• No results found

Deze scriptie is geschreven in het kader van mijn afstudeeronderzoek aan de Faculteit Bedrijfskunde van de Rijksuniversiteit Groningen. Het beschrijft een onderzoek naar operationele risicobeheersing binnen het effectenbedrijf.

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Deze scriptie is geschreven in het kader van mijn afstudeeronderzoek aan de Faculteit Bedrijfskunde van de Rijksuniversiteit Groningen. Het beschrijft een onderzoek naar operationele risicobeheersing binnen het effectenbedrijf. "

Copied!
62
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 62 pagina )

Hele tekst

(1)
(2)

Voorwoord

Deze scriptie is geschreven in het kader van mijn afstudeeronderzoek aan de Faculteit Bedrijfskunde van de Rijksuniversiteit Groningen. Het beschrijft een onderzoek naar operationele risicobeheersing binnen het effectenbedrijf.

.

Het onderzoek is verricht in opdracht van een tweetal gelieerde bedrijven. Bankport™

en Equilibrio Compliance Partners, hierover later meer.

Verder wil ik bij deze nog van de gelegenheid gebruik maken om een aantal mensen te bedanken. Ik zou Chris Barbiers, Erie.von Grumpkov en Bernard Sternfeld van Bankport™ / Equilibrio Compliance Partners willen bedanken vanwege het feit dat zij dit onderzoek voor mij mogelijk gemaakt hebben. Verder bedank ik Chris voor zijn waardevolle inbreng en kritische opmerkingen bij het tot stand komen van mijn scriptie.

Ook zou ik mijn begeleiders graag willen bedanken, dhr Bronsema en dhr Wijnbeek voor hun begeleiding van mijn afstudeerscriptie.

Hessel Rijpkema

Amsterdam, Augustus 2003

(3)

Management Summary

Deze scriptie beschrijft een onderzoek naar operationele risicobeheersing binnen het effectenbedrijf. Het onderzoek is verricht in opdracht van BPO International (het bedrijf dat de dienst Bankport™ levert en tevens in opdracht van Equilibrio Compliance Partners. Equilibrio ondersteunt financiële instellingen op het gebied van Risk Management, procesbeheersing en compliance. Dit doet zij middels de dienst Bankcontrol.

De doelstelling van dit onderzoek luidde:

Mede ontwikkelen van de dienst Bankcontrol, dat het effectenbedrijf ondersteunt bij risk management, procesbeheersing en compliance.

De vraagstelling luidde :

Welke operationele risico’s kunnen er geïdentificeerd worden binnen het effectenbedrijf en aan welke eisen moet een systeem van risk management &

procesbeheersing in het licht van wet-, regelgeving en externe ontwikkelingen voldoen om een adequate beheersing van operationeel risico binnen het effectenbedrijf te kunnen realiseren?

In dit onderzoek zijn twee benaderingen gekozen om operationele risico’s binnen het effectenbedrijf in kaart te brengen. Een top-down benadering. Hieruit zijn meer

strategisch operationele risico’s (key risks) gekomen die op management niveau spelen.

Tevens is een top-down benadering gehanteerd. Aan de hand van het systematisch in kaart brengen en analyseren van processen zijn operationele risico die in de

bedrijfsprocessen liggen in kaart gebracht. De zogenaamde specific event risks.

Voor de specifieke key risks & specific event risks verwijs ik naar hoofdstuk 6 van deze scriptie.

Het antwoord op de tweede component van de vraagstelling, namelijk aan welke eisen een systeem van risk mangement moet voldoen om operationele risicobeheersing mogelijk te maken heeft geleid tot de volgende uitkomsten

• Risicomanagement moet een centraal element vormen van het totale management systeem

• Adequate signalering en monitoring van strategische operationele risico’s moet plaatsvinden binnen de onderneming.

• Processen en systemen waarin degelijke controlemechanismen zitten om specific event risk af te dekken en tevens monitoring van risico’s in deze processen en systemen plaatsvindt, moeten ontworpen en geïmplementeerd zijn.

• De organisatie moet eisen die de wet- en regelgever aan haar stelt

implementeren in haar organisatie. Deze stellen namelijk vanuit een ander perspectief eisen om operationele risico’s te beheersen.

• De organisatie moet voldoende middelen hebben om financiële gevolgen van operationeel risico op te kunnen vangen.

• De organisatie moet stappen zetten richting de kwantitatieve meting van

(4)

Tevens is het realiseren van interactie tussen risk management, processen en wet- en regelgeving essentieel om een dynamisch systeem van risicobeheersing te creëren dat zich aanpast aan veranderende omstandigheden.

Het geïdentificeerd hebben van operationele risico’s, het treffen van maatregelen om deze risico te beheersen en het voldoen aan bovenstaande geformuleerde eisen zal bijdragen aan het omgaan met het lastige gebied van operationeel risico.

Adequate Operationele Risicobeheersing is alleen mogelijk wanneer binnen de organisatie naast genoemde vereisten risicobewustheid gecreëerd kan worden. Dit omdat de meest gesofisticeerde risk management procedures, structuren en

processen niet kunnen compenseren wat tekorten in risico bewustzijn onder

werknemers teweeg kunnen brengen.

(5)

Inhoudsopgave blz.

Inleiding 7

Hoofdstuk 1 – Achtergrond van het onderzoek & Opdrachtgevers 8

1.1. – Achtergrond van het onderzoek 8

1.2. – Opdrachtgevers 9

Hoofdstuk 2 - Probleemformulering en onderzoeksopzet 10

2.1. – Doelstelling 10

2.2. – Onderzoeksvraag 10

2.3. – Deelvragen 10

2.4. – Randvoorwaarden & afbakening 11

Hoofdstuk 3 – Externe ontwikkelingen 12

3.1 Complexiteit van ondernemingen 12

3.2 Vertrouwensbreuk in het bedrijfsleven 14

Conclusie 15

Hoofdstuk 4 - Consequenties op processen en risk management

Inleiding 16

4.1 Complexiteit en proces 16

4.2 Complexiteit en risk management 17

4.3 Vertrouwensbreuk en proces 17

4.4 Vertrouwensbreuk en risk management 17

Conclusie 18

Hoofdstuk 5 - Risk Management

Inleiding 19

5.1 Over risk management 19

5.2 Kwantificeren van risico 19

5.3 Risk management proces, structuur & modellen 20

5.4 Risico in proces, structuur en model 23

5.5 Typen risico 23

Conclusie 25

Hoofdstuk 6 – Operationeel risico

Inleiding 26

6.1 Over operationeel risico 26

6.2 Operational risk principles 26

6.3 Strategic Operational Risks 28

6.4 Kwantificeren operationeel risico 31

6.5 Schade uit risico 37

Conclusie 37

(6)

Hoofdstuk 7 – Processen binnen het effectenbedrijf

Inleiding 39

7.1 Primaire processen 40

7.2 Client processen 43

7.3 Ondersteunende processen 44

Conclusie 48

Hoofdstuk 8 – Wet- en regelgeving

Inleiding 49

8.1 Bazel Akkoord 50

8.2 Internationale richtlijn 52

8.3 Nationale wet- en regelgeving 54

Conclusies 56

Hoofdstuk 9 - Interactie, risicobewustheid &Integratie

Inleiding 57

9.1 Interactie 57

9.2 Human resources 58

9.3 Realisatie van interactie en risicobewustheid 58

Eindconclusies 61

Literatuurlijst 64

Bijlagen 65

(7)

Inleiding

Enron, Barings, Firestone, Worldcom en recentelijk zelfs Ahold. Allemaal gerenommeerde multinationals die de afgelopen jaren in het nieuws zijn geweest met spectaculaire incidenten die geleid hebben tot financiële verliezen en reputatieschade en in sommige gevallen zelfs de ondergang van deze ondernemingen.

Veel van deze incidenten zijn terug te voeren op het onvoldoende beheersen van bedrijfsprocessen en operationele risico’s van de organisatie.

Risk management en procesbeheersing zijn dan ook onderwerpen die hierdoor in belangstelling komen te staan.

Het beheersbaar maken van processen en risico vergt dan ook steeds meer van ondernemingen.Equilibrio Compliance Partners, het bedrijf waarvoor dit onderzoek mede verricht is, speelt hier op in door de dienst Bankcontrol aan te bieden.

Bankcontrol ondersteunt financiële instellingen in hun procesbeheersing en risk &

management.

In dit kader is onderzoek gedaan naar de beheersing van risico’s en bedrijfsprocessen

binnen het effectenbedrijf.

