Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
www.finansnorge.no
Operasjonell risikoNorges Bank, 8. november 2017
Are Jansrud, Finans Norge
www.finansnorge.no
Operasjonell risiko
• Hva er det?
• Hvorfor er det «så vanskelig»?
• Høyaktuelle temaområder
• «Conduct risk»
• Identifisering, måling, styring og kontroll
• EBA guideline: Internal governance
www.finansnorge.no
Operasjonell risiko: Hva er det?
www.finansnorge.no
www.finansnorge.no
Kilde: Financial Times, fredag 1.9.2017
«… accounts that customers did not authorise, …»
«… «inadequate» controls on the sale of car
insirance … led to more than half a million
customers being billed for coverage they did not
want.»
www.finansnorge.no
www.finansnorge.no
Definisjon
“the risk of loss resulting from inadequate or failed internal processes, people
and systems or from external events”
(Basel II, 2006)
«Finanstilsynet definerer operasjonell risiko som ”risikoen for tap som følge av
utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige
feil, eller eksterne hendelser”. Definisjonen omfatter juridisk risiko, men ikke
strategisk risiko og omdømmerisiko som må vurderes særskilt.”
(Finanstilsynet, Modul for operasjonell risiko)
www.finansnorge.no
Hvorfor er det «så vanskelig»?
www.finansnorge.no
Operasjonell risiko: Hva er egentlig problemet?
• «Tverrgående» risikoklasse
www.finansnorge.no
«Innhold»: Operasjonell risiko går på tvers!
Kredittrisiko Markedsrisiko Motpartsrisiko Likviditetsrisiko
Operasjonell risiko
“Operasjonell risiko (OpRisk) er et vidt fagfelt som griper inn på overordnet styring og kontroll og andre risikoområder, noe som kan gjøre det
utfordrende å avgrense risikoområdet.»
(Finanstilsynet, Modul for operasjonell risiko)
Strategisk risiko
Omdømmerisiko
www.finansnorge.no
«Innhold»
«Tilsynelatende»
risikoklasse
Eksempler Kommentarer
Kredittrisiko Utlånstap – som følge av svake
kredittprosesser, feilaktig eller
mangelfullt informasjonsgrunnlag, etc.
Svake eller sviktende interne
prosesser er en uønsket
operasjonell situasjon.
Omdømmerisiko Tapt anseelse pga dårlig
kundebehandling, IT-problemer, store
tabber/feil, etc.
«Omdømmerisiko» er ikke en
risiko, men en konsekvens,
gjerne av svake
operasjonelle prosesser
Markedsrisiko Tap på finansielle posisjoner som følge
av rammebrudd – bevisste eller
ubevisste
Avvik fra rammer og rutiner
er en uønsket operasjonell
hendelse
Likviditetsrisiko Unødvendig høye innlånskostnader som
følge av svake eller mangelfulle rutiner
for likviditetsprognosene
Svake eller sviktende interne
prosesser er en uønsket
operasjonell situasjon.
www.finansnorge.no
Operasjonell risiko: Hva er egentlig problemet?
• «Tverrgående» risikoklasse
• Målingsproblematikk:
– Datamangel
– Skjønn
www.finansnorge.no
Operasjonell risiko: Hva er egentlig problemet?
• «Tverrgående» risikoklasse
• Målingsproblematikk:
– Datamangel
– Skjønn
• Risikoerkjennelsen
– «Svarte svaner»
– Små, høyfrekvente tap – oppfattes som «driftskostnader»; ikke
risikokostnader
www.finansnorge.no
Svarte svaner kan ofte være operasjonelle ….
Professor Aven definerer 3 kategorier av
sorte svaner:
• ukjente trusler som ikke er kjent fra
fortiden (såkalt "ukjente ukjente")
• trusler som er kjente for noen, men som er
ukjente for de som gjennomfører
risikoanalysen
• trusler som blir neglisjert i risikoanalysen,
fordi sannsynligheten er veldig lav.
Andre har tatt til orde for av begrepet bør
reserveres for kun de fullstendig ukjente
trusler.
Kilde: https://snl.no/Sorte_svaner_-_innen_risikostyring
Finnes de?
Blir disse også svarte?Er det virkelig så
mange av dem?
Ser vi dem blant alle
de hvite?
www.finansnorge.no
Risiko
It is not what we know,
but what we do not know
which we must always
address, to avoid major
failures, catastrophes
and panics.
