activiteiten moeten worden samengevoegd. Daarbij kan de informatie op het hoogste niveau worden geaggregeerd, geconsolideerd of gentegreerd. In de laatste definitie behoort ook het vaststellen van correlaties tussen risicos tot ERM.

    5.1.1 ORM op Enterprise-niveau Onder ORM-managers bestaat grote belangstelling voor ERM. ORM is immers alleen goed en zinvol uitvoerbaar als het enterprise wide wordt gemplementeerd. De vlucht die ORM heeft genomen, heeft de invoering van ERM bij organisaties in de afgelopen jaren versterkt.

    69% van onze respondenten geeft aan, dat hun organisatie een integrale aanpak voor risicomanagement op corporate niveau kent. Als we kijken naar het totale risicolandschap (dus niet alleen ORM), dan blijkt een integrale aanpak nog niet te betekenen dat de diverse functies ook zijn gentegreerd. Audit, compliance en governance worden wel veelal gentegreerd op concern niveau uitgevoerd: respectievelijk 72%, 64% en 57% van onze respondenten geeft aan dat dit in hun organisatie het geval is. Integratie van de risicofuncties is iets anders: ORM, liquiditeits risico, counterparty risico, krediet risico en markt risico worden bij 50% van de partijen uitgevoerd op afdelings/business unit/divisie niveau en zijn voor ongeveer 50% op corporate niveau gentegreerd.

  • 28

    Operat iona l R isk Management

    61% van de bedrijven kent wel een op corporate niveau gentegreerd beleid voor ORM. Bijna 20% geeft aan, dat men wel een corporate beleid kent, maar dat dit nog niet (geheel) is gemplementeerd.

    Bij 31% van de respondenten is de uitvoering van ORM uniform in het gehele bedrijf. Een even groot percentage geeft aan, dat het beleid weliswaar op corpo-rate niveau wordt vastgesteld, maar dat de afdelingen onafhankelijk van elkaar dit beleid uitvoeren. Eveneens bij 31% wordt de informatie op concern niveau gentegreerd en 23% geeft aan dat correlaties tussen de risicos in de ver schil-lende afdelingen/business units worden bekeken en dat hierop wordt geacteerd.

    5.1.2 Problemen bi j de uitvoering van ERMHet blijkt dus nog niet zo eenvoudig om een op corporate niveau vastgesteld beleid in de gehele onderneming te implementeren. Ook bij de invoering van ERM spelen beschikbaarheid en kwaliteit van gegevens een rol. Daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risicos en cultuur en draagvlak in de organisatie.

    Figuur 14: Problemen bij de uitvoering van ERM

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Kwaliteit gegevens

    Beschikbaarheid gegevens

    Conflicterende belangen

    Integratie van de risico's

    Cultuur en draagvlak

    Toch ziet bijna 70% van de partijen voldoende voordelen in ERM om zich de moeite te getroosten een ERM-beleid te formuleren en uit te voeren. Onze respondenten gaven aan dat zij een betere besluitvorming als grootste voordeel zien van ERM; dit werd door 56% aangegeven. Direct daarna volgen de vermindering van het overall risico (52%) en operationele efficiency (44%).

    28% van onze respondenten geven aan dat zij geen integrale aanpak kennen. 73% daarvan (20% van de totale populatie) ziet kennelijk de voordelen in het geheel niet; zij geven aan dat zij geen ERM-strategie hebben en ook niet van plan zijn ERM in te voeren. 27% heeft wel plannen om ERM in te voeren, maar heeft daartoe alleen nog de strategie geformuleerd (9%) of helemaal nog geen stappen ondernomen (18%).

  • 29

    Benchmark Rapport 2009

    Over de opbrengsten van Enterprise Risico Management zijn de meningen verdeeld. Als belangrijkste opbrengsten worden genoemd betere besluit-vorming (56%) en vermindering van overall risico (52%). 44% meent dat de operationele efficiency zal toenemen door het invoeren van ERM en 36% ziet voordelen in een betere balans tussen risicos en een betere ondersteuning van de businessplanning.

    5.2 Invester ingen en prior i teiten Hoewel ERM een onderwerp is dat ORM-managers bezighoudt en het ook diverse keren werd genoemd in de gesprekken die wij voerden, staat het toch niet bovenaan de prioriteitenlijst van de ORM-manager. Bijna de helft (47%) van de ORM-managers geeft zelfs aan dat ERM de komende periode een lage prioriteit heeft. Ook de keuze voor BIA, SA of AMA, vaak punt van levendige discussies, staat bij 69% onderaan de lijst. Zaken die de ORM-manager in de komende periode wel veel aandacht zal geven zijn met grote meerderheid procesverbetering (77%) en verder governance (53%), KPIs /KRIs (41%) en (financile) rapportage (41%). Het lijkt erop dat de Nederlandse ORM-manager een praktische keuze maakt voor het allereerst aanvullen en vervolmaken van de operationele uitwerking van ORM, voordat ontwikkelingen als ERM of de berekening van kapitaalbeslag aan de orde komen.

