Finansforbundet Univeristy - Mellemledere en truet dyreart
Styring af operationelle risici
1. - hvordan kan risikostyring skabe værdi?
Caspar Rose, Finansforbundet University 28. maj 2014
1
2. Relevansen af operationelle risici
Risikotagning i bankerne i årene op til finanskrisen
– hvad siger tallene?
Konsekvenser for bestyrelsen af de nye krav
Den øgede betydning af operationelle risici
Implementering af risikostyring i praksis
Hvordan styring af operationelle risici kan skabe
værdi
2
3. I krisetider er tilliden til topledelsen svækket -
Corporate governance søger at styrke tilliden ved
at mindske mulige interessekonflikter mellem
ledelsen og aktionærerne
Øget risiko for betydelige operationelle tab, da
krisen medfører øget pres på indtjening og
performance => risiko for opportunistisk adfærd
I krisetider med store kursfald og økonomiske
tab, vil investorer og aktionærer i højere grad
overveje at sagsøge ledelsen
3
4. I en økonomisk recession eller finansiel krise, er
der en højere risiko for at en eller flere
operationelle risici vil indtræffe
En kapitalforvalter kan f.eks. blive fristet til at
manipulere sin indtjening eller ledelsen kan
”pynte” på regnskaberne for at dække over store
tab sml. LIBOR skandalen
I krisetider er det sværere at genere et godt
afkast og for at opretholde samme levestandard
kan ledelsen eller medarbejderen blive fristet til
at ”snyde på vægten”
4
5. Danske Bank opdagede selv
uregelmæssigheder ved obligationshandler
tilbage i februar og marts 2009 og henvendte
sig til Finanstilsynet
Banken er nu sigtet af Bagmandspolitiet for
kursmanipulation under særligt skærpende
omstændigheder
Medarbejderne er sigtet for kunstigt at hæve
obligationernes kurs til skade for kunden
5
6. Sigtelsen går på, at fire personer angiveligt i februar
2009 har lavet en handel til 50.000 kroner mellem RD
og Danske Bank i en bestemt realkreditobligation, der
ikke omsættes særlig ofte - med det formål, at denne
handel skulle hæve dagens gennemsnitskurs
Gennemsnitskursen skulle nemlig efterfølgende
bruges som såkaldt reference for prisen i en kundes
handel med RD for knap 12 millioner kroner
I marts 2009 skal der være ændret i valørdatoer for
handler og lavet aftaler om forsinkelse af prisstillelse
i en obligation, før en kundes handel med RD til 650
millioner blev gennemført
6
7. Nets skandalen har illustreret behovet for
styring af operationelle risici. NETS indrømmer,
at en betroet medarbejder har misbrugt
fortrolige kreditkortinformationer til Se og Hør
Nets fik et tip sidste år fra en tidligere fotograf
på Se og Hør og foretog en intern undersøgelse
– men NETS kunne ikke se transaktioner, der
matchede det man fik at vide Alle,
især finansielle virksomheder, går
deres IT sikkerhed efter i sømmende
7
Er der flere skeletter i
skabet?
8. Rigspolitiet har netop oprettet et nationalt
Cybercrime Center, NC3, hvor 80 ansatte skal
tage sig af kriminaliteten i cyberspace.
Og den vil der komme meget mere af, udtaler
Kim Aarenstrup, chef for det nyoprettede
cybercrime center, og han er ikke overrasket
over, at data er lækket hos Nets
"Nets er sammen med den finansielle sektor dem,
der er bedst til it-sikkerhed. Det siger jo en del
om, hvor skidt det står til med sikkerheden i
Danmark," siger Kim Aarenstrup (fra Politiken)
8
I takt med stigende brug af IT i
finansielle virksomheder stiger
IT risiciene
9. On December 10, 2008 FBI agents arrested the former
chairman of NASDAQ and charged him of securities fraud
According to federal charges, Madoff said that his firm has "liabilities
of approximately US$ 50 billion”. Banks from outside the U.S. have
announced that they have potentially lost billions in dollars as a
result
He had begun his “Ponzi scheme” sometime in the early 1990s. He
wanted to continue to satisfy the expectations of high returns
promised to his clients, despite an economic recession. He admitted
that he had never invested any of his clients' money from the
inception of the scheme
Instead, he simply deposited the money into his business account at
Chase Manhattan Bank. He admitted to false trading activities
masked by foreign transfers and false SEC filings
He used the Chase business account to pay clients who requested
withdrawals, claiming the "profits" were the result of his own unique
"split-strike conversion strategy
9
10. Operationelle risici omfatter mange områder:
IT nedbrud
Bedrageri og bestikkelse
Tyveri af fortrolige data
Hvidvaskning
Produktansvar/forurening (BP)
Anklager om deltagelse i kartel
Tab af nøglemedarbejdere
Tyveri og dokumentfalsk
Fejl i juridiske dokumenter
Mandatsvig (rouge trading)… osv.