15
Event not in
sample …
Richard Feynman, fysiker
“
www.finansnorge.no
Eller: Risiko
It is not what we know,
but what we do not know
which we must always
address, to avoid major
failures, catastrophes
and panics.
16
Event not in
imagination …
Richard Feynman, fysiker
“
www.finansnorge.no
Eller: enda verre ….
It is not what we know,
but what we do not know
which we must always
address, to avoid major
failures, catastrophes
and panics.
17
Event not in
imagination …
Richard Feynman, fysiker
“
www.finansnorge.no
Et enkelt risikobilde
Sikker
Sannsynlig
Middels
Lite
sannsynlig
Usannsynlig
Ubetydelig Lav Middels Høy Ekstrem
18
Konsekvens
Sann
synlig
he
t
www.finansnorge.no
Et enkelt risikobilde
Sikker
Sannsynlig
Middels
Lite
sannsynlig
Usannsynlig
Ubetydelig Lav Middels Høy Ekstrem
19
Konsekvens
Sann
synlig
he
tBeredskapsplaner
Scenarioer
Stresstesting
Prosessforbedring
«Business as usual»-
risikostyring
www.finansnorge.no
Høyaktuelle temaområder
www.finansnorge.no
Høyaktuelle temaområder
• Teknologirisiko
• Robotisering
• «Conduct risk»
• Anti hvitvask og anti terrorfinansiering
• Endringsprosesser
www.finansnorge.no
«Conduct risk»
www.finansnorge.no
«Conduct risk» og compliance
«Conduct risk»:
• Ingen entydig definisjon
• Har å gjøre med måten banken og
bankens ansatte oppfører seg på.
• Misconduct: «Conduct that falls
short of expected standards,
including legal, professional and
ethical standards.” (FSB)
• Compliance: etterlevelse av lover
og regler
“338. Conduct risk is defined as the current or prospective risk of losses to an institution
arising from an inappropriate supply of financial services, including cases of wilful or
negligent misconduct.” Kilde: EU-wide stress test 2018
Financial Conduct Authority (UK):
• Fair treatment of the firm’s
customers
• Protection of consumers
• Effective competition
• Integrity of the UK financial system
www.finansnorge.no
«Conduct risk»-appetitt«Hvor nært
kanten av
bordet tør
du å
kjøre?»
• Compliance med lover
og regler …. ?
• Complinace med etikk
og moral …. ?
• Compliance med hva
«folk flest» mener er
greit …. ?
«It is as if, too often, people had given up asking
wether something was the right thing to do, and
focused only on wether it was legal and complied
with the rules.»
Stephen Green, tidl styreleder HSBC – mars 2010
www.finansnorge.no
«Conduct risk»
«ROBOT
CONDUCT»
REGELVERKS-
BRUDD
KUNDE-
HÅNDTERINGMARKEDS-
MISBRUK
«BIG DATA»MISBRUK & MARKEDSFØRING
PRODUKT-
EGENSKAPER
«MISSELLING»
BÆREKRAFT
ANTI HVITVASK
BENCHMARK-
MANIPULASJONREGNSKAPS-
MANIPULASJON
www.finansnorge.no
«Conduct risk»
«CONDUCT RISK»
Belønnings-
system
Risikoappetitt
Målesystemer
Interesse-
konflikter
«Tone of the
top»
Compliance
Etikk og moral
Product
governance
Ambisjonsnivå
(«stretched
target»)
«Tone of the
middle»
www.finansnorge.no
Produkter og «conduct risk»
Design-
risiko
Gjennom-
føringsrisikoOmgivelses-
risiko
Conduct risk-
kostnader
Komplekst produkt med ikke
ubetydelig finansiell risiko, men
samtidig et instrument med høy
forventet avkastning.
Utilstrekkelig
opplæring av
ansatte
Kundene får ikke
god nok informasjon
Kraftig børsfall.
Kundenes tap
utløses i betydelig
grad.
