styring af operationelle risici
TRANSCRIPT
1
Styring af operationelle risici
- hvordan kan risikostyring skabe værdi?
Caspar Rose, Finansforbundet University 28. maj 2014
2
Relevansen af operationelle risici
Risikotagning i bankerne i årene op til finanskrisen – hvad siger tallene?
Konsekvenser for bestyrelsen af de nye krav
Den øgede betydning af operationelle risici
Implementering af risikostyring i praksis
Hvordan styring af operationelle risici kan skabe værdi
Agenda
3
I krisetider er tilliden til topledelsen svækket - Corporate governance søger at styrke tilliden ved
at mindske mulige interessekonflikter mellem ledelsen og aktionærerne
Øget risiko for betydelige operationelle tab, da krisen medfører øget pres på indtjening og performance => risiko for opportunistisk adfærd
I krisetider med store kursfald og økonomiske tab, vil investorer og aktionærer i højere grad overveje at sagsøge ledelsen
Relevans
4
I en økonomisk recession eller finansiel krise, er der en højere risiko for at en eller flere operationelle risici vil indtræffe
En kapitalforvalter kan f.eks. blive fristet til at manipulere sin indtjening eller ledelsen kan ”pynte” på regnskaberne for at dække over store tab sml. LIBOR skandalen
I krisetider er det sværere at genere et godt afkast og for at opretholde samme levestandard kan ledelsen eller medarbejderen blive fristet til at ”snyde på vægten”
Krisen kræver øget fokus på OR
5
Danske Bank opdagede selv uregelmæssigheder ved obligationshandler tilbage i februar og marts 2009 og henvendte sig til Finanstilsynet
Banken er nu sigtet af Bagmandspolitiet for kursmanipulation under særligt skærpende omstændigheder
Medarbejderne er sigtet for kunstigt at hæve obligationernes kurs til skade for kunden
Kursmanipulation
6
Sigtelsen går på, at fire personer angiveligt i februar 2009 har lavet en handel til 50.000 kroner mellem RD og Danske Bank i en bestemt realkreditobligation, der ikke omsættes særlig ofte - med det formål, at denne handel skulle hæve dagens gennemsnitskurs
Gennemsnitskursen skulle nemlig efterfølgende bruges som såkaldt reference for prisen i en kundes handel med RD for knap 12 millioner kroner
I marts 2009 skal der være ændret i valørdatoer for handler og lavet aftaler om forsinkelse af prisstillelse i en obligation, før en kundes handel med RD til 650 millioner blev gennemført
Til skade for kunden
7
Nets skandalen har illustreret behovet for styring af operationelle risici. NETS indrømmer, at en betroet medarbejder har misbrugt fortrolige kreditkortinformationer til Se og Hør
Nets fik et tip sidste år fra en tidligere fotograf på Se og Hør og foretog en intern undersøgelse – men NETS kunne ikke se transaktioner, der matchede det man fik at vide Alle, især finansielle virksomheder, går deres IT sikkerhed efter i sømmende
Tyveri af fortrolige data
Er der flere skeletter i skabet?
8
Rigspolitiet har netop oprettet et nationalt Cybercrime Center, NC3, hvor 80 ansatte skal tage sig af kriminaliteten i cyberspace.
