Resultaten IMA-marktrisicoaudits

In deze paragraaf worden de resultaten gepresenteerd over de audits naar de IMA- marktrisico, de vijfde component in het theoretisch kader. Bij de aanpak van het auditen van de Internal Model Approach, de interne modellen bij marktrisico, gaat het niet alleen om de interne marktrisicomodellen voor de kapitaalberekening maar ook de overige elementen zoals dagelijks risicomanagement, managementinformatie en de besturing. De vragen waren bedoeld om inzicht te krijgen op welke elementen audit de focus c.q. de focus zou moeten leggen. Dit laatste is gedaan door aan validatie te vragen voor welke elementen audit kan steunen op de validatiewerkzaamheden. De CRCU- experts kijken alleen naar kredietrisicomodellen en zij zijn dus niet ondervraagd over de IMA-audits. In figuur 3.8 hieronder staan de resultaten over de IMA-audits samengevat.

Figuur 3.8 Elementen van IMA marktrisico waarop audit ja/nee in % focus legt versus dezelfde elementen waarvan validatie vindt dat audit ja/nee in % op hun werkzaamheden kan steunen

Nr. IMA-marktrisico element Afdeling Ja Nee 5A Integratie van risicomaatstaven in dagelijks

risicomanagement

audit 75% 25%

validatie 0% 100%

5B Integriteit managementinformatie audit 75% 25%

validatie 33% 67%

5C Goedkeuringsproces risk pricing en

waarderingsmodellen in de front and back office

audit 100% 0%

validatie 67% 33%

5D Scope van het marktrisicomodel audit 75% 25%

validatie 100% 0%

5E Nauwkeurigheid en geschiktheid van volatiliteits- en correlatie-aannames en van waardering- en risicogevoeligheids- berekeningen audit 75% 25% validatie 100% 0% 5F Documentatie audit 75% 25% validatie 100% 0%

5G Monitoring (w.o. backtesting, analyses

overrides) audit 100% 0%

validatie 67% 33%

5H Betrouwbaarheid en controls inputdata audit 75% 25%

validatie 33% 67%

5I Betrouwbaarheid en controls IT systeem audit 75% 25%

validatie 0% 100%

5J Betrouwbaarheid en controls berekening vereist eigen vermogen audit validatie 75% 0% 25% 100%

Figuur 3.8 toont dat alle auditors de focus willen leggen op 5C, ‘goedkeuringsproces risk pricing en waarderingsmodellen’, en op 5G, ‘monitoring’. Bij de overige elementen geeft 75% van de auditors aan hierop de focus te willen leggen. Een groot deel van de validatie-experts, 67% geeft aan dat bij 5C en 5G op hun werk kan worden gesteund.

44

Bij 5C en 5G is derhalve het risico aanwezig dat elementen onnodig dubbel worden geëvalueerd.

Figuur 3.8 laat voorts zien dat voor 5A, ‘integratie van risicomaatstaven in dagelijks risicomanagement’, 5I, ‘betrouwbaarheid en controls IT systeem’ en 5J,

‘betrouwbaarheid en controls berekening vereist eigen vermogen’ validatie vindt dat audit niet kan steunen op hun werkzaamheden. Bij elk van deze elementen geeft 75% van de auditors aan dat zij hier nadruk opleggen in hun marktrisicomodelaudits. Het risico hier is dat elementen buiten de scope van zowel audit als validatie vallen.

Bij 5D, ‘scope van het marktrisicomodel’, 5E, ‘nauwkeurigheid en geschiktheid van volatiliteits- en correlatie-aannames en van waardering- en risicogevoeligheids- berekeningen’ en 5F ‘documentatie’ geven alle validatie-experts aan dat audit kan steunen op hun werkzaamheden. Tegelijkertijd geeft 75% van de auditors aan de nadruk te willen leggen op deze elementen. Hier is het risico opnieuw dat elementen onnodig dubbel worden geëvalueerd.

Bij de overige elementen: 5B, ‘integriteit managementinformatie’ en 5H,

‘betrouwbaarheid en controls inputdata’, blijkt dat 75% van de auditors hier de focus op wil leggen en dat 33% van de validatie-experts zeggen dat audit hier op hun werk kan steunen. Hier lijkt het risico op dubbel werk dan wel dat elementen buiten de scope vallen van zowel audit als validatie het kleinst.

Het is dus de vraag of bepaalde elementen niet twee keer worden onderzocht, en

bepaalde elementen niet of te weinig. Om een scherper beeld te krijgen welke elementen audit zeker moet onderzoeken is aan audit zelf en aan validatie gevraagd wat volgens hen de top 3 voor audit zou moeten zijn.

Uit figuur 3.9 blijkt dat validatie vindt dat dat audit focus hoort te liggen op 5A,

‘integratie van risicomaatstaven in dagelijks risicomanagement’, terwijl audit zelf vindt dat in modelaudits vooral de nadruk dient te liggen op het element 5E, ‘nauwkeurigheid en geschiktheid van volatiliteits- en correlatie-aannames en van waardering- en

45

Figuur 3.9 Elementen van IMA marktrisico waarop audit de meeste nadruk hoort te leggen bij modelrisicomanagementaudits

Nr. IMA-marktrisico element Audit Validatie 5A Integratie van risicomaatstaven in dagelijks

risicomanagement 13% 33%

5B Integriteit managementinformatie 13% 22%

5C Goedkeuringsproces risk pricing en

waarderingsmodellen in F/B office 13% 17%

5D Scope van het marktrisicomodel 13% 0%

5E

Nauwkeurigheid en geschiktheid van volatiliteits- en correlatie-aannames en van waardering- en

risicogevoeligheidsberekeningen

29% 0%

5F Documentatie 0% 0%

5G Monitoring (w.o. backtesting, analyses overrides) 17% 11% 5H Betrouwbaarheid en controls inputdata 4% 6% 5I Betrouwbaarheid en controls IT systeem 0% 11% 5J Betrouwbaarheid en controls berekening vereist eigen

vermogen 0% 0%

Uit figuur 3.9 blijkt dus dat audit en validatie elk een verschillend beeld hebben van de prioriteiten die audit zou moeten stellen.

Samengevat blijkt uit deze paragraaf dat alle auditors bij IMA-audits de focus leggen op 5C, ‘goedkeuringsproces risk pricing en waarderingsmodellen in de front and back office’, en 5G ‘monitoring’. Op elk van de overige elementen willen 75% van de

auditors de focus leggen. In combinatie met de antwoorden van de validatie-experts lijkt het risico te bestaan dat elementen onnodig dubbel worden geëvalueerd of dat

elementen zowel buiten de scope van audit als validatie vallen. De auditors vinden gezamenlijk dat zij de meeste prioriteit aan 5E, ‘nauwkeurigheid en geschiktheid van volatiliteits- en correlatie-aannames en van waardering- en

risgevoeligheidsberekeningen’ moeten geven. De validatie-experts vinden dat audit de hoogste prioriteit aan 5A, ‘integratie van risicomaatstaven in dagelijks

risicomanagement’, moeten geven. Uit de resultaten kunnen geen conclusies worden getrokken of audit voldoet in de praktijk aan het theoretisch kader.