    Top 3 prioriteiten van de Nederlandse ORM-manager:

    1. Processen

    2. Governance

    3. KPIs/KRIs en rapportage

    Het stellen van prioriteiten heeft uiteraard ook veel te maken met de ruimte die de ORM-manager wordt geboden. Wij vroegen onze respondenten op een schaal van 1-10 aan te geven, in welke risicosoorten de afgelopen periode in hun onderneming het meest is genvesteerd. Wanneer wij de scores van 7 t/m 10 optellen en omzetten in een percentage, levert dit een duidelijke 1e prioriteit op voor kredietrisico (59%). Ook aan marktrisico (47%) en counterparty risico (38%) werd veel besteed. Gezien tegen de achtergrond van de kredietcrisis zijn dit voor de hand liggende uitslagen. ORM staat echter met 53% op de tweede plaats qua investeringen; een bevestiging van het belang dat ORM in de laatste jaren heeft gekregen.

    Ook in het komende jaar worden de hoogste investeringen verwacht in krediet-risico, hoewel met 53% die investeringen wel iets zullen afnemen. Ook in markt-risico (38%), counterparty risico (28%) en ORM (41%) verwacht men minder bestedingen. De daarmee ontstane ruimte wordt kennelijk besteed aan Enter-prise Risico Management, dat stijgt van 29% nu naar 41% in het komende jaar.

  • 30

    Operat iona l R isk Management

    Figuur 15: Investeringen per risicosoort

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Kredietrisico

    Marktrisico

    Liquiditeitsrisico

    Counterparty risico

    Operationeel risico

    Enterprise risico

    Afgelopen periode Toekomst

    5.3 Wet- en regelgevingHet Basel II akkoord was nog niet formeel ingevoerd toen medio 2007 de eerste verschijnselen optraden van de kredietcrisis, gevolgd door de heftige en wereld-omvattende crisis die op het moment van publicatie van dit rapport de financile wereld nog steeds teistert. De gebeurtenissen in de afgelopen twee jaar in de bancaire wereld geven de toezichthouder aanleiding het net ingevoerde akkoord alweer aan te passen. Hoewel in de crisis vooral krediet-, counterparty- en marktrisico een rol spelen, is te verwachten dat ook de regelgeving voor ORM zal worden aangescherpt. De commissie Maas gaf al enige voorzetten in haar rapport Naar herstel van vertrouwen, waarvan inmiddels de twee eerste hoofdstukken tot een Code Banken met wettelijke basis zijn verheven.

    Hoewel wijzigingen in de regelgeving nog niet in detail bekend zijn, hebben wij toch gepeild hoe de ORM-manager in het Nederlandse bankenlandschap hier tegenover staat. Wij gaven een achttal stellingen over aangescherpt beleid waarvan men kon aangeven of men ze als zinvol beoordeelt. De antwoorden geven een heldere lijn te zien: mogelijke maatregelen die betrekking hebben op strengere regelgeving, uitbreiding van rapportages, of verhoging van de frequentie daarvan, worden niet gewaardeerd. Slechts 6% zou een hogere frequentie van rapportages zinvol achten, en 14% invoering van strenge of uitgebreidere regels. 18 24% beoordeelt ze zelfs als helemaal niet zinvol. Wel zinvol tot heel zinvol vinden onze respondenten mogelijke verheldering van de wetgeving, door bijvoorbeeld meer en betere adviezen van de toezichthouder (65%), guidelines voor eenvoudiger interne modellen (62%) of eenvoudiger templates voor gegevensverzameling (50%). In dit verband werden in gesprekken met ORM-managers ook regelmatig de toegestane benaderingen voor berekening van kapitaalbeslag genoemd, waarbij enkele managers aangaven dat de toezichthouder er goed aan zou doen de zaak te vereenvoudigen door de AMA helemaal af te schaffen.

  • 31

    Benchmark Rapport 2009

    Aan strengere regelgeving is geen behoefte;

    wel aan vereenvoudiging en meer duidelijkheid

    Hoewel de mogelijkheid hiervoor wel bestond, werden geen andere suggesties aangedragen door de respondenten.

  • 32

    Operat iona l R isk Management

    6 Ondersteunende systemen

    6.1 De markt voor ORM-softwareORM-software is een term die een breed scala aan functionaliteit en toepas-singen dekt. Net als het vakgebied zelf is ook de markt voor de ondersteunende software nog volop in ontwikkeling. Dit geldt zowel voor het aanbod van func-tionaliteit, als voor het aantal en het type partijen dat ORM-software aanbiedt.

