Basel II vraagt veel van ict

13 mei 2004 - 22:006 minuten leestijdAchtergrondGovernance & Privacy
Dries van Damme
Dries van Damme

Banken verliezen jaarlijks miljoenen dollars omdat ze hun operationele risico’s niet goed kunnen inschatten en dan ook geen adequate maatregelen kunnen nemen. Basel II verplicht de instellingen goed risicobeheer te voeren.

SAS Institute heeft samen met de Risk Waters Group wereldwijd vierhonderd risicomanagers van driehonderd financiële instellingen ondervraagd, van wie de helft uit Europa. De studie toont aan dat operationeel risicobeheer de voorbije tijd een steeds hogere prioriteit kreeg toegewezen. Voorlopig echter zonder veel succes. Diezelfde banken blijven jaarlijks miljoenen dollars verliezen, omdat hun inspanningen op dit vlak te kort schieten. Sterker nog: gebleken is dat 20 procent van de bevraagde instellingen helemaal geen programma voor operationeel risicobeheer heeft, ook al verliest negentig procent van die instellingen daardoor gemiddeld tien miljoen dollar per jaar. Bijna een vijfde van de respondenten situeerde het dagelijkse verlies van hun instelling tussen tien- en honderdduizend dollar.
Banken die wel over een programma beschikken, zijn dan weer heel voorzichtig met extra investeringen in operationeel risicobeheer. Een derde van de bevraagde risicomanagers stelt dat hun investeringsbudget voor operationeel risicobeheer in 2003 minder dan een miljoen dollar bedraagt. Hoewel nieuwe wetgeving – zoals Basel II dat op 31 december 2006 in Europa van kracht wordt – uitdrukkelijk maatregelen op het vlak van operationeel risicobeheer vereist, blijven de investeringen dus ondermaats. Wellicht omdat heel wat instellingen niet weten waar te beginnen. Blijkbaar kunnen ze niet goed inschatten waar de operationele risico’s zitten en hoe groot ze zijn.
Ongeveer de helft van de respondenten toonde zich bezorgd over het uitvallen de it-systemen. Minder dan een derde zag een risico in het verloop van personeel op sleutelposities in het bedrijf. Nochtans kan het verlies van een cfo of een key account directeur veel meer schade toebrengen aan de beursnotering van een bank, dan een tijdelijk probleem met een it-systeem.

Data vormen basis

“Basel II zorgt ervoor dat operational risk management eindelijk op de agenda van de banksector staat”, zegt Stefan de Lombaert van SAS. “Voorheen waren er natuurlijk ook al Europese richtlijnen, maar die beperkten zich tot markt- en kredietrisico. De banken moesten zichzelf beschermen tegen mogelijke verliezen via wisselkoersen, of door partijen die hun leningen niet meer kunnen terugbetalen. Het is pas met Basel II dat de banken ook wettelijk verplicht zijn zich in te dekken tegen operationele risico’s.”
Het gaat daarbij om verliezen die te wijten zijn aan de processen van de bank zelf: problemen met de it-systemen, fraude door medewerkers, een brand in de gebouwen van de bank, een hacker die schade aanricht, enzovoort. Voor de meeste banken is het echter niet zo vanzelfsprekend om een programma voor operationeel risicobeheer op poten te zetten. Gebrek aan data vormt het grootste probleem. “Je kunt allen een oplossing zoeken wanneer je weet wat er aan de hand is”, aldus De Lombaert. “De banken zullen dus moeten beginnen met het verzamelen en bijhouden van informatie over hun interne operationele processen. Dat is de eerste stap naar efficiënt operationeel risicobeheer.”
Enerzijds moeten de banken data bijhouden – onder meer over historische verliezen – anderzijds moeten ze via zelfonderzoek voldoende discipline aan de dag leggen om vooruit te kijken. “In principe moet de bank op die manier voor elke situatie het risico kunnen inschatten”, zegt De Lombaert. “Bijvoorbeeld: wat is het risico bij de activiteiten van een bepaalde medewerker, en neemt die medewerker – of de bank – voldoende maatregelen om dat risico te beperken? Het zijn zaken die de bank zelf kan controleren via het gebruik van scorecards.” Uit die eerste opsporing van risico-informatie kan de instelling een reeks sleutelrisicofactoren afleiden. Die geven op korte termijn de risico’s van een bepaalde actie weer. “Neem een medewerker van een bank die de geboekte transacties controleert. Het werkvolume dat die medewerker per dag aankan, is begrensd. Het is voor de bank dan ook nuttig erop toe te zien dat ze dat werkvolume niet overschrijdt, omdat er anders inderdaad een verhoogd risico op fouten ontstaat.” Blijkt uit de informatie die de bank heeft verzameld dat er inderdaad een ernstig risico bestaat, dan is een actieplan nodig en uitvoering daarvan.

Nu al starten

Feit is dat een financiële instelling dagelijks tal van kleine risico’s neemt. Dat ligt nu eenmaal in de aard van haar activiteiten en daar zullen de verplichtingen van Basel II niet veel aan kunnen veranderen. Het Europese akkoord verplicht de banken echter bufferzones in te bouwen, zodat ze ook overeind blijven wanneer ze een uitzonderlijke klap krijgen.
Banken die de maatregelen van Basel II ter harte nemen, zouden op die manier niet langer het risico lopen op een onzalige dag de Baring’s Bank achterna te gaan. “Fraude is evenwel niet het grootste probleem”, stelt De Lombaert. “De grootste risico’s zitten in de processen van de bank zelf. Belangrijk is dat ook de Belgische banken nu meer analytisch te werk zullen moeten gaan. Een databank met historische data vormt dan de basis voor de ontwikkeling van nieuwe modellen waarmee de banken hun medewerkers kunnen begeleiden en stimuleren. Wanneer de banken daarbij ook alle geleden verliezen netjes documenteren, kunnen ze daarmee eigenlijk alleen maar bijleren over hun eigen processen, en in de toekomst die risico’s uitsluiten.”

Management summary

  • Banken verliezen jaarlijks miljoenen dollar door operationele risico’s niet af te dekken.
  • Basel II stelt per 31 december 2006 risicobeheer verplicht.
  • Ict-afdelingen krijgen extra werk om de nodige analyses te verrichten.
Precies daarom is het van het grootste belang dat de banken nu al rond Basel II beginnen te werken. Wanneer de nieuwe reglementering eind 2006 in werking treedt, kan een financiële instelling maar beter al over een databank met historische data beschikken. De meeste banken zijn daar intussen mee begonnen. Ze hebben nog drie jaar om data te verzamelen en de eerste modellen voor operationeel risicobeheer op te stellen.

Uitdaging

Tal van softwareleveranciers hebben inmiddels oplossingen voor Basel II in hun programmatuur ingebouwd. Hier melden we het samenwerkingsverband van Peoplesoft met IBM. Big Blue gaat de Peoplesoft Enterprise Financial Management applicaties met zijn Risk & Compliance initiatief integreren. De combinatie moet het voor financiële instellingen onder andere mogelijk maken geïntegreerde strategieën voor risicobeheer te ontwikkelen.
De complexiteit van Basel II zet de banken extra onder druk en vraagt om inzicht in tal van gegevens die liggen opgesloten in verschillende systemen. Op dat punt vormen de verplichtingen van Basel II ook voor de it-afdelingen van de banken een extra uitdaging.< BR>
 
Dries van Damme, InterActive

    Whitepapers

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Geef een reactie

    Footer