To know is to grow | CFA Society VBA Netherlands

Economisch Kapitaalbepaling voor Operationeel Risico

Terug naar laatste publicaties
in VBA Journaal door

De theorie en de praktijk

 

De financiële wereld ondergaat momenteel een kleine revolutie. Waar gedurende een lange periode iedere gerespecteerde bank naar buiten trad met de kwaliteit van zijn markt- en krediet risicomanagement, wordt de laatste jaren vooral gesproken over operationeel risicomanagement. Enerzijds bijgekomen van het inzicht dat vrijwel alle grote recente verliezen binnen de bancaire wereld direct of indirect het gevolg zijn van operationele tekortkomingen en anderzijds gedwongen door de vernieuwde Bazel II richtlijnen, hebben zo goed als alle grote zelfrespecterende banken de laatste tijd risicomanagement afdelingen opgericht die zich uitsluitend bezig houden met dergelijke risico’s en zijn er grote budgetten vrijgemaakt om voor 2007 zogenaamd ‘Bazel II compliant’ te zijn. Op het vakgebied dat enige tijd geleden nog vooral werd uitgevoerd door audit, de AOafdeling en een verdwaalde risicomanager waarvan gebleken was dat hij niet kon rekenen, zitten nu hele teams van gespecialiseerde risicomanagers, bijgestaan door natuurkundigen, die ernaar streven ogenschijnlijk volkomen willekeurige gebeurtenissen zo goed mogelijk te modelleren tot verdelingsfuncties van operationele verliezen. Hieruit kan dan een Operationele Value at Risk (VaR) worden afgeleid en aan de hand hiervan het aan te houden economisch kapitaal worden berekend. In dit artikel zal worden aangegeven hoe banken verwacht worden dit kapitaal te berekenen en tevens zal worden aangegeven waar op dit moment de voornaamste knelpunten zitten bij de banken die zich hiermee bezig houden. Hier zal blijken dat het voornaamste knelpunt zit in de hoge betrouwbaarheid waarmee banken conform de Bazel richtlijnen hun cijfers dienen te rapporteren. Door een relatief klein aantal waarnemingen in bepaalde risico categorieën2 en de hoge betrouwbaarheid waarmee gerekend dient te worden ontstaat een schijnveiligheid die bepaald wordt door outliers in de distributie die de uiteindelijke interpretatie van de resultaten geen goed doen.

Operationeel Risico heeft de afgelopen jaren snel zijn plaats weten te veroveren binnen de financiële wereld. Doordrongen van het feit dat een groot deel van de recentelijk via de pers bekend geworden verliezen3, in ieder geval deels, het gevolg zijn geweest van operationele tekortkomingen, en de door Bazel opgelegde verplichting tot het aanhouden van kapitaal ter dekking van toekomstige operationele verliezen, is operationeel risico momenteel een hot item in de financiële wereld. Binnen de bancaire wereld is intussen iedere risicomanager bekend met de methodes die markt- en kredietrisico meten en managen en de industrie houdt zich momenteel bezig met het ontwikkelen van methodes die operationele risico’s in beeld brengen. De grootste financiële debacles die zich de laatste periode hebben afgespeeld kunnen vrijwel altijd worden toegewezen aan een combinatie van markt- of kredietrisico en tekortschietende controlemechanismen (welke een vorm van operationeel risico zijn). Net als bij markt- en kredietrisico, wordt de financiële wereld op dit moment door de toezichthouders, gedwongen in de richting van betere controlemechanismen. Voor het eerst heeft de Bazel commissie voorgesteld kapitaalseisen te stellen voor operationele risico’s; hierbij gelijktijdig de kapitaalseisen voor markt- en kredietrisico verlagend. Probleem is echter dat operationele risico’s veel moeilijker zijn te identificeren dan markt- en kredietrisico’s. Zelfs de exacte definitie van operationeel risico in langere tijd onderwerp van discussie geweest. Na lange tijd negatief gedefinieerd geweest te zijn als “alle niet markt- en kredietrisico’s” bestaat er nu eindelijk een algemeen geaccepteerde definitie welke operationeel risico definieert als het risico op financiële verliezen die het gevolg zijn van inadequate of falende interne processen, mensen en systemen, of externe gebeurtenissen. Aan de hand van deze definitie zullen banken voor 2007 dienen te voldoen aan deze nieuwe kapitaalseisen zoals die door Bazel zijn opgelegd.