Og den vil der komme meget mere af, udtaler Kim Aarenstrup, chef for det nyoprettede cybercrime center, og han er ikke overrasket over, at data er lækket hos Nets
"Nets er sammen med den finansielle sektor dem, der er bedst til it-sikkerhed. Det siger jo en del om, hvor skidt det står til med sikkerheden i Danmark," siger Kim Aarenstrup (fra Politiken)
Skandalen der måtte komme
I takt med stigende brug af IT i finansielle virksomheder
stiger IT risiciene
9
On December 10, 2008 FBI agents arrested the former chairman of NASDAQ and charged him of securities fraud
According to federal charges, Madoff said that his firm has "liabilities of approximately US$ 50 billion”. Banks from outside the U.S. have announced that they have potentially lost billions in dollars as a result
He had begun his “Ponzi scheme” sometime in the early 1990s. He wanted to continue to satisfy the expectations of high returns promised to his clients, despite an economic recession. He admitted that he had never invested any of his clients' money from the inception of the scheme
Instead, he simply deposited the money into his business account at Chase Manhattan Bank. He admitted to false trading activities masked by foreign transfers and false SEC filings
He used the Chase business account to pay clients who requested withdrawals, claiming the "profits" were the result of his own unique "split-strike conversion strategy
Bernard Madoff’s mega ”ponzi sheme”
10
Operationelle risici omfatter mange områder:
IT nedbrud Bedrageri og bestikkelse Tyveri af fortrolige data Hvidvaskning Produktansvar/forurening (BP) Anklager om deltagelse i kartel Tab af nøglemedarbejdere Tyveri og dokumentfalsk Fejl i juridiske dokumenter Mandatsvig (rouge trading)… osv.
Operationel risikostyring
I need a miracle!
11
Lille sandsynlighed for at hændelsen indtræffer MEN, hvis den indtræffer kan skadevirkningen være enorm – OR er modsat finansielle risici meget vanskelige af afdække
Det største (kendte) tab: I Societe Generale blev det midt under finanskrisen afsløret, at en enkelt aktiehandler havde skjult tab for over 7 mia. euro
Som bekendt skal banker afsætte kapital til OR
Karakteristika ved OR
Bank betaler milliard-erstatning for diskrimination Den amerikanske storbank Wells Fargo behandlede
kunder af afrikansk-amerikansk og latinamerikansk herkomst anderledes end hvide forud for den bristede boligboble
Det har det amerikanske justitsministerium fastslået
Derfor ser Wells Fargo sig nu nødsaget til at bøde med 175 millioner dollar (næsten 1,1 milliarder kroner)
Det skriver det britiske dagblad The Independent
Forskelsbehandlingen med hensyn til lånegebyr på boliglån gik ud over 34.000 amerikanere i 36 delstater
Diskrimination - tendens på vej?
Datagrundlag – årene op til finanskrisen
13
Data består af økonomiske nøgletal fra alle de danske børsnoterede pengeinstitutter i perioden 2005-2009 indsamlet fra årsrapport/risikorapporter. Nordea og Roskilde Bank er dog ikke medtaget i analysen
Årsrapporterne er hentet fra de respektive virksomheders hjemmesider. Der er udregnet en gennemsnitsværdier for hver kategori i hver bank ved at dividere med det antal år der er data for
Corporate governance variablene er indsamlet manuelt fra pengeinstitutternes årsrapporter, som er suppleret af bankernes hjemmesider og vedtægter. Dette betyder, at alle relevante kvantificerbare corporate governance variable er medtaget
Afhængige variable
14
Tilsynsdiamantens procentgrænser:
1) Summen af store engagementer < 125 % 2) Udlånsvæksten < 20 % 3) Funding ratio – Udlån/indlån < 1, 0 4) Likviditetsoverdækning > 50 % 5) Ejendomseksponering < 25 %
Er tilsynsdiamanten overhovedet relevant i krisetider? Operationelle risici
viser sig først som kreditrisici
.
