Hur införa och
vidmakthålla en
tolerans för operativa
risker på styrelsenivå?
OPRISK KONFERANSE
Oslo , 17. oktober 2012
Jan Hedqvist
KPMG
Depend upon it, Sir, when a man
knows he is to be hanged in a
fortnight, it concentrates his mind
wonderfully”
”
Samuel Johnson
19 Sept. 1777
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
1
Principles for the Sound Management of Operational Risk
June 2011, Basel Committee on Banking Supervision
Principle 1: The board of directors should take the lead in establishing a strong risk management culture. The board of
directors and senior management should establish a corporate culture that is guided by strong risk management and
that supports and provides appropriate standards and incentives for professional and responsible behaviour. In this
regard, it is the responsibility of the board of directors to ensure that a strong operational risk management culture
exists throughout the whole organisation.
The board should establish a code of conduct or an ethics policy that sets clear expectations for integrity and ethical values of the highest
standard and identify acceptable business practices and prohibited conflicts. Clear expectations and accountabilities ensure that bank staff
understand their roles and responsibilities for risk, as well as their authority to act. Strong and consistent senior management support for
risk management and ethical behaviour convincingly reinforces codes of conduct and ethics, compensation strategies, and training
programmes. Compensation policies should be aligned to the bank’s statement of risk appetite and tolerance, long-term strategic direction,
financial goals and overall safety and soundness. They should also appropriately balance risk and reward.
Principle 4: The board of directors should approve and review a risk appetite and tolerance statement12 for operational
risk that articulates the nature, types, and levels of operational risk that the bank is willing to assume.
When approving and reviewing the risk appetite and tolerance statement, the board of directors should consider all relevant risks, the bank’s
level of risk aversion, its current financial condition and the bank’s strategic direction. The risk appetite and tolerance statement should
encapsulate the various operational risk appetites within a bank and ensure that they are consistent. The board of directors should approve
appropriate thresholds or limits for specific operational risks, and an overall operational risk appetite and tolerance.
The board of directors should regularly review the appropriateness of limits and the overall operational risk appetite and tolerance
statement. This review should consider changes in the external environment, material increases in business or activity volumes, the quality
of the control environment, the effectiveness of risk management or mitigation strategies, loss experience, and the frequency, volume or
nature of limit breaches. The board should monitor management adherence to the risk appetite and tolerance statement and provide for
timely detection and remediation of breaches.
12 ”Risk appetite” is a high level determination of how much risk a firm is willing to accept taking into account the risk/return attributes; it is often taken as a forward looking view of risk acceptance. ”Risk tolerance” is a
more specific determination of the level of variation a bank is willing to accept around business objectives that is often considered to be the amount of risk a bank is prepared to accept. In this document the terms are
used synonymously.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
2
EBA Guidelines on Internal Governance (GL 44)
The key responsibilities of the management body should include setting and overseeing:
- the overall risk strategy and policy of the institution, including its risk tolerance/appetite and
its risk management framework;
- the governance principles and corporate values of the institution, including through a code of
conduct or comparable document;
An institution shall develop an integrated and institution-wide risk culture, based on a full
understanding of the risks it faces and how they are managed, taking into account its risk
tolerance/appetite.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
3
Ansökan om internmätnings-metod, operativ risk Februari 2007
FINANSINSPEKTIONEN DNR 07-252-601
”Use-Test”
Beskriv hur institutets interna mätningsmetoder för operativa risker är nära
integrerade med dess dagliga riskhanteringsförfarande. Beskrivningen ska
omfatta skälen till samt användningen av vald metod. Uppgift ska lämnas om
hur det säkerställs att metoden för att hantera och mäta operativ risk utvecklas med vunna erfarenheter och att metoden stöder och utvecklar
institutets riskhantering.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
4
Definitioner av riskaptit
Termen riskaptit används ofta men är svårt att definiera ....
"Mängden och typen av risk en
organisationen är beredd att
eftersöka, acceptera eller tolerera."
(BS31100)
"Graden av risk, på en bred
nivå, som ett företag eller
annan enhet är villig att acceptera
för att nå sina mål." (COSO, USA)
""Riskaptiten" är ett övergripande fastställande av hur stor risk ett företag är villig att acceptera med
hänsyn till risk/avkastning; riskaptiten tolkas ofta som en framåtblickande syn på riskacceptans.
"Risktolerans" är ett mer specifikt fastställande av vilken avvikelse en bank är villig att acceptera kring
de verksamhetsmål som ofta anses vara den mängd risk banken är beredd att acceptera."
(Basel Committee on Banking Supervision, Principles for the Sound Management of Operational Risk, 2011)
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
5
Definitioner av riskaptit (2)
men…
För att vara meningsfull, måste
riskapptiten användas för mer än
regelefterlevnaden.
