Operationeel Risico Management - Consultants - Operationeel... · PDF fileOperationeel...

Click here to load reader

  • date post

    11-Sep-2018
  • Category

    Documents

  • view

    214
  • download

    0

Embed Size (px)

Transcript of Operationeel Risico Management - Consultants - Operationeel... · PDF fileOperationeel...

  • Operationeel Risico Management Benchmark Rapport 2009

    Schiphol Oost , 2009Neder land2009 DCE Consul tants

    Auteurs: Danie l le WaremanKare l Janssen Mere l Verschure

    Research:Khanh LyVincent de W inter

    Niets in deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, geluidsband, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van DCE Consultants rp/nl/26/2009

  • Inhoudsopgave

    1 De survey 51.1 Aanleiding 51.2 Aard en omvang van de populatie 51.3 Kernvragen 7

    2 De posit ie van ORM in de organisat ie 82.1 Het Operationeel Risico Management Model 82.2 Kritische Succes Factoren 92.3 Het ORM-model in de praktijk 102.3.1 Waar en hoe is ORM belegd 102.3.2 Samenwerking 112.3.3 Cultuur 13

    3 Inr icht ing in de prakt i jk 163.1 Het Operationeel Risico Management Control Framework 163.2 Inrichting van het Framework 163.2.1 Methodes, technieken en modellen 163.2.2 Processen 173.2.3 Gegevens 193.2.4 Key Perfomance Indicators 203.3 Berekening kapitaalbeslag onder Basel II 213.4 Problemen bij de uitvoering van ORM 23

    4 Wat levert ORM op? 24

    5 Ontwikkel ingen 275.1 Enterprise Risico Management 275.1.1 ORM op Enterprise-niveau 275.1.2 Problemen bij de uitvoering van ERM 285.2 Investeringen en prioriteiten 295.3 Wet- en regelgeving 30

    Operat iona l R isk Management

  • 6 Ondersteunende systemen 326.1 De markt voor ORM-software 326.2 ORM-software in de praktijk 336.3 Waardering van de gebruikte software 36

    7 Overzicht ORM-systemen 377.1 Inleiding 377.2 De leveranciers en de markt 377.3 Product en functionaliteit 397.4 Support en Techniek 40

    8 Bi j lagen 43I Overzicht Functionaliteit Software Producten 44II Overzicht Techniek Software Producten 45III Overzicht Leveranciers 46IV Vragenlijst en Antwoorden Survey 48

    Benchmark Rapport 2009

    VerantwoordingDCE Consultants is niet verantwoordelijk voor de juistheid van de gegeven antwoorden. De resultaten zijn zorgvuldig verwerkt en gecontroleerd. DCE Consultants is echter niet verantwoordelijk voor eventuele fouten die bij het verwerken van de gegevens gemaakt zouden kunnen zijn. Wij hebben de antwoorden uit het onderzoek objectief weergegeven, om recht te doen aan de doelstelling: inzicht te verschaffen in de werkelijke stand van zaken.

  • Operat iona l R isk Management

  • Managementsamenvatt ing

    Operationeel Risico Management heeft zich in de afgelopen jaren in hoog tempo ontwikkeld tot het derde belangrijke risicogebied in de bancaire wereld, naast kredietrisico en marktrisico. Operationele risicos zijn zo oud als het ondernemen zelf, maar de kans op en de omvang van operationele verliezen zijn aanzienlijk gegroeid, zoals de gebeurtenissen bij o.a. Barings Bank en meer recent Socit Gnrale pijnlijk duidelijk hebben gemaakt. De enorme groei die de financile markt in de afgelopen decennia heeft gekend, de toegenomen complexiteit van producten en processen en de globalisering van de markt droegen allemaal bij aan deze ontwikkeling. Met de opname in het Basel II akkoord kreeg ORM de plaats die het verdient als misschien wel het belangrijkste risico voor een financile instelling volgens sommigen de basis en de operationalisering van alle andere bancaire risicos.

    De grote belangstelling voor ORM was voor DCE Consultants aanleiding tot het uitvoeren van een onderzoek naar de status van ORM in 2009 bij Nederlandse banken en vermogensbeheerders. 39 respondenten werkzaam bij banken en vermogensbeheerders voorzagen ons van evenveel ingevulde vragenformulieren.

    Governance en cultuur bl i jven aandacht verdienenWij mogen constateren dat het hoger management in bancair Nederland gecommitteerd is aan het succes van ORM: 90% van de respondenten geeft dit aan. Ook worden in vrijwel alle ondernemingen ORM-beleid, -bevoegdheden en -verantwoordelijkheden vastgelegd en goedgekeurd door de hoogste besturingslaag. Dit betekent uiteraard niet, dat het beleid ook in alle lagen van de onderneming probleemloos wordt uitgevoerd. In iets meer dan de helft (51%) van de ondernemingen zijn voor iedereen in de organisatie de eigen rol en verantwoordelijkheid duidelijk. Door 30% worden nog problemen ondervonden met cultuur en draagvlak in de organisatie, en niet meer dan 67% beoordeelt het beschikbare ORM-budget als voldoende. Qua investeringen stond ORM in relatie tot overige risicosoorten het afgelopen jaar echter op de tweede plaats; alleen in kredietrisico werd iets meer genvesteerd.