    De markt voor ORM-software is winstgevend en nog steeds groeiend. We zien dan ook dat in de afgelopen jaren veel leveranciers van oorspronkelijk niet voor ORM ontwikkelde systemen haar hebben ontdekt. Workflow management-, data management- en BI (dashboard) toepassingen, business process rule engines, Anti Money Laundering en IT-beveiligingssystemen worden aangeboden als ORM-systeem. Mede door het aanbod van leveranciers van marktrisico systemen worden ook steeds meer ORM-systemen op de markt gebracht met een meer kwantitatieve benadering, gebaseerd op modellen en berekeningen met historische gegevens, in plaats van de kwalitatieve of procesgerichte benadering.

    Door dit brede aanbod in de markt wordt de ORM-manager gesteld voor een klassieke keuze bij de aanschaf van applicaties: best of breed of een gentegreerd systeem. In die afweging spelen enerzijds de specialisatie op een deelgebied, in het algemeen resulterend in een hoge kwaliteit van het product, tegenover de kosten en inspanningen van een best of breed oplossing qua beheersbaarheid, vendor management en integratie van de diverse applicaties. Ook in een op enterprise-niveau gecentraliseerd ORM-software-beleid is plaats, en zal waarschijnlijk de noodzaak blijven bestaan, voor gespecialiseerde oplossingen om aan de eisen in de diverse business units te voldoen. Zolang deze applicaties passen in een op enterprise IT-strategie met een onderliggende applicatiearchitectuur kan dit goed werken.

    De aanbieders van ORM-software streven er ook naar, hun productsuite zo breed mogelijk te maken door zelf te ontwikkelen of complete andere partijen over te nemen. Dit laatste laat al enige jaren een consolidatie zien in de markt, die nog niet ten einde lijkt. Tegelijkertijd blijft een relatief nieuw vakgebied als ORM nieuwe nichespelers trekken die met hun producten de laatste ontwikkelingen volgen.

    Ook voor ORM-software geldt de vuistregel dat een later door ontwikkeling of acquisitie uitgebreid product in het algemeen toch het beste voldoet op het gebied van de originele functionaliteit. De eerste producten die in de markt verschenen richtten zich op het voldoen aan de regelgeving en waren voornamelijk gebaseerd op kwalitatieve metingen door self assessments. Veel ORM-software is gevolueerd uit procesanalyse- of

  • 33

    Benchmark Rapport 2009

    workflow management software. Een deel komt uit de meer kwantitatief gerichte BI-wereld en een deel wordt op de markt gebracht door producenten van markt- of kredietsoftware die hun aanbod uitbreiden met ORM. Ook zijn veel aanbieders van oorsprong niet gericht op toepassingen specifiek voor de financile wereld. Aanbieders uit de processen/WM hoek kan het ontbreken aan de gespecialiseerde kennis die de berekening van kapitaalbeslag vereist. Ook is in het gebruik van de software het primair denken vanuit processen en niet vanuit events soms een belemmering. Andersom hebben suppliers uit de kwantitatieve (markt, krediet) risico wereld vaak weinig kennis en ervaring met het procesgericht denken. Hoewel in de ORM-software markt een groeiend aantal producten wordt aangeboden onder de verzamelnaam GRC (Governance, Risico & Compliance) software, lijkt er nog geen product voorhanden dat alle onderdelen van ORM adequaat ondersteunt.

    6.2 ORM-software in de prakt i jkHet gebruik van ORM-software lijkt niet een van de grootste issues te zijn voor de ORM-manager in de Nederlandse bancaire markt. In de ranglijst van prioriteiten staat ORM ondersteunende software zelfs op de laatste plaats, met slechts 18% van onze respondenten die hieraan de komende tijd een hoge prioriteit toekennen. 30% van de respondenten zou meer of betere ORM-support tools en systemen ter beschikking willen hebben.

    Zoals uit de vorige paragraaf blijkt is ORM-Software een term waarmee een breed scala aan functionaliteit wordt aangeduid. Om een veelheid aan inter-pretaties te voorkomen hebben wij elf belangrijke onderdelen van het Risico Control Framework als deelgebied gedefinieerd. Onze respondenten konden op elk van die deelgebieden aangeven of zij hiervoor ondersteunende soft ware gebruiken, en zo ja, of dit standaard voor ORM ontwikkelde software betreft, standaard tools als spreadsheets en Word Processors, of zelf ontwikkelde applicaties. Het resultaat wordt weergegeven in figuur 16.

    Risicorapportage en verzameling van risicogegevens zijn de meest geautomatiseerde onderdelen van het Framework; 91%, respectievelijk 94% van onze respondenten gebruikt hiervoor software. Ongeveer 80% heeft applicaties voor process mapping, berekening van kapitaalbeslag en tracing en vastleggen van de events (loss database). Minder softwarematige ondersteuning kennen AML/fraudedetectie (68%), scenario analyse (59%), KPIs (62%) en een Basel II event library (41%).