 

Het Bazel II akkoord

In Januari 2001 publiceerde het Bazel Comité van Bank Toezicht een voorstel voor een nieuw Bazel Akkoord (ook wel Bazel II genoemd), dat tot doel had het tot dan toe gebruikte Bazel akkoord uit 1988 te gaan vervangen.4 Dit nieuwe voorstel was gebaseerd op drie wederzijds aanvullende pilaren die banken en toezichthouders in staat zouden moeten stellen de verschillende risico’s die banken lopen beter te evalueren. Deze pilaren zijn als volgt gedefinieerd:

Minimale Kapitaalseisen: Net als in het in 1988 door de Cooke commissie gepubliceerde oorspronkelijke Bazel akkoord, welke in 1992 door de aangesloten landen in hun nationale wetgeving is verwerkt, ligt de basis van de Bazel II richtlijnen in het vaststellen van minimale kapitaalseisen waaraan de banken op hun balans dienen te voldoen. Dit kapitaal heeft als doel als buffer te dienen voor toekomstige relatief onwaarschijnlijke verliezen en stelt de bank in staat op een acceptabele manier te herstellen van een dergelijk verlies. Hoewel het oorspronkelijke akkoord zeer eenvoudig van opzet was5 en zich met name richtte op kredietrisico en de daardoor te lopen verliezen, zijn er nadien een groot aantal vernieuwde versies en toevoegingen gekomen. Zo is het akkoord sinds 1996 uitgebreid met een kapitaalseis voor marktrisico. Hierbij kan gekozen worden tussen een eenvoudige gestandaardiseerde methode gebaseerd op percentages van de marktwaarde van de posities, en een verfijndere, op interne modellen gebaseerde methode (Value at Risk), met een normaal gesproken aanzienlijk lagere kapitaalseis. Sinds 2001 wordt ook gesproken over een kapitaalseis ter dekking van operationele risico’s waaraan vanaf 2007 zal dienen te worden voldoen. Net als bij markt- en kredietrisico, kan hierbij gekozen worden tussen een eenvoudige methode6 gebaseerd op percentages (van het bruto inkomen) en een geavanceerde methode die naar verwachting een beperking van het kapitaalbeslag oplevert. Deze geavanceerde methode is enerzijds kwantitatief gebaseerd op historische verliescijfers ter bepaling van een VaR en anderzijds kwalitatief gebaseerd is op procesbeschrijvingen en kritische zelf assessments.

Controle door de toezichthouder: De tweede pilaar heeft als doel te waarborgen dat banken een efficiënt risico management en een toerijkend kapitaal hebben. Dit is gebaseerd op een viertal principes: Banken dienen mechanismen te hebben om hun risico vast te stellen; de toezichthouder houdt toezicht op de risicovaststelling door de bank en dient gepaste actie te ondernemen indien zij niet tevreden zijn; de toezichthouder controleert of de banken aan de minimale kapitaalsvereisten voldoet en intervenieert in een vroeg stadium om schendingen te voorkomen en; de toezichthouder dient snel en herstellend in te grijpen indien een bank onder de minimale kapitaalseisen zit.

Markt Discipline: Uitgedrukt in pagina’s is pilaar 3 duidelijk het meest beknopt weergegeven in het nieuwe operationele risico bouwwerk. Kort gezegd komt het erop neer dat een bank zijn strategieën en processen om operationeel risico te managen, de aard en reikwijdte van zijn rapportages en systemen en de policies om risico te mitigeren dient te openbaren. Daarnaast dient een bank inzage te geven in de aard en grootte van het economisch kapitaal en aan te geven hoe en via welke methode deze berekend is.