(8)

Hoofdstuk 1- Achtergrond van het onderzoek & opdrachtgevers 1.1 Achtergrond van het onderzoek

In reactie op incidenten rond bedrijven zoals Barings Bank, Ahold, Worldcom etc. valt er een trend te signaleren waarin wetgevers hierop reageren door meer wetgeving af te kondigen die deze incidenten moeten voorkomen

Op zowel nationaal als internationaal niveau worden met enige regelmaat nieuwe wetten en richtlijnen afgekondigd met betrekking tot de beheersing van processen en risico´s binnen organisaties. Gebleken is dat ondernemingen door middel van zelfregulering niet in staat gebleken zijn om deze incidenten een halt toe te roepen Dit vormt nu een van de argumenten waardoor overheden en toezichthoudende instanties kiezen voor de invoer van strakkere regels.

Zeker binnen de financiële wereld is de trend van nieuwe strakkere wetten en richtlijnen aanwezig vanwege het systeemrisico dat hier bestaat. Dit houdt in dat door de onderlinge verwevenheid en complexiteit van het financiële stelsel de val van een onderneming een niet te beheersen domino-effect zou kunnen veroorzaken en voor instabiliteit van het gehele stelsel zou kunnen leiden.

Om dit te voorkomen reageren wetgevers met het stellen van steeds strengere eisen aan financiële instellingen in de vorm van uitgebreidere wet- en regelgeving en maatregelen van bestuur.

Daarnaast stellen andere stakeholders meer en hogere eisen aan de

informatievoorziening over de kwaliteit van interne processen en besturing van ondernemingen. Dit omdat zij inzien welke gigantische consequenties op kunnen treden wanneer blijkt dat ondernemingen hun risico’s en processen niet onder controle hebben. Om inzicht te bieden in prestaties, processen en risico’s moeten

ondernemingen deze in kaart brengen, monitoren en beoordelen.

Door deze ontwikkelingen komt de beheersing van operationeel risico binnen financiële instellingen meer centraal te staan.

Operationeel risico wordt als volgt gedefinieerd: “the risk of direct or indirect loss resulting form inadequate or failed internal processes, people, internal risk monitoring rules, systems, or from external events”

1

Financiële instellingen zullen in de toekomst dan ook vaker beoordeeld worden op de beheersing van hun operationele risico.

Dit gebeurt vanwege recentelijk gebeurde incidenten die nogmaals duidelijk hebben gemaakt dat risico’s die in de operationele structuren binnen financiële instellingen liggen aanzienlijk kunnen zijn.

Vandaar dat de intentie bestaat dat het beoordelen van financiële instellingen vaker gaat plaatsvinden op basis van een breder scala aan risicogebieden.

Deze ontwikkelingen stellen andere eisen aan ondernemingen dan voorheen.

Ondernemingen moeten ingericht zijn om risico’s waaraan zij blootstaan te monitoren en te beheersen. Om dit proces in een onderneming te sturen vergt dat inzicht in wat er precies gebeurt in de processen en welke risico’s er zitten in deze processen.

1 Bazel Committee 2001: p94.

(9)

Om te voldoen aan deze veranderende eisen van wetgever en stakeholders dienen ondernemingen grote inspanningen te verrichten, die niet direct leiden tot betere resultaten in de vorm van bijvoorbeeld hogere winsten.

1.2 De opdrachtgevers

Equilibrio speelt in op bovenstaande context door de Bankcontrol dienstverlening te ontwikkelen.

BankControl kenmerkt zich door geïntegreerde documentatie van de administratieve organisatie/interne controle, wet- en regelgeving en risico management van financiele instellingen. Hierbij wordt gestreefd naar standaardisatie. Centraal hierbij staat de uitbesteding van het beheer van deze documentatie.

Met behulp van BankControl kunnen ondernemingen de zorg voor adequate, actuele en toegankelijke procesdocumentatie uitbesteden, zodat capaciteit vrijkomt die op andere wijze kan worden aangewend. Wanneer de processen en organisatie daadwerkelijk worden ingericht volgens de BankControl standaard, is tevens gewaarborgd dat de onderneming voldoet aan de relevante wet- en regelgeving.

Op dit moment is de Bankcontrol dienstverlening in ontwikkeling en wordt een pilot bij het partnerbedrijf Business Proces Outsourcing International B.V ( BPO International) uitgevoerd. BPO International is een application service provider die gespecialiseerd is in het outsourcen van backoffice diensten voor effectenbedrijven. Dit betekent dat BPO International totale backoffice oplossingen levert aan effectenbedrijven.

Het uitbesteden van backoffice activiteiten voorkomt dat effectenbedrijven topzware investeringen in IT-infrastructuur moeten plegen en heeft als voordeel dat kosten per transactie inzichtelijk worden. Het integreren van verscheidene backoffices van effectenbedrijven creëert een synergie- en schaalvoordeel waardoor kosten voor alle partners gereduceerd kunnen worden.

Deze dienstverlening wordt onder de naam Bankport™ op de markt gebracht. Onder de naam Bankport™ presenteert de onderneming zich dan ook veelal naar de buitenwereld toe.

Vanuit commercieel oogpunt gezien vullen de Bankport™ en Bankcontrol dienstverlening elkaar aan..

Omdat. de dienst Bankcontrol op dit moment in ontwikkeling is heeft Equilibrio Compliance Partners met betrekking tot bovenstaande context dan ook behoefte aan onderzoek naar de inrichting van processen en risk management functies binnen het effectenbedrijf. Vanuit commercieel oogpunt foccused bankcontrol zich in eerste instantie op het effectenbedrijf, dat onderdeel uit het bankbedrijf / financiële instelling.

Daarom is dit onderzoek ook gericht op juist het effectenbedrijf en niet op een financiële instelling in de bredere zin van het woord.

In het volgende hoofdstuk wordt ingegaan op probleemformulering die voortkomt uit

de context die in dit hoofdstuk geschetst is.

(10)

Hoofdstuk 2 - Probleemformulering en onderzoeksopzet Inleiding

Dit hoofdstuk gaat in op de probleemformulering en onderzoeksopzet die geformuleerd zijn naar aanleiding van de achtergrond van het onderzoek.

Het zal doelstelling, vraagstelling, deelvragen en randvoorwaarden van het onderzoek beschrijven.

2.1 Doelstelling

De doelstelling van het onderzoek is als volgt:

Mede ontwikkelen van de dienst Bankcontrol, dat het effectenbedrijf ondersteunt bij risk management, compliance en procesbeheersing.

2.2 Onderzoeksvraag

Om de doelstelling te realiseren is onderstaande onderzoeksvraag geformuleerd:

Welke operationele risico’s kunnen er geïdentificeerd worden binnen het effectenbedrijf en aan welke eisen moet een systeem van risk management &

procesbeheersing in het licht van wet-, regelgeving en externe ontwikkelingen voldoen om een adequate beheersing van operationeel risico binnen het effectenbedrijf te kunnen realiseren?

Deze vraagstelling komt voort uit het doel van Bankcontrol.

Bankcontrol heeft tot doel effectenbedrijven te ondersteunen bij hun risk management, compliance beheer (het voldoen aan wet- en regelgeving) en procesbeheersing.

Omdat deze dienst in ontwikkeling is heeft Equilibrio behoefte aan inhoudelijke kennis op het gebied van risk management en procesbeheersing Tevens willen zij inzicht in de processen en operationele risico’s die er spelen binnen het effectenbedrijf. Vanuit deze behoefte is bovenstaande vraagstelling ontstaan.

Dit inzicht proberen we in deze scriptie te verschaffen door eerst afzonderlijk in te gaan op de gebieden risk managment, operationeel risico, processen en wet&regelgeving. En dan vervolgens deze gebieden met elkaar in verband te brengen. Dr. Ackoff formuleert de reden voor het hanteren van deze methode als volgt: “Synthesis is needed to understand the why of a system and the interactions between its parts as they work together

2

2.3 Deelvragen

Aan de hand van een aantal deelvragen,die in de afzonderlijke hoofdstukken aan bod komen wordt deze vraag beantwoord.

1. Welke externe ontwikkelingen liggen ten grondslag aan de beheersing van risico’s en processen binnen het effectenbedrijf?”

2. Wat voor consequenties hebben externe ontwikkelingen op de inrichting van processen en risk management?

2 Dr. R Ackoff, geciteerd uit Management Wisdom, 2000

(11)

3. Wat zijn de achtergronden van risico management binnen het effectenbedrijf en welke typen risico en schades kunnen voortvloeien uit het niet goed managen van deze risico’s

4. Welke operationele risico’s kent een effectenbedrijf en hoe kunnen deze geïdentificeerd, gekwantificeerd en beheerst worden?