Diskutera riskaptit kontinuerligt som del
av affärsbesluten.
Finns en generell uppfattning att risk är
en olycklig biprodukt av själva affären
och därmed underskattas dess
möjlighet att användas som styrverktyg.
Använda riskaptit i beslut kring
affärsmodellen för att därmed styra
risken.
De flesta definitionerna är vaga och
tillsätts mänskliga kännetecken!
Ha klara definitioner av riskaptiten som
förstås av alla i verksamheten.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
6
Hur hänger det ihop?
Kapitalkrav är ett mått som används i regelverk för bankföretag. Måttet avser storleken på det belopp
som måste sättas av för att trygga verksamhetens möjlighet att leva upp till sina åtaganden.
Kapitaltäckningsgraden räknas fram genom att kapitalbasen divideras med de (riskvägda)
tillgångarna.
Kapitalbehov är det behov av kapital som styrelsen fastställer att banken behöver för att täcka
de risker som finns i verksamheten i dag såväl som på 3 års sikt.
■ Riskaptit: Mängden och typen av risk en organisationen är beredd att eftersöka, acceptera eller
tolerera.
■ Avkastningskrav: Den avkastning som ägare kräver på ett bolags egna kapital, med beaktande av hur
riskfylld verksamheten är.
■ Affärsstrategi: Sätt att mobilisera resurser för att uppnå framtida specifika och operationella mål långsiktig plan för att uppnå målet med affärsrörelsen. Fastställs av styrelsen.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
7
Vad är risk?
I ordboken står:
Fara, hotbild, ovisshet, osäkerhet, vågspel, vågstycke, hasard, vågad eller riskabel satsning,
äventyr.
I de flesta fall en osäkerhet som innebär en möjlig förlust, förväntad eller oförväntad.
Risk är subjektivt och kan innebära olika saker för olika företag och personer.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
8
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
9
Risk Apptit/Tolerans?
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
10
“Maybe it is better
to be roughly right
than precisely
wrong”
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
11
RISK APPTIT/ TOLERANS – VAD ÄR ACCEPTABELT OCH VAD ÄR DET INTE?
There is no doubt that you can have the best governance
processes in the world but if they are carried out in a
culture of greed, unethical behaviour and indisposition to
challenge, they will fail.
Paul Moore, Ex-head of Group Regulatory Risk, HBOS plc
Hur skapa en förståelse och ett accepterande av vad som
är önskvärt respektive oönskat beteende?
Hur hantera oönskade beteenden?
Hur följa upp efterlevanden av önskade beteenden?
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
12
“DET ÄR I REGEL LÄTTARE ATT
FÅ FÖRLÅTELSE ÄN
TILLÅTELSE”
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
13
Riskaptit i praktiken – trafikljus
Att uttrycka riskaptit är att definiera vad som är acceptabelt och inte inom en organisation. Detta
bör göras för alla företagets risker genom att fastställa (för varje risk) vad som är accepterat,
vad som är oacceptabelt och parametrarna däremellan (vad som tolereras).
För att övervaka riskaptiten används oftast olika typer av ”trafikljus” system (röd, gul, grönt).
När detta används accepteras generellt definitionerna som följer:
Status
Betydelse
Åtgärd
Acceptabel.
Ingen handling krävs, men
kontinuerlig övervakning.
Tolereras, men handling krävs för att
undvika röd status.
Undersök( för att verifiera och förstå
underliggande orsaker) och ta i
beaktande möjliga vägar att mitigera/
undvika inom en specificerad
tidsperiod.
Oacceptabelt. Omedelbara åtgärder
krävs.
Undersök och ta omedelbara steg för
att mitigera eller undvika snarast.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
14
Att bestämma riskaptit - kvalitativ vs. kvantitativ
Att uttrycka riskaptiten i både kvalitativa och kvantitativa mått är av vikt då måtten kompletterar
varandra för att ha en tydlig definition av begreppet.
Kvalitativa beskrivningar betonar förhållandet mellan risk och styrningsfrågor genom att beskriva attityder och
beteenden i organisationen (riskkulturen).
Exempel på kvalitativa riskmått är:
■
Erkännande av att visa risker är ovälkomna även om de ej kan undvikas (katastrofer, ekonomiska konjunkturer);
■
Att medvetet acceptera risk när kostnaden för att hantera risken överstiger den förväntade förlusten;
■
Risk accepteras inom givna ramar när förväntade förluster är inom fastställda gränser.
Kvantitativa beskrivningar inkluderar data som kommer från företagsstyrningen. Dessa mått följs oftast av
gränsvärden som vid överträdelse rapporteras direkt .