 

De economische kapitaalbepaling voor operationeel risico volgens pilaar

Pilaar 1 is, zoals hierboven aangegeven, de naam die het vernieuwde Bazel akkoord heeft gegeven aan de set vereisten waaraan het kapitaal van een bank dient te voldoen. Vanaf 2007 zal dus naast kapitaal voor markt- en kredietrisico op de balans tevens kapitaal dienen te worden aangehouden ter dekking van operationele risico’s. Idee hierbij is geweest het totale kapitaalbeslag gelijk te houden (dit doordat het vereist kapitaal voor markt- en kredietrisico door geavanceerdere methodes naar verwachting sterk zal afnemen). Probleem is een indicator te vinden die eenvoudig te berekenen is en hoge correlatie heeft met operationeel risico. Daarnaast dient een geavanceerde methode banken een incentive te geven om gedegen onderzoek naar hun operationele risico’s te doen. In de laatste versie van het kapitaalakkoord worden de volgende drie berekeningswijzen besproken:

De Basic Indicator Approach: baseert het kapitaalbeslag op een vast percentage (alfa genoemd) van de bruto inkomsten; momenteel geldt hiervoor een percentage van 15%. Of deze indicator een werkelijke indicatie geeft van het operationele risico is uiteraard betwistbaar, maar vooralsnog zijn er weinig alternatieven: Indicatoren gebaseerd op marktwaarden dupliceren het kredietrisico en andere indicatoren zijn moeilijk te bepalen. Hoe hoog de uiteindelijke correlatie is, zal moeten blijken. Intuïtief is de relatie tussen omzet en bijvoorbeeld aantal menselijke fouten aanwezig. Indien we bedenken dat in de eerste Bazel documenten kredietrisico als percentage van een zogenaamde kredietequivalent (gedefinieerd als vervangingswaarde + potentieel kredietrisico) werd gedefinieerd en marktrisico als percentage van de marktwaarde, dan kunnen we de Basic Indicator Methode beschouwen als een goede eerste stap. De Standardized Approach baseert het vereist kapitaal ook op bruto inkomsten, maakt zoekt differentiatie in verschillende percentages (genaamd betas), voor de business lines. Dit is gebaseerd op de verschillende afhankelijkheden van de business lines naar de drie beschreven risicocategorieën. Zo is bij Commercial Banking kredietrisico de voornaamste risicofactor; daarentegen zullen Investment Banking en Treasury Management grotere exposure naar marktrisico hebben, terwijl voor Retail Brokerage en Asset Managament operationeel risico het grootste risico is; dergelijke onderdelen hebben in theorie geen eigen positie (en dus geen marktrisico) en handelen als tussenpersoon voor investeerders. Hoewel het natuurlijk nooit compleet duidelijk is en bovendien per bedrijf kan verschillen geeft onderstaande grafiek een redelijke indicatie van de mate waarin verschillende business lines blootstaan aan de drie bekende risicocategorieën.

In de laatste versie van het Bazel II document is gekozen voor percentages (betas) tussen de 12 en 18% van het bruto inkomen als aan te houden kapitaal voor operationeel risico. Wel zal een bank die deze, of de geavanceerde methode, wil gebruiken ter bepaling van de berekening van het economisch kapitaal, dienen te voldoen aan een zevental aanvullende criteria. Deze criteria betreffen een viertal kwalitatieve eisen die betrekking hebben op de effectiviteit van het risicomanagement en control (onafhankelijk operationeel risicomanagement, procesbeschrijvingen, regelmatige rapportering en audit controles) en een drietal kwalitatieve eisen aangaande rapporteringwijze en validatie (historische database van verliezen bijhouden, geschikte rapporteringsystemen en gedocumenteerde specifieke criteria waarmee business lines worden ingedeeld binnen het standaard framework). De Advanced Measurement Approach (AMA): is ontwikkeld met als idee verschillende geloofwaardige methodes voor de bepaling van operationeel risico te accepteren. Bazel heeft een geraamte voorgesteld waarin de locale toezichthouder de individuele bepalingen van het risico dient te controleren en goed te keuren en hoopt zo dat ‘a thousand flowers may bloom’. Wel geeft Bazel een set criteria waaraan voldaan dient te worden teneinde een methode goedgekeurd te krijgen als geavanceerd. Omdat dus een groot deel van de eisen beschreven zijn, zullen de duizenden bloeiende bloemen in de praktijk allen rozen zijn, maar wellicht in verschillende lengtes en kleuren. Als stimulans voor te banken om over te gaan op een geavanceerde methode, zal een bank naar verwachting (aanzienlijk) minder kapitaal dienen aan te houden ter dekking van het operationele risico. Feitelijk dient een aanpak altijd te bestaan uit een kwantitatief deel van verzamelde historische loss data en een kwalitatief deel, dat onder andere bestaat uit risk self assessments8 (RSA’s), procesbeschrijvingen en Key Risk Indicators9 (KRI’s). Hiermee valt nog een extra op- of afslag te verdienen van maximaal 10% op het aan te houden kapitaal.

