De term ‘digital disruption’ wordt vaak gebruikt om de impact van de snel veranderende wereld van informatie technologie op bedrijven te schetsen. Digitalisering is echter geen oorzaak. Het gaat om de vraag hoe nieuwe technologische mogelijkheden slim kunnen worden gebruikt om nieuwe product en dienst categorieën te scheppen of om processen zodanig te optimaliseren dat nieuwe concurrerende posities ontstaan. Dat onderscheidt ‘digital masters’ zoals bijvoorbeeld Uber en Spotify van andere bedrijven; zij hebben gezien dat er nieuwe product categorieën te creëren zijn met behulp van technologie, zoals ‘zorgeloos vervoer’ of ‘luisteren on demand’. Hoe kunnen gevestigde bedrijven in een traditionele sector als vermogensbeheer technologische innovatie gebruiken om te kunnen blijven concurreren en waarde te creëren?
Risico management is een integraal onderdeel van de waardeketen van een vermogensbeheer organisatie. Zowel binnen ieder aspect van het beleggingsproces dat wordt aangeboden aan klanten, als in de eigen strategische, financiële en operationele bedrijfsvoering. Bij geen enkele bedrijfsactiviteit zijn alle omstandigheden onder controle. Een concurrent kan een initiatief nemen waardoor de verkoopbaarheid van een product negatief beïnvloed wordt. Een gebeurtenis ergens anders in de wereld kan binnen enkele uren het vertrouwen in ons financieel systeem ondermijnen. Succesvolle fonds beheerders kunnen overstappen naar de concurrent zonder expliciete signalen vooraf. Bewust of onbewust kunnen situaties ontstaan waarin het bedrijf niet meer voldoet aan wetten of regels, of algemeen geldende normen en waarden. In het ´Open Boek Toezicht´ definieert DNB operationeel risico als het risico dat ontstaat als gevolg van het falen of tekortschieten van interne processen, menselijke en technische tekortkomingen, en onverwachte externe gebeurtenissen. Wat moet er gebeuren om zulke situaties goed het hoofd te kunnen bieden? Het scheelt in ieder geval enorm als er van tevoren met dergelijke situaties rekening is gehouden, nog voordat ze optreden. Dat is het doel van operationeel risico management (ORM).
Technologie stelt vermogensbeheerders in staat om een geïntegreerd operationeel risico systeem te realiseren, waarbij risico ‘real time’ wordt gemonitord en zowel interne als externe data op een robuuste wijze kan worden omgezet in inzichten ter ondersteuning van de strategische besluitvorming
De bredere technologische ontwikkelingen op het gebied van data en analytics, maar ook de explosieve groei in het gebruik van social media en het ontstaan van het zogenaamde ‘Internet der Dingen’ bieden vermogensbeheerders nieuwe mogelijkheden om operationeel risico management naar een hoger niveau te tillen en daarmee te positioneren als onderdeel van een differentiatie strategie binnen het competitieve speelveld. Een speelveld dat steeds meer tendeert naar concurrentie op prijs en de zoektocht naar toegevoegde waarde voor de klant. En dat terwijl de kosten toenemen als gevolg van veranderende wet- en regelgeving, het groeiende belang van een sterk merk en investeringen in een verbeterde klantervaring. Uiteraard brengen technologische ontwikkelingen en verdergaande technologische toepassingen ook nieuwe risico’s met zich mee, maar dat valt buiten de scope van deze beschouwing.
Geïntegreerd Operationeel Risico Management
De vermogensbeheer sector heeft traditioneel een sterk risicobesef. Echter toenemende wet- en regelgeving, een grotere behoefte aan transparantie en een professioneel governance-model stellen hogere eisen aan de beheersing van de interne bedrijfsvoering en vragen daarmee om toenemende aandacht voor ORM. De sterkere roep om expliciete bepaling van risicobereidheid, de toename in complexiteit van risico’s, de vergroting in afhankelijkheden tussen risico’s en de behoefte aan een effectievere risicobeheersing vraagt om integraal risicomanagement. Dit helpt risico’s systematisch te beheersen waardoor de vermogensbeheerder beter in staat is zijn doelstellingen te behalen.