    Niet verrassend wordt weinig software zelf ontwikkeld. Alleen voor de loss database is dit veel toegepast: bijna de helft van de partijen die hiervoor software gebruiken, heeft deze zelf ontwikkeld. Verzameling van risicogegevens, event tracing en vastlegging en berekening van kapitaalbeslag worden alle drie door ongeveer 20% van de partijen ondersteund met zelf ontwikkelde software.

  • 34

    Operat iona l R isk Management

    Het aanschaffen van gespecialiseerde ORM-software is evenmin zeer populair. De meest gebruikte ORM-toepassing is overduidelijk die voor proces onder-steuning. Van de 82% die dit ondersteunt met een systeem kiest 2/3 (53% van het totaal) hiervoor een gespecialiseerd ORM-tool. 25% van de onder-vraagden legt de processen vast met behulp van een word processor. Voor de keuze voor speciale ORM-software als het om processen gaat zijn diverse verklaringen te geven. Het belang dat de ORM-manager hecht aan het registreren, optimaliseren en controleren van de processen speelt zeker mee, maar ook het ruime marktaanbod en de relatief lage kosten van de software. Tenslotte is de return on investment van dit type ORM-software relatief hoog, aangezien met het vastleggen van processen immers meer doelstellingen dan alleen ORM worden bereikt.

  • 35

    Benchmark Rapport 2009

    Figuur 16: Software in gebruik

    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

    Risico rapportage

    Basel II event library

    Loss database

    Scenario-analyse toepassing

    Berekening van kapitaalbeslag

    Process mapping

    Key performance indicators

    Key risk indicators

    Event tracing en vastlegging

    Verzameling van risicogegevens

    Anti money laundering / Fraudedetectie

    Standaard software (spreadsheet, Word Processor)

    N.V.T.

    ORM-software aangeschaft

    Zelf software ontwikkeld

    Onze survey toont aan dat de standaard spreadsheet en word processor verreweg door de meeste partijen worden gebruikt als tool voor ORM. Zes van de elf framework onderdelen worden het meest door deze tools ondersteund: risico rapportage (65%), berekening van kapitaalbeslag (50%), scenario analyse (50%), KPIs (44%), KRIs (39%), en verzameling van risicogegevens (35%).

  • 36

    Operat iona l R isk Management

    6.3 Waardering van de gebruikte softwareOver het algemeen is de ORM-manager uit onze survey tevreden over het gebruikte software product. Opvallend is dat het gebruik van zelf ontwikkelde software, waarvan te verwachten valt dat deze op maat gemaakt is, op slechts vier van de elf onderdelen hoger scoort dan standaard software. Speciaal voor ORM ontwikkelde software scoort in het algemeen iets hoger dan standaard spreadsheets of word processors, behalve bij de KPIs. Toch is het verschil op alle onderdelen minder dan n punt op een schaal van 10. Het grootste verschil in waardering tussen zelf ontwikkelde software en standaard software (al dan niet voor ORM ontwikkeld) blijkt te bestaan voor proces mapping en KPIs.

    9

    8

    7

    6

    Figuur 17: Waardering gebruikte software

    Standaard software Zelf software ontwikkeld

    Bestaande ORM-software

    Verz

    amel

    ing

    van

    risi

    coge

    geve

    ns

    Waa

    rder

    ing

    Bere

    keni

    ng v

    an

    kap

    itaal

    besl

    agKe

    y ris

    k in

    dica

    tors

    Key

    perfo

    rman

    ce in

    dica

    tors

    Proc

    ess

    map

    ping

    Bere

    keni

    ng v

    an

    kap

    itaal

    besl

    agSc

    enar

    io a

    nalys

    e to

    epas

    sing

    Loss

    dat

    abas

    eBa

    sel I

    I eve

    nt li

    brar

    yRi

    sico

    rapp

    orta

    ge

    Anti

    Mon

    ey la

    unde

    ring/

    Frau

    dede

    tect

    ie

    ORM-managers kiezen voor de ondersteuning van risicorapportage massaal voor het gebruik van een standaard word processor (65%, bijna driekwart van de 91% die hiervoor een softwareproduct gebruikt). Toch voldoet dit hulpmiddel kennelijk niet heel goed, want de Word Processor voor risicorapportage scoort tegelijkertijd met een 6,3 gemiddeld de laagste waardering.

  • 37

    Benchmark Rapport 2009

    7 Overzicht ORM-systemen

    7.1 InleidingVoor ons overzicht van ORM-systemen namen wij als uitgangspunt de Magic Quadrant 2008 van Gartner. Uit dit overzicht selecteerden wij de markt-leiders en de nichespelers en vulden deze lijst aan met systemen die door deel nemende ORM-managers werden genoemd. De initile lijst van software leveranciers bevatte Algorithmics, BWise, Chase Cooper, CHH, FRSGlobal, List S.p.A, Mega Int., OpenPages, Optial, Oracle Financial Services, Protiviti, RimaOne en het SAS Institute.

