Het Basel II Comité schrijft in zijn Sound practices for the management and supervision of operational risk voor dat banken indicatoren dienen te identificeren die een verhoogd risico op toekomstige verliezen signaleren. Dit artikel beschrijft hoe deze zogenaamde key risk indicators (KRI’s) kunnen worden toegepast binnen primaire en ondersteunende beheersingsprocessen en hoe zij het mogelijk maken om het optreden van risico’s tijdig te signaleren met als doel adequaat te reageren door het nemen van passende maatregelen.
Inleiding
Het Basel II Akkoord dat van toepassing is op de Europese bancaire wereld is naast onder andere de Sarbanes-Oxley wetgeving een (veelomvattende) regelgeving waar internationaal opererende banken mee geconfronteerd worden. Basel II geeft kwantitatieve en kwalitatieve eisen om risico’s af te dekken en te mitigeren. Eén van de risicocategorieën die binnen Basel II worden onderscheiden, is operationeel risico. Ten opzichte van het Basel I Akkoord is dit een nieuwe risicocategorie, waaronder ook de risico’s vallen die samenhangen met het gebruik van systemen. In de ‘sound practices for operational risk management’ van het Basel II Comité is aangegeven dat key risk indicators (KRI’s) kunnen worden gebruikt om inzicht te krijgen in de mate waarin operationeel risico zich voordoet binnen een bank. Het Basel II Akkoord beschrijft niet op welke wijze deze KRI’s dienen te worden geïdentificeerd en beschreven. Dit artikel laat zien dat KRI’s ook bruikbaar zijn voor het monitoren/verkrijgen van inzicht in risico’s op het vlak van IT general controls. Het start met een definitie van KRI’s en een korte toelichting op het gebruik van KRI’s binnen operationeel risicomanagement. Vervolgens beschrijft het welke eisen gesteld kunnen worden aan KRI’s en op welke wijze KRI’s het beste kunnen worden geïdentificeerd.
Op basis van praktijkervaring beschrijven wij in dit artikel hoe KRI’s het beste kunnen worden ingezet om het optreden van risico’s effectief te monitoren en op welke wijze KRI’s in de praktijk worden gebruikt. De wijze waarop KRI’s kunnen worden gebruikt voor het signaleren van risico’s binnen processen en de onderliggende IT general controls, wordt toegelicht aan de hand van een voorbeelduitwerking van een hypothekenproces.
Kader 1. Basel II Akkoord.
In november 2005 is het definitieve rapport uitgebracht door het Basel Committee on Banking Supervision (‘het Basel Comité’) betreffende de internationale convergentie van de richtlijnen voor toezicht op de solvabiliteit van internationaal opererende banken.
In de Basel II-richtlijnen wordt een driedeling geïntroduceerd, de zogenaamde ‘pijler’-benadering. De drie pijlers worden geacht elkaar in werking te versterken.
- Pijler I behandelt de minimumkapitaaleisen (het zogenaamde regulatory capital). In deze pijler wordt met name ingegaan op de nieuwe methoden voor de berekening van de minimumkapitaaleisen voor kredietrisico, operationeel risico en handelsportefeuillekwesties (waaronder marktrisico) op basis van een classificatie van klanten die afwijkt van het Basel I Akkoord. De richtlijnen geven voor krediet- en operationeel risico een aantal berekeningsmethoden die verschillen in geavanceerdheid.
- Pijler II richt zich op de rol van toezichthouders en de economische kapitaalseisen. In Nederland wordt van De Nederlandsche Bank verwacht dat zij nagaat hoe goed banken hun kapitaalbehoeften ten opzichte van de risico’s beoordelen en dat zij waar nodig ingrijpt. Hiertoe vertaalt DNB momenteel de Basel II-voorschriften naar Nederlandse regelgeving. Pijler II beschrijft ook de kwalitatieve aspecten van risicomanagement.
- Pijler III richt zich op transparantie naar de markt en beschrijft de vereisten met betrekking tot de verstrekking van informatie aan stakeholders. Deze pijler beschrijft de toelichtingseisen met betrekking tot risk management. Het doel hiervan is dat stakeholders beter inzicht krijgen in het risicoprofiel en het risicomanagement van de instelling, waardoor de marktdiscipline wordt bevorderd.
Key risk indicators en operationeel risicomanagement
Het eerste deel van dit artikel geeft meer achtergrondinformatie over het begrip key risk indicator en operationeel risicomanagement in het algemeen, alvorens in het tweede gedeelte van dit artikel in wordt gegaan op KRI’s in de praktijk.
Het begrip key risk indicator
In de ‘sound practices for operational risk management’ ([BIS03]) definieert de BIS (Bank for International Settlements) Risk Indicators als volgt:
‘Risk indicators zijn statistieken en/of eenheden, vaak financieel van aard, die inzicht kunnen verschaffen in de risicopositie van een bank. Deze indicatoren worden in het algemeen periodiek gereviewd (maandelijks of per kwartaal) om banken attent te maken op veranderingen die op risico’s kunnen duiden. Zulke indicatoren kunnen het aantal mislukte transacties, personeelswisselingen en de frequentie en/of de impact van fouten of verzaken zijn.’
