Magazine 01 juni 2009

Eet een olifant in kleine stukken

De huidige kwalitatieve risicoanalyse volgens het COSO ERM-model leidt vaak tot een potpourri van onvergelijkbare waarderingen. Scenarioanalyse kan een goede stap vooruit betekenen, met winst voor die interne en externe accountant.

Dit artikel is verschenen in de Accountant nr. 6, 2009

Bekijk alle artikelen uit dit nummer

» Download dit artikel in pdf

Sharda Poelloe en Gerrit Jan van den Brink

Scenarioanalyse voor operationele risico's

Iedereen meent over risico's te kunnen meepraten. Vaak gebeurt dat op basis van sterk uiteenlopende voorstellingen van wat met ‘risico’ eigenlijk is bedoeld. Graag praten we dan vrijblijvend over de eigenschappen van de risico's: de kans is niet zo groot en de impact wordt geclassificeerd op een schaal ‘hoog-midden-laag’. Echter, wat ‘midden’ voor de één is, is ‘hoog’ voor de ander. Bovendien denkt de één bij risico aan een gerealiseerd verlies, en de ander aan een potentieel verlies. En wat voor de één het risico zelf is, is voor de ander een oorzaak of een gevolg van dat risico. Kortom, er bestaan veel verschillende interpretaties in het risicospectrum. Het resultaat van zo'n kwalitatieve benadering is een potpourri van verschillende waarnemingen en waarderingen, die niet meer vergelijkbaar zijn en zeker niet zijn te aggregeren tot één waarde. Vervelend, als de directie vraagt welke risico's bij een beperkt budget voor risicomanagement de prioriteit verdienen. Die vraag kan dan - zo blijkt - niet zo eenvoudig worden beantwoord.

Bandbreedte

Toch gebeurt in het kader van COSO ERM, het meest gangbare raamwerk voor risicobeheersing, precies wat wij net besproken hebben. Wij vragen collega's om de operationele risico's in te schatten in kwalitatieve intervallen (rood, geel, groen) en maken er met behulp van achterliggende schalen dan risicowaarden van. Wij beschrijven de verwachte waarde en laten het risico daardoor eigenlijk buiten beschouwing. Veel belangrijker is het om te weten in welke bandbreedte het risico zich kan bewegen.

De manier waarop COSO ERM met risico's omgaat, is niet veel anders dan de manier waarop accountants een materieel risico voor de jaarrekening definiëren. Dit begrip zorgt over het algemeen voor verwarring onder niet-accountants, en voor onbegrip bij de risicomanagers. En als we heel eerlijk zijn, voelen we ons als accountants ook niet altijd op ons gemak, als we de materialiteit van een fout moeten bepalen en deze moeten communiceren naar de klant en het maat-schappelijk verkeer. De scenarioanalysemethode kan hier een goede stap vooruit betekenen.

Bepalende concurrentiefactor

De scenarioanalysemethode maakt verbetering mogelijk van de volgende aspecten van operationeel-risicomanagement:

• eenduidige waardering van risico's;
• vergelijking tussen risico's;
• bepalen van de richting van de risicomanagementactie.

Operationele risico's omvatten een breed spectrum van gebeurtenissen die worden veroorzaakt door mensen, systemen, processen en externe factoren. Sinds de invoering van Basel II moeten banken voor het operationele risico kapitaal aanhouden. Dit kapitaal is echter een buffer, hetgeen betekent dat er geen andere risico's mee mogen worden aangegaan. Een bank mag met dit kapitaal bijvoorbeeld geen kredieten verstrekken en daarmee dus geld verdienen.

De kwaliteit van het operationeel risicomanagement is daarmee dus één van de bepalende concurrentiefactoren geworden.

Twee doelstellingen

Voor de inschatting van het risico ligt het voor de hand te kijken naar de in het verleden geleden verliezen. Daarbij valt meestal op dat deze verliezen het risicospectrum - ook na meer jaren verzamelen - maar heel beperkt afdekken. Wie op deze informatie bouwt, onderschat het risico dus systematisch. De toezichthouder wist dat, en heeft daarom voor banken die hun operationele risico's met een eigen intern model willen waarderen, in Basel II de scenarioanalyse voorgeschreven. De doelstelling hiervan is twee- erlei:

• Het opvullen van de ‘witte vlekken’. Banken gebruiken zowel interne als externe verliesdata om hun interne model te vullen. De externe verliesdata kunnen ze betrekken van consortia van en voor banken, waar op anonieme basis verliesdata worden uitgewisseld, en/of van dataleveranciers die openbare bronnen scannen en rubriceren. Ondanks deze informatie kunnen er echter - gegeven het businessmodel van de bank - nog ‘witte vlekken’ bestaan. Dit betekent dat het risicospectrum onvolledig is, en het aan te houden kapitaal voor operationele risico's te laag wordt berekend. Scenarioanalyse voorziet in het vervolmaken van dit risicospectrum.
• Het beter leren kennen van de eigen operationele risico's en vooral hun uitwerking, zodat ze beter gemanaged kunnen worden. En hier ging het oorspronkelijk ook om bij de start van Basel II.