10
I need a
miracle!
11. Lille sandsynlighed for at hændelsen
indtræffer MEN, hvis den indtræffer kan
skadevirkningen være enorm – OR er modsat
finansielle risici meget vanskelige af afdække
Det største (kendte) tab: I Societe Generale blev
det midt under finanskrisen afsløret, at en
enkelt aktiehandler havde skjult tab for over 7
mia. euro
Som bekendt skal banker afsætte kapital til OR
11
12. Bank betaler milliard-erstatning for diskrimination
Den amerikanske storbank Wells Fargo behandlede
kunder af afrikansk-amerikansk og latinamerikansk
herkomst anderledes end hvide forud for den
bristede boligboble
Det har det amerikanske justitsministerium fastslået
Derfor ser Wells Fargo sig nu nødsaget til at bøde
med 175 millioner dollar (næsten 1,1 milliarder
kroner)
Det skriver det britiske dagblad The Independent
Forskelsbehandlingen med hensyn til lånegebyr på
boliglån gik ud over 34.000 amerikanere i 36
delstater
13. 13
Data består af økonomiske nøgletal fra alle de danske
børsnoterede pengeinstitutter i perioden 2005-2009
indsamlet fra årsrapport/risikorapporter. Nordea og
Roskilde Bank er dog ikke medtaget i analysen
Årsrapporterne er hentet fra de respektive virksomheders
hjemmesider. Der er udregnet en gennemsnitsværdier for
hver kategori i hver bank ved at dividere med det antal år
der er data for
Corporate governance variablene er indsamlet manuelt fra
pengeinstitutternes årsrapporter, som er suppleret af
bankernes hjemmesider og vedtægter. Dette betyder, at alle
relevante kvantificerbare corporate governance variable er
medtaget
14. 14
Tilsynsdiamantens procentgrænser:
1) Summen af store engagementer < 125 %
2) Udlånsvæksten < 20 %
3) Funding ratio – Udlån/indlån < 1, 0
4) Likviditetsoverdækning > 50 %
5) Ejendomseksponering < 25 %
Er tilsynsdiamanten overhovedet relevant i
krisetider?
Operationelle risici
viser sig først som
kreditrisici
15. 15
,
0
20
40
60
80
100
120
140
Årlig udlånsvækst Ejendomsaktiviteter Større
engagementer ift.
basiskapitalen
Overdækning
likviditet
Udlån/indlån100%
Figur 1. Tilsynsdiamantens økonomiske nøgletal i pct. for danske banker i
gennemsnit fra 2005-09 inkl. diamantens grænsværdier
22. § 3. Bestyrelsen skal løbende vurdere, om dens
medlemmer tilsammen besidder den fornødne
viden og erfaring om virksomhedens risici til at
sikre en forsvarlig drift af virksomheden
Dette gælder særligt ved virksomhedens
ibrugtagning af modeller til brug for
risikoberegning, ved indførelse af nye produkter,
(sml. Jyske Hedge), og andre tiltag, der kan
medføre væsentligt øgede risici for virksomheden
eller i væsentlig grad kan påvirke den måde,
hvorpå risici opgøres og rapporteres i
virksomheden
22
23. 23
Bestyrelsen skal nu vurdere ”om dens medlemmer tilsammen
besidder den fornødne viden og erfaring om virksomhedens
risici til at sikre en forsvarlig drift af virksomheden. Dette gælder
særligt virksomhedens ibrugtagning af modeller til brug for
risikoberegning, ved indførelse af nye produkter” (§ 3)
Helt overordnet skal bestyrelsen nu vurdere virksomhedens
risikoprofil og politikker, hvilket skyldes at finanskrisen
afslørede utilstrækkelig risikostyring, især af kreditrisici i flere af
landets pengeinstitutter
Det kræves, at der udarbejdes retningslinjer som utvetydigt skal
angive størrelsen af den enkelte fastansatte grænse for risiko,
for eksempel som absolutte tal eller ved at risikoen sættes i
forhold til virksomhedens egen- eller basiskapital (§ 7, stk. 2)
24. § 5. På grundlag af den i henhold til § 4, stk. 1, foretagne
risikovurdering skal bestyrelsen vedtage relevante
politikker og beredskabsplaner m.v., herunder:
1) Kreditpolitik, herunder for virksomhedens eventuelle
deltagelse i securitiseringsaktiviteter, jf. bilag 1.