Key risk indicators zijn de voornaamste ‘early warning’-signalen die signaleren wanneer de kans bestaat dat een verlies zich zal voordoen als gevolg van een bestaand risico. Het doel van deze KRI’s is de binnen een organisatie relevante risico’s te signaleren om te voorkomen dat deze zich manifesteren en leiden tot verliezen. Op basis van deze signalen kan de organisatie besluiten additionele maatregelen te treffen om te voorkomen dat het risico zich daadwerkelijk voordoet. Daarnaast draagt monitoring van KRI’s bij aan een risicobewustzijn bij medewerkers, zeker wanneer deze monitoring wordt geïntegreerd in performance management.
KRI’s bestaan uit financiële, operationele en procesindicatoren die een continu voorspellend inzicht geven in de mate waarin een organisatie risico loopt binnen haar systemen, processen, producten, mensen en omgeving ([Dresd03]). Het verschil met loss data (gegevens over opgetreden operationele verliezen) is de toekomstgerichtheid van KRI’s. KRI’s zijn gericht op het signaleren van situaties waarin mogelijke toekomstige verliezen kunnen optreden.
KRI’s verschillen daarnaast van risk selfassessments, doordat zij zich baseren op waarneembare feitelijke data en niet op (eigen) schattingen van toekomstige situaties en activiteiten. Zij kunnen zowel preventief (ex ante) als detectief (ex post) van aard zijn. De meest krachtige risk indicators zijn preventief van aard. Zij bieden inzicht in de te verwachten risico’s zonder dat verliezen zijn opgetreden. Een voorbeeld van een preventieve KRI is het overzicht van de medewerkers die een bepaalde compliancetraining hebben gevolgd. Wanneer hieruit blijkt dat een laag percentage van de medewerkers deze training heeft bijgewoond, bestaat er een groter risico dat niet aan de compliance eisen wordt voldaan door de medewerkers. Een detectieve KRI is bijvoorbeeld het aantal klachten van klanten dat ontvangen is.
In de RMA journal (Risk Management Association journal) wordt gesproken over drie typen KRI’s ([Davi02]):
- Loss indicatoren (ex post): historische gegevens van daadwerkelijk opgetreden verliezen die bruikbaar zijn om verwachte verliezen te bepalen.
- Procesindicatoren (ex post / ex ante): indicatoren waarmee de kwaliteit van procesuitvoering voor alle risicotypen kan worden gemonitord. Het is een uitdaging om indicatoren te identificeren die een voorspellende waarde hebben, in plaats van indicatoren die informatie verschaffen over wat in het verleden is opgetreden.
- Omgevingsindicatoren (ex ante): indicatoren die gericht zijn op het signaleren van veranderingen in de omgeving. Deze indicatoren hebben vaak een grote kwalitatieve component. Zij zijn erop gericht risico’s te identificeren voordat een verlies optreedt.
Deze KRI-typen zijn schematisch weergegeven in figuur 1.
Figuur 1. KRI-typen [Davi02].
Een goed risicomanagementraamwerk combineert zowel ex post als ex ante KRI’s uit de verschillende categorieën om tijdige identificatie van optredende risico’s te realiseren.
KRI’s hebben betrekking op een specifieke risicocategorie van een bepaalde bedrijfsactiviteit. De frequentie waarmee monitoring van de KRI’s plaats dient te vinden, is afhankelijk van de betreffende risico’s en de mate waarin de omgeving verandert. De BIS geeft aan dat monitoring van de KRI’s een integraal onderdeel van de activiteiten van de bank zou moeten zijn ([BIS03]).
In de praktijk wordt reeds veelvuldig gebruikgemaakt van andere indicatoren, KPI’s (key performance indicators) om de prestatie van een afdeling, proces en/of persoon te meten. In veel gevallen overlappen KPI’s en KRI’s elkaar. Slechte performance kan immers leiden tot een groter risico. KPI’s zijn echter gericht op het maximaliseren van het resultaat, terwijl KRI’s gericht zijn op het minimaliseren van de kans dat een risico zich voordoet en leidt tot een verlies.
Voorbeelden van KRI’s zijn:
- aantal ATM-berovingen per 1000 ATM’s ter identificatie van het risico van diefstal;
- aantal hackpogingen per jaar ter identificatie van het risico van ongeautoriseerde toegang tot systemen en data door derden;
- ratio van verliezen ten opzichte van inkomsten/omzet per product ter identificatie van het risico van te lage marges;
- openstaande audit findings met hoog restrisico;
- aantal klanten uit landen met een verhoogd risicoprofiel ter identificatie van het risico van slechte kredietwaardigheid van klanten;
- time-to-market van nieuwe producten ter identificatie van het risico van een niet-succesvolle introductie van nieuwe producten.