 

De bepaling van het economisch kapitaal voor operationeel risico

In het laatste Bazel akkoord is in de AMA het vereist economisch kapitaal gedefinieerd als de zogenaamde ‘unexpected loss’ in de verdelingsfunctie van de totale jaarlijkse verliezen. Hierbij wordt gekozen voor een betrouwbaarheidsinterval van 99.9% en een tijdshorizon van 1 jaar. Dit ‘unexpected loss’ is geïllustreerd in figuur 2 en is het verschil tussen het 99.9 de percentiel (ook wel de 99.9% Value at Risk waarde genoemd) en het verwachte verlies in de totale verdelingsfunctie van operationele verliezen.

Banken worden geacht voor verliezen kleiner dan het verwachte verlies een voorzieningen aan te houden. Normaal gesproken zullen dit de verliezen zijn met hoge frequentie en lage impact (severity genoemd). Dit soort verliezen worden normaal gesproken in kostenberekeningen meegenomen en gemanaged via interne controles. Verliezen groter dan die in het 99.9-ste percentiel kunnen de bank serieuze schade berokkenen en in theorie zelfs doen failleren. Deze verliezen (ook wel stresswaarden genoemd) zijn per definitie de zeer zeldzame, maar extreem schadelijke gebeurtenissen voor een bank. Een dergelijk groot verlies kan niet volledig door kapitaal worden opgevangen, dat zou eenvoudigweg teveel kapitaal vereisen. Wel dient een bank aan te kunnen tonen dat deze onder controle zijn. Normaal gesproken worden dergelijke risico’s verzekerd bij een externe partij. De ‘unexpected loss’ waarde ten slotte is gedefinieerd als het verschil tussen de het 99.9-ste percentiel en de verwachte waarde in de verdelingsfunctie. Het verschil tussen deze twee waarden dient een bank aan te houden als kapitaal ter dekking van het operationele risico. Dit zijn typisch de gebeurtenissen met lagere frequentie en hogere severity.

Normaal gesproken wordt een verdeling als weergegeven in figuur 2 samengesteld uit een verdelingsfunctie die de frequentie van het aantal verliezen weergeeft en een verdelingsfunctie die de severity (dus de omvang) van een verlies bepaalt. Anders gezegd: voor een gegeven operationeel risicotype in een bepaalde business line, construeren we een discrete kansdichtheidsfunctie f (n) die het aantal operationele verliezen n gedurende een jaar bepaalt en een continue conditionele kansdichtheidsfunctie g (x|n) die de severity simuleert gegeven dat er n verliezen zijn in dat jaar. De totale verliesverdeling heeft dan de volgende samengestelde dichtheid:

Hierbij wordt dus de som genomen van n stochastische variabelen g die het verlies voorstellen indien er een verlies plaatsvindt, waarbij n tevens een stochastische variabele is die het aantal verliezen per jaar simuleert. Volgens de huidige Bazel II voorstellen dient een bank die voor de AMA aanpak gekozen heeft voor iedere businessline en risicocategorie een jaarlijkse verliesfunctie te simuleren. Hierbij is men vrij verschillende functionele vormen voor de frequentie en severity verdelingen te gebruiken per business line en risicosoort. Tot slot kunnen deze individuele verdelingen tot een totale verliesfunctie worden geaggregeerd, waarbij tevens rekening wordt gehouden met de correlatie tussen de verschillende verliessoorten en business lines.