Kundeklager, omdømmetap og
erstatningskrav
www.finansnorge.no
Product governance and oversight
Product governance
Design
Vilkår
Salg
Krav
Klager
www.finansnorge.no
Kilde: Central Bank of Ireland: A Guide to Consumer Protection Risk Assessment
www.finansnorge.no
Måling av «conduct risk»
• Kundeklager
• Erstatninger
• Medieoppslag
• Kundetilfredshet
• Omfang av interne varslinger
• Avvik i interne kvalitetskontroller
• Tilsynsmerknader
• Internrevisjonsobservasjoner
• Omfang av redusert variabel godtgjørelse pga «misconduct»
• Omfang av interessekonflikter
• Antall brudd på policy for interessekonflikter
• Andel produkter solgt til kunder utenfor definert målmarked
• Kundenes «value for the money»:– Kundeavkastning (mot «benchmark») –
etter relevante kostnader
– Utnyttelsesgrad solgte produkter
– Grad av bruk av angreretten
www.finansnorge.no
Operasjonell risiko: styring og kontroll
31
www.finansnorge.no
Risikostyring
1. Identifisere
2. Vurdere
3. Måle
4. Overvåke
5. Håndtere
6. Rapportere
www.finansnorge.no
Hvor «finnes» den operasjonelle risikoen?
• Prosessene
• Rutinene
• Systemene
• Produktene
• Ansatte: kompetanse – erfaring – holdninger – «dagsform»
• Kapasitet
• Fysiske fasiliteter
• De eksterne omgivelsene
• Prosjektene
www.finansnorge.no
Identifisere og vurdere operasjonell risiko:
Et meget praktisk fag!
• Krever god og dyp praktisk innsikt i bankens forretningsprosesser, rutiner,
systemer og teknologiske løsninger !
• Krever god og dyp praktisk innsikt i bankens produktspekter og de enkelte
produktenes egenskaper !
• Krever god evne til å se og forstå hvordan eksterne begivenheter kan påvirke
banken – bl.a. hvordan banken er integrert i ulike nettverk
• Krever interesse for og innsikt i samfunnstrender og utviklingstrekk på mange
fagområder
• Krever god fantasi og vilje til å tenke på og ta inn over seg det utenkelige !
Og en tverrfaglig øvelse !
www.finansnorge.no
Ulike kilder og teknikker for op risk-vurderinger
• Eksterne tapsdata og analyser
• Interne tapsdata og analyser
• Revisjonsfunn
• Risk Self Assessment (RSA) / Risk Control Self Assessment (RCSA)
• Prosesskartlegging - Business Process Mapping (BPM)
• Key Risk Indicators (KRI)
• Scenarioanalyser
• Måling - kvantifisering
• Sammenlignende analyser
www.finansnorge.no
Et detaljert, konkret og praktisk arbeid
www.finansnorge.no
Styring av operasjonell risiko: «svarte svaner»
• «Idèdugnader»
• «Red teaming»
• Eksterne kilder
• Kompetansebygging
• Holdninger og bevissthet
• Løpende overvåking
– «Early warning»
• Bevisst og systematisk analyse
• Vær forberedt!
– Fleksible beredskapsplaner!
1. Hva er det jeg «ser»?
2. Hva er det som faktisk skjer?
3. Tolkning og analyse: årsaker?
4. TiltakX
Vi kan lett bli «fristet» til å finne
tolkninger og forklaringsmønstre som
passer inn i vårt «verdensbilde» – våre
«ønskede» forklaringer.
www.finansnorge.no
Styring av operasjonell risiko
Risikoerkjennelse:
«’risk acknowledgement’ is about accepting the risk and making necessary
conclusions and actions.»
«’Risk acknowledgement’ means taking the risk to heart, accepting the
situation and drawing the necessary conclusions.»
«… black box risk-based thinking, which relates to numbers alone and does
not inform sufficiently about the context, the limitations of the numbers to
represent and express risk, as well as the knowledge and assumptions on
which these judgements and numbers are founded.»