Het startpunt voor integraal risico management is een risico assessment waarbij de verschillende risico’s in kaart worden gebracht door middel van een zogenaamde risico matrix. De risico matrix vormt de basis van de risico strategie en het risico beleid die verder worden uitgewerkt in het risico beheersingssysteem op basis van zogenaamde Key Risk Indicators (KRIs). Deze hebben als doel het geven van een vroege indicatie van ongunstige veranderende omstandigheden.
Het opstellen van de risico matrix beperkt zich nog vaak tot een jaarlijkse schatting van frequentie en impact op basis van kwalitatieve input door middel van interviews en brainstormsessies ondersteund door kwantitatieve input gerelateerd aan incidenten en gebeurtenissen uit het verleden. Hierin schuilt een aantal valkuilen voor vermogensbeheerders, een vals gevoel van zelfgenoegzaamheid kan daarmee plotsklaps worden verstoord door een onverwachte gebeurtenis.
- Veel risico’s zijn niet vooraf te identificeren door de toenemende complexiteit van een globaliserende omgeving. Een te zwaar accent op a priori risico identificatie zal daarom niet tot een sluitend beheers systeem leiden. Denk bijvoorbeeld aan de recente publicatie van de Panama Papers, de publieke reactie en de daarop volgende paniekgolf bij financiële instellingen waaronder vermogensbeheerders inzake mogelijke (schijn van) betrokkenheid.
- De kwaliteit van risico assessments is afhankelijk van de kwaliteit en geloofwaardigheid van de onderliggende aannames, zeker bij het gebruik van statistische informatie. Bij met name staart risico’s (lage frequentie, hoge impact gebeurtenissen) ontbreekt goede empirische kennis. In de recente crisis hebben we ook goed kunnen zien hoe normaliter niet gecorreleerde risico’s onder druk van het volledig wegebben van marktliquiditeit ineens een sterke correlatie vertoonden.
- Vermogensbeheerders worden steeds vaker geconfronteerd met unieke risico’s die op continue basis aan verandering onderhevig zijn; een jaarlijkse high level risk assessment frequentie lijkt dan ook niet meer als adequaat te kunnen worden beschouwd. Voorbeelden zijn nieuwe disruptieve concurrenten en business modellen, onconventioneel beleid van centrale banken, cyber attacks, toenemende sociale onrust en geopolitieke instabiliteit en snel aangroeiende negatieve publiciteit op social media.
- De focus is vaak gericht op individuele risico’s met een hogere frequentie en/of impact, zonder bijzondere aandacht of onderbouwing van de onderliggende verbanden en correlaties tussen de verschillende risico’s. Lage frequentie, lage impact risico’s worden relatief vaak genegeerd. Dit terwijl een grote meerderheid van lage frequentie hoge impact incidenten wordt veroorzaakt door het tegelijkertijd plaatsvinden van meerdere lage impact risico’s, zoals blijkt uit diverse onderzoeken naar fatale of near miss incidenten met vliegtuigen, schepen en kerncentrales, maar ook binnen een operatiekamer.
Het is dus van evident belang om de verschillende onderliggende verbanden en correlaties tussen de geïdentificeerde risico’s in kaart te brengen en te werken met zogenaamde risico clusters. Veel risico’s hebben meerdere oorzaken en gevolgen, en manifesteren zich binnen diverse rapportage dimensies (juridische entiteiten, processen, wet- en regelgeving, etc.). Vaak onderkennen risk managers of andere werknemers deze afhankelijkheden wel, maar is het lastig om dit in de risico systemen op te nemen en worden ze informeel vastgelegd of, erger nog, vergeten.
Toezichthouders zullen in toenemende mate vragen stellen omtrent de accuraatheid en voorspelkracht van het risico beheersingssysteem, evenals omtrent de meetbaarheid, voorspelbaarheid, vergelijkingswaarde in de tijd en informatiekracht van de verschillende indicatoren
Vermogensbeheerders hebben daarom belang bij een robuuste structuur van krachtige KRIs die een voorspellende waarde hebben voor toekomstige gebeurtenissen, maar ook KRIs gebaseerd op het verleden teneinde trends te identificeren.