Exempel på kvantitativa riskmått är:
■
Storleken på ekonomiskt eller regulatoriskt kapital allokerat till operationell risk;
■
Varje del av ramverket för riskhantering (accepterade förluster, risknivåer, riskindikatorer);
■
Toleransnivåer: inte mer än XX% sannolikhet att något affärskritiskt system ligger nere i mer än en dag på ett år.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
15
Att sätta riskaptit - ”Top down/Bottom up” & Absolut och Relativt
”Top down/ Bottom up”
Vid sund företagsstyrning ska bolagets riskaptit ägas av styrelsen och upprättas med stöd av deras
engagemang. Tillvägagångssättet för fastställa riskaptit bör dock ske genom en hybrid av ”topdown/bottom-up” där styrelsen samverkar med bolagets operativa delar. Styrelsen bör påbörja arbetet
med att formulera sammanhanget där aptiten ska sättas och förse den med en översiktsbild över
styrningen samt kopplingen till strategin. En kompletterande del bör utgöras av ”bottom-up” där gränser
för risker på lägre nivåer inom organisationen sätts och kopplas till mål/belöning.
Absolut och Relativt
Absoluta mått är fasta medan relativa mått är föränderliga och rör sig i proportion till en referenspunkt.
■ Kvalitativa mått inkluderar värden, volymer och tidsaspekter. Även överträdelser mot lagar och
regleringar.
■
Kvantitativa mått kan inkludera förluster i förhållande till intäkt, kundnöjdhet i förhållande till aktiva
kunder.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
16
Att sätta riskaptit - fastställa gränsvärden
En nyckelfaktor i processen att fastställa riskaptit är att bestämma gränsvärden som består i att
specificera definitioner för varje uttryck av risk, dvs. när anses risken acceptabelt, när risken
kan tolereras och när den i sin tur blir oacceptabelt.
Förväntad förlust
Oförväntad förlust
(Kapital)
Sannolikhet
(Rörelseresultat)
Katastrof
Påverkan
Riskaptit
Försäkring
Kapitalallokering
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
Konfidensnivå
17
Hur bedöma risken och vad är acceptabelt?
Politisk Risk
Ryktes Risk
 “Demokratimogenhet”
 Förtroende på marknaden
 Allmänna val
 Starkt Varumärke
 Korruption och Nepotism
 Företagskultur som omfattar etiska frågor
 Stabil eller Instabil Regeringstruktur
 Stark Intern Kontroll Kultur
Rating System
för Landrisk
Legal Risk
Risk Matris
 Oberoende domstolar
 Utvärdera risken
 Rättsordning som erkänner privat äganderätt
 Mät sannolikheten
 Insolvenslagstiftning
 Mät påverkan
 “Återbetalningsförmåga”
 Makro & Mikro ekonomi
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
18
Sammanfattning riskaptit
Fastställa riskaptit:
Implementera riskaptit
■
Top-down och bottom-up
■
Övervaka
■
Kvalitativt och kvantitativt
■
Aggregera och rapportera
■
Absolut och relativ
■
Beslutsfattande
■
Definiera ”trafikljus” status
■
Relevanta och proportionella
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
19
Riskaptit – ett exempel
En banks beskrivning av sin riskaptit bör innehålla:
■
Väldefinierade mål med riskaptiten.
■
Definitioner av riskaptit.
■
Ramverket för bestämmande av riskaptit och dess komponenter (riskkapacitet,
riskdrivare, begränsningar, tolerans och utlösande faktorer, övervakning och
rapportering).
■
Riskaptitsstruktur (hierarki) - hur riskaptit definieras på varje nivå.
■
Detaljerade beskrivningar av den konsoliderade riskaptiten inklusive komponenter,
begränsningar och dess tillhörande kvalitativa och kvantitativa begränsningar/
ledarskap och utlösande faktorer.
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
20
Riskaptit – ett exempel
Bankens riskaptit beskrivning bör även innehålla information om:
■
Styrning av riskaptit (vem gör vad).
■
Riskaptit för varje risktyp, kvantifierad med tydliga gränsvärden/toleranser (t.ex. för
operativa risker).
■
Metod för att fastställa riskaptit och beräkningsmetodiken, inklusive hur gränser och mål
ska sättas.
Ramverket för fastställande av riskaptit ska definieras genom att engagera
nyckelintressenterna inom organisationens alla nivåer.
Ramverket för faststallande av riskaptit kan förbättras ytterligare genom att tillägga att
riskaptiten (och dess tillhörande komponenter) regelbundet ska granskas och
uppdateras i relation till bankens strategi, affärsmodell, finansiell kapacitet,
affärsmöjligheter, regleringar och andra interna samt externa faktorer
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
21
The bitter taste of poor quality
remains long after the sweet taste of
low price is forgotten”
”
John David Stanhope
© 2012 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative
(“KPMG International”), a Swiss entity. All rights reserved.
22
Jan Hedqvist
KPMG FRM
Sverige