Kilde: Ø. Amundrud og T. Aven: On how to understand and acknowledge risk, Reliability Engeneering and System Safety
www.finansnorge.no
Et enkelt risikobilde
Sikker
Sannsynlig
Middels
Lite
sannsynlig
Usannsynlig
Ubetydelig Lav Middels Høy Ekstrem
39
Konsekvens
Sann
synlig
he
t
www.finansnorge.no
Et mer avansert risikobilde (1)
Sannsynlighet Konsekvens Hurtighet Forberedthet
www.finansnorge.no
Et mer avansert risikobilde (2)
Risiko Sannsyn-
lighet
Konse-
kvens
Hurtighet Forberedt-
het
Totalnivå Tiltak
Skala 5:Nesten sikkert
4: Sannsynlig
3: Middels
2: Lite sannsynlig
1: Usannsynlig
5: Katastrofalt
4: Alvorlig
3: Moderat
2: Lav
1: Ubetydelig
3: Hurtig
2: Middels
1: Langsomt
1: Meget godt
2: Tilfredsstillende
3: Noen mangler
4: Svakt
Grønn: 1 - 75
Gul: 76 - 150
Rød: 150 - 300
Hacker-
angrep
4 5 3 1 60
«Conduct
risk»
3 4 2 4 96 Nye rutiner i forhold
til Forskrift om
kredittmarkedsføring
Brann 2 5 3 1 30
«Rogue
trader»
3 5 3 4 180 Fullmaktsrevisjon
Nytt elektronisk
handelssystem
www.finansnorge.no
Finanstilsynets modul
1.2. Strategi og overordnede retningslinjer (policyer) – innhold
• I strategien bør styret tydelig definere sin operasjonelle risikotoleranse.
Fastsettelsen av risikotoleranse skal definere nivået på operasjonell risiko som
foretaket er villig til å akseptere.
• Risikonivået må stå i forhold til foretakets soliditet og lønnsomhet.
• Strategi og policy bør inneholde kvantifiserte rammer for eksponering på
ulike områder og for ulike typer operasjonell risiko.
• Foretaket bør ha en systematisk tilnærming til sin definering og vurdering av
sin risikotoleranse, og scenarioanalyser er én teknikk som kan brukes til dette.
www.finansnorge.no
Risikotoleranse – mulig rammeverk
Risikotoleranse-utsagn
(«statement»)
Rammer og måltall
Organisering og ansvarsforhold
Måling og rapportering
Beslutninger
www.finansnorge.no
Risikotoleranse og risikorammer
– fastsettelse av nivå
• Risikoevne:– Kapital og likviditet
– Kapasitet
– Kompetanse
• Risikoappetitt:– «Viljebasert»
– Skjønn og «magefølelse»
Risikoappetitt
Risikoevne
www.finansnorge.no
De 4 grunnleggende måtene å
forholde seg til risiko på
•Avstå
•Dele
•Begrense
•Akseptere
45
Forby / Avvikle
www.finansnorge.no
De 4 grunnleggende måtene å
forholde seg til risiko på
•Avstå
•Dele
•Begrense
•Akseptere
46
Forby / Avvikle
Forsikre / Finansielle sikringer / Joint venture
www.finansnorge.no
De 4 grunnleggende måtene å
forholde seg til risiko på
•Avstå
•Dele
•Begrense
•Akseptere
47
Forby / Avvikle
Forsikre / Finansielle sikringer / Joint venture
Risikorammer / Nedsalg
www.finansnorge.no
De 4 grunnleggende måtene å
forholde seg til risiko på
•Avstå
•Dele
•Begrense
•Akseptere
48
Forby / Avvikle
Forsikre / Finansielle sikringer / Joint venture
Risikorammer / Nedsalg
= Risikotoleransen
www.finansnorge.no
Å finne toleransegrensen:
Stresstester og scenarioanalyser
Stresstester
• Sensitivitetsanalyser
• Alvorlige tenkte hendelser
Scenarioanalyser
• Komplette, sammensatte
hendelsesforløp
49
www.finansnorge.no
Å finne toleransegrensen: Omvendte stresstester
FORETAKET HAR IKKE TILSTREKKELIG KAPITAL
HVOR STORE TAP MÅ TIL FOR AT DETTE SKAL KUNNE SKJE?
HVILKE SCENARIER KAN SKAPE SLIKE TAP?
KAN DISSE SCENARIOENE INNTREFFE?
ER DET SANNSYNLIG / HVOR SANNSYNLIG ER DET AT DE
INNTREFFER?