Vijf fasen

Een goede risicowaardering vraagt om een gedegen voorbereiding van de scenario's. Het scenarioanalyseproces kent vijf fasen (zie figuur).

In tegenstelling tot andere methoden van risico-assessment ligt het meeste werk in de eerste twee fasen. Het proces begint met het maken van een risicoclassificatie, die waarborgt dat iedereen hetzelfde voor ogen heeft als over een risico (bijvoorbeeld interne fraude) wordt gesproken. Daarna kunnen de scenario's worden gecreëerd. Daarbij wordt het risico in twee hoofdelementen gesplitst:

• de frequentie;
• de daarmee corresponderende schadehoogte.

De belangrijkste succesfactor van de scenarioanalyse is de decompositie van deze beide elementen. Het risico dat in een scenario wordt geconcretiseerd, is een complex geheel van uiteenlopende elementen en hun onderlinge relaties. Zoals een olifant niet ineens ‘gegeten’ kan worden, kan één expert vaak niet het gehele risico overzien en het goed waarderen. In veel gevallen zijn zelfs verschillende expertises nodig.

Frequentie

Het is niet eenvoudig in één keer de frequentie van bijvoorbeeld het risico van interne fraude in te schatten. Daarom worden interne fraudecases van andere banken en resultaten uit studies in de analyse betrokken om de verschillende drivers voor de frequentie op te sporen. Sommige zijn harde kengetallen, die kunnen worden verzameld. Zo blijkt uit onderzoek dat de fraudeur meestal langer dan zes jaar in zijn huidige functie zit.

Eén blik in de personeelsadministratie levert al informatie voor die analyse. Daarentegen is het kwalitatieve element tone at the top niet direct uit data af te leiden en dit vraagt daarom veel meer om een assessment door experts.

De decompositie moet worden voortgezet totdat de experts een eenduidig element hebben, dat goed kan worden gewaardeerd.

Schadehoogte

Voor de schadehoogte wordt de decompositie op vergelijkbare wijze verricht. Met de schadehoogte wordt bedoeld de potentiële schadehoogte die door een risicogebeurtenis kan ontstaan. Dit is niet hetzelfde als het verlies (daadwerkelijke gerealiseerde schade). De schadehoogte wordt vooral bepaald door het business model van de organisatie. Als bijvoorbeeld is vastgelegd dat één transactie maximaal € 3.000 groot is, kan de maximale schade per transactie niet groter dan € 3.000 zijn. Wordt zo'n grens niet gedefinieerd, dan kan het verlies hoger zijn (zie kader ‘Decompositie schadehoogte’).

Experts

Nadat alle componenten van een scenario zijn bepaald, wordt al een stuk duidelijker welke informatie er voor een goed risico-assessment nodig is en welke experts daarbij een rol kunnen spelen. Op basis van deze informatie kan de planning voor de uitvoering van de scenarioanalyse worden vastgelegd. Daarin is tevens een trainingscomponent opgenomen, met als belangrijkste onderwerpen het vertrouwd maken van de experts met de methode, het duidelijk maken van bepaalde vertekeningen die bij experts onvermijdelijk optreden en het aanleren van het gebruik van de resultaten.

In de desk researchfase is het zaak om de informatie zo te verzamelen en voor te bereiden dat de experts er snel en eenduidig mee uit te voeten kunnen. Vaak helpt het als de data worden gepresenteerd in een grafische vorm, zoals een histogram (zie kader). Op basis van deze informatie kan de expert zich snel een beeld vormen over bijvoorbeeld de hoogte van een schade in een bepaald geval.

Risicosimulatie

Als alle componenten van een risico zijn gewaardeerd (de olifant is verdeeld in behapbare stukken), worden die componenten statistisch geaggregeerd om zo een ‘paartje’ te verkrijgen met de frequentie en de schadehoogte, dat de basis is voor de risicosimulatie. De risicosimulatie maakt op basis van zorgvuldig uitgekozen statistische verdelingen uit de twee punten een volledige verdeling. De verdelingen worden met elkaar gecombineerd en daaruit resulteert een potentiële verliesverdeling die het jaarverlies uit operationele risico's afbeeldt.

De toezichthouder verlangt een confidentieniveau van 99,9 procent. Dit betekent dat één keer in de duizend jaar een verlies mag ontstaan dat groter is dan de berekende risicowaarde uit de verdeling. Banken kunnen voor de interne sturing natuurlijk andere waarden gebruiken.

Zo'n risicowaarde kan voor alle geïdentificeerde risico's worden bepaald. Vervolgens kunnen zij onderling worden vergeleken en worden afgezet tegen de risico-appetite. Bovendien kunnen de effecten van eventuele risicomanagementacties worden doorgesimuleerd.