KRI library
In 2005 heeft de Risk Management Association, een non-profitorganisatie die het gebruik van goede risico principes binnen financial services wil vergroten, de resultaten van een KRI-onderzoek voor banken gepubliceerd ([KRIex]). Dit onderzoek had tot doel een KRI-raamwerk voor de bancaire sector op te stellen ([Davi03]). Het doel van dit raamwerk is om standaardisatie, volledigheid en consistentie in KRI’s te bereiken waardoor vergelijkbaarheid tussen organisaties kan worden gerealiseerd en de effectiviteit van KRI’s kan worden vergroot. Het onderzoek heeft de RMA samen met RiskBusiness, een consultant op het gebied van operational risk management, uitgevoerd en verschillende banken hebben eraan deelgenomen. Het heeft geleid tot een KRI-bibliotheek waarin meer dan 1800 indicatoren zijn opgenomen.
Het onderzoek is in twee stappen uitgevoerd. In eerste instantie is een risicomatrix opgesteld met drie assen; risicocategorie, business line en processen. Voor risicocategorie en business line vormde het Basel II Akkoord de basis (zie tabel 1).
Tabel 1. Basel II-risicocategorieën en business lines.
Door toevoeging van processen ontstond een 3D-matrix met ongeveer 10.000 punten waarop een specifiek risico kon bestaan. Vervolgens zijn al deze punten van een risicoweging voorzien. Dit wil zeggen dat voor elk van de punten is bepaald hoe groot het verwachte risico was. Hieruit bleek dat externe risico’s (met uitzondering van diefstal en fraude) in het algemeen een lagere weging hadden dan interne risico’s. De categorie met hoog risico was ‘execution, delivery, process management’, waarbinnen voornamelijk transactie- en datamanagement als risicovol worden beschouwd. Haperende technologie, slechte procedures en incorrecte data bleken vaak een bron van aanhoudende verliezen die relatief klein zijn, maar in een korte periode kunnen oplopen tot grote bedragen.
De tweede stap in het onderzoek was om voor alle punten met een hoog risico KRI’s te definiëren. Dit heeft geleid tot 1800 key risk indicators en lijsten van de top-20 KRI’s per gehanteerde productgroep.
Banken kunnen zich abonneren op de KRI library. Eenzelfde onderzoek, gestart in 2004, voert de RMA momenteel uit voor verzekeraars.
Key risk indicators binnen operationeel risicomanagement
Het begrip KRI wordt door het Basel Comité geïntroduceerd als onderdeel van operationeel risicomanagement. Conform het Basel II Akkoord definieert DNB operationeel risico als ([DNB05a]): ‘risico van verliezen als gevolg van tekortschietende of falende interne procedures, mensen of systemen of als gevolg van externe gebeurtenissen, daaronder mede begrepen juridische risico’s’.
In haar ‘sound practices for operational risk management ([BIS03]) schrijft het Comité onder andere voor dat banken een proces moeten implementeren om hun operationeel risicoprofiel en de mate waarin materiële verliezen kunnen optreden, te monitoren. Tevens schrijft het voor dat het senior management en de directie van een bank van deze informatie dient te worden voorzien zodat zij een pro-actieve houding ten opzichte van operationeel risicomanagement kunnen innemen. Figuur 2 bevat een raamwerk voor operationeel risicomanagement (afgeleid van ([ISMA03])).
Dit raamwerk is bedoeld om de activiteiten die benodigd zijn voor operationeel risicomanagement (ORM) te structureren. De strategie vormt de basis voor de overige componenten van ORM. In deze strategie dienen (top-down) de doelstellingen van ORM op basis van de risicohouding en risicotolerantie van een organisatie te worden beschreven. Als onderdeel van de strategie worden de doelen voor ORM en het beleid voor ORM vormgegeven. Dit beleid wordt verder vormgegeven binnen het ORM-proces.
Figuur 2. Raamwerk voor operationeel risicomanagement.
De eindverantwoordelijkheid voor ORM ligt bij het (lijn)management. De verantwoordelijkheden voor ORM dienen te worden verankerd in een organisatiestructuur ([KPMG05a]). Binnen deze organisatiestructuur zullen verschillende organisatieonderdelen met elk hun eigen verantwoordelijkheden en eisen binnen het proces voor operationeel risicomanagement bestaan. Operationele risico’s kunnen zowel binnen de lijn als in ondersteunende functies optreden. Naast management hebben ook risk management en internal audit een belangrijke rol in ORM om de kwaliteit van ORM binnen de organisatie te borgen.
Het ORM-proces dient continu te worden uitgevoerd op verschillende niveaus binnen een organisatie. Dit proces is gestructureerd om op een effectieve wijze operationeel risicomanagement uit te voeren binnen een organisatie met als doel de bestaande operationele risico’s te beperken tot een acceptabel niveau. Dit acceptabele niveau is bepaald in de ORM strategie (vastgelegd in een risicohouding en risicotolerantie). De activiteiten binnen dit proces zijn:
- Assessment. Deze activiteit bestaat uit de risico- en controlidentificatie. Het doel ervan is te bepalen welke risico’s bestaan binnen de organisatie en welke maatregelen getroffen zijn en getroffen zouden moeten worden om deze risico’s te mitigeren zodat aan het (operationeel) risicomanagementbeleid wordt voldaan.