    Iets meer dan 50% van de bovengenoemde leveranciers reageerde positief op onze uitnodiging gegevens te verstrekken. Van de overige leveranciers was List niet in staat zelfstandig te reageren (het product wordt verkocht door Fermat, dat op zijn beurt is overgenomen door Moodys), enkele partijen zijn te weinig gericht op de Nederlandse markt of zijn niet genteresseerd in deelname aan surveys.

    In totaal geven wij hiermee een overzicht van de volgende 8 partijen en producten: Algorithmics Algo OpVar 6 Avanon Avanon Oprisk BWise v.3.3 CCH Sword v.8.0 Mega International Mega GRC Suite Optial Operational Risk Platform v.6.0 SAS Institute SAS ORM suite, OpRisk Global Data,

    OpRisk Monitor v.3.4 and OpRisk VaR v.3.2 Protiviti The Governance Portal

    7.2 De leveranciers en de markt Alle leveranciers in ons onderzoek geven aan dat hun product van oorsprong als ORM-product is ontwikkeld, behalve Protiviti. Protiviti heeft vooral een sterke reputatie als leverancier van consulting diensten, maar heeft een groeiend marktaandeel met hun Governance Portal. Dit product werd oorspronkelijk ontwikkeld als financieel controle systeem, waaraan later audit-, compliance, ERM en ORM-functionaliteit werd toegevoegd. De Governance Portal is dan ook meer een GRC, dan een ORM-toepassing. Avanon groeit naar een GRC suite, maar hun product Oprisk, oorspronkelijk voor ORM ontworpen, is het belangrijkste product en levert het overgrote deel van Avanons omzet.

    Algorithmics en CHH Sword leveren naast een ORM-product ook producten voor markt- en kredietrisico, en financile en BI software. Algorithmics, hoewel vooral bekend door de marktgerichte risicoproducten, ziet ERM-software als

  • 38

    Operat iona l R isk Management

    hun primaire product. Het bedrijf richt zich als enige van de leveranciers uitsluitend op de finance markt. Het SAS institute is van oorsprong gericht op BI en data management software, maar profileert zich nu als leverancier van enterprise wide GRC software.

    Verreweg het grootste marktaandeel heeft het Nederlandse BWise. Deze leverancier van GRC software ontwikkelt van oorsprong procesmanagement software en richt zich daarbij niet alleen op de financile markt. Het product BWise heeft dan ook een sterk procesgeorinteerde opzet en wordt bij een groot aantal banken en vermogensbeheerders in Nederland gebruikt voor diverse procesgerelateerde doeleinden.

    Naast de twee Nederlandse leveranciers BWise en SAS hebben alleen Protiviti en Avanon een of meer licenties verkocht in de Nederlandse financile markt, waarbij moet worden aangetekend dat de licenties in Nederland van Avanon alle drie indirect zijn, dat wil zeggen verkocht aan internationale ondernemingen met een vestiging in Nederland.

    Behalve BWise en SAS hebben ook Mega International en CCH Sword een vestiging in Nederland. CHH Sword komt voort uit Ci3, dat in 2008 werd overgenomen door Wolters Kluwer.

    Figuur 18 geeft het overzicht van het aantal verkochte licenties per leveran-cier achtereenvolgens in het totaal, in de Nederlandse markt, in de financile markt en in de Nederlandse financile markt. Ter indicatie van de groei van de leverancier zijn de totaal-aantallen voor 2008 en 2009 toegevoegd. Waar streepjes staan werd het betreffende aantal door de leverancier niet opgegeven.

    Figuur 18: Marktoverzicht ORM-software

    Leverancier Totaal In NL In Finance In Finance in NL In 2008 In 2009

    Algorithmics (1989) 40 0 40 0 1 2

    Avanon AG (1999) 25 3 22 3 8 4

    BWise (1994) 500 - 175 - 57 -

    CCH Sword (1995) 38 0 38 0 14 -

    MEGA International (1991) 70 - 30 - 17 7

    Optial 7 0 6 0 - -

    Protiviti (2002) 10 3 3 1 7 2

    SAS Institute (1976) 60 6 60 6 10 5

  • 39

    Benchmark Rapport 2009

    7.3 Product en functional i teitAlle producten zijn modulair opgebouwd en parametriseerbaar. Modificaties aan de software kunnen bij Avanon, BWise, CCH Sword, Mega en SAS door de gebruiker of een derde partij voor de gebruiker worden uitgevoerd. Bij Algorithmitc, Optial en Protiviti zijn uitsluitend modificaties mogelijk als die worden uitgevoerd door de leverancier zelf. Alle producten bieden taal-keuze, waarbij Avanon, BWise en SAS standaard versies in het Nederlands aanbieden.