15
,
0
20
40
60
80
100
120
140
Figur 1. Tilsynsdiamantens økonomiske nøgletal i pct. for danske banker i gennemsnit fra 2005-09 inkl. diamantens grænsværdier
16
0
50
100
150
200
250
300
350Figur 2. Større engagementer i pct. af basiskapitalen
2005-2009 2010
17
0
50
100
150
200
250
300
350
400
450
500
Figur 3. Større engagementer i pct. af basiskapitalen
2005-2009 2010
Tilsyns-diamantens grænseværdi
18
-20
-10
0
10
20
30
40
50Figur 4. Årlig udlånsvækst 2005-2009 2010
19
Salli
ng B
ank
Skje
rn B
ank
Skæ
lskø
r Ban
k
Spar
Ban
k
Spar
Nor
d Ban
k
Spar
ekas
sen
Faab
org
Spar
ekas
sen
Himm
erla
nd
Spar
ekas
sen
Hvetb
o
Spar
ekas
sen
Lolla
nd
Sven
dbor
g Sp
arek
asse
Sydb
ank
Tota
lban
ken
Tønd
er B
ank
Vestfy
ns B
ank
Vestjy
sk B
ank
Vinde
rup
Bank
Vordi
ngbo
rg B
ank
Østjy
dsk
Bank
Aarhu
s Lo
kalb
ank
-40
-30
-20
-10
0
10
20
30
40
50Figur 5. Årlig udlånsvækst 2005-2009 2010
mth.dk20
Amag
erba
nken
Bank
Nordi
k
Dansk
e Ban
k A/S
Diba
Bank
Djurs
land
Ban
k
Grønl
ands
bank
en
Hvidb
jerg
Ban
k
Jysk
e Ban
k
Kredi
tban
ken
Lolla
nds Ban
k
Lån
& Spa
r Ban
k
Max B
ank
Møns B
ank
Nordf
yns Ban
k
Nordj
yske
Ban
k
Nørre
sund
by B
ank
Ringk
jøbi
ng LB
Bank
0
5
10
15
20
25
30
35
40
Figur 2a. Udlån i % til landbrug og ejendommeGennnemsnit 2005-09 Landbrug Ejendomme
Tilsyns-diamantens Grænseværdi for eksponering i ejendomme
mth.dk21
Salli
ng B
ank
Skje
rn B
ank
Skæ
lskø
r Ban
k
Spar
Ban
k
Spar
ekas
sen
Faab
org
Spar
ekas
sen
Himm
erla
nd
Spar
ekas
sen
Hvetb
o
Spar
ekas
sen
Lolla
nd
Sven
dbor
g Sp
arek
asse
Sydb
ank
Tota
lban
ken
Tønd
er B
ank
Vestfy
ns B
ank
Vestjy
sk B
ank
Vinde
rup
Bank
Vordi
ngbo
rg B
ank
Østjy
dsk
Bank
Aarhu
s Lo
kalb
ank
0
5
10
15
20
25
30
35
Figur 2b. Udlån i % til landbrug og ejendommeGennemsnit 2005-09 Landbrug Ejendomme
Tilsyns-Diamantens grænseværdi
22
§ 3. Bestyrelsen skal løbende vurdere, om dens medlemmer tilsammen besidder den fornødne viden og erfaring om virksomhedens risici til at sikre en forsvarlig drift af virksomheden
Dette gælder særligt ved virksomhedens ibrugtagning af modeller til brug for risikoberegning, ved indførelse af nye produkter, (sml. Jyske Hedge), og andre tiltag, der kan medføre væsentligt øgede risici for virksomheden eller i væsentlig grad kan påvirke den måde, hvorpå risici opgøres og rapporteres i virksomheden
Kravene til bestyrelsen øges
Finanstilsynet har strammet kravene
23
Bestyrelsen skal nu vurdere ”om dens medlemmer tilsammen besidder den fornødne viden og erfaring om virksomhedens risici til at sikre en forsvarlig drift af virksomheden. Dette gælder særligt virksomhedens ibrugtagning af modeller til brug for risikoberegning, ved indførelse af nye produkter” (§ 3)
Helt overordnet skal bestyrelsen nu vurdere virksomhedens risikoprofil og politikker, hvilket skyldes at finanskrisen afslørede utilstrækkelig risikostyring, især af kreditrisici i flere af landets pengeinstitutter
Det kræves, at der udarbejdes retningslinjer som utvetydigt skal angive størrelsen af den enkelte fastansatte grænse for risiko, for eksempel som absolutte tal eller ved at risikoen sættes i forhold til virksomhedens egen- eller basiskapital (§ 7, stk. 2)
24
§ 5. På grundlag af den i henhold til § 4, stk. 1, foretagne risikovurdering skal bestyrelsen vedtage relevante politikker og beredskabsplaner m.v., herunder:
1) Kreditpolitik, herunder for virksomhedens eventuelle deltagelse i securitiseringsaktiviteter, jf. bilag 1.
