Hoe komt het dat de banken hun risico’s zo slecht beheerd hebben? Was- en is- het probleem toe te schrijven aan een manke organisatie met te weinig transparantie in de processen en de verantwoordelijkheden?

Was- en is – het een gebrek aan tools en competenties? Is het een kwestie van governance? Zijn de modellen te complex, te onaangepast, te talrijk en slecht bestudeerd? In hoeverre kan it een oplossing zijn? Moet risicobeheer worden bekeken als één coherent geheel of als de som van specifieke oplossingen? En welke rol moet een ‘chief risk officer’ hierin spelen?

Een mooi onderwerp, met een brede waaier van subthema’s voor een debat. Onze gasten-gesprekspartners in alfabetische volgorde:

George Ataya (Solvay Business School, IT Governance Institute), Paul Evrard (ClearPriority), Michel Philippens (SAS), Dermot Redmond (Capgemini Consulting Services), Stéphane Theys (Sybase), Siegfried van Puyvelde (FinArch) en Stijn Verhulst (PricewaterhouseCoopers).

Een eerste rondvraag, op zoek naar oorzaken, maakte meteen duidelijk hoe veelzijdig en uiteenlopend die oorzaken wel zijn…

Georges Ataya: We mogen niet vergeten dat risicobeheer op verschillende niveaus thuishoort. Echt risicobeheer, dat het operating model en zijn zwakke plekken identificeert en dat moet vermijden dat die ontaarden in echte incidenten, is verre van systematisch. En áls het bestaat, is het de zaak van vrij lage niveaus in de organisatie, van technici. De algemene directie kent die kwesties zelden…

Stijn Verhulst: Eén van de hoofdoorzaken is het model en de té grote geloofwaardigheid die eraan gehecht wordt. Op zeker moment begint dat een eigen leven te leiden: de mensen hebben dan niet de reflex om een stapje terug te zetten en zich af te vragen of dat allemaal nog wel steek houdt. Het is vooral een kwestie van mentaliteit. Iedereen moet kunnen afvragen of hij niet té sterk gelooft in zijn eigen model.

Michel Philippens: SAS heeft een onderzoek gevoerd bij risk management-verantwoordelijken en gevraagd naar de drie belangrijkste redenen die een invoering van bedrijfsoverkoepelend risicobeheer in de weg staan. Antwoorden:

– de afwezigheid van een cultuur van risicobeheer op het hoogste niveau: bij de meeste banken heeft de directie in haar beslissingen onvoldoende rekening gehouden met bedenkingen in de sfeer van risk management;

– de meeste risicoanalyses en stress tests hebben tot onjuiste evaluaties geleid, en vele risico’s werden onderschat;

– een gebrek aan kwaliteit en ‘snelheid’ van data: de weg van het operationele systeem naar het dashboard van het directiecomité is te lang. Dat is vooral het gevolg van sterk verspreide infrastructuren, technologieën en systemen die onderling bovendien slecht communiceren.

Stéphane Theys: Er zijn volgens mij genoeg modellen geïnstalleerd. Een meer frekwente reporting is echter noodzakelijk, met tools die de directie een algemener risicobeeld schetsen, precies om die risico’s te kunnen afbakenen.

Dermot Redmond: Op het vlak van governance ontbreekt het aan mensen met voldoende gewicht en persoonlijkheid om bepaalde attitudes af te dwingen. Verder waren te weinig modellen logisch opgebouwd of toch zodanig dat ze het hoofd konden bieden aan de consequenties.

Paul Evrard: Een hele reeks controles zijn verplicht binnen een bank maar zijn vandaag zeer moeilijk te installeren omdat de mensen nog veel per silo, per toepassingsdomein of per business redeneren en geen bedrijfsbrede kijk hebben. Ze zijn ook niet in staat om het domino-effect van risico’s in te zien. De huidige monitoringtools zijn vaak op it, veiligheid, infrastructuur gericht, maar niet aangepast aan het businessvocabularium. Het komt erop aan zo snel mogelijk het juiste directieniveau te waarschuwen, met een minimum aan menselijke interventie. Dat laatste betekent namelijk een extra risico.

