Operasjonell risiko angår deg…

Tokyo Stock Exchange [2005]: En børsmegler ønsket å selge én aksje for 610.000 Yen, men ved en tastefeil endte han opp med å selge 610.000 aksjer for 1 Yen. Fire forsøk på å kansellere handelen mislyktes – hvilket betydde at banken måtte kjøpe tilbake aksjene for 930.000 Yen per aksje. Handelen førte til et direkte tap på nærmere 349 millioner dollar. Presidenten Makoto Fukada uttalte at: «Tokyo Stock Exchange vil gjøre sitt beste for å gjenvinne tilliten i markedet.»… før han gikk av.

Var det virkelig en IT-feil som ledet til tapet på 349 millioner dollar?

Ulike granskningsrapporter av hendelsen leder hovedsaklig til samme konklusjon: «En alvorlig IT-feil.» Men er det virkelig så enkelt? Kan én IT-feil alene være årsaken til hendelsen?I kjølvannet av introduksjonen av stadig mer komplekse og innovative finansielle produkter, med potensielt store direkte og indirekte tap, har operasjonell risiko (OpRisk) fått økt oppmerksomhet og anseelse. Begrepet favner imidlertid langt bredere enn dette, ved å adressere kilder til risiko som normalt ikke dekkes av mer konvensjonelle risikotilnærminger.

Hovedformålet med å håndtere OpRisk er å identifisere og forstå potensielle risikoer, forebygge tap, øke evnen til å oppdage signaler om at en risikabel og uønsket hendelse eller situasjon er i ferd med å inntreffe, samt å etablere tiltak for å håndtere potensielle konsekvenser av slike hendelser. Eksempler på slike uønskede hendelser er underslag, bedrageri, korrupsjon, utilstrekkelige rutiner og systemer, slurv, feil og rot. Hendelsene kan medføre effektivitetstap, tapte forretningsmuligheter, eller direkte økonomiske tap som følge av uheldige og uønskede transaksjoner.

Det finnes en rekke eksempler på at bevisst, eller ubevisst, omgåelse av policy og intern kontroll har ledet til at respekterte og anerkjente bedrifter har opphørt å eksistere. Spørsmålet mange stiller seg er hvorfor: Hva er det som gjør operasjonell risiko så vanskelig å håndtere?

Den enkle definisjonen

Finnes det en magisk formel for å håndtere Operasjonell Risiko?

Innføringen av Basel II i banker og finansinstitusjoner satt operasjonell risiko på dagsorden i 2006. Operasjonell risiko defineres i Basel II som:
«Risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser.». Definisjonen omfatter juridisk risiko, men ikke strategisk risiko og omdømmerisiko som må vurderes særskilt. [Basel II – fra Kredittilsynet]

Basel II innbærer økt fokus på risikostyring og kontroll, både i institusjonene og hos tilsynsmyndighetene. Akkorden definerer blant annet krav om minimum kapitaldekning for operasjonell risiko. I tilfeller hvor minimumskravene ikke anses høye nok, forutsettes det i Basel II at tilsynsmyndighetene, dvs. Kredittilsynet, skal kunne pålegge høyere kapitaldekningskrav.

I utgangspunktet er tanken at det skal være mulig å redusere kapitaldekningskravet ved at bankene tar i bruk mer avanserte metoder for styring og kontroll med operasjonell risiko. Dette er imidlertid vanskeligere enn man kanskje skulle tro.

De store utfordringene

Til tross for innføringen av Basel II vil mange hevde at det ikke er etablert en omforent bransjestandard for hvordan finansaktører bør tilnærme seg operasjonell risiko. Definisjoner og prinsipper er tildels uklare, generelle og mangelfulle med tanke på hvordan prinsippene for håndteringen av OpRisk skal operasjonaliseres.