Binnen het ingerichte risico beheersingssysteem worden op basis van een dashboard verschillende risico’s gemonitord teneinde te kunnen sturen op de vooraf gestelde strategische doelstellingen van de vermogensbeheerder. Het idee is niet om alle mogelijke risico’s te voorkomen, maar meer om veerkracht in het risico beheersingssysteem in te bouwen om effectief de effecten te mitigeren. Dit kan enkel effectief plaatsvinden op real time basis. Het op deze manier managen van risico’s helpt het management om nieuwe risico’s als een positieve verstoring te percipiëren waarmee competitief voordeel kan worden behaald, in plaats enkel als bedreiging van het voortbestaan van de onderneming.
Naar de toekomst toe zullen toenemende kwantitatieve input (actuele financiële en operationele data, maar ook externe data) en een combinatie van zowel forward (bijvoorbeeld scenario analyse, machine learning) als backward looking (bijvoorbeeld stress testing) ondersteunende methoden onontbeerlijk zijn binnen ORM. Dit stelt een vermogensbeheerder niet alleen in staat om risico’s beter te identificeren, maar ook om sneller te reageren in het geval van oplichtende KRI’s of niet eerder geïdentificeerde risico’s. ORM als leverancier van toegevoegde waarde! Het inzetten van nieuwe technologisch oplossingen is hierin onoverkomelijk.
Technologische innovatie heeft het punt bereikt waar ‘advanced analytics’ mogelijk, zo niet essentieel, wordt voor vermogensbeheerders in het nastreven van duurzame winstgevende groei
‘Real time’ Risico Monitoring op basis van Big Data & Analytics
Analytics behoort voor veel portefeuille beheerders tot de kern van het nemen van goede beleggingsbesluiten, en wordt door velen zelfs getypeerd als een belangrijk competitief voordeel. Maar dat is slechts een van de krachtige toepassingen van analytics binnen een vermogensbeheerder. Analytics en de daaruit volgende inzichten bieden volop kansen voor het lanceren van nieuwe producten, het identificeren en aantrekken van nieuwe revenuen genererende klanten en het ontdekken van mogelijkheden om de operationele efficiëntie te verhogen, maar ook voor het blootleggen van verborgen risico’s.
Exponentiële groei in rekenkracht en aanbod van analytic software brengen het ‘slicen en dicen’ van grote hoeveelheden data van binnen en buiten de onderneming, binnen bereik. Visualisatie en mobiele toepassingen bieden snelle inzichten ter ondersteuning van betere besluitvorming, zowel in de kantoor omgeving als onderweg. Belangrijkste voorwaarde is goede toegang tot financiële en operationele informatie; nodig voor het stellen en beantwoorden van de juiste risico gerelateerde vragen die leiden tot waardevermeerdering van de onderneming.
Toch zien we bij veel vermogensbeheerders die de eerste voorzichtige stappen hebben gezet met big data analytics en predictive analytics, dat er nog steeds een bijna volledige ontkoppeling bestaat met de bestaande IT infrastructuur. Data wordt apart genomen ter gebruik voor analyse waardoor het real time beeld verdwijnt, data governance issues opduiken en risk management los komt te staan van de besluitvorming. En dat is jammer, want met het vergroten van de afstand tussen de data, het ‘live’ proces en de stuuracties die volgen binnen het primaire proces, creëer je inefficiëntie, risico en waardeverlies.