- Controlimplementatie. De controls die benodigd zijn om de bestaande risico’s te mitigeren dienen te zijn en te worden geïmplementeerd in de processen van de organisatie.
- Meten en monitoring. Deze activiteiten bieden inzicht in de mate waarin de organisatie blootgesteld is aan risico’s, hoe goed de geïmplementeerde maatregelen werken en in hoeverre nieuwe risico’s ontstaan. Het gebruik van key risk indicators wordt gezien als een erg effectieve manier om deze monitoring in te richten. Een definitie hiervan is opgenomen in de volgende paragraaf. Naast het meten van KRI’s wordt het meten en opslaan van verliezen die optreden, gebruikt om:
- het risicobewustzijn binnen een organisatie te vergroten;
- een analyse van opgetreden verliezen en de achterliggende oorzaak mogelijk te maken;
- het operationeel risico te kwantificeren.
- Capital modelling and allocation. Deze activiteit bestaat uit het berekenen van regulatory en economic capital. De advanced measurement-benadering van Basel II biedt banken de mogelijkheid om eigen modellen hiervoor te ontwikkelen op basis van eigen loss data.
- Rapportage. Rapportage is een belangrijk onderdeel binnen ORM. Vanwege de diversiteit van operationele risico’s en de scope van operationeel risico binnen een organisatie is het van belang dat informatie over ORM op de juiste wijze gegroepeerd wordt gerapporteerd aan het management, zodat de juiste keuzen kunnen worden gemaakt omtrent het eventueel benodigde bijsturen door het nemen van (additionele) maatregelen.
Met behulp van informatietechnologie kan ORM worden ondersteund. IT kan ORM faciliteren door automatisering van dataverzameling, -analyse, rapportage en berekening van het benodigde kapitaalbeslag (al dan niet op basis van zelf ontwikkelde modellen).
Eisen aan Key Risk Indicators
KRI’s hebben betrekking op specifieke risico’s en de hieraan gerelateerde maatregelen. Een belangrijke eis aan een KRI is derhalve dat deze het optreden van het specifieke risico signaleert.
KRI’s zijn bedoeld voor monitoring van het risicoprofiel. Om deze monitoring effectief te kunnen uitvoeren, is het van belang dat KRI’s aan het onderstaande voldoen:
- Specifiek. De KRI dient betrekking te hebben op de werking van een specifieke control of de kans of de impact van een risico. Te generieke KRI’s helpen de organisatie niet om risico’s effectief te managen. De KRI moet consistent zijn met (potentieel) optredende verliezen. Hij moet gericht zijn op het signaleren van mogelijke verliezen. Een goede KRI signaleert operationele problemen en legt een relatie met potentieel financieel verlies. Er dient een correlatie te bestaan tussen KRI’s en daadwerkelijke gebeurtenissen. Het nadeel van de bedrijfs- of processpecifieke eigenschappen van een KRI is dat KRI’s daardoor lastig te aggregeren zijn.
- Key. Om een overvloed van data te voorkomen, die zijn doel voorbijschiet, dienen de KRI’s betrekking te hebben op de key risico’s. De mate waarin een risico key is, is afhankelijk van het risicobeleid van de organisatie.
- Meetbaar. De KRI moet gebaseerd zijn op objectieve data die de werking van de maatregel meten en het mogelijk maken om deze over meerdere perioden te vergelijken. Deze maatstaf dient algemeen toepasbaar en eenduidig te zijn. De hieraan ten grondslag liggende brondata dient periodiek te worden gereviewd op integriteit. Per KRI dient het duidelijk te zijn welke data eraan ten grondslag liggen.
- Beschikbare data. Er dient voldoende accurate data beschikbaar te zijn over de KRI om monitoring mogelijk te maken. Tevens dient de monitoring georganiseerd te kunnen worden.
- Tolerantielevels. KRI’s moeten tolerantiegrenzen hebben. Wanneer de KRI buiten deze grenzen treedt, dient actie te worden ondernomen om het verhoogde risico te mitigeren. In figuur 3 zijn twee momenten opgetreden waarop de KRI (aantal klachten van klanten) zich buiten de tolerantiegrenzen bevond.
- Actiegericht. Wanneer de KRI buiten de acceptabele toleranties valt, dienen het eraan gerelateerde risico en de controleomgeving te worden onderzocht. Tevens dient een actieplan/procedure te worden opgesteld om het risico te mitigeren tot binnen de acceptabele toleranties.
- Toegewezen aan verantwoordelijke. De verantwoordelijkheid voor monitoring van de KRI en het mitigeren van de gerelateerde risico’s dient duidelijk te zijn.
- Tijdgebonden. KRI-data dienen periodiek te worden gegenereerd op basis van actuele data om effectieve monitoring van het risicoprofiel mogelijk te maken. Deze databronnen dienen accurate en tijdige datavastlegging en -analyse te faciliteren.
Figuur 3. Voorbeeld tolerantiegrenzen voor het aantal klachten van klanten.
Bovenstaande eisen aan KRI’s zijn bepaald op basis van de eisen die door banken in de praktijk aan KRI’s worden gesteld en door gebruik te maken van de op dit gebied beschikbare literatuur.