Det foreligger en stor grad av usikkerhet i forhold til hvordan myndighetene kan tenkes å praktisere reglene. Denne mangelen på substans har bidratt til en relativ vilkårlig implementering av svært differensierte metoder for å håndtere operasjonell risiko.
En rekke prototyper for operasjonelle risikorammeverk, bade kvantitative og kvalitative, er imidlertid under etablering, og konklusjonen så langt er klar: Operasjonell risiko er utfordrende blant annet fordi konvensjonelle risikotilnærminger tilsynelatende ikke strekker til for å adressere de risikofaktorene som begrepet omfatter.

Utfordringene er således mange, og det vil ta for mye plass å adressere samtlige i dette nyhetsbrevet. Det er imidlertid noen høynivå utfordringer som bør komme frem i lyset.

Finnes det virkelig en magisk formel for å håndtere operasjonell risiko?
Basel II introduserer en tilnærming som går i retning av en kvantifisering av operasjonell risiko, men er det egentlig mulig å kvantifisere de risikofaktorene som tillegges begrepet? Er det virkelig mulig å kvantifisere menneskelige feilhandlinger og de økonomiske konsekvensene av et dårlig omdømme?

Gitt at dette er mulig, er formelen tilstrekkelig robust til å indikere hvor mye kapital som bør allokeres for å håndtere disse risikoene? Er det tilstrekkelig å avsette kapital for å håndtere OpRisk? Hvor mye kapital skulle eksempelvis Terra Securities ha satt til side for å håndtere sin operasjonelle risiko?

De menneskelige – og prosessorienterte faktorene er nettopp det som gjør OpRisk spesielt utfordrende å håndtere. Disse faktorene er vanskelige, om ikke umulige, å kvantifisere og modellere med eksisterende og veletablerte risikostyringsprosesser, som for eksempel prosessene for å håndtere kreditt- og markedsrisiko.

Ytterligere kompliserende er også omdømme-dimensjonen knyttet til operasjonelle hendelser som vanskelig, om ikke umulig, lar seg fange opp av konvensjonelle kvantitative metoder innen risikostyring. Denne dimensjonen representerer gjerne et potensielt tap i omsetning som følge av negativt omdømme blant eksterne interessenter.

Er operasjonell risiko å anse som noen andres problem?
En vanlig misforståelse er at OpRisk betegner alle risikoer som vi per tid ikke har risikoprosesser for å håndtere – en slags «restpost» med risikoer. Gitt definisjonen av operasjonell risiko i Basel II, vil mange hevde at dette ikke er tilfellet. Faktisk kan man hevde at OpRisk utgjør en dimensjon i alle risikoer.

Operasjonell risiko er ikke å betrakte som en «add-on» til allerede eksisterende risikokategorier i en virksomhet. OpRisk befinner seg på et høyere abstraksjonsnivå enn for eksempel kreditt- og markedsrisiko. Dette skyldes at OpRisk vil være tilstede i selve prosessen med å håndtere de mer anerkjente risikokategoriene i finansmarkedet. Enkelte betegner derfor gjerne operasjonell risiko som «prosessrisiko». Operasjonell Risiko angår altså hele virksomheten, og bør således adresseres på samtlige nivåer i organisasjonen.

Til tross for utfordringene, stiller interne og eksterne interessenter stadig strengere krav til håndteringen av OpRisk. Flere aktører beveger seg nå i retning av at OpRisk bør håndteres som en integrert del av et helhetlig risikorammeverk.

De helhetlige løsningene

Helhetlig styring av operasjonell risiko forutsetter at virksomheten har en konseptuel modell og et rammeverk som setter ulike typer risiko inn i en logisk og forståelig sammenheng, og som sikrer forståelse for det totale risikobildet, hvilken betydning det har, og hvilke muligheter som finnes for å påvirke, velge og styre risiko.

Det er mange potensielle tilnærminger til dette. Det eksisterer imidlertid noen grunnprinsipper som bør danne basis for hvordan disse utfordringene adresseres i et integrert og helhetlig OpRisk rammeverk.

