8
ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR Good enough never is Auteur Maarten Diddens Maarten is Associate en Senior Adviseur bij Accent Organisatie Advies. OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE SECTOR Onderzoek naar de belangrijkste ontwikkelingen op het gebied van Operational Risk Management

OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

  • Upload
    doannhi

  • View
    222

  • Download
    0

Embed Size (px)

Citation preview

Page 1: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

Good enough never is

AuteurMaartenDiddensMaartenisAssociateenSeniorAdviseurbijAccentOrganisatieAdvies.

OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE SECTOR

OnderzoeknaardebelangrijksteontwikkelingenophetgebiedvanOperationalRiskManagement

Page 2: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 2

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

Dit is voor Accent Organisatie Advies aanleiding geweest om een onderzoek uit te voeren naar de belangrijkste onderwerpen voor Operational Risk Management (ORM) binnen de Nederlandse financiële instellingen, nu en in de komende jaren. We hebben hiervoor gesproken met ORM-vertegenwoordigers van verschillende financiële instellingen in Nederland.

Tijdens de interviews blikten we kort terug op de afgelopen paar jaren, maar hebben we ons met name gericht op de trends en ontwikkelingen die de geïnterviewden verwachten voor de komende vijf jaar. Hierbij hebben we vervolgens verkend wat de rol en de toegevoegde waarde van de ORM-functie in deze ontwikkelingen zal zijn.

In dit artikel treft u een samenvatting van de belangrijkste constateringen naar aanleiding van deze interviews.

A. Rol en positie van ORM

De ORM-discipline heeft zich in de afgelopen vijftien jaar goed weten te positioneren naast krediet- en marktrisico en wordt als zodanig minder als het ‘kleine broertje van’ gezien. Hiermee kunnen we constateren dat de discipline steeds meer tot volwassenheid groeit en aan belang wint.

Een aantal organisaties maakt hierbij expliciet het onderscheid tussen financiële en niet-financiële risico’s en heeft ORM duidelijk gepositioneerd binnen het ‘non-financial’ risk deel van enterprise risk management (ERM). De meeste geïnterviewde personen zijn het er wel over eens dat er nog steeds een gat bestaat tussen de volwassenheid van de krediet- en marktrisico functie en de ORM-functie. Dit wordt met name ingegeven door:

� de brede (en vaak niet scherp afgebakende) scope van ORM met moeilijk beheersbare aspecten,

� een onduidelijke link tussen risico en rendement bij operationele risico’s en

� het feit dat operationele risico’s vaak moeilijker te kwantificeren zijn.

Hierna werken we deze onderwerpen verder uit.

1. De brede, lastig te duiden en te beheersen scope

Als we de brede definitie nemen van operationele risico’s, dan vallen daar ook alle juridische, compliance en gedragsrisico’s onder. Voor de juridische en compliance aspecten zitten specialisten in andere afdelingen. Het is niet altijd duidelijk wat de rol van ORM daarin is.

Gedragsrisico’s zijn risico’s als gevolg van menselijk handelen. Dit kunnen fouten zijn, maar ook niet-

De uitdaging om toegevoegde waarde te leveren

De ontwikkeling van operationeel risicomanagement staat nooit stil. Incidenten uit het verleden hebben ertoe bijgedragen dat de eisen en normen die worden gesteld door klanten, aandeelhouders, toezichthouders en de maatschappij, steeds verder toenemen. Dat betekent ook dat wat vroeger goed genoeg was, tegenwoordig niet meer toereikend is. De operationeel risicomanager moet dan ook constant bezig zijn de ontwikkelingen in het vakgebied te volgen en de functie verder te professionaliseren.

Page 3: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 3

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

ethische of frauduleuze activiteiten. Dit menselijk handelen wordt vaak gezien als moeilijk voorspelbaar en beheersbaar. Toch is dit menselijk handelen essentieel voor de beheersing van risico’s. Hoe kunnen we het gedrag van alle medewerkers van een organisatie beheersen en welke rol kan ORM daarin vervullen?

2. De onduidelijke link tussen risico en rendement bij operationele risico’s

Operationele verliezen geven vaak een gevoel van ‘falen’. Bij krediet- en marktrisico’s is men zich er duidelijker van bewust dat een risico wordt genomen aangezien er bijna altijd een duidelijke link is tussen het risico enerzijds en het (krediet of markt) rendement anderzijds; verliezen zijn dan vervelend, maar worden geaccepteerd als onderdeel van een commerciële transactie of de doelstellingen van de organisatie. Die link tussen risico en rendement geldt in veel mindere mate voor operationele risico’s. Hierdoor is de risicobereidheid voor operationele risico’s moeilijker in financiële termen tot uitdrukking te brengen.