5. Welke processen zijn er binnen het effectenbedrijf te onderscheiden en wat zijn de risico’s die in relatie staan met deze processen?

6. Welke wet / regelgeving speelt een rol met betrekking tot de processen en beheersing van operationeel risico binnen het effectenbedrijf en welke eisen vloeien hieruit voort?

2.4 Randvoorwaarden en afbakening van het onderzoek

Bij de beantwoording van de probleemstelling zijn er een aantal randvoorwaarden vastgesteld. De randvoorwaarden van een onderzoek geven de beperkingen aan waaraan de onderzoeksresultaten en methoden onderhevig zijn om het onderzoek haalbaar te maken

3

. De Leeuw onderscheidt twee soorten randvoorwaarden:

• Randvoorwaarden met betrekking tot het resultaat:

- Er wordt gekeken naar het effectenbedrijf.

Onder het effectenbedrijf wordt in dit onderzoek verstaan: bedrijven die in opdracht van cliënten bemiddelen in de uitvoer van orders van

financiële instrumenten. Tevens wordt de taak van advisering van cliënten en het doen van research naar financiële markten / bedrijven ook in dit onderzoek meegenomen.

Het effectenbedrijf is feitelijk een onderdeel van het bankbedrijf. In dit onderzoek zal dan ook waar nodig ingegaan worden op bancaire aspecten die raakvlakken hebben met het effectenbedrijf.

- De resultaten van dit onderzoek moeten ook bruikbaar zijn in een te ontwikkelen systeem ten behoeve van de Bankcontrol dienstverlening

• Randvoorwaarden met betrekking tot het proces:

- een onderzoekstijd van 6 maanden, van januari 2003 tot en met juli 2003

(12)

Hoofdstuk 3 Externe ontwikkelingen Inleiding

In dit hoofdstuk wordt ingegaan de eerste deelvraag namelijk op de externe ontwikkelingen die invloed uitoefenen op de beheersing van risico’s en processen binnen het effectenbedrijf. Dit zal gebeuren aan de hand van de volgende deelvraag:

”Welke externe ontwikkelingen liggen ten grondslag aan de beheersing van risico’s en processen binnen het effectenbedrijf ?”

Onderstaande ontwikkelingen zijn niet losstaand en in zekere mate overlappend.Net als dat oorzakelijke verbanden tussen de ontwikkelingen te onderkennen zijn.

3.1 Complexiteit van ondernemingen

Ondernemingen worden steeds complexer. Complexiteit wordt bepaald door de mate van opsplitsbaarheid, voorspelbaarheid, beheersbaarheid en de aard & omvang van de bonodigde informatieverwerking.

4

Dit wordt uitgelegd aan de hand van onderstaande punten.

3.1.1 Vervagen ondernemingsgrenzen

Het aangaan van relaties met externe partijen is tegenwoordig van levensbelang om het voortbestaan van organisaties veilig te stellen. Externe partijen kunnen tegenwoordig beter en/of goedkoper diensten leveren dan de eigen organisatie en hebben benodigde specifieke kennis in huis. Het vergt voor een onderneming veel investeringen om op een breed aantal gebieden kennis te ontwikkelen. Dikwijls blijkt het efficiënter om deze kennis in te kopen of te verkrijgen door het aangaan van relaties.

Tevens kan door het aangaan van relaties met externe partijen het netwerk van potentiële klanten voor een onderneming sterk vergroot worden. In het bedrijfsleven is dan ook de trend waar te nemen dat ondernemingen zich focussen op hun core- business. Activiteiten die hier niet toe behoren worden uitbesteed. Dit gebeurt om concurrerend, innovatief en flexibel te blijven.

Door deze ontwikkelingen wordt het steeds lastiger om de grens tussen onderneming

& omgeving aan te geven. Het aantal entiteiten en de relaties hiertussen waarmee een organisatie te maken krijgt wordt groter. Tevens wordt de beheersing hiervan lastiger Hierdoor neemt de complexiteit van de organisatie toe.

Door het aangaan van relaties met externe partijen nemen afhankelijkheden ten opzichte van externe partijen ook toe.

In deze afhankelijkheid schuilt een risico omdat op situaties niet altijd meer volledige controle kan worden uitgeoefend, omdat deze buiten de ondernemingsgrenzen liggen.

Afstemming van relaties tussen partijen wordt hierdoor noodzakelijker. De informatieverwerking tussen de relaties wordt intensiever. Dit vormt teven een bron van complexiteit.

4 Leeuw,de 1997 : p141

(13)

3.1.2 Focus op groeidoelstellingen

Ondernemingen worden door externe druk steeds vaker gepushed om groeidoelstellingen tot centrale doelstellingen te verheffen.

Hierdoor ontstaan grotere ondernemingen die door hun grootte minder makkelijk te overzien zijn. Het gevolg van grotere en minder overzichtelijke ondernemingen is dat het complexer wordt om dergelijke ondernemingen te beheersen.

In onderstaande figuur worden bronnen weergegeven die ten grondslag liggen aan de toenemende vraag om topprestaties van ondernemingen.door de externe omgeving.

Druk die door de omgeving wordt opgelegd kan leiden tot een vermindering van aandacht voor interne zaken, omdat alle aandacht gefocussed wordt op het presteren.

Figuur 1 Toenemende vraag om topprestaties 5

Als voorbeeld van risico’s die het gevolg zijn van dergelijke ontwikkelingen kan de verkorting van Time to Market gelden. Door externe en interne druk om zo snel mogelijk nieuwe diensten of producten op de markt te brengen, kan de inrichting van het bedrijfsproces dat de nieuwe diensten of producten moet leveren op de

achtergrond raken. Hierdoor kan de noodzakelijke aandacht voor de interne controle en goede procedures om de organisatie beheersbaar te maken tekort schieten . 3.1.3 Technologische ontwikkelingen

Een andere bron van complexiteit zijn de technologische ontwikkelingen; organisaties worden in steeds hogere mate geautomatiseerd. Technologie gaat een steeds belangrijkere rol spelen boven menselijk ingrijpen.

Systemen zijn dikwijls zo geavanceerd dat alleen experts verstand hebben van hun werking en managers kunnen niet doorgronden waar gevaren schuilen in dergelijke systemen. In dit opzicht maakt technologie de organisatie meer afhankelijk van experts, minder doorgrondelijk en dus complexer.

(14)

Concluderend kunnen we zeggen dat het vervagen van ondernemingsgrenzen, de focus op groeidoelstelingen en technologische ontwikkelingen er allen toe bijdragen dat de complexiteit van ondernemingen toeneemt.

3.2 Vertrouwensbreuk in het bedrijfsleven

Een andere ontwikkeling die invloed zal hebben op de wijze waarop ondernemingen omgaan met de beheersing van processen en risico’s is de vertrouwensbreuk die zich heeft voor gedaan in het bedrijfsleven na enkele incidenten. De huivering van investeerders is vooral goed zichtbaar wanneer gekeken wordt naar de wijze waarop investeerders bedrijven de rug toekeren wanneer bekend wordt dat er incidenten hebben plaatsgevonden bij een onderneming; bijvoorbeeld in de vorm van frauderende managers, onjuiste financiële cijfers of producten met mankementen.

.

3.2.1 Oorzaak incidenten

Zoals eerder genoemd is het bedrijfsleven de afgelopen jaren overspoeld met malversaties binnen ondernemingen. Hoewel de aard en consequenties hiervan uiteenlopen vallen veel van deze malversaties terug te leiden tot niet goed werkende interne controle mechanismen of het niet beheersen van risico.

Vaak heeft op een lager niveau in de onderneming een fout / fraude plaats gevonden wat heeft kunnen gebeuren doordat onvoldoende adequate controlemechanismen van bovenaf bestonden. Een voorbeeld hiervan is de Ahold zaak, waar frauderende managers op divisie niveau binnen de organisatie omzetten konden opblazen zonder dat er degelijke controlemechanismen bestonden om hier controle op uit te oefenen.

3.2.2 Meer aandacht voor interne beheersing

Een logisch gevolg van het toegenomen aantal schandalen is een verhoogde aandacht voor interne beheersing en risk management binnen ondernemingen.

Financiers, aandeelhouders, toezichthouders stellen steeds meer en hogere eisen aan de informatievoorziening over de kwaliteit van interne processen en besturing van ondernemingen. Dit omdat zij ingezien hebben welke gigantische consequenties op kunnen treden wanneer blijkt dat ondernemingen hun risico’s en processen niet onder controle hebben.

3.2.3 Bazel II

In reactie op deze incidenten en de aandacht voor interne beheersing zijn er vele initiatieven om de kans op dergelijke incidenten te verkleinen.