De frequentie verdeling

In de praktijk komt het bovenstaande er op neer dat op basis van aantallen voorgevallen gebeurtenissen in een bepaalde risicocategorie er een verdelingsfunctie wordt geschat voor de frequentie waarmee bepaalde events (verliezen) plaatsvinden. Op het meest basale niveau kunnen we dit modelleren via een binomiale verdeling B(N,p) waarbij N het totale aantal gebeurtenissen voorstelt die blootstaan aan operationele verliezen gedurende 1 jaar en p de kans op een verlies is. Nadeel van een binomiale verdeling is echter dat het totaal aantal gebeurtenissen N gespecificeerd dient te worden. Bij een kleine p kan de binomiale verdeling dan ook beter benaderd worden door een standaard Poisson verdeling, met een enkele parameter λ welke het verwachte aantal verliezen (Np in het binomiale model) en de variantie voorstelt, en wel als volgt:

Eén en ander kan op eenvoudige wijze worden gesimuleerd en geeft bij een λ van 5 (dus een verwacht aantal verliezen binnen een bepaalde risicocategorie in een business line van 5, bij een variantie van 5) een volgend beeld. (zie figuur 3)

De severity verdeling

Voordat begonnen wordt met het modelleren van de severity verdeling wordt over het algemeen de veronderstelling gemaakt dat verlies frequentie en severity onafhankelijk zijn. Hoewel natuurlijk duidelijk is dat dit niet het geval is (hoog frequent voorkomende verliezen als settlement fouten zullen over het algemeen een lage impact hebben, en dus een negatieve correlatie impliceren), hoeft dit binnen een business line en risicocategorie niet direct voor problemen te zorgen. Hoog frequent voorkomende risico’s kunnen bijvoorbeeld gemodelleerd worden met een lognormale verdeling. De praktijk wijst echter uit dat severity verdelingen vaak dikstaartig zijn (leptokurtosis >3) en last hebben van scheefheid (naar rechts). In dergelijke gevallen zal een gammaverdeling gebaseerd op 2 parameters beter in staat zijn de severity te beschrijven. Dit kan dan als volgt gebeuren:

In onze analyse hebben we gekozen voor een verliescategorie waarin relatief weinig verliezen op jaarbasis worden verwacht (ongeveer 5), maar waarbij de financiële consequenties redelijk groot zijn (gemiddeld 8 mln. per event). Dit zou bijvoorbeeld de modellering van de categorie ‘externe fraude’ kunnen voorstellen bij een zeer grote multinational; fraude komt niet erg vaak voor (in dit voorbeeld 5 keer per jaar), maar de consequenties per gebeurtenis kunnen erg groot zijn (8 mln per event). In onze simulaties die 5000 trekkingen omvatten, vinden wij een gemiddelde tussen 7.69 mln. en 8.23 mln., bij een variantie tussen de 15.76 en 16.18. Gezien het feit dat een Gamma (4,2) een theoretisch gemiddelde impliceert van 4x2=8 en een variantie van 4 x 22 = 16, lijken deze cijfers acceptabel.