Proaktivitet og risikobaserte beslutninger
Basel II adresserer OpRisk i et reaktivt lys ved å fokusere på kvantitative metoder for å allokere tilstrekkelig kapital til håndteringen av operasjonelle feilhandlinger. Selve konseptet bak risikostyring baserer seg imidlertid i stor grad på å kunne være «føre var» – og OpRisk er naturlig intet unntak.

Operasjonell risikostyring bør (som et supplement til Basel II) ha et proaktivt fokus på å etablere og vedlikeholde tilstrekkelig kvalitet i forretningsprosesser. Dette for å redusere sannsynligheten for at operasjonelle feilhandlinger finner sted. Risikobaserte beslutninger bør integreres i det daglige arbeidet på samtlige nivåer i organisasjonen. Håndteringen av OpRisk vil således utgjøre en viktig brikke i organisatorisk læring.

Behov for et systemperspektiv
Erfaring tilsier at mange assosierer operasjonell risiko med IT (hardware og software), både med tanke på opprinnelsen av risikoelementer og med tanke på hvordan risikoene best kan håndteres. Det er tilsynelatende også en vanlig oppfattelse at store investeringer i det nyeste og «heiteste» innen Risk Management Software i seg selv reduserer risikoen for operasjonelle feilhandlinger. Dette er ikke tilfellet, hvilket for øvrig også reflekteres i definisjonen av operasjonell risiko i Basel II, eksempelvis ved fokuset på «prosesser» og «menneskelige feil».

Et systemperspektiv (til tross for ordlyden) adresserer viktigheten av å ivareta både menneskelige(M)-, teknologiske(T) – og organisatoriske(O) perspektiver i håndteringen av risiko. Systemperspektivet (MTO) ivaretar også interaksjonen mellom disse perspektivene, samt interaksjonen mellom selve «systemet» og den operative konteksten.

Identifisering og relativ estimering av risiko
Risikohåndtering dreier seg ikke kun om å «gjøre tingene riktig», men like mye om å «gjøre de riktige tingene». Flere av dagens OpRisk tilnærminger profilerer i stor grad risikoanalysen (selve opprettelsen av en konsekvens og frekvens for en gitt risiko) og den grafiske fremstillingen av risikoer som suksesskriterier for å lykkes med OpRisk. Selve metoden og tilnærmingen til hvor og hvordan risikoelementene skal identifiseres vektlegges imidlertid lite. For å si det enkelt: Det hjelper ikke å gjøre tingene riktig dersom du ikke gjør de riktige tingene: GIGO (Garbage In – Garbage Out).

For å sikre at samtlige risikoer identifiseres, og for å fange kompleksiteten i et systemperspektiv (MTO), kan risikoanalysen benytte anerkjente nedbrytningsmetoder som eksempelvis Failure Mode Effect Analysis (FMEA). Denne form for metode fungerer godt for dekomponering av forretningsprosesser, så vel som for dekomponering av strukturerte og komplekse finansielle produkter. Systemperspektivet ivaretas således i nedbrytningsstrukturen i forkant av risikoanalysen, slik at relasjonene mellom M-T-O faktorer fanges opp allerede i identifiseringsfasen av risikoanalysen.
Som kjent fremhever Basel II en kvantifisering av operasjonell risiko, men da den «magiske formelen» tilsynelatende uteblir, vil de aller fleste også være tjent med å benytte en relativ estimering av risiko for å være i stand til å fange opp samtlige risikoelementer i den komplekse operasjonelle konteksten. En risiko er og blir en risiko, uavhengig om den lar seg beskrives i «kroner og øre», og må således håndteres.