Binnen financiële instellingen speelt het Bazel Comittee hier een belangrijke rol in.

Bazel Comittee is het orgaan dat “supervisory standards and guidelines” formuleert met betrekking tot financiële instellingen. Mede op basis van bovenstaande

ontwikkelingen en recentelijk verworven inzichten dat naast markt en kredietrisico’s ook operationele risico’s een belangrijk aandachtspunt dienen te zijn heeft Bazel een nieuw verdrag opgesteld dat in werking treedt in 2006.

Hierin worden eisen aan financiële instellingen sterk aangescherpt en komt een sterke focus te liggen op de beheersing van processen en risico’s in tegenstelling tot het vorige akkoord.

In hoofdstuk 7 zal verder op de exacte eisen die het Bazel II akkoord stelt aan

financiële instellingen worden in gegaan.

(15)

De schandalen, de hieruit voortvloeiende aandacht voor interne beheersing en het aangescherpte nationale toezicht op internationaal niveau aanbevolen door het Bazel Comittee, moeten de vertrouwensbreuk die er is tussen ondernemingen en het

maatschappelijke verkeer helpen te herstellen.

De aanbevelingen van Bazel zijn niet rechtens afdwingbaar, maar in de praktijk blijkt dat wet- en regelgevers de aanbevelingen overnemen en toepassen bij de

ontwikkeling van wet- en regelgeving. Omdat ook financiële instellingen zelf betrokken worden bij de ontwikkeling van de verdragen heeft het verdrag tevens een

zelfregulerend karakter voor de financiële sector.

Conclusie

Complexiteit en een vertrouwensbreuk in het bedrijfsleven. Beiden aspecten die het noodzakelijk maken dat ondernemingen meer aandacht besteden aan

risicomanagement en beheersing van processen. Complexiteit van een organisatie maakt de beheersing hiervan lastiger. Tevens stelt dit andere eisen aan het

risicomanagement.

Ook een vertrouwensbreuk met als consequentie de toegenomen aandacht voor interne beheersing heeft consequenties voor de inrichting van een organisatie.

Wat deze ontwikkelingen zoals beschreven in dit hoofdstuk nou concreet betekenen

voor het risicomanagement en beheersing van processen wordt beschreven in

hoofdstuk vier.

(16)

Hoofdstuk 4 Gevolgen van ontwikkelingen op processen en risk management

Inleiding

Wat betekenen complexe organisaties en een vertrouwensbreuk tussen investeerders en bedrijf nou voor een onderneming? En dan voornamelijk voor de wijze waarop met risk management en de inrichting van bedrijfsprocessen wordt omgegaan. Dit hoofdstuk gaat hierop in.

Dit gebeurt aan de hand van de volgende deelvraag: Wat voor consequenties hebben externe ontwikkelingen voor de inrichting van bedrijfsprocessen en risk management?

4.1 Complexiteit en procesbeheersing

Grotere complexiteit van ondernemingen heeft een aantal consequenties voor de inrichting van de processen:

Gesplitste processen en verantwoordelijkheden

Grenzen van ondernemingen vervagen naarmate meer relaties met andere ondernemingen worden aangegaan en steeds meer delen van processen geoutsourced

6

worden. Dit heeft tot gevolg dat processen en verantwoordelijkheden opgedeeld worden. Een proces dat vroeger binnen een onderneming afgehandeld werd wordt nu door verscheidene ondernemingen op uiteenlopende locaties afgehandeld. Dit heeft toch gevolg dat hierbij logistieke afstemming plaats dient te vindt. Dit heeft consequenties voor de beheersing van deze processen.

Tevens is er sprake van gedeelde verantwoordelijkheden door de participatie van meerdere ondernemingen. Deze verantwoordelijkheden moeten duidelijk zijn en vastgelegd worden.

Verschuiving naar automatiseringsorganisatie

Technologische ontwikkelingen hebben tot gevolg dat de nadruk in bedrijfs processen verschuift naar de automatiseringorganisatie. Geautomatiseerde systemen zullen een belangrijker plaats innemen in organisaties.

Hiervoor moeten systemen werken conform de eisen van de gebruikers.

4.2 Complexiteit en risk management

Tevens stelt een hogere complexiteit van organisaties andere eisen aan het risk management:

• Allereerst zorgen de vervaging van ondernemingsgrenzen en het aangaan van relaties voor een coördinatie- en afhankelijkheidsrisico. Deze risico’s moeten door het risk management herkend en beheerst worden.

• Daarnaast zorgen de technologische ontwikkelingen voor de noodzakelijkheid van een goed inzicht in de risico’s die binnen de IT-organisatie aanwezig zijn

6 Outsourcen is het uitbesteden van processen / diensten door een onderneming aan een externe partij.

(17)

• Doordat externen meer druk op ondernemingsprestaties leggen wordt de focus vaker op korte termijn doelen gelegd. Er moeten op korte termijn prestaties gerealiseerd worden. Deze prestaties moeten tevens op korte termijn zichtbaar worden in de vorm van financiële cijfers.

Werknemers zullen hiernaar gaan handelen met als gevaar dat lange termijn doelen minder centraal komen te staan, maar teveel wordt gefocussed op (financiële) korte termijn prestaties. Het risk management systeem moet ingesteld zijn om dit gevaar te onderkennen, signaleren en te minimaliseren.

• Tevens bemoeilijkt een grote omvang van ondernemingen de beheersing hiervan. Dit vereist extra aandacht voor de beheersing van risico’s en een beter uitgerust risk management systeem dat aansluit op de grootte van de organisatie waarin risico’s geïdentificeerd en beheerst kunnen worden.

4.3 Vertrouwensbreuk en proces

Ook de vertrouwensbreuk tussen het maatschappelijke verkeer en ondernemingen heeft een belangrijke consequentie voor de inrichting van bedrijfsprocessen:

• De gevolgen zijn dat stakeholders meer inzicht willen in de processen van ondernemingen. Een onderneming moet kunnen aantonen dat zij controle uitoefent op de activiteiten die binnen het bedrijf plaatsvinden.

Hiervoor dienen de processen van een onderneming in kaart gebracht te worden zodat aantoonbaar wordt dat de onderneming haar processen onder controle heeft en tevens kan aantonen welke maatregelen getroffen zijn om dergelijke processen te beheersen.

4.4 Vertrouwensbreuk en risk management

Een belangrijk gevolg van de vertrouwensbreuk in het bedrijfsleven voor risicobeheersing binnen ondernemingen is dat:

• Risico’s die in de organisatie aanwezig zijn geïdentificeerd, gemonitord en beheerst moeten worden. Tevens moet een onderneming kunnen aantonen dat zij haar risico’s onder controle heeft.

Aan de hand van classificeren van risico’s naar mogelijke consequenties en de kans dat een gebeurtenis optreedt kunnen risico’s geordend worden. Hierdoor worden key risks die een organisatie kunnen bedreigen in beeld gebracht.

Daarnaast moet een onderneming maatregelen treffen om niet acceptabele

risico’s af te dekken.

(18)

Conclusie

Concluderend uit dit hoofdstuk kunnen we opmaken dat externe ontwikkelingen zoals grotere complexiteit van ondernemingen en de vertrouwensbreuk impact zullen hebben op de manier waarop ondernemingen omgaan met de inrichting van bedrijfsprocessen en risk management. Belangrijke eisen die uit deze ontwikkelingen voortkomen zijn:

- duidelijke verantwoordelijkheidsverdeling, zowel binnen de organisatie, als tussen partijen

- een adequate documentatie van processen, - zwaardere risk management functies

- aantoonbaarheid van kwaliteit en beheersing van processen - monitoren en kwantificering van risico’s in het proces.

- in kaart brengen key risk factoren, kansen en consequenties,

(19)

Hoofdstuk 5 Risk management Inleiding

De term risk management is al eerder gevallen, maar nog niet uitgediept. In dit hoofdstuk zal dieper ingegaan worden op het gebied risk management.

Ofwel eenvoudiger gezegd: het beheersen van risico’s binnen een onderneming.

Aan de hand van de volgende deelvraag wordt dit onderwerp behandeld:

Wat zijn de achtergronden van risico management binnen financiële instellingen en welke typen risico en schades kunnen voortvloeien uit het niet goed managen van risico’s?

5.1 Over Risk Management

Met de term Risk management worden de activiteiten bedoeld die erop zijn gericht de risico’s die een organisatie loopt bij het bereiken van haar doelstellingen, te beheersen.

7

Oorspronkelijk ontstond de term in de Verenigde Staten als uitbreiding van verzekeringsactiviteiten.. Vroeger was men in de veronderstelling dat een risico verzekeren de enige manier was om met risico’s om te gaan.