De operationele verliesverdeling:

In een laatste stap zal nu uit de bovenstaande frequentie en severity verdeling via Monte Carlo simulatie een totale verliesverdeling dienen te worden gesimuleerd. Dit zal een verdelingsfunctie zoals weergegeven in figuur 2 opleveren. Hierbij zullen steeds de volgende eenvoudige stappen worden doorlopen:

  1. Doe een willekeurige trekking uit frequentieverdeling f(n). Dit is stochast 1 en stelt het aantal verliezen voor dat er in een bepaald jaar plaatsvindt We noemen dit n. Gezien onze keus voor de Poisson (5) verdeling, hebben wij een gemiddelde van 5 verliezen per jaar verondersteld.
  2. Doe nu n trekkingen uit de severity verdeling: g(x|n). Dit is stochast 2 en stelt de severity voor indien een bepaald verlies plaatsvindt. Dit is dus de conditionele verdeling die aangeeft hoeveel verlies er naar verwachting wordt geleden indien er een verlies plaatsvindt. Gezien de keuze van de severity verdeling, een Gamma (4,2) verdeling, veronderstellen we dus een gemiddeld verlies van 8 mln per gebeurtenis.
  3. Sommeer nu het aantal trekkingen uit de severity verdeling; dit is dus een stochastische som van severity’s waarbij gesommeerd wordt over n waarnemingen. Uitkomst hiervan stelt het totale verlies voor in een bepaald jaar. Indien bijvoorbeeld als frequentie 4 is gesimuleerd (dus 4 verliezen per jaar) en als severity 8.1, 7.8, 7.7 en 8.3, dan is het totale operationele verlies dat jaar 8.1 + 7.8 + 7.7 + 8.3 = 31.9 mln.
  4. Herhaal stap 1 t/m 3 een groot aantal keren (in ons geval 5000).

De uitkomst van onze simulaties

Doel van de simulatie van een dergelijke verdelingsfunctie van operationele verliezen is de bepaling van de zogenaamde VaR (door Bazel gedefinieerd als het 99.9-ste percentiel in de verdeling) en het daarvan afgeleide aan te houden kapitaal (de VaR minus het gemiddelde van deze verdeling). Op basis van bovenstaande verdelingsfuncties hebben we een groot aantal simulaties van 5000 waarnemingen gedaan. In onderstaande tabel staan de gemiddelden van deze simulaties weergegeven en wordt tevens aangegeven wat bij verschillende percentielwaarden de VaR en bijbehorende unexpected loss waarde is, wat dus het aan te houden kapitaal weergeeft.

De eerste kolom f(n) geeft de trekking weer uit de Poisson verdeling met λ gelijk aan 5 en blijkt na een groot aantal trekkingen inderdaad verdeeld te zijn rond een gemiddelde van 5 (verliezen per jaar), bij een variantie van 5. De maximaal gevonden waarde is 14 verliezen, wat overeenkomt met een kans van 0.05%. De tweede kolom Σf(n)·g(x|n) geeft het gesommeerde aantal verliezen aan. De gemiddeld gevonden waarde is hierbij 39.87, wat geloofwaardig is gezien de keuze van de parameters λ = 5, α = 4 en β = 2. (5x4x2=40). Bij de verschillende percentielwaarden komen wij nu uit op een VaR tussen de 76.10 en 112.86, corresponderende met een aan te houden kapitaal tussen de 36.23 en 72.99 (percentielwaarden minus 39.87). Het is echter belangrijk te realiseren dat de parameters van een jaarlijkse verdelingsfunctie van operationele verliezen niet met precisie kunnen worden geschat; hiervoor is een grote hoeveelheid data nodig die er eenvoudigweg niet is, en er in de nabije toekomst ook niet zal zijn. Operationeel risico zal voorlopig altijd worden gekwantificeerd op basis van beperkte historische verliescijfers, aangevuld met subjectieve data of externe data10, waarvan de relevantie twijfelachtig is. Ook is er, vooral bij grote percentielwaarden sprake van een sterke niet lineaire afhankelijkheid in parameters, wat tot gevolg heeft dat een kleine verandering in de parameters een grote verandering in het aan te houden kapitaal teweeg kan brengen.