Door het gevoel van ‘falen’ en de angst voor mogelijke claims zijn medewerkers en managers bovendien minder snel geneigd om de risico’s en verliezen te melden.

3. De inschatting van de impact van operationele risico’s is lastig te kwantificeren.

Bij krediet- en marktrisico’s is het veelal goed mogelijk om de impact (en in mindere mate de kans) van de risico’s te kwantificeren (bijvoorbeeld door gebruik te maken van Loss Given Default en Default Probability voor kredietrisico’s en Value at Risk voor marktrisico’s). De inschatting van de impact van operationele risico’s is vaak moeilijker, hetgeen nog meer geldt voor de inschatting van de kans.

We zien voor de ORM-functie een ontwikkeling waarbij de rol steeds minder als die van een ‘gegevensverzamelaar’ wordt gezien, maar meer als ‘inhoudelijk adviseur’. Daarbij wordt verwacht dat deze

ORM-adviseur zich actiever opstelt als mede-belangenhouder van de geïdentificeerde risico’s. Op deze manier manifesteert ORM zich als een onafhankelijke en onbevooroordeelde “bewaker” van het gehele control raamwerk van de financiële instelling.

De ORM-functie zal de lijnorganisatie daadwerkelijk moeten ondersteunen in de beheersing van operationele risico’s en het management inzicht geven in de mate van risicobeheersing binnen de organisatie. Hoe dit op een efficiënte en effectieve wijze kan worden gedaan is een uitdaging. Het zich opstellen als een tweedelijnsfunctie, maar wel zeer dicht op en in samenwerking met de eerstelijnsfuncties is niet eenvoudig.

Daar waar nu nog eerstelijns werkzaamheden worden uitgevoerd door de ORM-functie (bijvoorbeeld het testen van de key controls), worden deze versneld overgedragen en ingebed in de eerste lijn.

De toegevoegde waarde van ORM komt dan meer te liggen op de adviserende en bewakende rol. Hierbij zal de nadruk liggen op de effectieve beheersing van operationele risico’s die zich niet alleen nu, maar ook in de toekomst kunnen manifesteren. Scenario analyses, waarbij de mogelijke impact van diverse operationele risico’s wordt berekend, spelen hierin een waardevolle rol. Aan de hand van deze scenario analyses kunnen de kans maar ook de potentiële impact van operationele risico’s worden verkleind.

De veranderende rol van de ORM-functie stelt ook aanvullende eisen aan de ORM-medewerkers. Kennis van de producten/diensten en processen maar ook van ontwikkelingen in de organisatie en in de externe omgeving, zijn essentieel voor het leveren van een toegevoegde waarde en een goede ‘challenge’ van de eerste lijn. Daarnaast zijn innovatie, technologische ontwikkelingen en veranderingen in het maatschappelijke veld belangrijk voor ORM. Deze ontwikkelingen creëren nieuwe vormen van operationele risico’s waar de organisatie rekening mee moet houden.

TOEGEVOEGDE WAARDE AANTONEN = KEY

Page 4: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 4

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

In dit verband kijken de geïnterviewden met belangstelling naar de discussies en revisies van het ORM-raamwerk die plaatsvinden bij de toezichthouders. Wat zal er vastgesteld worden ten aanzien van de toekomst van het AMA (Advanced Measurement Approach) model? Zullen er meer op de business afgestemde aanvullingen worden opgenomen?

De meeste geïnterviewden geven aan dat er sinds de financiële crisis een verminderde nadruk is op het voordeel van een lager kapitaalbeslag bij de implementatie van een volwaardig ORM-raamwerk (AMA). Men ziet veel meer toegevoegde waarde in het voorkomen van grote operationele verliezen die een belangrijk effect kunnen hebben op de financiële resultaten en de reputatie van de organisatie.

Op de grootbanken na, streven de meeste instellingen niet naar de implementatie van AMA voor de kapitaalberekening. Wel streven allen naar het implementeren van de “sound practices”.

B. Rol van ORM in de risicocultuur van de organisatie

ORM krijgt bij de meeste organisaties die we spraken ook een expliciete rol bij het helpen veranderen en borgen van de juiste (risico)cultuur en gedrag binnen de organisatie. De ORM-functie heeft hier dan meestal geen voortrekkersrol in. De cultuur in een organisatie heeft een grote invloed op het menselijk handelen van alle medewerkers in de organisatie en is derhalve een belangrijke indicator voor operationele risico’s.