De zienswijze dat het omgaan met risico’s meer varianten kent dan alleen verzekeren, was een prikkel voor de ontwikkeling van het gebied risk management.

Het uiteindelijke doel van risicomanagement is het realiseren van een consistente implementatie van zowel risico’s en doelstellingen van de onderneming

8

Moderne benaderingen van risicomanagement koppelen van begrip risico aan economische waarden. In deze benaderingen wordt het ontastbare begrip risico kwantificeerbaar gemaakt in de vorm van een economische indicator.

Maar wat is nu een risico? Het begrip risico wordt in spraakgebruik en literatuur op verschillende wijze gedefinieerd en gebruikt. Toch gaat het steeds om onzekere situaties waarbij verschillende uitkomsten mogelijk zijn. Van deze uitkomsten zijn sommige uitkomsten niet gewenst. In dat verband wordt wel van dynamische (zowel winst als verlies mogelijk) en statische risico (uitsluitend negatieve gevolgen worden verwacht).

9

Risico is dus een onzekerheid in het spectra van uitkomsten

10

In deze scriptie beperken wij ons tot de statische risico’s.

5.2 Kwantificeren van risico

Zoals aangegeven staat het meetbaar maken van risico’s in moderne benaderingen centraal. Aan alleen het meten van risico’s heb je in essentie echter niet zoveel.

Er moet ook wat mee gedaan worden. Dit brengt mij bij het begrip capital charge oftewel kapitaaldekkingsfactor.

Zeker in de financiële wereld worden methoden gehanteerd waarbij risico vertaald wordt in een kapitaaldekkingsfactor.

Dit houdt in dat tegenover een bepaalde hoeveelheid risico die gelopen wordt een hoeveelheid kapitaal aangehouden dient te worden ter dekking van dit risico.

7 Courmou, 2000 :p1

8 Belluz D Bel, 2003: p5

9 Coumou 2000: p2

(20)

Hierbij wordt uitgegaan van het principe dat wanneer een onderneming aan grotere risico’s blootgesteld wordt zij hiertegenover een kapitaaldekking aan moet houden om deze risico’s en potentiële verliezen die hieruit voortvloeien te dekken.

Het beheersen en reduceren van risico’s kan vanuit deze optiek een lagere kapitaaldekking tot gevolg hebben waardoor een onderneming haar rendement kan maximaliseren.

De onderliggende filosofie van capital charge is het in lijn brengen van kapitaal met risico. Deze filosofie impliceert een modellering van de waarde van risico, namelijk dat risico te vertalen is in een economische indicator.

Wetgevende en regulerende instanties bepalen in dit kader de maatstaf voor de vertaling van risico naar vermogensdekking. Dit betekent dat zij bepalen hoeveel dekking vereist is bij een bepaalde risicograad.

5.3 Risk management: Proces, Structuur en Modellen

Om het gebied van risk management binnen financiële instellingen gestructureerd in kaart te brengen maken we hierbij onderscheid tussen risk management proces, structuur en modellen. Ondersteunend is hierbij “the piramid or risk management”

Figuur 2 - The Pyramid of Risk Management 11

Het kader van risicomanagement binnen financiële instellingen kan dan als in bovenstaande figuur weergegeven worden. De piramid of risk management onderscheidt een proces (pijl) en een structuur (gelaagde piramide). Samen met modellen moeten zij leiden tot een sluitend raamwerk van risicomanagement.

Dit klinkt abstract maar vormt het kader aan de hand waarvan in latere hoofdstukken operationele risico’s binnen het effectenbedrijf in kaart gebracht worden.

Het afgeleide doel van risicomanagement is adequate beheersing van risico’s en processen binnen een organisatie. Uitgangspunt hierbij is dat het kader waarbinnen risicomanagement plaatsvindt de hele organisatie moet dekken.

11 Bessis 2002: p55

(21)

Dit betekent dat risicomanagement binnen een organisatie zo gepositioneerd wordt dat de hele organisatie omsloten kan worden. Dus dat zowel in de breedte als in de diepte alle organisatieniveau’s en onderdelen meegenomen moeten worden. Voor de diepte betekent dit zowel management als operationeel niveau. Voor de breedte betekent dit alle business units en afdelingen. Om dit te realiseren moet risicomanagement een belangrijke positie innemen op directieniveau in een organisatie.

5.3.1 Structuur

De piramide onderscheidt een aantal hiërarchische niveau’s; de structuur.

De activiteiten die op deze niveau’s plaatsvinden in organisaties moeten gemonitord, gerapporteerd en eventueel gecorrigeerd worden wanneer deze niet correct verlopen en hierdoor schade aan de organisatie kunnen toebrengen.

Elk niveau binnen een organisatie kent zijn specifieke risico’s. Zo zullen er op operationeel niveau risico’s zijn in de trend van bijvoorbeeld het niet functioneren van machines.

Het management krijgt echter met risico’s te maken van totaal andere aard.

Binnen grote organisaties krijgt de piramide meer niveau’s en bij kleine organisaties zal dit beperkt blijven tot management en operationeel niveau.

5.3.2 Modellen

Om op elk niveau binnen een organisatie grip te krijgen op de risico’s en bedrijfsprocessen gebruiken organisaties hier modellen voor.

Elk niveau en type risico stelt andere eisen aan de methoden of modellen. Om risico’s inzichtelijk te maken en te beheersen worden dus afhankelijk van de aard van het risico en het niveau binnen de organisatie verschillende modellen toegepast.

Op management niveau heeft men dan ook hele andere informatiebehoeften met betrekking tot risico’s dan op operationeel niveau.

Een voorbeeld kan dit illustreren. Op management niveau zal men geïnteresseerd zijn in strategische risico’s, ontwikkelingen die een bedreiging vormen voor de organisatie.

Bijvoorbeeld economische ontwikkelingen die de prestaties van de onderneming nadelig beïnvloeden.

Op operationeel niveau zal men meer geïnteresseerd zijn in de beheersing van risico’s die in het proces liggen. Bijvoorbeeld de kans dat bepaalde handelingen niet correct door een werknemer uitgevoerd worden. Natuurlijk is het management ook in deze risico’s geïnteresseerd maar meer op geconsolideerde basis.

Het mag duidelijk dat deze verschillende invalshoeken hele verschillende eisen stellen aan de modellen die dergelijke risico’s in kaart brengen en moeten beheersen.

5.3.3 Proces

The piramide of risk management onderkend naast verschillende niveau’s in

organisaties ook twee processen die deze niveau’s doorkruisen.Een top-down proces

en een bottom-up proces.Deze processen hebben verschillende doelen.

(22)

Het top-down proces heeft ten doel lagere niveau’s in de organisatie aan te sturen met betrekking tot doelstellingen en beheersing van risico’s.

Aansturing op het gebied van winstdoelstellingen, key risks, risicolimieten en business unit / afdelings richtlijnen.

Lagere afdelingen worden aangestuurd om bepaalde prestaties te realiseren. Tevens worden zij aangestuurd om deze prestaties te realiseren binnen bepaalde gestelde risicolimieten (het risiconiveau dat acceptabel geacht wordt door het management) Een voorbeeld kan dit illustreren. Bijvoorbeeld een handelaar op operationeel niveau binnen een effectenbedrijf wordt aangestuurd om zoveel mogelijk rendement te maken met het innemen van posities, dit is de prestatiecomponent. Tegelijkertijd is er een risicocomponent die deze handelaar voorschrijft om geen overnight posities in te nemen omdat hier te grote risico’s aan verbonden zijn. Het top-down proces is hier verantwoordelijk voor deze aansturing.

Het top-downproces geeft vanaf management niveau’s signalen af met betrekking tot doelstellingen en beheersing van risico’s en allocatie van kapitaal.

Deze signalen bevatten winstdoelstellingen, key risks, risico limieten en business unit richtlijnen. Deze benadering dwingt ertoe om inkomsten en kapitaal toe te wijzen aan business units en transacties. Hierdoor worden lagere niveau’s aangestuurd waarin zowel een prestatie component vertegenwoordigd is alswel een component die erop aanstuurt dat deze prestaties gerealiseerd worden binnen gestelde risicolimieten waardoor ongewenste uitkomsten in de hand gehouden worden.

5.3.3.2 Bottom-up proces

Naast het top-down proces kennen we het bottom-up proces.

Het bottom up proces heeft ten doel om risico’s en prestaties te monitoren en te rapporteren. Dit proces moet ervoor zorgen dat management op de hoogte is van prestaties en risico’s die lager in de organisatie aanwezig zijn. Dit betreft dan ook rapportering van bijvoorbeeld inkomsten, transactievolumes en geconsolideerde risico’s. Monitoren en rapportering van prestaties en geconsolideerde risico’s vormt vervolgens weer input voor het management om het top-down proces te sturen.