Siegfried van Puyvelde: Alle systemen voor risicobeheer zijn gericht op wat gisteren gebeurde. Idem voor de regulatoren: ze reageren altijd op gebeurtenissen uit het verleden. De huidige problemen hangen samen met een gebrek aan cultuur van risk management, met het feit dat de risk managers hiërarchisch te laag zitten, met de geldende procedures en systemen.

Is er een oplossing voor die problemen van versnippering en verscheidenheid op het niveau van systemen, verantwoordelijkheden, organisatie of processen?

Georges Ataya: Een centraal systeem voor risicobeheer dat alles zou moeten begrijpen en weten? Zoiets werkt niet. Integendeel, als elke werknemer op zijn terrein de risico’s verbergt voor zijn management, kan dat onmogelijk weten wat er gaande is. De oplossing? Ongeacht de tools, de methode, de motivatie, de processen, de bewustmaking, kan je niet zonder het concept van ownership: iedereen is eigenaar van zijn risico’s en iedereen moet aanvaarden dat zijn chef even verantwoordelijk of zelfs nog meer verantwoordelijk is dan hijzelf.

Siegfried van Puyvelde: Een ander aspect dat vandaag verwaarloosd wordt, is het aggregatie-effect, namelijk dat samengevoegde risico’s elkaar dikwijls behoorlijk versterken. Veel banken hebben nog een te beperkt inzicht in deze geaggregeerde risico’s. De integratie kan verlopen via een FRP (finance resource planning) [naar analogie van een ERP], een concept dat de bankwereld vandaag nog niet kent. Het is gesegmenteerd in boekhouding, MIS, regulatory reporting, risk management… De reporting vraagt meerdere dagen, waarop de reconciliatie volgt, de audit… Dit platformconcept moet zijn weg nog banen.

Paul Evrard: De banken beseffen dat moet worden begonnen met de bedrijfsbrede en kritieke processen. Het isoleren van de risico’s die in eerste instantie het belangrijkst zijn, om ze beter te kunnen bewaken, valt te beheren. Zo vermijd je ook de big bangstudies waarbij gewacht wordt tot de hele multiprocesrisicoanalyse afgerond is om controle in te voeren. Op 20 of 30 dagen zijn er al resultaten te bereiken zodat de bank een betere controle krijgt op bepaalde processen.

Michel Philippens: De grote banken draaien 50 of 60 beoordelingsmodellen die elk jaar herzien moeten worden. Dat is enorm veel manueel werk. Het risicobeheerteam besteedt het grootste deel van zijn tijd aan het corrigeren en correleren van data. De it beseft dat niet eens. En dat werk wordt verzet door mensen met een hoog opleidingsniveau, mensen met een doctoraat en zo. Een enorm verlies aan menselijk potentieel! Wat infrastructuur betreft, is er nog een hoop werk aan de winkel om de processen te automatiseren (bv. de revisie van de modellen), hun prestaties te controleren, en niet elk jaar maar elke maand. Dat kan, als je automatiseert. Maar het is veel moeilijker om een bank te overtuigen om in risicobeheer te investeren dan in marketingbeheer.

Hoe verzoen je de noodzaak om risicobeheer te harmoniseren met de noodzaak om specifieke oplossingen te hebben voor de verschillende risicotypes en voor de verschillende betrokkenen?

Michel Philippens: Een mogelijke oplossing is te evolueren naar meer geïntegreerde software en de data, analyses en rapportgenerering zo te integreren dat dit de snelheid van de keten zal bevorderen. Als je met meerdere soorten software werkt, moet je over diverse profielen en diverse soorten expertise beschikken. Vergeet ook niet de integratiekosten: dit beïnvloedt de automatisering. Daarom zijn wij voorstander van een end-to-endoplossing.

Siegfried van Puyvelde: Wat architectuur aangaat, zouden de banken moeten evolueren naar frontofficesystemen met een business intelligence-laag van waaruit verschillende flows naar het geïntegreerde risicoplatform zouden vertrekken. De 4 domeinen- accounting, MIS, compliance, risk & capital management- zouden tot integratie en samenwerking moeten komen. De hele integratieproblematiek zal hoe dan ook op één of ander niveau opgelost moeten worden.