Naast de eisen waaraan goede KRI’s voldoen, bestaan er succesfactoren voor een effectief KRI-programma. Deze zijn in tabel 2 opgenomen ([Davi02]).
Tabel 2. Succesfactoren KRI-programma.
Key risk indicators in de praktijk
Het vervolg van dit artikel gaat in op de wijze waarop KRI’s in de praktijk kunnen worden ingezet en worden toegepast.
Identificatie van key risk indicators
Om KRI’s voor een proces op te kunnen stellen, is het van belang het proces en de hierin bestaande risico’s goed te kennen. Conform de Business Process Analysis (BPA)-methodiek van KPMG, start de identificatie van KRI’s met het identificeren van de processtappen binnen een proces en de operationele risico’s die hiermee samenhangen. Door de getroffen maatregelen in kaart te brengen kan per risico worden aangegeven hoe groot het restrisico is. In de praktijk worden vaak alleen voor hoge risico’s en voor restrisico’s KRI’s geïdentificeerd. Wanneer deze basis voor KRI-identificatie bepaald is, kunnen de daadwerkelijke KRI’s worden geïdentificeerd. Voor elk van de hoge risico’s dient vervolgens te worden bepaald of gegevens die reeds binnen het proces worden verzameld, hiervoor geschikt zijn. Indien dit niet het geval is, dienen nieuwe monitoringmechanismen te worden overwogen. Voor elk van deze potentiële KRI’s dient de effectiviteit te worden bepaald door te controleren in hoeverre elk van deze KRI’s voldoet aan de eisen die eerder in dit artikel zijn gesteld.
De informatie die binnen een organisatie beschikbaar is over de verliezen die zich hebben voorgedaan en de oorzaken hiervan, vormen belangrijke input ter identificatie van KRI’s. Wanneer bijvoorbeeld verliezen optreden door het foutief afhandelen van transacties en het aantal verliezen hoger was in de zomerperiode wanneer er gebruik wordt gemaakt van uitzendkrachten, kan het aantal uitzendkrachten dat werkt op de betreffende afdeling een KRI zijn voor het risico dat transacties onjuist worden afgehandeld.
Een methode om te bepalen welke KRI het meest effectief is om het optreden van een risico te voorspellen, is opgenomen in kader 2. Deze methode is tijdrovend. Wanneer er voldoende kennis bestaat over het proces en de hierin bestaande risico’s, is het invullen van een designmatrix wellicht niet nodig. Het invullen van een BPA-matrix die kan worden gehanteerd voor het in kaart brengen van risico’s binnen processen, is dan mogelijk zonder gebruik te maken van de designmatrix (zie tabel 3). Zoals reeds aangegeven, hoeven KRI’s alleen te worden ingevuld voor de risico’s die de organisatie als onacceptabel bestempelt (op basis van de kans en de schade).
Kader 2. Bepaling effectiviteit van KRI’s.
In het RMA journal van mei 2005 ([Imma04]) wordt de designmatrix template aangereikt ter bepaling van de geschiktheid en effectiviteit van potentiële KRI’s. Met behulp van deze matrix kan worden bepaald in hoeverre de potentiële KRI ‘specifiek’ genoeg is. Een voorbeeld van deze matrix is opgenomen in figuur 4. In de linkerkolom worden alle potentiële oorzaken van het risico opgenomen. Deze worden voorzien van een weging die weergeeft hoe groot de kans is dat als gevolg van deze oorzaak het risico optreedt. Vervolgens wordt voor elk van de potentiële KRI’s bepaald in hoeverre zij een relatie hebben met de oorzaken (in de linkerkolom).
Figuur 4. Designmatrix ([Imma04]).
Vervolgens dient voor de potentiële KRI’s te worden bepaald in hoeverre deze voldoen aan de overige eisen. Wanneer KRI’s wel aan deze eisen voldoen maar geen 9 scoren in de designmatrix, dient te worden achterhaald of de KRI moet worden aangepast om beter bij het risico te passen. Door bijvoorbeeld de klanttevredenheidsindex te meten van klanten die contact hebben gezocht met het callcenter, in plaats van de totale klanttevredenheidsindex, wordt de KRI specifieker en beter bruikbaar ter identificatie van het risico dat het klantcontact niet op een adequate manier plaatsvindt.
Wanneer potentiële KRI’s hoog scoren op de designmatrix maar beperkt voldoen aan de overige KRI-criteria, dient te worden bepaald welke actie moet worden ondernomen om de KRI te verbeteren, bijvoorbeeld door meer frequent informatie over de KRI te verzamelen. Indien het niet mogelijk is de KRI te verbeteren, kan hij niet als KRI worden gebruikt.
Tabel 3. Business Process Analysis-matrix inclusief KRI’s.
Voor de KRI’s dient tevens te worden bepaald op welke wijze en door wie ze worden gemonitord en op welke wijze en aan wie ze worden gerapporteerd, en wie verantwoordelijk is voor het nemen van actie wanneer de KRI boven de tolerantielimiet is.
Ook wanneer de monitoring van KRI’s geautomatiseerd plaatsvindt, is een verantwoordelijke nodig voor de follow-up wanneer onacceptabele risico’s bestaan.
