07/05/2011
I den finansielle sektor er risikostyring en fundamental disciplin, men mens kredit- og markedsrisici længe har været i fokus, er en anden type risiko trådt frem i rampelyset: operationel risiko. Nye kræfter som banebrydende teknologi, en eksplosion i tilgængelige data og innovative forretningsmodeller transformerer den måde, banker betjener kunder på og opererer internt. Dette dynamiske miljø skaber et presserende behov for at genoverveje og modernisere styringen af operationel risiko. Det er ikke længere nok at se det som en reaktiv øvelse i at opfylde lovkrav; det er blevet en mulighed for at skabe effektivitet, forbedre beslutningstagning og i sidste ende opnå en betydelig konkurrencemæssig fordel. At transformere denne funktion fra en omkostning til en værdiskaber er den nye grænse for finansielle institutioner.
Hvad er operationel risiko helt præcist?
Operationel risiko defineres som risikoen for tab som følge af utilstrækkelige eller fejlslagne interne processer, mennesker og systemer, eller fra eksterne begivenheder. Sammenlignet med finansielle risici som kreditrisiko (risikoen for, at en låntager ikke kan betale tilbage) eller markedsrisiko (risikoen for tab på grund af bevægelser i markedet), er operationel risiko langt mere kompleks og mangfoldig. Den dækker over dusinvis af forskellige risikotyper, herunder svindel, it-nedbrud, menneskelige fejl, cyberangreb, juridiske tvister og fejl i overholdelse af regler.
Det er et relativt ungt felt, der først blev anerkendt som en selvstændig disciplin for omkring 20 år siden. Det var Basel-komitéen for banktilsyn (BCBS), der i en række publikationer mellem 1999 og 2001 løftede operationel risiko op til at være en distinkt og kontrollerbar risikokategori, som krævede sine egne værktøjer og organisatoriske rammer. I begyndelsen fokuserede bankerne på at etablere grundlæggende elementer som rapportering af tabshændelser og selvvurderinger af risici og kontroller (RCSA). Men finanskrisen og de efterfølgende bølger af regulatoriske bøder for blandt andet fejlsalg, tvivlsom praksis ved tvangsauktioner og manipulation af rentesatser som LIBOR, afslørede svaghederne i de tidlige tilgange. Dette tvang institutionerne til at investere massivt i at styrke deres kapabiliteter inden for operationel risikostyring.
De vedvarende udfordringer ved styring af operationel risiko
Selvom der er gjort store fremskridt, er styring af operationel risiko fortsat en iboende vanskelig opgave af flere årsager:
- Kompleksitet: Som nævnt spænder det over et utal af risikotyper, fra uautoriseret handel og tredjepartsrisiko til svindel, dårlig salgspraksis og cybertrusler.
- Omfang: Det kræver tilsyn og gennemsigtighed i næsten alle organisatoriske processer og forretningsaktiviteter i hele institutionen.
- Overlappende roller: Grænserne mellem den operationelle risikofunktion og andre tilsynsgrupper – især compliance, bekæmpelse af økonomisk kriminalitet, cyberrisiko og it-risiko – har ofte været flydende, hvilket kan skabe forvirring og ineffektivitet.
- Måling: Indtil for nylig var operationel risiko sværere at måle og styre gennem data og anerkendte grænseværdier sammenlignet med finansiel risiko.
Den sidste begrænsning er dog ved at blive ophævet. Tilgængeligheden af granulære data om operationelle processer, medarbejderaktivitet og kundefeedback har skabt en enestående mulighed for at transformere risikodetektion fra kvalitative, manuelle kontroller til datadrevet overvågning i realtid.
Fremtidens risikostyring: Fire søjler for transformation
For at imødekomme det nye risikolandskab er førende virksomheder i gang med at kassere den gamle "bagspejls"-tilgang, der er defineret af tusindvis af kvalitative kontroller. I stedet fokuserer de på at udvikle en mere proaktiv, datadrevet og strategisk funktion. Denne udvikling hviler på fire centrale områder.
1. Udvidelse af mandatet til at sikre operationel robusthed
Den traditionelle rolle for operationel risikostyring har været fokuseret på at opdage og rapportere risici. Fremtidens mandat bør udvides, så funktionen bliver en effektiv partner for forretningen, der spiller en udfordrende rolle for at understøtte den fundamentale robusthed i driftsmodellen og processerne. Nedbrud i processer er kernen i mange risici i dag, herunder negative regulatoriske resultater og kundeafbrydelser. Funktionen skal hjælpe ledelsen med at besvare spørgsmål som: Er vores forretningsprocesser designet til at levere konsistente, positive kundeoplevelser under både normale og stressede forhold?