5.4 Risico in structuur, proces en model

In de vorige paragrafen hebben we het gebied risk management gestructureerd.

Dit maakt het mogelijk om binnen dit gebied componenten te definiëren die een oorzaak van incidenten kunnen vormen.

• De eerste component van risico zit in de structuur. Aan activiteiten die een organisatie verricht zitten vaak risico’s. Deze risico’s worden soms bewust gelopen en soms onbewust. Het is echter wel essentieel om je bewust te zijn van de risico’s waaraan je als organisatie blootstaat. Modellen en methoden zijn hiervoor de instrumenten om deze risico’s te identificeren.

Tegelijkertijd moeten risico’s ook beheerst worden. Ook hiervoor zijn modellen en methoden het instrument om deze risico’s te beheersen en waar nodig maatregelen te treffen.

• De tweede component heeft betrekking op het top-down proces.

Het management van een organisatie moet aansturen op prestaties binnen

(23)

bepaalde risicolimieten. Het management moet waarde toekennen aan risico’s.

Dat wil zeggen dat zij moet aangeven wat zij acceptabele risico’s vindt voor de organisatie en welke risico’s niet acceptabel. Dit vereist een juiste inschatting van het management met betrekking tot deze risico’s. Verkeerde besluitvorming van het management met betrekking tot risico’s vormt dan ook een tweede bron die aan de kern van incidenten kan staan.

• De derde component heeft betrekking op het bottom-up proces.

Om het voor een management mogelijk te maken om risico’s te beheersen moet zij hiervoor juiste input krijgen. Op basis hiervan kan zij het top-down proces sturen en vervolgens kan in de structuur de beheersing van risico’s plaatsvinden op basis van sturing van bovenaf.

In het proces van rapportering van geconsolideerde risico’s en prestaties ligt dan ook de derde bron die kan leiden tot incidenten. Het is vaak voorgekomen dat belangrijke informatie het management niet juist / tijdig bereikt en hierdoor leidt tot incidenten die voorkomen hadden kunnen worden.

5.4 Typen risico

In de vorige paragraaf is ingegaan op het gebied risk management.

Risk management werd gedefinieerd als: de activiteiten die erop zijn gericht de risico’s die een organisatie loopt bij het bereiken van haar doelstellingen, te beheersen..

In deze scriptie richten wij ons op de beheersing van operationeel risico binnen het effectenbedrijf. Het Bazel Committee ( ziet het effectenbedrijf als een business unit van financiële instellingen (zie #6.4.2). Net als dat operationeel risico gezien wordt als een van de risicosoorten waarmee financiële instellingen te maken krijgen. In deze paragraaf wordt een beetje buiten het kader gestapt dat ik als mijn onderzoeksgebied beschouw maar dit draagt bij aan het plaatsen van operationeel risico in een perspectief ten opzichte van andere risico soorten.

Financiële instellingen onderscheiden dan een breed spectra aan risico

12

• Krediet risico

Het risico op faillissement of risicovollere rating van een cliënt.Hierbij loopt de financiële instelling het risico op het (gedeeltelijke) verlies van gelden

uitgeleend aan een cliënt wanneer een cliënt failliet gaat. Tevens treedt een verlies op wanneer een cliënt risicovoller gewaardeerd wordt. Dit valt

eenvoudig uit te leggen aan de hand van de filosofie om risico en kapitaal met elkaar in lijn te brengen. Wanner meer risico wordt gelopen zal hiervoor een hogere kapitaaldekking geëist worden. Tevens treedt virtuele inkomstenderving op, omdat gelden uitgeleend aan de risicovoller gewaardeerde cliënt meer rente inkomsten zouden moeten genereren dan dat zij op dit moment doen vanwege dit toegenomen risico.

• Markt risico

Het risico op niet gewenste schommelingen in de marktwaarde van de portfolio van financiële instrumenten die de onderneming bezit. Dit risico ontstaat vanwege marktbewegingen.

(24)

• Rente risico

Het risico dat gelopen wordt vanwege een daling van inkomsten vanwege bewegingen van rente percentages. Veel items die op de balans van financiële instellingen voorkomen genereren inkomsten en kosten die gestuurd worden door de interest rate. Vandaar dat de gegenereerde winsten hier ook door beïnvloed worden.

• Operationeel risico

Operationeel risico wordt door het Bazel Committee als volgt gedefineerd: “the risk of direct or indirect loss resulting from inadequate or failed internal

processes, people, internal risk monitoring rules, reporting and information- systems, or from external events”

13

• Solvabiliteits / liquiditeits risico

Het risico wanneer een onderneming niet meer kan voldoen aan haar financiële korte en lange termijn verplichtingen. Uiteindelijk kan dit leiden tot een bankruptcy risk.

(Bessis, J 2002:p11)

Vanuit een perspectief van adequate risicobeheersing kan operationeel risico gezien worden als overkoepelend voor de andere soorten risico. Niet goed ontworpen en niet goed werkende risk management systemen die genoemde risico’s moeten beheersen, leiden tot een operationeel risico.

De reden om juist op operationeel risico te focussen is omdat incidenten die de laatste jaren plaatsgevonden hebben veelal hun oorsprong vinden in het niet beheersen van dit type risico met aanzienlijke consequenties. Hierdoor is dit gebied meer in de belangstelling komen te staan.

Conclusies

Hiermee kom ik tot de conclusie van dit hoofdstuk waarin ingegaan is op het gebied risk management, dat kwantificering van risico’s meer centraal komt te staan en tevens de functie van een risk management structuur, het risk management proces, en risk management modellen.

Hiermee is een kader aangegeven dat in de volgende hoofdstukken gehanteerd zal worden om risico’s binnen het effectenbedrijf te identificeren en te structureren.

Een belangrijke uitkomst van dit hoofdstuk is dan ook het inzicht waar risico’s in een organisatie kunnen ontstaan; in de risk management structuur, in het risk management proces of in de toepassing van risk management modellen.

Verder is ingegaan op typen risico die betrekking hebben op een financiële instelling.

Dit is gebeurd om operationeel risico in een breder perspectief te plaatsen in relatie tot andere risicotypes.

Het volgende hoofdstuk zal juist uitvoerig ingaan op de beheersing van het operationele risico binnen het effectenbedrijf.

13 Bazel Comittee 2001: p94

(25)

Hoofdstuk 6 - Operationeel risico Inleiding

Dit hoofdstuk gaat in op de achtergronden en concepten achter operationeel risico, de identificatie en beheersing van operationele risico’s binnen het effectenbedrijf en de mogelijkheden om deze risico’s te kwantificeren.

Dit gebeurt aan de hand van de volgende deelvraag:

Welke operationele risico’s kent een effectenbedrijf en hoe kunnen deze geïdentificeerd, gekwantificeerd en beheerst worden?

6.1 Operationeel risico

Uit onderzoek van de Boston Consulting Group blijkt dat operationeel risico tot op heden een van de meest lastige risico gebieden voor financiële instellingen.

Operationeel risicomanagement blijft dan ook nog steeds een onopgelost gebied voor een zeer grote meerderheid van instellingen die in de financiële wereld opereren.

14

De eerste oorzaak hiervoor is dat er geen eenduidige benadering hiervoor bestaat; en dus niet altijd eenduidig geïnterpreteerd wordt en hierdoor blijft het begrip moeilijk tastbaar.Het Bazel Comittee heeft sinds enige tijd het begrip operationeel risico gedefinieerd mede ten doel om meer grip te krijgen op dit gebied.

Andere risicosoorten zoals markt en kredietrisico werden lange tijd als de meest belangrijke risico’s gezien binnen de financiële wereld. Echter het onderzoek van de Boston Consulting Group heeft aangetoond dat in toenemende mate operationeel risico steeds belangrijker wordt gevonden...

Operationeel risico heeft wat een minder ontwikkeld karakter dan de andere genoemde risicosoorten. Hierbij speelt ook een rol dat het risicogebied zich moeilijker leent voor kwantificering. Dit is tevens de tweede oorzaak waarom dit nog voor zoveel financiële instellingen een lastig gebied is.

Zoals eerder genoemd wordt Operationeel risico door het Bazel Committee als volgt gedefineerd: “the risk of direct or indirect loss resulting from inadequate or failed internal processes, people, internal risk monitoring rules, reporting and information- systems, or from external events”

15

. Dit betekent eigenlijk dat operationeel risico zich richt op alles wat fout kan gaan rond processen, systemen, risicometing, rapportage en werknemers/personen.