2) Markedsrisikopolitik, jf. bilag 2.
3) Politik for håndtering af operationelle risici, jf. bilag 3.
4) Politik for forsikringsmæssig afdækning af risici.
5) Likviditetspolitik, herunder en beredskabsplan i tilfælde
af utilstrækkelig eller manglende likviditet, jf. bilag 4.
6) It-sikkerhedspolitik, jf. bilag 5, herunder en it-
beredskabsplan.
7) Beredskabsplaner for øvrige alvorlige driftsforstyrrelser.
24
25. Pag
e
25
IT- Factory havde en blank
revisionspåtegning
Der var aktiver i selskabet dvs. bilag på
IBM udstyr
IT-Factory anvendte store leasing
kontrakter med bl.a. Danske Bank
Var de for naive - eller derimod drevet af
ønsket om vækst/turnover
27. Pag
e
27
Fantastisk evne til at manipulere sine
omgivelser
Uden nogen form for skrupler eller moral
◦ Kynisk (udnytter folks tillid)
◦ Handlekraftig (finder hurtigt en
skuespiller
◦ Innovativ (som leasingkunstner)
◦ Målrettet (arbejder 24 timer i døgnet)
◦ Udstråling (stor personal branding)
28. Pag
e
28
Bestyrelsen har svigtet sit tilsyn med
direktionen og ikke sørget for en forsvarlig
formueforvaltning/bogføring som loven
kræver
Overset “røde flag” og ladet direktionen
køre løbet –> ERSTATNINGSANSVAR?
◦ Bagger sad selv i bestyrelsen, der i alt kun
bestod af 3 personer
29. Pag
e
29
Uigennemskuelige ejerforhold, i
et kompliceret net af selskaber
(inkl. i udlandet)
De ansatte fatter tilsyneladende
ingen mistanke
IT-ydelser er mere “luftige” end
metal skruer
Grådighed hos de involverede?
30. Identifikation af top OR risici afgørende
”Hvem er virksomhedens risikoejere”
Tænk incitamenter ind i processen for de enkelte
risikoejerne/OR managers
Hvordan kan vi følge udviklingen i vores top risici
over tid (Key risk indicators)?
Hvilke kontroller har vi til rådighed?
Kommunikation fra topledelsen er helt centralt
30
31. Forsøg at kvantificere de største risici ud fra
sandsynlighed og tab givet skaden indtræder
Ingen model er bedre end de data som ligger bag
modellen
Identificer en ”risk owner” for hver af de største
OR risici i organisationen
Det er afgørende, at hver medarbejder i
organisationen ser de klare fordele af OR styring
f.eks. af en whistleblower ordning – er nu indført
31
32. Forbrugerombudsmanden har indgået en aftale med
Jyske Bank om at betale en kompensation til en
række investorer, som har lidt tab på flere hundrede
millioner kroner på nogle risikable obligationer, som
banken solgte til Investeringsforeningen i 2007
Det drejer sig om Jyske Banks rådgivning og salg af
Jyske Invest Hedge Markedsneutral Obligationer
(JIHMO)
Da finanskrisen slog igennem i 2008 blev
obligationerne næsten værdiløse. De omkring 1100
investorer klagede til Pengeinstitutankenævnet, hvor
Jyske Bank tabte med stemmerne 5-0
33. KRI’s er helt afgørende – i praksis er de svære
af finde, men vælg ud fra:
Tilgængelighed
Effektivitet/brugbarhed
Sammenlignelighed
Kvantificerbarhed
Direktionen skal levere OR input til bestyrelsen
som skal foretage ”sign off”
33
Topledelsens interne
kommunikation er
helt afgørende
34. Manglende risikostyring kan udover direkte tab
medføre skadelige omdømmeeffekter eller
badwill i pressen
Anbefalingerne kræver identifikation af de
væsentligste forretningsmæssige risici og at
bestyrelsen forholder sig til dem
Nogle risici kan det betale sig at leve med, mens
andre skal mitigeres
Ingen tvivl om, at vi vil opleve langt mere fokus
på OR, som tidligere bare blev betragtet som et
”kedeligt” cost center
34
35.