2. Transformation af risikodetektion med data og realtidsanalyse
Banker er stadig afhængige af mange subjektive værktøjer til detektion af operationel risiko, centreret omkring selvvurdering. Disse værktøjer har vist sig ineffektive til at opdage kritiske risici som cyberangreb, svindel og visse former for adfærdsrisiko. Fremtiden ligger i brugen af målrettede analyseværktøjer og risikoindikatorer i realtid.
Avanceret analyse kan forbedre detektionen markant, afsløre risici hurtigere og reducere antallet af falske positiver. For eksempel kan maskinlæring i systemer til bekæmpelse af hvidvask (AML) reducere falske alarmer med op til 96%, hvilket frigør tusindvis af efterforskningstimer. Ved at analysere salgsdata, kundeoplysninger og medarbejderincitamenter kan banker identificere mistænkelige salgsmønstre, før de udvikler sig til alvorlige problemer.
Sammenligning af traditionel og moderne risikodetektion
| Aspekt | Traditionel Tilgang | Moderne Tilgang |
|---|---|---|
| Metode | Manuel, kvalitativ selvvurdering (RCSA) | Automatiseret, datadrevet analyse |
| Timing | Periodisk (f.eks. kvartalsvis eller årlig) | Kontinuerlig overvågning i realtid |
| Fokus | Bagspejlsfokuseret, baseret på kendte kontroller | Fremadskuende, identificerer nye mønstre og anomalier |
| Effektivitet | Høj grad af manuelt arbejde, mange falske positiver | Høj effektivitet, færre falske positiver, målrettede indsatser |
3. Udvikling af talent og værktøjer til specialiserede risikotyper
En række nye risici, som alle falder ind under den operationelle risikoparaply, stiller nye krav. For at håndtere risici inden for områder som teknologi, data og økonomisk kriminalitet har banker brug for specialiseret viden og værktøjer. For eksempel kræver håndtering af svindelrisiko en dyb forståelse af svindeltypologier og nye sårbarheder. Tilsyn med adfærdsrisiko kræver opdateret viden om, hvordan systemer kan "spilles" i hver forretningslinje. Operationelle risikochefer bliver nødt til at rekruttere talent med baggrund inden for cybersikkerhed, dataanalyse og tidligere erfaring fra forretningslinjerne for at kunne yde kvalificeret modspil.
4. Styring af den menneskelige faktor
Bankansatte driver virksomhedens resultater, men de er også en potentiel kilde til operationel risiko. Adfærdsproblemer som fejlsalg og manipulation har sat den menneskelige faktor højt på dagsordenen. Tidligere var dette primært HR's ansvar, men i erkendelse af den potentielle skade er det nu en integreret del af operationel risikostyring. Disse risici handler mere om kultur, personlige motiver og incitamenter end om processer. For at prioritere indsatser identificerer førende risikochefer de grupper i organisationen, der udgør en uforholdsmæssig stor risiko for menneskelige fejl. Derefter udvikles skræddersyede interventionsprogrammer, der omfatter overvågning, træning, konsekvensstyring og justering af incitamentsstrukturer.
Fra omkostningscenter til strategisk partner
Gennem denne fire-delte transformation kan operationelle risikofunktioner uddybe deres partnerskab med forretningen og arbejde sammen om at fjerne risici fra de underliggende processer og infrastrukturer. Historisk set er funktionen blevet set som en regulatorisk nødvendighed med ringe forretningsværdi. Men når den er udstyret med objektive data og målinger, er funktionen i en unik position til at se risici og sårbarheder på tværs af organisationen. Den kan prioritere områder for intervention og forme nødvendige investeringer i f.eks. digitalisering af drift, ændringer i teknologiinfrastruktur og beslutninger om produktdesign. Ved at hjælpe forretningen med at nå sine mål, samtidig med at risikoen for store tab reduceres, bliver operationel risikostyring en skaber af håndgribelig værdi.
Ofte Stillede Spørgsmål
Hvorfor fejler banker ofte med at styre operationel risiko?
Banker kæmper ofte med at forstå, måle og styre de indbyrdes forbundne faktorer, der bidrager til operationel risiko. Dette inkluderer sammenhængen mellem forskellige risici, administrative processer, IT-systemer og menneskelig adfærd. De har svært ved at opbygge de kulturelle, ledelsesmæssige og administrative strukturer, der er nødvendige for effektivt at kontrollere disse komplekse risici.
Hvordan beregner banker kapitalkrav til operationel risiko?
I mange jurisdiktioner, herunder USA, har banktilsynsmyndighederne ikke påbudt en bestemt kvantitativ metode. Dog skal institutioner, der anvender en avanceret målemetode (AMA), typisk bruge fire centrale elementer til at estimere deres kapitalkrav for operationel risiko: interne data om tab, eksterne data om tab, scenarioanalyse og faktorer relateret til forretningsmiljø og intern kontrol.
Hvis du vil læse andre artikler, der ligner Operationel Risiko: Fra Byrde til Værdi, kan du besøge kategorien Sundhed.