 

De knelpunten

Een belangrijk punt bij de bepaling van operationele risico’s is de vraag of operationeel risico wel bepaald kan worden via kapitaalbeslag. Vereist kapitaal heeft normaal bij markt- en kredietrisico tot doel de kans uit te sluiten dat een bank, voor de volgende reporting periode, insolvent wordt als gevolg van excessieve verliezen op zijn kredieten of door trading activiteiten. De basisveronderstelling is altijd dat geen enkel individueel verlies het gehele kapitaal van de bank kan doen verdampen. Om deze reden worden kapitaalseisen altijd gecombineerd met restricties op grote exposures. Dit kan in de vorm van positie-, scenario en Grieklimieten in het geval van marktrisico en tegenpartijlijnen in het geval van kredietrisico. Een tweede veronderstelling is dat de financiële positie van de bank correct wordt weergegeven in haar administratie. Beide veronderstellingen lijken moeilijk hard te maken in het geval van operationeel risico, vooral in het geval van bijvoorbeeld fraude.

Indien we naar de drie methodes van kapitaalseisen kijken, lijkt de Standardized Approach voor een bank geen significante verbetering ten opzichte van de Basic Indicator Approach. Het vereist een aanzienlijke hoeveelheid extra informatie ten opzichte van Basic Indicator Approach, terwijl geen hoop op kapitaalsreductie wordt geboden. Vooralsnog lijkt het dan ook niet geloofwaardig dat banken vrijwillig voor de Standardized Approach kiezen. Op dit moment impliceert bovenstaande methodiek dat de wat kleinere partijen kiezen voor de Basic Indicator Approach, zodat zonder enige vorm van analyse 15% kapitaalbeslag wordt gerekend, terwijl de grotere partijen collectief kiezen voor de Advanced Measurement Approach waarbij een (serieuze) kapitaalreductie wordt verwacht. In het kader hiervan is het wellicht verstandig de Basic Indicator Approach te schrappen en zolang er geen goede maatstaf tot risicodifferentiatie tussen de verschillende business lines is, de zogenaamde betas op 15% te stellen. Hierdoor worden de banken toch gedwongen serieus naar hun operationele risico’s te kijken en kunnen zij niet zonder enige vorm van self assessment voor 15% kapitaalbeslag kiezen.

Verder blijft er voorlopig het gegeven van de beperkte hoeveelheid data, met name in categorieën als externe events en fraudes. Binnen de bankenwereld wordt hiervoor de oplossing gevonden door informatie over lossdata (op anonieme basis) via een consortium te delen met andere banken. Nadeel hiervan is echter dat op deze wijze alle deelnemende banken hun vereist kapitaal op gelijke gebeurtenissen baseren en zo in theorie een gelijk kapitaal dienen aan te houden.11 Zelfs indien er een redelijk aantal datapunten gevonden is, rijst de vraag of deze historische gebeurtenissen voorspellende waarden hebben. In het algemeen worden na grote verliezen als gevolg van operationele tekortkomingen maatregelen getroffen die één en ander in de toekomst zal doen voorkomen. Vooralsnog lijkt het dan ook het beste in ieder geval de severity verdeling te baseren op de self assessments12. De (subjectieve) uitkomsten hiervan dienen echter wel zeer nauwkeurig te worden gebacktest via de historische data om de betrouwbaarheid te testen. Daarnaast kan de informatie uit het consortium worden gebruikt als benchmark ter vergelijking met de eigen lossdata.

Als laatste is gebleken dat de 99.9% percentielwaarde in de AMA methode op dit moment, gezien de beperkte hoeveelheid data, voor te grote uitschieters in de verdeling zorgt. Diverse banken zullen zelfs gezien hun rating waarschijnlijk naar nog hogere percentielen dienen te kijken, waarbij waarden als 99.97 in zicht komen. Hierbij dient beseft te worden dat dit overeenkomt met het vierde verlies op 10.000 jaar, wat gezien de 2-5 jaars opgebouwde databases vooralsnog voor surrealistische waarden zorgt. Weliswaar zullen de data in de praktijk worden aangevuld via externe data of self assessments, maar gezien het feit dat bovenstaande percentielen ons dwingen data uit de ijstijd te verzamelen, is wellicht een kritische herbespreking van het betrouwbaarheidsinterval op zijn plaats. Conform de berekeningen van de VaR voor Marktrisico, zou een betrouwbaarheidsinterval van 99% voor de meeste banken waarschijnlijk haalbaarder zijn. Vooralsnog zorgen bovenstaande intervallen voor volledig subjectieve inschattingen van de betreffende managers die bovendien gezien de beperkte hoeveelheid data voorlopig moeilijk te controleren zijn via backtests.