    Risk self assessmentsAlle leveranciers bieden risk self assessments als onderdeel van de software. De functionaliteit daarvan is qua aanbod voor alle producten nagenoeg gelijk. Bij alle producten kunnen risicos worden gewogen, gekwantificeerd, gescoord en kan een rangorde worden aangebracht. Risicos kunnen worden geplaatst in de organisatiestructuur, in de Basel II business lines en in de pro -cessen en activiteiten in de organisatie. Wijzigingen in organisatiestructuur of in de processen zijn bij alle producten mogelijk en alle producten onder steu nen de Basel II indeling in risico type. Alle producten bieden een work flow-module en in alle producten kunnen controle metingen worden bijge houden. Alle producten bieden questionnaires met standaardvragen, met uitzondering van Algoritmics, Mega en Optial, die alleen blanco questionnaires bieden.

    Key r isk indicatorsAlle producten bevatten standaard KRIs en bij alle producten behalve AlgoOpvar 6 kan een hirarchie in de KRIs worden aangebracht. Alle pro-ducten kennen minimum waarden met signalering wanneer deze wordt over-schreden. Bij alle producten kunnen gegevens uit onderliggende databases gebruikt worden om de KRIs te updaten, waarbij de updates ook automatisch kunnen worden uitgevoerd. Loss databaseAlle producten bevatten een loss database, met classificatie van de loss data naar de acht Business Lines en zeven loss types onder Basel II. In alle pro-ducten kunnen de verliezen worden gemapped op de organisatiestructuur. Alle data bases zijn multi-user en multi-site en alle producten bieden work flow functio naliteit om acties als gevolg van een verlies te monitoren. Alle pro duc-ten onder steunen het vier-ogen principe, bieden audit trails en de mogelijkheid om near misses te registreren. Behalve bij Algorithmics en Optial kunnen gebruikers zelf aantal en indeling van de velden in de database wijzigen.

    Een external loss database wordt slechts door drie partijen aangeboden: Algorithmics, CCH Sword en SAS. Alle drie bieden ook een loss database voor alleen de financile markt. Benchmarking, ook alleen tegen Nederlandse partijen, is mogelijk bij Algorithmics en SAS.

  • 40

    Operat iona l R isk Management

    Verzameling en analyse van r is ico gegevensDe meest complete functionaliteit om risicogegevens te verzamelen en te analyseren wordt geboden door Avanon, Bwise, CCH Sword en SAS. Alle partijen bieden data analyse en diverse standaard distrubuties, waarbij allen behalve Algorithmics ook de mogelijkheid bieden eigen distributies toe te voegen. Ook data aggregatie, drill down mogelijkheden en what if analyses wordt door het merendeel van de leveranciers aangeboden. Events tracing, simulaties, scenario en trend analyses worden door de meeste partijen geboden, waarbij Mega het minst uitgebreide aanbod heeft. De mogelijkheid correlaties tussen risicos te bepalen wordt geboden door Avanon, Bwise, CCH Sword, Protiviti en SAS.

    Berekening van kapitaalbeslagAlle producten behalve Mega bevatten een engine voor de berekening van kapitaalbeslag volgens de drie benaderingen onder Basel II. Het gebruik van Bayesiaanse modellen om de kapitaalbeslagberekening aan een risicoprofiel te koppelen wordt geboden door Algorithmics, Bwise, Optial en Protiviti.

    RapportagesAlle leveranciers bieden standaard rapportages over alle functionaliteiten die zij bieden, met daarbij ook de mogelijkheid voor de gebruiker eigen rapportages op te zetten. Algorithmitcs, CCH Sword en Protiviti maken daarbij gebruik van een externe report generator. Bij alle producten kan een externe report generator gekoppeld worden.

    Een volledig overzicht van de geboden functionaliteit per product is als bijlage I te vinden op blz. 44 van dit rapport.

    7.4 Support en TechniekAlle leveranciers bieden ondersteuning via een helpdesk, maar alleen BWise en SAS hebben een helpdesk in Nederland. De meeste helpdesks zijn wel 24/7 bereikbaar. Voor alle producten bestaat een gebruikersgroep, maar ook hiervan is het merendeel internationaal; alleen BWise kent een Nederlandse gebruikersgroep. Nederlandse documentatie is ook alleen bij BWise standaard beschikbaar.

    Onderstaande tabel geeft een volledig overzicht van de geboden services.

  • 41

    Benchmark Rapport 2009

    Figuur 19: Service en support

    Service en Support Algo Avanon Bwise CCH Mega Optial Protiviti SAS rithmics AG Sword Int. InstituteMedewerkers fulltime beschikbaar voor support ? 20 15 5 70 ? 75 100Helpdesk in Nederland - - - - - - IT support IT consulting - - - - - Consulting services via netwerk - - - Consulting services - - Customer support Gebruikersgroep in Nederland - - - - - - -Beschikbare documentatie: Functionele specificaties Eng Eng Eng/Nl Eng Eng Eng Eng EngGebruikershandleiding Eng Eng Eng/Nl Eng Eng Eng Eng EngBeheerderhandleiding - Eng Eng/Nl - Eng - Eng EngOntwikkelrichtlijnen - Eng Eng/Nl - Eng Eng Eng EngAantal releases per jaar >1 1 1 1 >1 1 1 >1