Stijn Verhulst: Ik heb banken gezien met een keurig geïntegreerd platform voor risk management, met performante systemen, maar waar de modellen niet op alle scenario’s voorzien waren. Alle data beschikbaar, en hele mooie rapporten, maar… die maken het verschil niet als de simulatiescenario’s mank lopen…

Paul Evrard: Eén van de huidige grote uitdagingen van de financiële wereld is een betere integratie van de systemen. Dat kan via implementatie van tools, van meer geïntegreerde applicaties, een soort erp voor de financiële wereld, maar het is een zeer zwaar proces. Het installeren van centralisatietools of van oplossingen van het type ESB, EAI, … belet allerminst de implementatie van detectietools of de snelst mogelijke upstream van informatie naar het management. Dat is onmisbaar. Zo werken wij ook aan projecten waar de systemen goed geïntegreerd zijn, waar tools van het Tibco-type geïnstalleerd zijn, maar waar binnen de systemen vaak nog ‘data-oorlogen’ woeden.

Stéphane Theys: Belangrijk is dat die rapporten die de directie ontvangt, ook echt betrouwbaar zijn: van waar komt de informatie, via welke weg? Is ze ‘zuiver’ bij de start? Je kunt naar hartenlust rapporten opstellen en cijfers interpreteren, maar is de database waarop alles steunt ‘schoon en gezond’?

Van waar komen in de bankwereld de impulsen? Wie definieert het model, de data? Heeft men op hoger niveau een duidelijk beeld van wat er op elk lager niveau moet gebeuren, of werkt ieder in zijn eigen departement, voor zijn specifiek product, zijn specifiek risico?

Stijn Verhulst: Er is geen regel. In sommige banken heeft het management een globale kijk, top down. Bij andere is er om historische redenen veeleer sprake van het silosysteem. En fusies maken het allemaal nog wat ingewikkelder.

Michel Philippens: Het gaat niet alleen om infrastructuur. Neem bijvoorbeeld risk en finance. Bazel II vraagt de banken om hun risk management op te nemen in het planning- en begrotingsproces: wat zijn de doelstellingen op termijn, per product, regio, …? Bazel II vraagt dus over te gaan op risk-based planning: wat is mijn planning, maar ook, wat zijn de gevolgen wat risico’s betreft? Kan het gereserveerde kapitaal die risico’s dragen? Zelfs als de tools bestaan, zie je soms een cultuurprobleem opduiken. De departementen risk management en finance management raken het niet eens over de beste werkwijze. Naast de infrastructuur is er ook een synergie nodig tussen de verschillende ‘c-roles’ en departementen.

Stéphane Theys: Afdelingen willen liever geen informatie delen, hebben een protectionistische reflex. En dan is er ook het feit, zeker vandaag, dat ieder z’n plaatsje wil veiligstellen. Het is gemakkelijker gezegd dan gedaan, maar het management zou ervoor moeten zorgen dat alle informatie kan circuleren. Er zijn echte impulsen vanuit het management nodig: grote pleitbezorgers die de boodschap elke dag opnieuw herhalen, die op de spijker blijven kloppen. Dit moet echt van het hoogste niveau afdalen tot het laagste. Maar ik denk niet dat zoiets op korte termijn kan…

Wat moet er gebeuren opdat iedereen de tools krijgt die hem passen, die hij kan beheersen, en er tegelijk een samenhang ontstaat over de verschillende niveaus heen, een upstream van informatie en een controle tussen de niveaus?

Georges Ataya: Elk hoofd van een business unit moet ervoor zorgen dat hij over alle noodzakelijke beveiligingsinstrumenten beschikt. Hij moet checken in welk domein hij klanten, geld dreigt te verliezen, en dit top down. Je kunt ook overgaan tot bottom up op basis van een qualitative-based risk assessment, met evaluatie van alle assets. Maar die oefening moet geregeld overgedaan worden opdat de evaluatie geldig zou blijven.

In welke mate kan men de controles, aanpassingen, wijzigingen, correcties van evaluaties of modellen automatiseren?