50
www.finansnorge.no
Måling av operasjonell risiko
OPERASJONELL
RISIKO
Kundeklager
Uønskede
hendelser
«Sannsynlighet
og
konsekvens»
Tids- og kostnads-
overskridelser i
prosjekter
Compliance-
brudd
Internrevisjons-
rapporterTilsyns-
rapporter
IKT-hendelser
Operasjonelle
tap
Kulturmålinger
Scenario-
analyser
Stresstester
Omvendte
stresstester
«Prosess-
overvåkning»
www.finansnorge.no
Risikomåling og kapitalbehov – banker
• Kapitalkravet beregnes på basis av en
Business Indicator (BI) – skalert med en
Tapskomponent (TK)
BI = Rente, leasing og utbytte-
komponenten + Servicekomponenten
+ Finansiell komponent
• Kapitalkravet:
BI under 1 mrd EUR: 11% * BI
BI over 1 med EUR: 110 mill + (BIC
– 110) * Ln (Exp (1) – 1 + TK/BIC)
Gjeldende regelverk
• Basismetoden12,5 * 15% * Gjennomsnittsinntekt siste 3 år
• Sjablongmetoden
• AMA-metoden
Pilar 1-metodenene er ikke
nødvendigvis risikosensitive …
www.finansnorge.no
Risikomåling og kapitalbehov – banker
• Statistisk analyse på intern taps- og hendelsesdatabase– Ofte (for) tynt datagrunnlag – men bedre enn ingen ting ?
• Stresstester:– «Worst case», men kan overdrive kapitalbehovet pga manglende
justering for sannsynlighet
• Stresstester– Sensitivitetsanalyser / Alvorlige hendelser – hva med sannsynligheten ?
• Skjønnsmessige vurderinger– Grunnlaget for kvantifiseringen ?
www.finansnorge.no
EBA Guideline: Internal governance
• Publisert 26.9.17
• Gjelder fra 30.6.18
• Erstatter GL44
• Bakgrunn:
– CRD IV
– Erfaringer fra finanskrisen
• Varsler at eksisterende guideline
om utkontraktering vil bli revidert
www.finansnorge.no
EBA Guideline: Internal governance
Sammenlignet med tidligere retningslinjer for intern styring og kontroll innebærer
denne nye versjonen nye krav og forventinger særlig hva gjelder:
• det å etablere en sunn risikokultur,
• rammeverket for risikostyring,
• ledelsens oversikt over foretakets aktiviteter,
• nye krav til transparens omkring «offshore»-aktiviteter og
• håndteringen av risiko i endringsprosesser
www.finansnorge.no
EBA Guideline: Internal governance
Økt fokus på «myke verdier»
RISK
CULTURE
CONFLICT OF
INTERESTCODE OF
CONDUCT
CORPORATE
VALUES
www.finansnorge.no
EBA Guideline: Internal governance
…. Men harde krav
«… ensure that staff are aware of the potential internal and
external disciplinary actions, legal actions and sanctions that
may follow misconduct and unacceptable behaviours.»
www.finansnorge.no
EBA Guideline: Internal governance
Risikokultur:
• «Tone of the top»
• Ansvarliggjøring
• Effektiv kommunikasjon
• Effektiv utfordring
• Belønning
• med mere …
www.finansnorge.no
EBA Guideline: Internal governance
«However, it should be
remembered that
business lines or units,
as the first line of
defence, have a material
role in ensuring robust
risk management and
compliance within an
institution.»
Viktig presisering
Styret
Ledelsen
FO1 FO2
Forretnings-
område
Geografi
Forretnings-
område
Geografi
Risk Management
• Støtte
• Koordinering
• Kontrollere
Støttefunksjoner
• Økonomi/regnskap
• Informasjon
• Juridisk
• HR etc Uavhengig
kontroll og
bekreftelse
Støtte til
implementering,
oppfølging og kontroll
Risikostyring integrert i
daglig drift
Rollefordeling1. Forretningsområdene
Har primæransvaret for å identifisere, håndtere, kontrollere og rapportere risikoer.
2. Risk Management og Compliance• Støttefunksjoner som risikostyring,
compliance og økonomi/regnskap skal bistå forretningsområdene.
3. LedelsenLedelsen implementerer og gjennomfører strategien og risikostyringen. Ledelsen må ha god innsikt i og forståelse for forretningsvirksomheten og risikoeksponeringen.
4. InternrevisjonenGjennomfører uavhengige vurdering er av om den interne kontrollen og risikostyringen er i tråd med kravene i rammeverket.
5. StyretBeslutter mål og strategier, samt selskapets risikotoleranse. Styret må følge opp at strategier gjennomføres og risikotoleranse overholdes. Styret må ha god innsikt i og forståelse for forretningsvirksomheten og risikoeksponeringen.
Internrevisjon
www.finansnorge.no