De betrokkenheid van ORM bij de cultuurprogramma’s in de financiële instellingen wordt dan ook van groot belang geacht.

C. Risicobereidheid ten aanzien van operationele risico’s

De geïnterviewden vinden het definiëren van de risicobereidheid voor operationeel risico een goed hulpmiddel voor het borgen van de gewenste risicocultuur. Het uitwerken van die risicobereidheid naar lagere niveaus binnen de organisatie wordt echter als (veel) lastiger ervaren dan bij krediet- en marktrisico. Met name op deze verdere verbijzondering, waarbij aansluiting bij de specifieke karakteristieken van de business essentieel is, kunnen nog zeker een aantal slagen gemaakt worden, ook door de grotere partijen die we gesproken hebben.

De risicobereidheid wordt bij de meeste geïnterviewde financiële instellingen gedefinieerd in zowel kwalitatieve als kwantitatieve termen. Risicobereidheid indicatoren worden door sommige instellingen gebenchmarkt aan de hand van externe data (bijvoorbeeld van ORX).

D. Rol van ORM bij strategische vraagstukken

Er is een groeiende betrokkenheid van de ORM-functie bij strategische vraagstukken binnen de organisatie (bijv. outsourcing, acquisities, organisatiewijzigingen). Daar waar ORM in het verleden nog wel eens achteraf bij strategische vraagstukken werd betrokken, wordt ORM nu steeds vaker in een vroeg stadium betrokken om te zorgen dat de operationele risico’s tijdig kunnen

BETROKKENHEID ORM BIJ CULTUURPROGRAMMA’S

Page 5: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 5

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

worden meegenomen bij de strategische besluitvorming.

E. Het gebruik van ORM Tools

De basis onderdelen van het ORM-raamwerk zijn door de meeste geïnterviewden goed ingebed in de organisatie. Met name het (product) approval proces, de change risk assessments en de scenario analyses werden genoemd als middelen die goed gewaardeerd worden door de business en waarmee de ORM-functie toegevoegde waarde levert aan de organisatie. Het belang van scenario analyses is sterk gegroeid, mede op last van de toezichthouders waarbij scenario’s een prominente rol dienen te vervullen bij het analyseren van met name de “tail” risico’s.

De volledigheid van loss data en de volledige toepassing van het approval process blijven nog wel een uitdaging. Een aantal organisaties heeft hiervoor de volgende oplossingen bedacht:

� Managers moeten periodiek tekenen voor de volledigheid van de loss data en de toepassing van het approval process

� De 2e lijn (bv. de juridische afdeling) geeft alleen ondersteuning indien het betreffende incident accuraat wordt geregistreerd

Incident analyses en “lessons learned” zijn inmiddels een goed gebruik. Er wordt echter nog onvoldoende gedaan aan het analyseren van “near misses”. Dit in tegenstellingen tot ander sectoren zoals de luchtvaart waar dit juist als een uiterst belangrijk middel wordt gezien.

F. IT-oplossingen voor ORM

De mate waarin ORM wordt ondersteund door geautomatiseerde systemen verschilt sterk per financiële instelling. Sommige organisaties maken gebruik van geïntegreerde softwarepakketten als B-Wise, Open Pages en RSA Archer. Maar het gebruik van eenvoudige end-user oplossingen in Excel en Access komt ook veel voor.

G. Key control testing

Key control testing heeft volgens de geïnterviewden bijgedragen aan een goed overzicht van de operationele risico’s en een verhoging van het risicobewustzijn in de organisatie. Het efficiënt en effectief inrichten van een goede control testing cyclus blijft echter lastig. Het gevaar is te verzanden in een overdaad aan testen en rapportages, waarbij te veel niet relevante zaken de boventoon voeren en een vals gevoel van veiligheid en beheersing wordt gecreëerd.