Omdømmerisiko
For å gjøre operasjonaliseringen av OpRisk enklere for finansaktørene, foreligger det per tid ingen krav til at omdømmerisiko må integreres i håndteringen av operasjonell risiko. Det finns således ulike holdninger til om omdømmerisiko best håndteres isolert, eller om håndteringen av den bør integreres i et helhetlig rammeverk for OpRisk. Det hersker imidlertid liten uenighet om at operasjonelle risikoelementer vil kunne ha negativ effekt på omdømme.

Omdømmerisiko sees gjerne som en kvalitet av operasjonell risiko i form av potensielle indirekte tap, og avhenger av hvordan eksterne interessenter oppfatter et selskaps foretningsprosesser. Gitt dette vil mange finansaktører være tjent med å adressere omdømmerisiko som en integrert del i helhetlig rammeverk for håndtering av operasjonell risiko. En trenger ikke nødvendigvis å kvantifisere omdømmerisiko, da Basel II ikke legger føringer på at en må allokere kapital for å håndtere omdømmerisiko, men det er liten tvil om at man ønsker å håndtere den proaktivt.

When in trouble… double

Gitt at man lykkes med å etablere et «state-of-the-art» OpRisk rammeverk – har vi da også lykkes i å håndtere operasjonell risiko?

Erfaring tilsier at det ikke er nok å ha et rammeverk for å håndtere operasjonell risiko. Rammeverkets effektivitet avhenger av en sterk forankring i ledergruppen og betydelige investeringer i endringsledelse knyttet til blant annet håndteringen av målkonflikter, etableringen av risikoforståelse og initiering av nødvendig atferdsendring. Dette vil ofte være helt avgjørende for å lykkes i utviklingen av en operasjonell risikokultur.

Operasjonell risiko må følges opp i et livssyklusperspektiv for å ivareta organisatorisk læring.

De «modne» industriene

Hva gjør man så når det tilsynelatende ikke er etablert en ‘best practice’ for håndteringen av operasjonell risiko i finansmarkedet?

Én løsning er å rette oppmerksomheten mot de industriene som har arbeidet med dette risikoområdet i flere tiår. Man retter oppmerksomhet mot de industriene som allerede har velfungerende, og velprøvde, metoder og rammeverk for håndtering av operasjonell risiko og forsøker å lære av dem.

Nordea Capital Markets Products (CMP), ansvarlig for alle Nordeas markedsaktiviteter, samarbeider med DNV i utviklingen av et helhetlig risikorammeverk inspirert av tilnærmingen til operasjonell risiko fra blant annet europeisk luftfart.

Fokuset for det innledende arbeidet har vært å sikre proaktive, systematiske og risikobaserte beslutninger i prosessen for godkjenning i forkant av salg av finansielle produkter. Dette er avgjørende for Nordea CMPs mulighet til å håndtere operasjonell risiko assosiert med handel, styring, kontroll og avskriving av finansielle produkter.

Nordea CMP har innsett at operasjonell risiko ikke kan håndteres på samme måte som ved konvensjonelle risikotilnærminger, som for eksempel Kreditt – og Markedsrisiko. For Nordea CMP handler operasjonell risiko om langt mer enn å være i samsvar med Basel II. Det handler om å etablere sporbarhet og oversikt over virksomhetskritiske forretningsprosesser på samtlige nivåer i organisasjonen. OpRisk dreier seg ikke om det siste innen Risk Management Software, men handler om kontinuerlig forbedring gjennom organisatorisk læring, og det handler om å opptre troverdig for interne og eksterne interessenter.

Operasjonell risiko angår oss alle, uavhengig av hvilken bransje du måtte arbeide innenfor, hvilken rolle du måtte inneha, eller hvor du måtte befinne deg rent geografisk. Så lenge det er mennesker og prosesser involvert vil operasjonell risiko alltid være tilstede. For mange bedrifter vil deres vilje og evne til å håndtere operasjonell risiko også være nøkkelen til å overleve i et stadig mer eksponert marked.

Artikkelen er hentet fra DNV Innsikt nr. 1/2009
Gjengitt med tillatelse fra DNV.