2) Markedsrisikopolitik, jf. bilag 2. 3) Politik for håndtering af operationelle risici, jf. bilag 3. 4) Politik for forsikringsmæssig afdækning af risici. 5) Likviditetspolitik, herunder en beredskabsplan i tilfælde
af utilstrækkelig eller manglende likviditet, jf. bilag 4. 6) It-sikkerhedspolitik, jf. bilag 5, herunder en it-
beredskabsplan. 7) Beredskabsplaner for øvrige alvorlige driftsforstyrrelser.
Listen af risikopolitikker er lang…
Dansk erhvervsliv bygger på tillid – ej kontrol
Page 25
IT- Factory havde en blank revisionspåtegning
Der var aktiver i selskabet dvs. bilag på IBM udstyr
IT-Factory anvendte store leasing kontrakter med bl.a. Danske Bank
Var de for naive - eller derimod drevet af ønsket om vækst/turnover
Det gik jo ufatteligt godt på papiret!
Page 26
a
Årsagerne I
Page 27
Fantastisk evne til at manipulere sine omgivelser
Uden nogen form for skrupler eller moral◦ Kynisk (udnytter folks tillid)◦ Handlekraftig (finder hurtigt en
skuespiller◦ Innovativ (som leasingkunstner) ◦ Målrettet (arbejder 24 timer i døgnet)◦ Udstråling (stor personal branding)
Årsagerne II
Page 28
Bestyrelsen har svigtet sit tilsyn med direktionen og ikke sørget for en forsvarlig formueforvaltning/bogføring som loven kræver
Overset “røde flag” og ladet direktionen køre løbet –> ERSTATNINGSANSVAR?
◦ Bagger sad selv i bestyrelsen, der i alt kun bestod af 3 personer
Årsagerne III
Page 29
Uigennemskuelige ejerforhold, i et kompliceret net af selskaber (inkl. i udlandet)
De ansatte fatter tilsyneladende ingen mistanke
IT-ydelser er mere “luftige” end metal skruer
Grådighed hos de involverede?
30
Identifikation af top OR risici afgørende
”Hvem er virksomhedens risikoejere”
Tænk incitamenter ind i processen for de enkelte risikoejerne/OR managers
Hvordan kan vi følge udviklingen i vores top risici over tid (Key risk indicators)?
Hvilke kontroller har vi til rådighed?
Kommunikation fra topledelsen er helt centralt
Operationel risikostyring i praksis
31
Forsøg at kvantificere de største risici ud fra sandsynlighed og tab givet skaden indtræder
Ingen model er bedre end de data som ligger bag modellen
Identificer en ”risk owner” for hver af de største OR risici i organisationen
Det er afgørende, at hver medarbejder i organisationen ser de klare fordele af OR styring
f.eks. af en whistleblower ordning – er nu indført
Fastlæg virksomhedens risikoprofil
Forbrugerombudsmanden har indgået en aftale med Jyske Bank om at betale en kompensation til en række investorer, som har lidt tab på flere hundrede millioner kroner på nogle risikable obligationer, som banken solgte til Investeringsforeningen i 2007
Det drejer sig om Jyske Banks rådgivning og salg af Jyske Invest Hedge Markedsneutral Obligationer (JIHMO)
Da finanskrisen slog igennem i 2008 blev obligationerne næsten værdiløse. De omkring 1100 investorer klagede til Pengeinstitutankenævnet, hvor Jyske Bank tabte med stemmerne 5-0
Jyske Invest Hedge
33
KRI’s er helt afgørende – i praksis er de svære af finde, men vælg ud fra:
Tilgængelighed Effektivitet/brugbarhed Sammenlignelighed Kvantificerbarhed
Direktionen skal levere OR input til bestyrelsen som skal foretage ”sign off”
Overvågning af top OR risici
Topledelsens interne kommunikation er
helt afgørende
34
Manglende risikostyring kan udover direkte tab medføre skadelige omdømmeeffekter eller badwill i pressen
Anbefalingerne kræver identifikation af de væsentligste forretningsmæssige risici og at bestyrelsen forholder sig til dem
Nogle risici kan det betale sig at leve med, mens andre skal mitigeres
Ingen tvivl om, at vi vil opleve langt mere fokus på OR, som tidligere bare blev betragtet som et ”kedeligt” cost center
Corporate Governance og OR
Corporate governance compliance
36
”§19. Direktionen skal udpege en risikoansvarlig, der skal være ansvarlig for, at risikostyring i virksomheden sker på betryggende vis, herunder for at skabe et overblik over virksomhedensrisici og det samlede risikobillede.