H. Top risico’s

De risico’s die door de geïnterviewden werden genoemd als de belangrijkste in de komende jaren, zijn:

� cybercrime, � datamanagement, � geopolitieke ontwikkelingen (bijv. instabiliteit

opkomende landen, terrorisme, maatschappelijke onrust, dalende grondstofmarkten),

KEY CONTROL TESTING – RISICOBEWUSTZIJN Ç

Page 6: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 6

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

� conduct risk (bijv. gewenst gedrag, conflict of interest, consumentenbelangen),

� toenemende wet- en regelgeving, � ICT/Technology risk en � model risico

Tot slot benoemden een aantal deelnemers het risico van onvoldoende wendbaarheid van de organisatie om in te spelen op de groeiende eisen die gesteld worden aan financiële instellingen en de gevolgen die de veranderende wet- en regelgeving heeft op de bestaande verdienmodellen binnen de industrie. Een aantal financiële instellingen zal zich opnieuw moeten uitvinden om te komen tot een duurzaam verdienmodel.

Samenvatting

Uit ons onderzoek komt naar voren dat de incidenten in de financiële sector, de groeiende operationele complexiteit en tot slot de veranderende eisen die gesteld worden vanuit de toezichthouders en wet- en regelgeving, er voor gezorgd hebben dat iedereen overtuigd is van het belang van goed operationeel risicomanagement. De ORM-functie in de financiële

sector groeit naar volwassenheid, maar heeft nog een paar belangrijke uitdagingen. De groeiende volwassenheid komt onder meer tot uitdrukking in de nauwere betrokkenheid van ORM bij strategische initiatieven.

Daarnaast draagt het succesvol integreren van belangrijke ORM-instrumenten, zoals het approval proces en de scenario analyses, binnen de bestaande business processen en besluitvorming bij aan het verder professionaliseren van ORM. Echter, het ORM-aandachtsgebied blijft voor velen lastig te overzien, mede vanwege het feit dat de scope van operationele risico’s zo breed is. Daarnaast blijkt het, in tegenstelling tot de krediet- en marktrisico’s, niet makkelijk om de operationele risico’s goed te kwantificeren.

Het op een effectieve en efficiënte wijze inrichten van de ORM-functie en het bijbehorende raamwerk blijft een uitdagende missie. De belangrijkste risico’s die op ons afkomen benadrukken nog eens het belang van gedegen operationeel risicomanagement en de uitdagingen die ons te wachten staan. Het vraagt niet alleen flexibiliteit van de organisatie, maar ook van de ORM-functie, zodat tijdig gereageerd kan worden op de

ORM NAAR GROEIT NAAR VOLWASSENHEID

Page 7: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 7

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

uitdagingen waar de organisatie voor staat. Een uitdaging die ORM de kans biedt om op dit vlak toegevoegde waarde te bieden.

Mocht u na het lezen van dit rapport nog over specifieke onderwerpen nadere details willen hebben, dan kunt u contact opnemen met Maarten Diddens via [email protected] of 06 2071 5325.

Tot slot willen we nog alle riskmanagers van ABN AMRO, Binck Bank, De Lage Landen, ING, Nationale Nederlanden, NIBC, Rabobank en Triodos Bank, bedanken voor hun deelname aan dit onderzoek.

Page 8: OPERATIONAL RISK MANGAGEMENT IN DE FINANCIËLE …accentadvies.nl/wp-content/uploads/2016/02/Onderzoek-ORM-bij... · TOEGEVOEGDE WAARDE AANTONEN = KEY. ACCENT ORGANISATIE ADVIES,

ACCENTORGANISATIEADVIES,februari2016 8

ORM ONTWIKKELINGEN IN DE FINANCIËLE SECTOR

DisclaimerNietsuitdezeuitgavemagwordenverveelvoudigd,opgeslagenineengeautomatiseerdgegevensbestanden/ofopenbaargemaaktinenigevormofopenigewijze,hetzijelektronisch,mechanisch,doorfotokopieën,opnamenofopenigeanderemanierzondervoorafgaandeschriftelijketoestemmingvanAccentOrganisatieAdvies.

AccentOrganisatieAdviesvoertadviesopdrachtenuitophetgebiedOperationalExcellence,RisicomanagementenFinancieelPerformanceManagement.Centraalinonzeaanpakstaathetduurzaamverbeterenvanhetrendement,doormiddelvanefficiencyverbetering,kostenreductieenrisicobeheersingsprogramma's.

DeadviseursvanAccentOrganisatieAdvieszijnervarenadviseursuitdepraktijkenhelpenuhetbesteuituworganisatietehalen.Wijdoendatopeenpraktische,betrokkeneninteractievemanier.Bijonzeaanpakspelendemedewerkersindeorganisatieeenbelangrijkerolenbestedenwijookaandachtaangedragencultuur.

ACCENT ORGANISATIE ADVIES