36. Ӥ19. Direktionen skal udpege en risikoansvarlig,
der skal være ansvarlig for, at risikostyring i
virksomheden sker på betryggende vis, herunder
for at skabe et overblik over virksomhedens
risici og det samlede risikobillede.
Den risikoansvarlige skal referere direkte til
direktionen. Afskediges den risikoansvarlige, skal
bestyrelsen orienteres om afskedigelsen
og begrundelsen for denne. Den risikoansvarlige
kan i mindre virksomheder være medlem af
direktionen.”
36
37. Ӥ 20,Stk. 2. Den risikoansvarlige skal have
tilstrækkelig viden og uafhængighed til at kunne
vurdere virksomhedens risici.
Stk. 3. Den risikoansvarlige skal have mulighed
for at udtale sig om risikoen i forbindelse med
større og usædvanlige påtænkte dispositioner.
Hvis den risikosansvarlige fraråder en
disposition, skal den risikoansvarlige straks
skriftligt informere direktionen herom.” især ved
introduktion af nye produkter (sml. Jyske Hedge)
37
38. Medarbejdernes nytte består ikke kun af
monotære beløb dvs. U(wage + benefits), god
ide med høj fast løn plus ”status”
Risikostyring skal tænkes ind i de ledende
medarbejderes performancekontrakter
Hvordan sikres ”optimal” risikoidentifikation?
Er der kommet en ny risikoevent ind på
toplisten, som vi ikke havde forudset?
38
39. Hvis vi er bedre end konkurrenterne til at
styre de operationelle risici, opnår vi en
konkurrence fordel
Husk: En sparet krone er en tjent krone
OR fra cost til profit center
Produktudvikling, herunder stigende brug af
IT værktøjer, skal understøttes at en grundig
OR indsats
39
40. 40
”Vi må have sat en streg i sandet. Det kan ikke
passe, at man får lov at sige noget, som ikke er
korrekt. Den eneste måde, den finansielle branche
får respekt for noget på, er hvis man sætter nogle
økonomiske erstatningskrav op. Så indretter de sig
lynhurtigt”.
Selvfølgelig vil de slå sig i tøjret og synes der er
uretfærdigt. Men i sidst ende kan enhver sige sig
selv, at man er nødt til at oplyse alt, og ikke bare
hvad man selv synes er alt,”
(Kim Vallentin, Børsen d. 22/8)
41. Sagsanlæg som følge af operationelle risici
kan få dramatiske negative konsekvenser
Store negative effekter for vores brand og
omdømme sml. Business risks
Tab af TILLID har en direkte negative
bundlinje effekt
Forstærkes af mediernes dækning
41
42. Bedre governance bør understøtte en mere effektiv risikostyring,
hvor incitamenter tænkes ind som en naturlig del
Aflønningen skal understøtte en sund risikokultur, hvor
langsigtet værdiskabelse er i fokus
Risikoidentifikationen og KRIere er helt afgørende i praksis
Effektiv styring af operationelle risici mindsker risikoen for
sagsanlæg og badwill i medierne
Operationel risikostyring skal integreres i HELE organisationen -
hver medarbejder skal have forståelse for dets betydning
Bestyrelsen skal være mere aktiv i risikostyringen, hvilket
Finanstilsynet også lægger op til
42