Grenzen operationeel risico moeilijk af te bakenen

Het Basel Comité definieert operationeel risico als: The risk of loss resulting from inadequate or failed internal processes, people and systems, or from external events. Deze ruime definitie omvat zowel interne als externe risico’s.

Algemeen wordt erkend dat een belangrijk onderscheid tussen operationeel risico en andere risico’s is dat het eerste een negatieve uitwerking kan hebben, waar bijvoorbeeld ondernemersrisico zowel positief als negatief kan uitpakken. Zo is de beslissing tot de introductie van een nieuw (financieel) product dat vervolgens commercieel faalt, een ondernemersrisico.

Een nieuwe stroming binnen het risicovakgebied stelt echter dat operationeel risico wel eens een bredere betekenis kan hebben. Kijkend naar het voorbeeld van de falende introductie van een product: stel dat de beslissing om dit product te lanceren is genomen op basis van onjuiste managementinformatie.

Is er dan niet sprake van een operationeel risico dat zich heeft gemanifesteerd in een ondernemersrisico? Operationeel risico lijkt zo een zeer brede risicocategorie, waarvan de gevolgen zich veelal manifesteren in andere risicocategorieën. Het Basel Comité heeft hierop ingespeeld door de definitie van operationeel risico meer concreet te maken en ‘event type categories’ te benoemen.

Dit zijn categorieën van mogelijke oorzaken van risico’s, waarmee impliciet wordt aangegeven dat juist de gevolgen zich op veel niveaus binnen en buiten de organisatie kunnen manifesteren.

MEER AANDACHT

De toenemende aandacht voor operationeel risico wordt verklaard door een aantal ontwikkelingen. Zo is aangetoond dat in de afgelopen twee decennia zowel het aantal operationele verliezen als de omvang daarvan significant is toegenomen.

De toename van incidenten met continuïteitbedreigende gevolgen valt hierbij ook op. Overigens is er een correlatie aangetoond tussen markvolatiliteit en frequentie en impact van operationele verliezen. Toezichthouders hebben de toenemende invloed van operationeel risico ingezien en geven dit een belangrijke plaats in hun raamwerken (onder andere Basel 2 en Solvency 2).

Operationeel risico is inmiddels een expliciete risicocategorie geworden, waar financiële instellingen kapitaal voor dienen aan te houden. Daarnaast maken financiële instellingen steeds meer gebruik van hoogwaardige informatietechnologie. Deze vergaande automatisering heeft de potentie om risico’s als gevolg van handmatige fouten, met een hoge frequentie en lage impact, te transformeren naar systeemrisico’s met een lage frequentie en hoge impact.

De genoemde toename van juist operationele risico’s met een hoge impact wordt deels door dit interne systeemrisico verklaard.

COMPLEX

Een belangrijke complexiteit van operationeel risico is al aan bod gekomen, namelijk de ruime definitie van het begrip en daaruit voortvloeiend de grote reikwijdte van de gevolgen. Een andere complexiteit ligt in de kwantitatieve aard van het risico. Een typisch operationeel risico komt zelden voor, maar als het zich voordoet, heeft het een grote impact.

Vanwege het gemis aan historische data zijn dit soort ‘low frequency, high impact’- risico’s lastig te voorspellen, laat staan te modelleren ten behoeve van een financiële reserve. Om wel enige operationele risicodata te verzamelen gaan financiële instellingen er in een aantal landen gezamenlijk toe over om al hun operationele verliezen vast te leggen in data consortia.

Het Basel Comité heeft van 89 banken de operationele verliezen met een impact hoger dan tienduizend euro geconsolideerd. De uitkomsten van dit onderzoek zijn vrij vertaald dat diefstal, fraude, gebrek aan transparantie, ethisch ongepaste handelingen en gebrek aan vastlegging de belangrijkste risico’s voor banken zijn, zowel in frequentie als impact.

Rampen zijn vooral in omvang een belangrijk operationeel risico. Een onderzoek naar grote verliezen (meer dan tien miljoen dollar) bij Amerikaanse verzekeraars laat zien dat misleidende verkoop veruit de grootste oorzaak van operationeel risico is, zowel in aantal als omvang. Hierbij dient wel de nuance te worden gemaakt dat in de zwaar ‘verjuridiseerde’ Verenigde Staten dergelijke incidenten een groter risico vormen dan in Europa.

Verder kan worden geconcludeerd dat banken een hogere frequentie aan operationele verliezen kennen, maar verzekeraars een grotere impact per voorval. Interne fraude blijkt een toenemend risico te zijn. Fraude is traditioneel een belangrijk risico, dat de afgelopen jaren nog is versterkt doordat werknemers meer variabel beloond worden.

De hoogte van de beloning vloeit vaak direct voort uit de behaalde resultaten binnen een steeds korter wordend tijdsinterval. Dit werkt een kortetermijnvisie in de hand, het loont om resultaten op te poetsen. Naast een belangrijke motivatie voor het plegen van fraude is er ook een uniek aspect in de sector die de kans op fraude verhoogt: er bestaat in de financiële sector niet altijd een harde relatie tussen de (balans)waardering en de onderliggende goederen en diensten.