Als de effecten bekend zijn, kan meteen worden bekeken of de actie per saldo een positief effect heeft. Is het effect negatief, dan is het beter om het risico te accepteren of een minder kostende maatregel te implementeren. Bovendien maakt de decompositie van het risico inzichtelijk waar (in welke afdeling) de maatregelen moeten worden genomen.

Vertekeningen

Werken met experts heeft veel voordelen. Risico's die zich nog niet hebben voorgedaan kunnen toch - en zelfs erg goed - worden geanalyseerd. Bovendien hebben mensen last van vertekeningen. Deze kunnen heel verschillende oorzaken hebben. Zo blijven sterk negatieve erva- ringen prominent in ons bewustzijn aanwezig waardoor ze zorgen voor een overschatting van zulke risico's. Tegelijkertijd menen wij, dat risico's kleiner zijn wanneer we het gevoel hebben in control te zijn. Veel mensen hebben een naar gevoel in de buik als ze in het vliegtuig stappen. In een auto hebben ze dat niet, terwijl iedereen weet dat een autorit gevaarlijker is dan een vlucht met het vliegtuig. Het enige verschil is dat we in de auto het stuur in de hand en de voet aan de rem hebben, terwijl we in het vliegtuig zijn uitgeleverd aan de deskun- digheid van de piloot.

Zo bestaan er nog veel meer vormen van vertekening. Deze kunnen allemaal worden gemitigeerd. Een belangrijke eerste stap daartoe is het zich bewust worden van het bestaan van de vertekeningen. Voor elke vertekening kan dat worden bekeken wat ertegen kan worden gedaan. Gedurende het analyseproces wordt voortdurend gekeken of zich zulke vertekeningen voordoen. Daarom is het goed altijd met meer mensen aan de waarderlingsanalyse deel te nemen. Degene die observeert en kennis draagt van de verschillende vertekeningen kan deze snel detecteren en bijsturen. Elke vertekening die zo kan worden aangepakt, is niet langer schadelijk voor het analyseresultaat.

Interne en externe accountant

Hebben de interne en de externe accountant iets aan de resultaten van de scenarioanalyse? Wij denken van wel.

Sinds de invoering van de risicogeoriënteerde accountantscontrole moet elke accountant zich een beeld vormen van de risico's in de te controleren processen. Daarbij speelt het materialiteitsbegrip (vergelijkbaar met de risk appetite van het management) een belangrijke rol.

Juist daar verwachten wij een groot voordeel van deze methode. De risico's worden hier immers systematisch gewaardeerd en uiteindelijk staat een bedrag in euro's als maatstaf ter beschikking. Daardoor kan veel beter worden bepaald of een risico als materieel moet worden geclassificeerd of niet.

Voorts neemt de kwaliteit van de informatie toe, omdat de domeinexperts en risico-experts samen tot een gefundeerde kwantificering van het risico komen, anders dan bij een kwalitatieve beoordeling door mensen die verder af staan van het proces. De accountant kan na zijn beoordeling van de kwaliteit van het proces van de scenarioanalyse, besluiten gebruik te maken van de resultaten voor het bepalen van de materialiteit.

Noot
Sharda Poelloe is operational risk manager bij de Rabobank Groep. Gerrit Jan van den Brink is directeur van ValueData7 GmbH en universitair docent aan deGoethe Universiteit en de Frankfurt School for Finance & Management in Frankfurt am Main. De auteurs zijn beide registeraccountant. Zij schrijven deze bijdrage op persoonlijke titel.

Decompositie schadehoogte

De decompositie van de schadehoogte van het risico ‘interne fraude’ zou er als volgt uit kunnen zien:

• directe schades (rente, extra kosten, verlies bij het sluiten van een positie die door fouten is ontstaan etc.);
• aansprakelijkheidsschades (de klant of begunstigde lijden een schade, omdat de bank een fout maakt);
• geldboetes (justitie, overheid en toezichthouders kunnen bepaalde handelingen van een bank sanctioneren);
• aanpassingen van de bankrating (heeft een direct gevolg voor de funding-kosten);
• Eventuele ‘straffactoren’ die door de toezichthouder worden opgelegd.

Histogram met risicowaarde

In het eigenlijke risico-assessment kijkt de risicomanager samen met de experts hoe vaak een risico voorkomt en welke schadehoogte erbij hoort. Daarbij wordt niet alleen gekeken naar de typische frequentie en de gemiddelde schadehoogte, maar vooral ook naar een ernstig geval. De typische waarde is de waarde die het meest voorkomt. De ernstige waarde wordt gedefinieerd veelal als een punt, bijvoorbeeld de waarde waaronder 95 procent van alle schades liggen. Het gebruik van een histogram maakt de genoemde waarden duidelijk.