Gebruik van key risk indicators
Operationeel risico is een nieuwe risicocategorie ten opzichte van het Basel I Akkoord. De kwantificering van operationeel risico en het gebruik van KRI’s is als gevolg hiervan relatief nieuw in de regelgeving. Hierdoor is het niet verwonderlijk dat operationeel risicomanagement sterk in ontwikkeling is. Frameworks om operationeel risicomanagement te structureren zijn in de praktijk door banken geïmplementeerd. Uit een recent onderzoek op het gebied van risicomanagement ([Frer06]) dat is uitgevoerd onder leden van het Controllers Instituut, is gebleken dat 61 procent van de organisaties uit de financiële sector die hebben deelgenomen, een formeel risicomanagementbeleid kent. Een dergelijk beleid wordt vaak op groepsniveau geformuleerd; monitoring en identificatie van risico’s is in het algemeen als lijnverantwoordelijkheid belegd.
Binnen de bancaire wereld zijn met de komst van Basel II de ontwikkelingen op het gebied van ORM in een stroomversnelling geraakt. De sound practices ([BIS03]) waarin het gebruik van KRI’s wordt aanbevolen, zijn door De Nederlandsche Bank onderschreven en overgenomen en worden of zijn reeds door de banken in Nederland geïmplementeerd.
De uitdaging waar organisaties momenteel voor staan is de inbedding en effectuering van het beleid en framework in de organisatie. Het adequaat rapporteren en opvolging geven aan geïdentificeerde risico’s door middel van KRI’s is nog in volle ontwikkeling, waardoor de robuustheid van een effectief framework zich vaak nog moet bewijzen. De identificatie van KRI’s heeft bij verschillende organisaties reeds plaatsgevonden. De grote bancaire instellingen lopen hierbij voorop. Het inbedden van KRI’s in de processen, waarna monitoring op basis van KRI’s mogelijk wordt, is één van de volgende stappen in de verdere uitrol van ORM in de bancaire sector.
Uitwerking van key risk indicators
Ter afsluiting van dit artikel wordt de wijze waarop KRI’s kunnen worden gebruikt voor het signaleren van risico’s, toegelicht aan de hand van een voorbeelduitwerking van een hypothekenproces. Behalve op processpecifieke risico’s en maatregelen gaat dit artikel in op IT general controls betreffende continuïteit en security.
De auteurs hebben gekozen voor dit proces, omdat het binnen veel bancaire organisaties voorkomt. Het in dit artikel gehanteerde proces voor particuliere hypotheekverstrekking is weergegeven in figuur 5.
Figuur 5. Voorbeeldproces: particuliere hypotheekverstrekking.
Het proces start met een aanvraag voor een hypotheekofferte door een klant. Deze aanvraag wordt door de bank geregistreerd. Wanneer de klant de relevante stukken (zoals paspoort, werkgeversverklaring en taxatierapport) reeds bij zich heeft, worden deze overgelegd. Deze kunnen echter ook in een later stadium worden ontvangen.
Op basis van de ontvangen gegevens van de klant wordt de aanvraag beoordeeld. In deze beoordeling bepaalt de bank in hoeverre de klant voldoet aan de voorwaarden voor verstrekking van een hypotheek van de door de klant gewenste omvang. Wanneer deze beoordeling positief uitpakt, stelt de bank een (voorwaardelijke) offerte op.
Indien de klant akkoord gaat met de offerte en deze accepteert, dient hij alle voor de hypotheekverstrekking benodigde stukken te overhandigen. De bank registreert en beoordeelt deze stukken op authenticiteit. Tevens beoordeelt de bank in hoeverre de stukken overeenkomen met de uitgangspunten waarvan bij het opstellen van de offerte is uitgegaan (bijvoorbeeld hoogte hypotheek en inkomen van de klant). Nadat beide partijen akkoord zijn gegaan met de offerte, vindt het notarisverkeer plaats, waarbij de klant daadwerkelijk het eigendom over het huis verkrijgt. Deze activiteiten spelen zich grotendeels buiten het blikveld van de bank af. Zij controleert in hoeverre deze activiteiten zijn uitgevoerd. Als laatste vindt de financiële afhandeling tussen onder andere de klant, de notaris en de hypotheekverstrekker (bank) plaats.
Voor het proces is vervolgens een BPA-matrix gedeeltelijk ingevuld (in tabel 4, conform tabel 3). Vanwege de focus van dit artikel op KRI’s is ervoor gekozen om hierin alleen de risico’s, maatregelen en KRI’s op te nemen. Voor elke processtap is bepaald welke (operationele) risico’s spelen en welke maatregelen binnen een bancaire organisatie worden getroffen om deze risico’s te mitigeren. In tabel 4 zijn de hoge (key) operationele risico’s en mogelijke maatregelen weergegeven. Risico’s die wel bestaan binnen het proces, maar die geen grote kans op optreden en/of grote schade bij optreden hebben, zijn voor dit voorbeeld niet verder uitgewerkt, omdat voor deze risico’s geen monitoring op basis van KRI’s zal plaatsvinden. Voor alle risico’s zijn KRI’s geïdentificeerd die voldoen aan de eisen die in het eerste deel van dit artikel zijn weergegeven.