Dermot Redmond: Het is al gebeurd met SOX: de operationele controles verlopen nu meer geautomatiseerd, de kwaliteit van de reporting is verbeterd. Er was een enorme druk opdat de bedrijven zich zouden afstemmen op de eisen van de overheden. Geen makkelijke klus in de bankwereld, maar het is doenbaar. Hoe praktischer het proces, hoe beter het automatiseerbaar is, maar het nadenken over het effect van een eventuele wijziging op één of andere markt moet in handen van mensen blijven.

Impliceert de volatiliteit van de risico’s en van de markten niet dat het automatisch beperkt moet blijven?

Paul Evrard: Je moet binnen de organisatie mensen vinden die de verantwoordelijkheid voor de automatisering willen dragen, en hun de autonomie geven om de regels voor risicodetectie aan te passen. Daarvoor geldt een profiel dat inzicht in de businessprocessen paart aan kennis van informatica, of minstens het vermogen om te overleggen met mensen uit de it-wereld. Een andere methode is het installeren van tools – bijvoorbeeld voor grafische modellering – die de productie van regels automatiseren, om het werk van een zakelijk gebruiker te vergemakkelijken.

Georges Ataya: Het opsporen van zeer volatiele metingen kan ook zeer praktisch verlopen: namelijk de variantie aangeven, checken of het normaal is dat de dingen zo snel variëren… Elk probleem, elke volatiliteit, elke gegevenseigenschap heeft een vrij specifiek model voor reporting nodig.

Dermot Redmond: De resultaten mogen op zichzelf niet worden opgevat als beslissingscriteria. Er moet ruimte blijven voor interpretatie, met confrontatie van meningen van meerdere mensen.

Wat moet dan de rol zijn van de Chief Risk Officer? Zijn plaats in de organisatie, zijn competentie, zijn controletools, …

Georges Ataya: Dat hangt in de eerste plaats af van het profiel van de onderneming, haar manier van werken. Sommige bedrijven situeren deze functie zeer hoog in de hiërarchie. In andere bedrijven gaat de functie naar iemand anders, een cio of cfo. Er is hiervoor geen bindende regel. Het is misschien nodig een functie op het hoogste niveau te plannen die progressief met andere functies wordt geïntegreerd zodra de operationele methode van het bedrijf zo goed vertrouwd is met deze aanpak dat de autoriteit van de boss niet meer nodig is om alles efficiënt te laten verlopen.

Dermot Redmond: De leden van het directiecomité moeten in staat zijn te begrijpen welke risico’s ze nemen met een beslissing. De vraag is of men het profiel van bijvoorbeeld een cfo al dan niet moet uitbreiden met verplichte specifieke competenties in risk management…

Siegfried van Puyvelde: Naast de vraag van de positionering in de hiërarchie moet je ook aan de opleiding denken. In de directiecomités van kleine of middelgrote banken zitten mensen die hun producten niet begrijpen…

Paul Evrard: Wat ik me afvraag: hoe ver moet de kennis en beheersing van informaticarisico’s van een chief risk officer reiken, vermits de organisaties alsmaar afhankelijker worden van hun systemen. Moet men de chief security officer en de chief risk officer samenvoegen?

Georges Ataya: Ik vind van niet. Niemand kan alle terreinen beheersen. Iedereen moet verantwoordelijk zijn op zijn domein, en aan zijn manager bewijzen dat hij dat beheerst. Elk hiërar-chisch niveau tot en met de algemeen directeur moet begrijpen wie voor wat verantwoordelijk is, op elk moment, en er zeker van zijn dat de chief risk officer het nodige heeft gedaan om zich ervan te vergewissen dat het werk van inventarisering van verantwoordelijkheden en ownerships, van definitie van risicomethodes enz. uitgevoerd is. Hij hoeft dat daarom niet in detail te kennen.

Brigitte Doucet

Alle systemen voor risicobeheer zijn gericht op wat gisteren gebeurde.

Zelfs als de tools bestaan, zie je soms een cultuurprobleem opduiken.

De leden van het directiecomité moeten in staat zijn te begrijpen welke risico’s ze nemen met een beslissing.