    Alle leveranciers werken volgens marktstandaarden qua techniek. Alle pro duc-ten zijn web-based en de meeste leveranciers ondersteunen Unix, Linux en een of meerdere versies van MS Windows. Allen werken met SQL en de meeste daarnaast met Java en XML. Als database wordt door het merendeel van de leveranciers SQL aangegeven, met daarnaast veelal Oracle. Bij alle producten is het mogelijk elektronisch documenten als attachment bij te voegen. Optial is de enige leverancier die geen standaard interfaces ter beschikking heeft. Algorithmics, BWise, CCH Sword en Protiviti geven aan dat zij voor de rapportages werken met een report generator van een derde partij.

    Een volledig overzicht van de technische mogelijkheden is te vinden als bijlage II op blz. 45 van dit rapport.

  • 42

    Operat iona l R isk Management

    DCE Consultants

    Implementing Strategy & InnovationDCE Consultants is een toonaangevend onafhankelijk management advies-bureau opgericht in 1980 in Amsterdam. DCE is sinds 1997 de management consultancy tak van Altran. Met de 18.500 Altran-professionals is de slag-kracht en expertise van DCE versterkt. Het stelt DCE in staat haar relaties in 15 Europese landen te ondersteunen.

    Wij ondersteunen onze klanten internationaal met het implementeren van hun strategie, het leidinggeven aan veranderingsprocessen en het inrichten van een effectieve bedrijfsvoering. De dienstverlening strekt zich uit over vijf expertisegebieden: strategie assesment, project (portfolio) management, verandermanagement, proces management en IT management.

    Door de marktgerichte organisatie heeft DCE actuele kennis over vraag-stukken in de financile dienstverlening, publieke sector en handel & industrie. Onze adviseurs hebben visie en advieservaring met de laatste trends. Zo dragen zij bij aan de ontwikkeling in hun vakgebied en zijn zij gelijkwaardig gesprekspartner voor u.

    DCE staat voor een resultaatgerichte implementatie van de gekozen veranderingen altijd in samenwerking met de klant. Om dit te bereiken zoekt DCE nauwe samenwerking met uw medewerkers en management. Daarom staat kennisoverdracht en training hoog in ons vaandel, onder meer via de DCE-Academy.

    [email protected]

  • 43

    Benchmark Rapport 2009

    Bijlagen

  • 44

    Operat iona l R isk Management

    Bij lage I : Overzicht Functional i teit Software Producten

    Leverancier Algo-

    rithmics

    Avanon

    AG

    Bwise CCH

    Sword

    Mega

    Int.

    Optial Protiviti SAS

    Institute

    Risk Self Assessments

    Standaard vragen - - -

    Key Risk Indicators

    Loss Database

    Aantal en indeling velden aanpasbaar - -

    Industry loss database - - - - -

    Industry loss db voor de finance markt - - - - -

    Benchmarking - - - - - -

    Benchmarking alleen in NL - - - - - -

    Verzameling van risico gegevens

    Events tracing -

    Basel II event library

    Toevoegen eigen distributies -

    Analyse van loss data

    Aggregatie van distributies

    Frequentieverdeling

    Simulaties -

    Scenario analyse -

    Sensitiviteitsanalyses - - -

    Trend analyses -

    Stress testing - -

    Correlaties tussen risicos bepalen - - -

    Berekening Kapitaalbeslag -

    Bayesiaanse modellen / risicoprofiel - - - -

    Rapportages - RSA, KRI, Loss DB, Analyse verliezen

    Industry loss DB - - - - -

    Berekening kapitaalbeslag -

    Externe report generator toevoegen

    Exportfunctie data

    Eigen rapportages maken

    Data aggregatie -

    Drilling down

    What-if analyses - - -

    Graphische analyses

  • 45

    Benchmark Rapport 2009

    Bij lage I I : Overzicht Techniek Software Producten

    Leverancier Architectuur Platforms Talen Data base Standaard

    interfaces

    Techniek

    interfaces

    Document

    attaching

    Externe report

    generator

    Algorithmics Web based

    SAAS

    Unix, Linux,

    Windows

    2000,

    Windows

    Vista

    Java, SQL,

    XML, Tcp

    Oracle ja XML, Web

    services

    ja BIRT

    MS Windows

    XP

    lp

    Avanon Web based Unix, Linux,

    Macintosh,

    Windows:

    3.1 x, 95,

    98, 2000,

    NT, XP, Vista

    Java, SQL,

    XML, Odbc,

    Tcp, lp

    Oracle, SQL,

    Sybase

    ja XML, SQL,

    Import /

    export

    ja nee

    CCH Sword Web based Windows

    2000, 2003,

    Internet

    Explorer 6

    SQL, Tcp SQL ja SQL, XML ja MS Reporting

    Services

    Mega web based Unix,

    Windows:

    Vista, XP

    Java, SQL,

    Tcp, lp

    Oracle ja XML ja

    Optial Web based,

    SAAS

    Java, SQL,

    XML

    SQL nee XML, SQL,

    Import /

    export

    ja nee

    Protiviti Web based Windows:

    2000, XP

    SQL, XML SQL ja XML, SQL,

    Odbc,

    Import/export

    ja BO, Crystal

    SAS Web based,

    Server

    based, SAAS

    Unix, Linux,

    MS Windows

    XP

    Java, SQL,

    XML, Ole,

    Odbc, Tcp,

    lp

    Access,

    Oracle, SQL

    ja ? ja nee

  • 46

    Operat iona l R isk Management

    Bij lage I I I : Overzicht Leveranciers

    AlgorithmicsAdres: 185 Spadina Avenue, M5T 2C6 TorontoLand: CanadaTelefoonnummer: +44 (0)2073925820Website: www.algorithmics.com

    Avanon AG Adres: Technoparkstrasse 1, 8005 ZurichLand: ZwitserlandTelefoonnummer: +41 (0)79 782 8707Website: www.avanon.com

    BWise Adres: Rietbeemdenborch 14-18, RosmalenLand: NederlandTelefoonnummer: +31 (0)73 6464914Website: www.bwise.com

    CCH SWord Adres: 65-66 Lower Mount Street, DublinLand: IerlandTelefoonnummer: 01306730354Website: www.cchsword.com

    Mega InternationalAdres: Kingsfordweg 151, 1043 GR AmsterdamLand: NederlandTelefoonnummer: +31 (0)20 491741Website: www.mega.com

    Optial Adres: The Courtyard Building, 11 Curtain Road, EC2A 3LT LondonLand: Verenigd KoninkrijkTelefoonnummer: +44 (0)20 7247 7673Website: www.optial.com

  • 47

    Benchmark Rapport 2009

    Protiviti Adres: SOM 1 Gebouw, Gustav Mahlerlaan 32, 1082 MC AmsterdamLand: NederlandTelefoonnummer: +31 (0)20 3460400Website: www.Protiviti.nl

    SAS InstituteAdres: Flevolaan 69, 1270 EB HuizenLand: NederlandTelefoonnummer: +31 (0)35 6996833Website: www.sas.com

  • 48

    Operat iona l R isk Management

    Bij lage IV: Vragenl i jst en Antwoorden Survey

    1. Maakt uw bedri j f deel uit van een groter concern? Ja. De overkoepelende organisatie is in Nederland gevestigd 48,7% Ja. De overkoepelende organisatie is in het buitenland gevestigd 15,4% Nee 35,9%

    2. Welke act ivi teiten voert uw overkoepelende organisat ie uit? (meerdere antwoorden mogel i jk )

    Bank-verzekeraar 16,9% Retail bank 15,6% Investment bank 8,4% Private bank 16,9% Asset management 19,3% Corporate bank 9,6% Broker 7,2% Anders 6%

    3. Hoeveel medewerkers telt uw overkoepelende organisat ie? < - 50 0% 50 - 200 0% 201 - 500 0% 501 - 1000 4% 1000 - 2500 4% 2500 - > 92%

    4. Bi j /voor welk organisat ieonderdeel bent u werkzaam? (meerdere antwoorden mogel i jk )

    Retail bank 13,9% Investment bank 11,1% Private bank 22,2% Asset Management 25% Corporate bank 11,1% Broker 2,8% Anders 13,9%

  • 49

    Benchmark Rapport 2009

    5. Hoeveel medewerkers telt uw bedri j fsonderdeel? ( ind ien Ja b i j vraag 1)

    < - 10 0% 10 - 50 8% 50 - 200 24% 201 - 500 28% 501 - 1000 12% 1001 - 2500 12% 2501 - > 16%

    6. Welke kernactiviteiten typeren uw organisat ie? ( ind ien Nee b i j vraag 1, meerdere antwoorden mogel i jk )

    Bank-verzekeraar 13,6% Retail bank 18,2% Investment bank 9,1% Private bank 4,5% Asset management 22,7% Corporate bank 13,6% Broker 0% Anders 18,2%

    7. Hoeveel medewerkers telt uw organisat ie? ( ind ien Nee b i j vraag 1)

    < - 10 7% 10 - 50 14,3% 50 - 200 7% 201 - 500 14,3% 501 - 1000 21,4% 1001 - 2500 35,7% 2501 - > 0%

    8. Heeft uw organisat ie een separate r is ico management afdel ing? Ja, namelijk (group) operationeel risico management 87,2% Nee, deze verantwoordelijkheid valt onder de afdeling operations 0% Nee, deze verantwoordelijkheid valt onder de afdeling compliance 7,7% Nee, deze verantwoordelijkheid valt onder de afdeling finance 0% Nee, er is geen separate afdeling 5,1% Nee, ORM is bij ons niet belegd 0%

  • 50