In de tabel zijn niet alleen processpecifieke risico’s en maatregelen opgenomen, omdat voor het effectief functioneren van (applicatieve) maatregelen, een adequate organisatie en juist functionerende IT general controls van belang zijn. Vanwege het operationele risico dat gepaard gaat met informatiebeveiliging en continuïteit, zijn risico’s op deze gebieden uitgewerkt. De uitwerking van KRI’s voor deze risico’s dient ter illustratie van de mogelijkheid om KRI’s in te zetten voor het tijdig identificeren van IT-risico’s. Andere IT general controls, zoals een effectief change-managementproces, zijn immers tevens van toepassing op dit proces/voorbeeld.
Tabel 4. Hoge operationele risico’s en maatregelen voor particuliere hypotheekverstrekking. [Klik hier voor grotere afbeelding]
Tabel 4 (vervolg). [Klik hier voor grotere afbeelding]
Effectiviteit van IT key risk indicators
In tabel 4 zijn voor enkele IT-risico’s KRI’s opgesteld. Deze KRI’s dienen de risico’s op effectieve wijze te monitoren. De eisen die gelden voor KRI’s voor operationele risico’s zijn evenzo van toepassing op de KRI’s voor IT-risico’s.
In deze paragraaf worden – ter illustratie – de KRI’s van het inherente risico ‘Externen verschaffen zichzelf ongeautoriseerde toegang tot de systemen’ toegelicht aan de hand van de eisen die worden gesteld aan KRI’s voor operationele risico’s. De KRI’s die bij dit IT-risico zijn gedefinieerd, zijn als volgt:
- aantal firewallwijzigingen (per periode);
- aantal geïdentificeerde aanvallen (per periode);
- aantal IT-beveiligingsonderzoeken (per periode).
KRI 1: aantal firewallwijzigingen
Om verschillende redenen kan het nodig zijn om aanpassingen door te voeren in de ruleset die het verkeer regelt van een firewall. Wijzigingen in de ruleset kunnen echter leiden tot het ontstaan van een beveiligingsrisico, doordat netwerkverkeer dat niet noodzakelijk is, wordt toegelaten tot achterliggende systemen. Veel wijzigingen in een bepaalde periode vergroten de kans op het ontstaan van dit risico.
Indien de firewall meerdere applicaties beschermt, dient de KRI alleen betrekking te hebben op wijzigingen van de rules die het verkeer reguleert van en naar de applicatie die het hypotheekverstrekkingsproces ondersteunt. Aanvullend zou kunnen worden bepaald dat alleen wijzigingen die resulteren in het toestaan van inkomend (‘inbound’) verkeer, door middel van de KRI worden gemonitord, omdat dit in het algemeen een groter beveiligingsrisico vormt dan het toestaan van uitgaand (‘outbound’) verkeer. Het op deze wijze toepassen van de KRI komt tegemoet aan de eis specifiek te zijn.
De meetbaarheid van de KRI is sterk afhankelijk van een goede registratie van wijzigingen in de firewall (rules). Indien iedere wijziging verloopt via een change-managementprocedure en hiervan een juiste registratie plaatsvindt, is het eenvoudig de wijzigingen per periode inzichtelijk te maken. Vanzelfsprekend dient deze change-managementinformatie beschikbaar te worden gesteld aan degene die verantwoordelijk is voor monitoring van deze KRI.
Het bepalen van een geschikt tolerantielevel voor deze KRI om daarmee een verhoogd risico aan te duiden, kan minder eenvoudig zijn. In beginsel dient als onderdeel van het change-managementproces bij iedere aanpassing van een firewall rule te worden beoordeeld in hoeverre een beveiligingsrisico ontstaat. Daarnaast dient te worden bepaald wat wordt verstaan onder een ongewoon aantal wijzigingen. Om dit te kunnen bepalen, kan gebruik worden gemaakt van ervaringscijfers (van het aantal wijzigingen in een bepaalde periode) en de ervaring van de beheerders van de systemen. Wanneer vinden zij een aantal changes ongewoon en gaat het aantal ten koste van de overzichtelijkheid en (wellicht) de juistheid van de wijzigingen? Bij een ongewoon aantal wijzigingen in een bepaalde periode kan de KRI aanleiding zijn om nader te onderzoeken wat de reden is van de vele wijzigingen.
KRI 2: aantal geïdentificeerde aanvallen
Om aanvallen te kunnen monitoren zal het firewallsysteem functionaliteit moeten hebben om verdacht verkeer te herkennen. Netwerkverkeer van en naar de hypotheekapplicatie dat afwijkt van het gebruikelijke verkeer (mogelijke aanvallen) dient geregistreerd te worden om meetbaarheid van de KRI mogelijk te maken. Zodra het aantal geregistreerde aanvallen boven een bepaalde tolerantiegrens komt dient actie te worden ondernomen om de herkomst van de aanvallen te bepalen en deze aanvallen nader te onderzoeken. Bij moedwillige aanvallen is snelle actie gewenst en voor het afslaan van deze aanvallen is een ‘intrusion prevention systeem’ vaak een goede oplossing die tevens monitoring van aanvallen mogelijk maakt. Overschrijding van een tolerantiegrens van de KRI dient dan aanleiding te zijn om te onderzoeken of aanvullende maatregelen nodig zijn.