Een snel groeiend softwarematig aanbod van zogenaamde ‘Regtech’ oplossingen (‘regulatory technology’ als analogie op het alom bekende Fintech), is juist ontworpen om op een dynamische wijze en real time basis te kunnen meebewegen met veranderende eisen vanuit toezichthouders
Het aansluiten van analytics op de bestaande financiële en operationele systemen biedt real time inzicht in de beheersing en uitvoering van primaire processen. Bijvoorbeeld door in plaats van samples iedere belegging gerelateerde transactie te monitoren, en daarmee operationele efficiëntie te analyseren op basis van een volledige dekking van activiteiten. Toepassingen in combinatie met bestaande klantrelatie management systemen ontsluiten nieuwe inzichten in risico beoordelingen ten aanzien van klant acquisitie en winstgevendheid, product pricing, het verkoopproces en fraude detectie. Tegelijkertijd ontstaat de basis infrastructuur die vermogensbeheerders in staat stelt om sneller te voldoen aan veranderingen in wet- en regelgeving en de daarmee gepaard gaande rapportageverplichtingen naar toezichthouders (bijvoorbeeld inzake kapitaalsvereisten en screening ten behoeve van Anti Money Laundering en Customer Due Diligence), maar ook in het identificeren van anomalieën in trading activiteiten en de identificatie van ontbrekende/inconsistente data.
Social Media en het Internet der Dingen als bron van Externe Data
Vandaag de dag ligt de nadruk bij het gebruik van externe data binnen ORM op macro-economische data; relatief weinig andere externe bronnen en signalen worden gestructureerd en geautomatiseerd ontsloten ten behoeve van het risico beheersingssysteem. Bedrijfsprestaties worden nog relatief weinig aangehouden tegen marktprestaties, met uitzondering van beleggingsperformance. Interne data (bijvoorbeeld geregistreerde klachten van klanten of technische bijstortingen) worden relatief snel als representatieve proxy gebruikt voor de werkelijkheid (in dit geval klanttevredenheid).
Met de opkomst van social media is een belangrijke nieuwe bron van externe data beschikbaar, die niet alleen interne datasets kunnen complementeren (bijvoorbeeld publiek gedeelde meningen en percepties van klanten over je reputatie, producten, marketing campagnes en klantbediening), maar ook relevant kunnen zijn als early warning risico indicatoren (denk aan bedrijfsgerelateerde trending topics, ervaringen van andere klanten met je leveranciers, publieke uitingen van personeel en sollicitanten, etc.).
We zien steeds meer voorbeelden waarbij externe data superieur is aan interne data, en relatief gemakkelijk te verkrijgen, maar nog volstrekt wordt genegeerd
Denk daarbij aan het risico op onvoorzien sterk personeelsverloop, hetgeen voor vermogensbeheerders een niet onaanzienlijk risico betreft. Een platform als LinkedIn ziet real time verandering in gebruikersgedrag (het maken van connecties, het updaten van een profiel, het zoeken naar vacatures). Het aanschaffen van een real time heatmap van LinkedIn is waarschijnlijk een betere KRI voor het risico op plotseling hoog personeelsverloop dan de kwalitatieve, gedecentraliseerde en moeilijk te aggregeren inzichten van de directie, de HR afdeling of de verschillende managers.
Behalve mensen maken ook steeds meer objecten gebruik van internet. Er zijn naar schatting al zo’n 2 miljard apparaten verbonden met het Internet der Dingen en dat is met name zo snel toegenomen door de expansieve groei in het gebruik van smartphone en tablet. Het Internet der Dingen biedt ontelbare mogelijkheden, maar alleen voor bedrijven die hier klaar voor zijn.
Het gaat hier weliswaar om een belangrijke informatiebron, maar met alleen de toegang tot die informatie kom je niet zo heel ver. Er is een methode nodig om al die gegevens te beheren en te zorgen dat deze zo snel mogelijk actief kunnen worden ingezet door de juiste personen. Veel operationele platformen in gebruik bij vermogensbeheerders (denk bijvoorbeeld aan extern ingekochte systemen en portalen voor klantrelatie management, content management of klantrapportage) bieden bijvoorbeeld al zeer flexibele APIs (Application Programming Interfaces) om specifiek ontwikkelde toepassingen te koppelen. Denk daarbij aan het real time verzamelen en analyseren van klantgegevens rondom nieuwe fonds lanceringen, marketingmateriaal & factsheets, of reguliere rapportages. Maar ook gegevens inzake compliance van documentatie die is gedeeld met de buitenwereld in relatie tot geldende wet-en regelgeving. Niet alleen interessant vanuit commercieel perspectief, maar zeker ook vanuit risico oogpunt een welkome nieuwe externe data bron.