 

Tot Slot

Operationeel risico is een fundamenteel onderdeel van het bankbedrijf en kan vanuit dat oogpunt ook nooit volledig geëlimineerd worden. Het gezamenlijk belang van toezichthouder en banken dient echter te zijn dat dergelijke risico’s worden geïdentificeerd, gemeten, gemonitord en worden beheerst. Onder het bestaande Bazel akkoord dienen banken kapitaal aan te houden op basis van hun krediet- en marktrisico, en dient er een ‘buffer’ te zijn voor overige risico’s. Als gevolg van de grote verliezen die er de laatste tijd als gevolg van operationele tekortkomingen geweest zijn, is het begrijpelijk dat Bazel vanaf 2007 vereist dat iedere bank kapitaal dient aan te houden ter dekking van operationeel risico. Dat er in de huidige voorstellen nog enkele zaken zitten die niet erg werkbaar of logisch zijn, is gezien het feit dat dit een eerste opzet is, begrijpelijk; net als bij kredie ten marktrisico zullen er nog jaren van verbetering volgen alvorens een voor de verschillende partijen acceptabele situatie wordt bereikt. Het is nu aan de banken om, in overleg met de lokale toezichthouder te komen tot werkbare compromissen waarmee we hopelijk in de toekomst grote operationele verliezen kunnen voorkomen, of in ieder geval de omvang ervan kunnen beperken.

 

Noten

  1. De auteur is na enige tijd Trading Analist bij Fortis Bank Global Clearing N.V en Head of Reporting bij Fortis Investment Bank geweest te zijn, momenteel werkzaam als Global Head of Operational Risk voor Securities en Fund Solutions binnen de Merchant Bank van Fortis Bank.
  2. Bazel heeft een zevental risicocategorieën gedefinieerd, te weten: externe fraude; interne fraude; veiligheid op de werk-plek; cliënten, producten en bedrijfspraktijk; fysieke schade; bedrijfsverstoring en systeemfouten en executiefouten etc.
  3. Denk hierbij aan cases als Barings (1995, 1.3 bln USD), Daiwa (1995, 1.1 bln USD) en recentelijk AIB (2002, 691 mln USD), alle veroorzaakt door Rogue traders in combinatie met slechte controles.
  4. De laatste versie van dit voorstel is gepubliceerd in juni 2004.
  5. Het oorspronkelijk akkoord telde slechts een dertigtal pagina’s en liet veel ruimte voor lokale toezichthouders.
  6. Feitelijk zijn er 2 eenvoudige methodes.
  7. Grafiek gebaseerd op Robert Ceske; www.netrisk.com; tevens terug te vinden in Jorion, FRM handboek.
  8. Dit zijn gestructureerde enquêtes die op subjectieve basis het risico binnen een bepaalde categorie proberen te achterhalen.
  9. Dit zijn indicatoren waarmee het management bepaalde risico’s snel en op voorhand kan zien aankomen. Een voorbeeld kan bijvoorbeeld ziekteverzuim zijn.
  10. Zo zijn er intussen diverse consortia opgericht van banken die operationele risicodata delen met als doel zo grotere databases te kunnen gebruiken van de risicobepaling; zie bijvoorbeeld www.orx.com.
  11. In de praktijk zullen deze data wellicht geschaald worden voor de grootte van een partij.
  12. Dit kan uiteraard ook met de frequentie verdeling.

Referenties:

  • Alexander, C, “Operational Risk, Regulation, Analysis and Management”, 1 th edition, Prentice Hall 2003.
  • Matten, C, “Managing Bank Capital, Capital Allocation and Performance Measurement”, 2 th edition, John Wiley and sons, September 2001.
  • Jorion, P, “Financial Risk manager handbook”, 2 th edition, John Wiley and sons, 2003

 

Download