    Samenwerking tussen ORM en overige (business)afdelingen is een basisvoorwaarde voor een goede uitvoering van ORM en een indicator voor de acceptatie van ORM in de organisatie. Uit de survey blijkt dat van samenwerking zeker niet overal sprake is. Bij ruim de helft van de partijen worden basisactiviteiten als identificeren, analyseren, vastleggen en monitoren van de operationele risicos uitsluitend door de ORM-afdeling uitgevoerd. Bij bijna een kwart van de partijen is zelfs een gespecialiseerde activiteit als IT/systeemrisico alleen bij ORM belegd. Omgekeerd worden

    1

    Benchmark Rapport 2009

  • ook vaak activiteiten door businessafdelingen of staven uitgevoerd, geheel zonder betrokkenheid van ORM.

    In het algemeen kunnen we constateren dat het genoemde management commitment aan ORM op veel punten in de organisatie is terug te vinden in beleid en inrichting. Het risicobewustzijn en de samenwerking verdienen nog de nodige aanscherping.

    Gentegreerd Risicomanagement neemt toe De aandacht voor ORM heeft in de afgelopen jaren in hoge mate bijge dragen aan de ontwikkeling van gentegreerd risicomanagement op onder nemings-niveau (ERM). ORM is immers alleen goed en zinvol uitvoerbaar als het organisatiebreed wordt gemplementeerd. Bijna 70% van de ondervraagde ondernemingen heeft een risicobeleid op corporate niveau vastgesteld. De integratie van activiteiten in de gehele onderneming blijkt in de praktijk echter veelal beperkt tot de onderdelen audit, compliance en governance. Alle risicosoorten inclusief ORM worden bij slechts de helft van de partijen gentegreerd op ondernemingsniveau gemanaged. Belemmering bij de uitvoering van ERM zijn net als bij ORM-beschikbaarheid en kwaliteit van gegevens, maar daarnaast komen specifieke problemen naar boven als conflicterende belangen in de diverse business units, integratie van de risicos, en cultuur en draagvlak in de organisatie.

    Als we de investeringen in ERM bezien als indicator voor het belang dat eraan wordt gehecht, neemt dit laatste sterk toe. De investeringen in ERM stonden in het afgelopen jaar op de laatste plaats in vergelijking tot andere risicos; bij 27% van de ondernemingen werd er helemaal niet in genvesteerd. Voor het komende jaar is de verwachting dat na kredietrisico en liquiditeitsrisico het meest zal worden besteed aan ERM en ORM.

    Operationeel Risico Management groeit naar volwassenheidHoe heeft men het management van de risicos in de praktijk ingericht en zijn er al best practices te ontdekken? Nagenoeg alle partijen in ons onderzoek hebben een formeel vastgelegd en door de directie goedgekeurd Risico Control Framework. In de grote meerderheid van de gevallen bestaat dit uit Risk Self Assessments, Key Performance Indicators, Key Risk Indicators, formeel vastgelegde contingency plannen, loss databases en stresstests. Een kleine 20% van de partijen kent geen geformaliseerde en gestructureerde wijze om risicos te identificeren, analyseren en vast te leggen.

    KPIs worden bij 64% van de partijen gehanteerd en eveneens 64% van de partijen die ze nu niet gebruiken, geeft aan dit in de toekomst wel te gaan doen. Het vaststellen van de KPIs wordt als lastig ervaren; de meest gebruikte zijn het aantal verliezen/events en de audit ratings.

    2

    Operat iona l R isk Management

  • Menige partij is nog zoekende naar optimale inrichting en implementatie van het Framework. Ervaring met (kwantitatieve) modellen en technieken moet nog worden opgebouwd, ondersteunende middelen zijn volop in ontwikkeling en metrics moeten veelal nog worden verzameld. Op onze vraag welke punten in de praktijk als problematisch worden ervaren noemde dan ook bijna de helft (46%) van de respondenten de kwaliteit van de beschikbare gegevens en 41% de volwassenheid van het ORM-proces.

    Processen bl i jven de ruggengraat van ORMProcessen worden algemeen gezien als de basis voor ORM. Daarnaast is procesmanagement voor veel organisaties een belangrijk bijproduct van Operationeel Risico Management. Bijna 80% van de ORM-managers in onze survey geeft aan dat zij het bereiken van meer efficiency en het beter kunnen sturen van de business processen als belangrijke potentile opbrengsten zien voor ORM. In de praktijk blijkt dat meer efficiency bij 42%, en betere besturing bij 58% van de partijen ook daadwerkelijk worden gerealiseerd. Processen blijven voortdurend aan verandering onderhevig en hoewel in de afgelopen jaren veel tijd en energie gestoken in procesmanagement, blijft op dit punt nog veel werk liggen. Het merendeel (77%) van de ORM-managers geeft dan ook aan procesmanagement in de nabije toekomst de hoogste prioriteit.

    De Standardardised Approach als balans tussen inspanningen en resultaat

    Van alle respondenten kiest bijna een kwart (24%) de Advanced Measurement Approach (AMA) voor de berekening van het kapitaalbeslag, bijna de helft (49%) gebruikt de Standardised Approach (SA) en 16% de Basic Indicator Approach. De resterende 11% berekent geen kapitaalbeslag. In het algemeen lijkt men in de zoektocht naar de balans tussen inspanningen en resultaat uit te komen bij de SA. De AMA wordt uitsluitend gebruikt in grotere concerns, waarbij het aannemelijk is dat dit in het merendeel door de toezichthouder is verplicht. Slechts de helft van de ORM-managers die de benadering g