KRI 3: aantal IT-beveiligingsonderzoeken
Het optreden van beveiligingsincidenten met een grote impact en het overschrijden van tolerantiegrenzen van de eerste twee KRI’s zijn redenen om een beveiligingsonderzoek in te stellen. De mate waarin KRI 1 en 2 specifiek zijn, is bepalend voor de mate waarin KRI 3 specifiek is. Een sterke toename van het aantal beveiligingsonderzoeken is reden om verder te onderzoeken of alle getroffen maatregelen om het risico van ongeautoriseerde toegang tot de hypotheekapplicatie te mitigeren voldoende effectief zijn. Het kan echter ook zijn dat verschillende ingestelde beveiligingsonderzoeken tot niets leiden en dat er vooral sprake is van loos alarm. In dat geval is mogelijk herdefiniëring of nadere specificatie nodig van de KRI’s die aanleiding hebben gegeven tot instelling van het onderzoek.
Conclusie
Dit artikel is ingegaan op de wijze waarop key risk indicators kunnen worden ingezet om in een vroeg stadium te signaleren wanneer operationele risico’s zich voordoen en zo de mogelijkheid te creëren deze te mitigeren voordat het risico zich heeft gemanifesteerd. In dit artikel hebben de auteurs willen aantonen dat KRI’s die voortkomen uit de hoek van het operationeel risicomanagement, ook goed toepasbaar zijn op IT controls. De auteurs hebben laten zien dat het gebruik van KRI’s voor IT controls een verdere professionalisering van risicomanagement op dit gebied kan bewerkstelligen. Vanwege de relatieve onbekendheid van KRI’s geeft dit artikel handvatten voor de identificatie en het gebruik van KRI’s.
Literatuur
[BIS03] Bank of International Settlements, Sound practices for the management and supervision of operational risk, February 2003.
[BIS05] Bank of International Settlements, Basel 2 Accord, November 2005.
[Chor04] Dimitris N. Chorafas, Operational risk control with Basel 2, basic principles and capital requirements, Elsevier Finance, 2004.
[Davi02] Jonathan Davies and Michael Haubenstock, Building effective indicators to monitor operational risk, RMA journal, May 2002.
[Davi03] Jonathan Davies and Charles Taylor, Getting traction with KRIs: laying the groundwork, RMA journal, November 2003.
[DNB05a] De Nederlandsche Bank, Concept-Toezichthouderregels Operationeel Risico, Basisindicatorbenadering en Standaardbenadering (Consultatiedocument (Implementatie Bazel II)), November 2005.
[DNB05b] De Nederlandsche Bank, Basel II: Governance of model development, validation and use, oktober 2005.
[Dresd03] Dresdner, Kleinwort and Wasserstein, Key risk indicators, December 2003.
[Fert06] Leon Fertman, Risk and compliance management framework for a financial services organisation: Key elements, Banking & Finance, 13 April 2006.
[Frer06] D.H.J. Freriksen, D.M. Swagerman en L. Paape, Risicomanagement: de praktijk in Nederland, MCA Tijdschrift voor organisaties in control, april 2006.
[Imma04] Aravind Immaneni, Chris Mastro and Michael Haubenstock, A structured approach to building predictive key risk indicators, Operational Risk, May 2004.
[ISMA03] ISMA Center, Operational risk, Regulation, Analysis and Management, Prentice Hall, 2003.
[Karoq] Chris Karoq, Operational Risk: Ignore It at Your Peril, Ernst & Young.
[KPMG] KPMG Financial Services, Basel briefings.
[KPMG05a] KPMG, Basel 2: A closer look, managing operational risk, 2005.
[KPMG05b] KPMG, Actualiteiten regelgeving Financiële Sector 2005: Het moment van de waarheid, Toezicht, verslaggeving en invloed overige regelgeving.
[KRI04a] KRI Newsletter Part II #4, May 2004.
[KRI04b] KRI Newsletter Part II #5, June 2004.
[KRIex] www.kriex.org
[Moul04] Bruce Moulton, Basel II: Operational risk and information security, http://enterprisesecurity.symantec.com/industry/finance, January 27, 2004.
[Rowe04] David Rowe, A difference in kind, Risk analysis, June 2004.
[Tayl04] Charles Taylor, Key risk indicators move up a gear, Global risk regulator, November 2004.
[Till03] Alice van Tillaart, Controlling operational risk, concepts and practices, 2003, NIBESVV, Amsterdam.
[Vlam06] Drs. M.J. Vlaminckx, Risicomanagement maakt prestatiemeting veelomvattend, MCA Tijdschrift voor organisaties in control, februari 2006.
[Zamp06] Helene Zampetakis, Security issues require holistic approach, Financial review, 20 March 2006.