De huidige trend van ‘fair value’- waardering versterkt dit, waardoor er veel ruimte ontstaat voor interpretatie en wellicht overwaardering. Door assets bijvoorbeeld een andere bestemming te geven kan heel eenvoudig een waardesprong gerealiseerd worden, terwijl er feitelijk niks verandert. Het is de vraag of functionarissen met een (intern) toezichthoudende en handhavende rol in de dagelijkse praktijk wel voldoende onafhankelijk zijn.

Dit risico is vooral aanwezig bij de minder omvangrijke organisaties. Wij hebben verschillende voorbeelden gezien van compliance officers die zich impliciet onder druk gezet voelden om bepaalde ‘red flags’ niet op te volgen. Het interne frauderisico blijkt overigens al af te nemen door het in eerste instantie bespreekbaar te maken en vervolgens ‘sleutelfunctionarissen’ erop te wijzen dat hun transactieverleden bij een eventueel vertrek ‘geimaged’ en daarmee preventief veiliggesteld kan worden.

Als er fraude wordt vermoed, kunnen met behulp van audit-software snel duizenden documenten en transacties worden geanalyseerd en inconsistenties nader worden onderzocht. De toenemende digitalisering van processen heeft als neveneffect dat bewijzen van fraude gemakkelijker veilig te stellen zijn. Alle documenten en transacties worden nu eenmaal vastgelegd en zijn vaak, ook al verkeren fraudeurs in de veronderstelling dat hun sporen zijn ‘gewist’, nog goed te achterhalen.

SCHADEDATA

Er is een aantal veel voorkomende fasen te herkennen in het management van operationele risico’s. Een logisch startpunt van operationeel risicomanagement is het in kaart brengen van de risico’s, bijvoorbeeld door middel van workshops met proceseigenaren, maar ook benchmarkstudies.

Tevens wordt de omvang van de risico’s gekwantificeerd op basis van schadedata, benchmarkdata en inschattingen. Het ontleden van risico’s in oorzaken en gevolgen helpt hierbij. Deze gegevens wordt gemodelleerd en gesimuleerd door middel van statistische technieken. Hierdoor kan niet alleen de verwachte omvang van het risico, maar ook de mogelijke afwijking daarop worden vastgesteld.

De kansverdeling, die het resultaat is van het kwantificeren van operationele risico’s, wordt gebruikt om de hoeveelheid kapitaal (economic capital) te bepalen die moet worden aangehouden om de kans op een ‘default’ als gevolg van operationeel risico binnen een bepaald maximum te houden.

Hieruit kan de risicotolerantie van een organisatie worden afgeleid: het maximale risico dat een organisatie kan dragen. Overigens heeft het management van een financiële instelling zelf vaak een conservatiever kapitaalbeslag voor ogen (risicoappetijt), bijvoorbeeld omdat enkele belangrijke aandeelhouders risicomijdend zijn of vergelijkbare organisaties dit ook doen.

Het mitigeren van risico’s is de volgende fase en aangezien er vele operationele risico’s zijn, zijn er ook vele manieren waarop deze te mitigeren zijn. Een gedegen AO/IC is niet alleen een wettelijke vereiste volgens de Wft, maar heeft zowel een preventief als een regressief effect op operationele risico’s.

Bij elke mitigerende maatregel wordt een afweging gemaakt tussen de kosten van de maatregel en het effect op het risico. Het ten slotte overdragen van een resterend risico gaat meestal door middel van verzekeringen, al is dit zeker niet de enige manier. Wel heeft de verzekeringsindustrie een breed palet aan producten ontwikkeld die vermogensschade als gevolg van operationele risico’s dekken.

Naast bekende producten als de beroepsaansprakelijkheidsverzekering en Bankers Blanket Bond zijn er de afgelopen jaren nieuwe mogelijkheden bij gekomen, waaronder de fraudeverzekering. De huidige markt voor dergelijke producten is zacht en het is dus een gunstig moment om dit soort producten te overwegen. Een optimaal verzekeringsprogramma wordt opgebouwd rond de geïdentificeerde risico’s en de gevolgen daarvan.

Door verzekeringspremie af te zetten tegen structurele schadelast kan het optimale eigen risico bepaald. Uiteraard speelt de risicoappetijt van een organisatie hierbij ook een belangrijke rol. Vaak zal blijken dat relatief kleine, maar hoogfrequente risico’s voordeliger door de organisatie zelf kunnen worden gedragen. Het onderwerp operationeel risico staat om meerdere redenen in de belangstelling, al is de volledige reikwijdte van het begrip nog niet geheel duidelijk.

Deze risicocategorie kent een aantal unieke kwantitatieve en kwalitatieve eigenschappen die een optimale behandeling ervan zeer uitdagend maken. Recente en mindere recente voorbeelden van incidenten laten echter zien dat financiële instellingen operationele risico’s niet ongemoeid laten.
 

Literatuur R. Wei, Operational Risks in the Insurance Industry (2003)

JAN VAN DER VELDE is consultant bij Marsh Risk Consulting