The focus ligt op dit moment op een kwalitatieve aanpak richting het meten van operationeel risico. Echter een lijn valt te onderkennen waarin operationeel risico aan kwantitatieve waarden gekoppeld wordt, mede door het nieuwe Bazel Accord.

16

6.2 Operational risk management principles

De International Swaps & Derivates Association (ISDA) heeft naar aanleiding van onderzoek een aantal voorwaarden geformuleerd waaraan Operationeel Risico Management moet voldoen om te komen tot de beheersing van operationeel risico.

Deze worden hieronder weergegeven:

14 Boston Consulting Group 2001 : p27

15 Bazel Committee, The new Bazel Capital Accord 2001: p94

(26)

• Aansprakelijkheid voor het operationeel risico ligt bij het management. Het niveau van risico dat een organisatie accepteert, net als het beleid om deze risico’s te managen wordt top-down gestuurd door diegenen die verantwoordelijk zijn voor de betreffende onderneming, business unit c.q.

afdeling.

• Het management moet ervoor zorgen dat er een effectief geïntegreerd operationeel risico management framework geformuleerd is. Dit moet inhouden: een duidelijk bepaalde organisatie structuur met duidelijke taakomschrijvingen en verantwoordelijkheden voor alle aspecten van het risico management/monitoring. en adequate tools die ondersteunen bij identificatie, beheersing en rapportering van key risks.

• Het management moet kritische operationele risico’s die de onderneming mogelijk kunnen raken onderkennen, begrijpen en gedefinieerd hebben . Verder moet zij ervoor zorgen dat alle operationele risico’s gedekt worden binnen het operational risk management framework.

De ISDA stel dat een het Risk management framework aan de volgende eisen moet voldoen:

• Procedures ten aanzien van operationeel risico die definiëren hoe alle aspecten van het operationele risico gemanaged worden moeten gedocumenteerd en gecommuniceerd binnen het effectenbedrijf. Deze beleidslijnen en procedures moeten in overeenstemming zijn met de bedrijfsstrategie en moeten continue verbetering van het risk management stimuleren.

• Alle business and support functies binnen de onderneming moeten onderdeel uitmaken van het integraal risk management framework om het voor een

onderneming mogelijk te maken alle key operational risks effectief te managen.

Lijnmanagement moet processen realiseren voor de identificatie, monitoring and rapportage van operationele risico’s.

De mate waarin dit geanalyseerd dient te worden, moet nauw aansluiten bij de organisatie.

(International Swaps & Derivates Association, , 2000 :p9)

In deze principles worden enkele uitgangspunten genoemd om het begrip operationeel risico goed te kunnen hanteren en te implementeren binnen organisaties.

Omdat het Bazel Comittee de richting kiest van kapitaalallocatie ter dekking van het operationeel risico impliceert dit meetbaarheid van dit operationele risico.

Benaderingen zoals de hierboven genoemde principles volstaan dan minder goed en moeten aangevuld worden door kwantitatieve benaderingen om operationeel risico ook meetbaar te maken.

Vanuit deze gedachte wordt op dit moment de aanzet geven om kwantitatieve methoden te ontwikkelen om het kader kwantitatief te voorzien van methoden om dit risico meetbaar te maken. Hierop zal in paragraaf 6.4 ingegaan worden.

Om risico’s te kwantificeren is een goede identificatie en definering van deze risico’s

vereist. Om te komen tot een goede perceptie welke operationele risico’s er spelen

binnen een effectenbedrijf gebruiken wij hier twee benaderingen.

(27)

• Een bottom-up benadering waarin specifieke risk events geïdentificeerd worden vanuit de processen en deze via maatregelen afgedekt worden.

• Tevens kan een top-down benadering gehanteerd worden waarin aan de hand van strategisch onderkende operational business risks deze vertaald worden naar lagere operationele niveau’s om deze business risks te dekken.

Beide benaderingen sluiten elkaar niet uit en kunnen elkaar aanvullen om operationele risico’s adequaat te beheersen.

Vanuit de topdown benadering is het belangrijk inzicht te hebben in de key risks die het effectenbedrijf loopt, dit zijn de risico’s vanuit een meer strategisch uitgangspunt.

De bottom-up benadering hanteert de processen als uitgangspunt en zoekt naar maatregelen om deze processen dusdanig in te richten dat risico’s die hierin liggen beheerst worden.

In dit hoofstuk zal dan ook verder ingegaan worden op de operational key risks.

In hoofdstuk 7 zullen de risico’s aan bod komen die liggen in de processen, we definiëren deze als de specific event risks.

6.3 Strategic Operational Risks

In deze paragraaf zullen we de operational key risks die betrekking hebben op een effectenbedrijf in kaart brengen. Dit gebeurt aan de hand van AO beschrijvingen van verschillende effectenbedrijven en de risk analysis manual van de Nederlandse Bank om het geheel te structuren en analyseren.

De reden waarom we deze key risks in kaart brengen is dat kennis van de key risks waar een effectenbedrijf mee te maken heeft een van de vereisten is om een adequate beheersing hiervan mogelijk te maken. Zonder kennis van de eventuele risico’s die een onderneming loopt is het namelijk nooit mogelijk hierop te anticiperen door het verkleinen / beheersen van dit risico door het nemen van maatregelen.

Vandaar dat in dit hoofdstuk de key risks geïdentificeerd worden die betrekking hebben op het effectenbedrijf. Zoals eerder genoemd wordt operationeel risico door Het Bazel Committee als volgt gedefineerd: “the risk of direct or indirect loss resulting from inadequate or failed internal processes, people, internal risk monitoring rules, systems, or from external events”

17

Om te komen tot bepaling van operational key risks zijn per aspect uit de definitie evaluatie topics opgesteld die een handvat vormen om te komen tot identificatie van operational key risks binnen effectenbedrijven. Deze topics zijn weergegeven in onderstaande tabel.

Inadequate or failed: Onderliggende risico’s Doel van evaluatie Evaluatie topics Internal processes Processing risk Bepalen kans op

procesrisico veroorzaakt door inadequate

processen.

- Complexiteit van producten

- Transactiefrequentie - Handmatige /geautomatiseerde interfaces

(28)

Transaction risk

Bepalen van de kans op een transactierisico veroorzaakt door fouten van de onderneming in de relatie tussen cliënt en effectenbedrijf..

- Services uitgevoerd door derden

- Complexiteit van producten - Cliëntacceptatie - Transactiefrequentie - Wijze van transactie -invoer

People HRM risk Bepalen van HRM risico

veroorzaakt door niet toereikende kwaliteit en kwantiteit van

medewerkers in relatie tot activiteiten en doelen van de organisatie

- Kwaliteit en kwantiteit van medewerkers - Autorisaties - Schending

Internal risk monitoring

Risk monitoring risk Bepaling monitoring risk veroorzaakt door een niet adequate monitoring van de risico’s die een organisatie loopt.

- Procedures ter monitoring van risico’s - Systeem ter monitoring van risico’s

Reporting Management information risk

Bepalen van de kans op ineffectieve

besluitvorming veroorzaakt door incomplete en

inaccurate rapportering naar het management, incomplete en

inaccurate financiële rapportage en risicorapportage.

- Complexiteit van de organisatie

(besluitvormingsstructuren

Mate van decentralisatie

Complexiteit van effectensysteem External Events External risk Bepalen van de kans op

externe risico’s veroorzaakt door externe gebeurtenissen die de organisatie raken in haar processen.

Mogelijke externe bedreigingen

Figuur 3 – Risks & Evaluations Topics18

Vanuit deze benadering zijn er aan de hand van de evaluatie topics risico’s te definiëren die een bedreiging kunnen vormen voor de organisatie. Dit zijn algemeen gedefinieerde risico’s. Ieder specifiek effectenbedrijf zal aan de hand van de evaluatie topics voor zichzelf dienen na te gaan aan welke risico’s de organisatie blootstaat. De generieke risico’s waar elk effectenbedrijf rekening mee dient te houden zijn

weergegeven in onderstaande risk map.

Deze strategic operational key risks zijn via een bottom-down benadering geïdentificeerd. Deze zijn in kaart gebracht aan de hand van een Risk Map

Een risk map brengt risico’s in kaart en ordent deze naar impact die deze kunnen hebben op de organisatie en naar invloed die het management op dit potentiële risico kan uitoefenen om dit te verkleinen / beheersbaar te maken.