Den risikoansvarlige skal referere direkte til direktionen. Afskediges den risikoansvarlige, skal bestyrelsen orienteres om afskedigelsenog begrundelsen for denne. Den risikoansvarlige kan i mindre virksomheder være medlem af direktionen.”
Organisering og incitamenter i risikostyring
37
”§ 20,Stk. 2. Den risikoansvarlige skal have tilstrækkelig viden og uafhængighed til at kunne vurdere virksomhedens risici.
Stk. 3. Den risikoansvarlige skal have mulighed for at udtale sig om risikoen i forbindelse med større og usædvanlige påtænkte dispositioner. Hvis den risikosansvarlige fraråder en disposition, skal den risikoansvarlige straks skriftligt informere direktionen herom.” især ved introduktion af nye produkter (sml. Jyske Hedge)
CRO’en skal sikres gennemslagskraft
38
Medarbejdernes nytte består ikke kun af monotære beløb dvs. U(wage + benefits), god ide med høj fast løn plus ”status”
Risikostyring skal tænkes ind i de ledende medarbejderes performancekontrakter
Hvordan sikres ”optimal” risikoidentifikation?
Er der kommet en ny risikoevent ind på toplisten, som vi ikke havde forudset?
Incitamenter
39
Hvis vi er bedre end konkurrenterne til at styre de operationelle risici, opnår vi en konkurrence fordel
Husk: En sparet krone er en tjent krone
OR fra cost til profit center
Produktudvikling, herunder stigende brug af IT værktøjer, skal understøttes at en grundig OR indsats
Værdiskabelsen via OR
40
Investorerne lugter blod – Ledelsen ansvar– senest for Nordea/Pandora
”Vi må have sat en streg i sandet. Det kan ikke passe, at man får lov at sige noget, som ikke er korrekt. Den eneste måde, den finansielle branche får respekt for noget på, er hvis man sætter nogle økonomiske erstatningskrav op. Så indretter de sig lynhurtigt”.
Selvfølgelig vil de slå sig i tøjret og synes der er uretfærdigt. Men i sidst ende kan enhver sige sig selv, at man er nødt til at oplyse alt, og ikke bare hvad man selv synes er alt,”
(Kim Vallentin, Børsen d. 22/8)
41
Sagsanlæg som følge af operationelle risici kan få dramatiske negative konsekvenser
Store negative effekter for vores brand og omdømme sml. Business risks
Tab af TILLID har en direkte negative bundlinje effekt
Forstærkes af mediernes dækning
Risikoen for sagsanlæg reduceres
42
Bedre governance bør understøtte en mere effektiv risikostyring, hvor incitamenter tænkes ind som en naturlig del
Aflønningen skal understøtte en sund risikokultur, hvor langsigtet værdiskabelse er i fokus
Risikoidentifikationen og KRIere er helt afgørende i praksis
Effektiv styring af operationelle risici mindsker risikoen for sagsanlæg og badwill i medierne
Operationel risikostyring skal integreres i HELE organisationen - hver medarbejder skal have forståelse for dets betydning
Bestyrelsen skal være mere aktiv i risikostyringen, hvilket
Finanstilsynet også lægger op til
Hovedbudskaber