Het identificeren van latente mogelijkheden in het risico landschap stelt vermogensbeheerders in staat om deze risico’s sneller te exploiteren dan de concurrentie
Traditioneel ORM is er op gericht om het bedrijf terug te brengen in een stabiele operationele set-up, waarbij risico’s worden gezien als potentiële afwijkingen ten opzichte van de normale situatie. Een meer realistische benadering is de acceptatie dat iedere verstoring een leermoment biedt die mogelijkerwijs leidt tot een andere operationele set-up.
Mobiele en digitale technologie moet worden beschouwd als een bron van opportuniteiten ten behoeve van het creëren van diepere inzichten in de beheersing van de onderneming.
Interne Rapportage & Communicatie
Naast de inrichting van het beheerssysteem en het opbouwen van analytics gericht op het bieden van inzicht in risico ter ondersteuning van de besluitvorming in de onderneming, kan ook de interne rapportage en communicatie structuur tegen het licht worden gehouden. Het ongecontroleerd met vertraging rondmailen van incidenten, inzichten en rapportages naar verschillende personen in de organisatie is volstrekt ontoereikend; daardoor verlies je veel ruimte om adequaat te kunnen handelen en ontbreekt het vaak aan een consistent beeld van de daadwerkelijke situatie bij alle betrokkenen. In toenemende mate worden hiertoe zogenaamde Enterprise Apps (interne bedrijfs- applicaties beschikbaar voor mobile devices als smartphone en tablet) ontwikkeld waardoor de risico afdeling snel gebeurtenissen of inzichten kan delen met die personen voor wie het relevant is, eventueel met behulp van push notificaties als handelingssnelheid is gewenst. Het gebruik van deze applicaties garandeert dat een ieder op hetzelfde moment beschikt over de laatste stand van zaken met eenduidig versiebeheer, en dat helder is wie de verschillende betrokken personen zijn en hoe de eventueel daaropvolgende besluitvorming verloopt. Het is goed mogelijk om de diverse rapportage en communicatie flows interactief te maken binnen een enterprise app omgeving. De combinatie van beschikbare kwantitatieve data en kwalitatieve data maken deze applicaties ook bijzonder geschikt als ondersteuning in regulier risico overleg, zowel op directie niveau als op operationeel niveau.
Conclusies
De meest succesvolle bedrijven van dit moment hebben disruptieve ontwikkelingen en technologie geaccepteerd als essentieel onderdeel van de bedrijfsvoering. In dit artikel heb ik beschreven hoe een vermogensbeheerder ORM als differentiatie strategie kan gebruiken binnen het competitieve speelveld op basis van het optimaal gebruik maken van de snel ontwikkelende technologische mogelijkheden. Doel daarbij is de transitie naar een geïntegreerd risico management systeem dat op continue en real time basis de besluitvorming ondersteunt met inzichten, gebaseerd op zowel interne als externe data, en met gebruik van advanced analytics. Om dit te bereiken zal de ORM functie binnen het vermogensbeheer bedrijf in staat moeten worden gesteld om te investeren in technologie en kennis daaromtrent. De toekomst van ORM zal afhangen van de mate waarin het risico management systeem in staat is om op een dynamische en accurate manier het potentieel uit verzamelde data om te zetten in inzichten voor effectieve risico gerelateerde besluitvorming; daarbij zal aansluiting moeten worden gezocht bij de strategische bedrijfsdoelstellingen. In de tijd zal ORM een centrale rol moeten opeisen (en verdienen) in ieder strategisch besluitvormingsproces van een vermogensbeheerder.
Noot
- Hans van Houwelingen MSc CFA MBA heeft dit artikel op persoonlijke titel geschreven.
in VBA Journaal door Hans van Houwelingen