Een lage management effectiveness betekent dat het relatief moeilijk is om dit risico te beheersen / invloed op dit risico uit te oefenen voor het management.Hierbij het management relatief beter aan de hand van procedures en controles dit risico

18 De Nederlandse Bank, 2001: p 1 t/m 26

(29)

beheersen. Risico’s met een lage management effectiveness moeten adequaat gemonitord worden omdat het lastig is om deze risico’s te af te dekken door procedures en controles. Risico’s met een hoge management effectiveness die nog niet dermate beheerst worden moeten aandacht krijgen omdat het management invloed hierop kan uitoefenen door procedures en controles om deze risico’s te beheersen.

Figuur 4 – Key Risk Map Effectenbedrijf19

Bovenstaande risk map heeft betrekking op het effectenbedrijf. Onderzoek binnen effectenbedrijven heeft de in de map genoemde geïdentificeerde risico’s opgeleverd.

6.4 Kwantificeringsmethoden Operationeel Risico

Omdat risico’s nooit helemaal tot nul te reduceren zijn door het nemen van

maatregelen anticiperen ondernemingen hierop door het aanhouden van financiële buffers om schades te dekken. Dit was al verplicht voor bepaalde soorten risico; maar zal op korte termijn ook verplicht gesteld worden voor operationeel risico binnen financiële instellingen.

(30)

Dit houdt in dat financiële instellingen hun operationele risico meetbaar moeten maken en op basis van dit risico dat gelopen wordt kapitaal moeten aanhouden ter dekking van dit risico.

Naar verwachting van de Boston Consulting Group zal dit binnen enkele jaren verplicht worden. Het meten van risico is altijd een lastig proces.

Het Bazel Comittee heeft een aantal methoden aanbevolen om dit operationele risico meetbaar te maken en te vertalen naar een capital charge ter dekking van het operationele risico.

6.4.1 Basic indicator approach

20

Deze meest standaard benadering alloceert operationeel risico kapitaal door middel van een indicator als meetindicatie voor de operational risk exposure van een onderneming. De operational risk exposure van een onderneming is de mate waarin een onderneming blootgesteld wordt aan risico.

Elke financiële instelling en / of effectenbedrijf moet een bepaalde hoeveelheid kapitaal aanhouden ter dekking van het operationele risico dat zij loopt.

In praktijk betekent dit dat een onderneming een bepaalt percentage (α) van haar gross income als reserve dient aan te houden. Gross Income wordt als meet indicator door het Bazel Comittee aanbevolen. Net als dat door het Bazel Comittee een α van ong. 30% aanbevolen wordt.

De basic indicator approach is gemakkelijk te implementeren en universeel toepasbaar onder financiële instellingen ter dekking van het operationele risico.

Vooral voor kleinere financiële instellingen met een beperkte range aan activiteiten is deze methode geschikt omdat het relatief weinig van een onderneming vraagt om deze methode te implementeren. De activiteiten die een onderneming uitvoert worden gekoppeld aan een risicogemiddelde bepaald door toezichthouders voor de branche waar een onderneming actief is.

6.4.2 Standarised Approach

21

De standarised approch is een meer verfijndere methode om te komen tot allocatie van operational risk capital. Deze methode verschilt in zoverre van de basic indicator approach dat de activiteiten van financiële instellingen onderverdeeld worden in een aantal gestandaardiseerde business units and business lines.

De standarised approach is hierdoor beter geschikt om verschillende risicoprofielen te hangen aan de verschillende bedrijfsactiviteiten van financiële instellingen waardoor een genuanceerder beeld ontstaat van de risico’s die in verschillende business lines van een onderneming gelopen worden. Omdat meting van operationeel risico een lastig gebied is worden doortoezichthouders operational risk exposure indicatoren afgegeven die toepasbaar zijn op de verschillende business lines.

Dit houdt in dat toezichthouders risk exposure indicatoren afgeven die afhankelijk zijn van het type business line. Voor elk business line moet een onderneming dan verschillende risk exposure indicatoren gebruiken en op basis hiervan kapitaal ter dekking van deze risico’s aanhouden.

20 Bazel Capital Accord; Operational Risk Consultative Document, 2001: p6

21 Bazel Committee, Operational Risk Consultative Document, 2001: p7

(31)

Voorwaarde voor het correct hanteren van deze methode is wel dat de structuur van financiële instellingen geconformeerd moet worden aan Business Lines zoals die door het Bazel Comittee omschreven zijn.

De volgende business units en business lines worden onderscheiden:

Business units Business lines Corporate Finance Investment Banking

Trading and Sales Retail Banking Commercial Banking Banking

Payment and Settlement

Others Retail Brokerage

Asset management

Tabel 1Business Lines in Banking22

De capital charge wordt in elke business line berekend door de Beta (de indicator van de operational risk exposure voor de betreffende business line) te vermenigvuldigen met de financial indicator. Veelal wordt hiervoor de omzet gebruikt. De gedachte hierachter is dat een bepaald percentage van de omzet aangehouden dient te worden ter dekking van risico’s die uit operationele activiteiten voortkomen.

De beta’s voor de verschillende business lines worden bepaald door de industrie gemiddelde operationele verliezen per business line .

Voor bijvoorbeeld retail brokerage ziet de formule er dan als volgt uit.:

K retail brokerage = B retail brokerage x gross income

Hieruit komt een kapitaalcharge die gebruikt wordt bij het aanhouden van kapitaal.

Dit wordt geïllustreerd aan de hand van een voorbeeld.

Een effectenbedrijf draait gemiddeld een omzet van 40 miljoen euro.

40 miljoen euro wordt verdient met de commissies op transacties die voor cliënten worden uitgevoerd. De activiteiten waarmee een effectenbedrijf zich bezig houdt vallen globaal onder de noemer Retail Brokerage met als indicator gross income.

Business Line Netto Omzet Beta Retail Brokerage Capital Requirement Retail Brokerage 40 Miljoen Euro 15 % 6 miljoen Euro Tabel 2 Voorbeeld Capital Charge Berekening volgens Standard Approach

Het effectenbedrijf dient 6 miljoen euro ter dekking van operationele verliezen aan te houden.

6.4.3 Internal measurement approach

23

De internal measurement approach gebruikt de zelfde benadering als de standarised approach. Ook hierbij worden verschillende business lines onderscheiden met elk

22 Bazel Committee, Operational Risk Consultative Document, 2001: p7

Referenties

Download het nu ( PDF - 62 pagina - 495.66 KB )

GERELATEERDE DOCUMENTEN

Afstudeerverslag van de studie Technische Bedrijfswetenschappen, Faculteit Bedrijfskunde, Rijksuniversiteit Groningen

Helping CoPs richten zich op relaties tussen gelijken 70 , de leiders van de community besparen geld door de leden te informeren over practices die ontwikkeld of gebruikt worden in

Aan welke eisen moet militaireI

gestipte voedingsprobleem, moet gesteld worden dat mobiel gebruik een autonome voedingsbron noodzakelijk maakt. Dit betekent voor een eenvoudige draagbare

Afstudeerverslag in het kader van de studie Bedrijfskunde Faculteit Bedrijfskunde der Rijksuniversiteit Groningen

> Positionering: Omdat er steeds meer naar de markt gecommuniceerd moet worden is een heldere positionering noodzakelijk: ‘Met Pro Education creëer je groeimogelijkheden door

Scriptie in het kader van de doctoraalstudie Bedrijfskunde

Aangezien de groepering van eenheden de vorm van de organisatie bepaalt (Mintzberg, 1992) lijkt er een basis te zijn voor een relatie tussen deze variabele en de ondersteunende

Afstudeerrapport in het kader van de studie Bedrijfskunde aan de Rijksuniversiteit Groningen

omzetgegevens per franchisenemer, omzetgegevens per product, inzicht in te laat betalende maatschappijen, declaratiegedrag van franchisenemers en inzicht in de oorzaken van het

Deze scriptie is vervaardigd ter afronding van de studie Bedrijfskunde aan de Rijksuniversiteit Groningen

Als eerste zal de externe en interne omgeving van het district geanalyseerd worden, ten einde inzichtelijk te maken welke invloed deze contingentiefactoren hebben op de

Dit afstudeeronderzoek is vervaardigd als onderdeel van de studie Bedrijfskunde aan de faculteit Bedrijfskunde van de Rijksuniversiteit Groningen

Er is gekozen voor deze variabelen omdat op basis hiervan mijns inziens een beschrijving van ieder MD-systeem gemaakt kan worden, zodat duidelijk wordt welke keuzen zijn gemaakt

1997- Dit afstudeerverslag is het resultaat van een afstudeeronderzoek in het kader van de studie bedrijfskunde aan de Rijksuniversiteit Groningen

Door deze groeiende markt zou X meer gasten kunnen aantrekken, die voorheen het hotel niet bezochten, maar door de toegevoegde dienst zullen kiezen voor Hotel X8. Tot slot worden