KBC en Barclays affaires onderstrepen falend operationeel-risicomanagement

Deze week was geen goede week voor het vertrouwen in bancair handelen. Het nieuws over het Belgische KBC kantoor te ’s Gravenwezel kwam naar buiten, waar men in 2000 niet alleen met tientallen employés en hun intimi de persoonlijke portefeuille van Philips CEO Cor Boonsta (waarde circa 12 miljoen euro) volgde, maar ook een dubbele boekhouding bijhield. Aan Boonstra konden rendementen worden gedemonstreerd die helemaal niet waren gerealiseerd. De lokale KBC kantoordirecteur toonde de gemanipuleerde rendementen vanaf een laptop aan Boonstra, waarbij hij letterlijk zweette op het bureau van Boonstra.


En dan Barclays. Deze bank heeft getracht de Libor (London Inberbank Offered Rate) en Euribor (Euro Interbank Offered Rate) rentes te manipuleren. Deze rentes komen tot stand als gevolg van quotes die door een panel van banken worden afgegeven. Barclays was één van deze banken. Natuurlijk moet de staf die de quotes afgeeft, afgeschermd zijn van de commerciële business units. Dat was niet het geval. De staf was vanaf de start van de kredietcrisis in 2007 jarenlang vatbaar voor de druk van derivatenhandelaren die de rentes naar beneden wilden brengen. Daarnaast was er een belang om lage quotes naar buiten te brengen, aangezien deze een aanwijzing zijn voor de funding kosten van de bank. Hoe lager, hoe meer vertrouwen de markt in de bank heeft. De FSA heeft Barclays hiervoor zwaar op de vingers getikt en een boete opgelegd van 290 miljoen pond.

Enkele politici hebben al gevraagd om het aftreden van Barclays CEO Bob Diamond. Premier David Cameron heeft gezegd dat Barclays ‘serieuze vragen’ te beantwoorden heeft. De beurskoers is met het bekend worden van het nieuws direct met 18% gedaald.

koersverloop Barclays 28 juni 2012 (bron: Bloomberg, quote BARC)

Operationeel risico

In het operationeel-risicoraamwerk van Basel II valt het ‘KBC’ risico onder interne fraude (sub ‘mismarking of position (intentional)’) en het ‘Barclays’ risico onder ‘Clients, Products & Business Practices’ (sub ‘market manipulation’).

Banken dienen hun operationele risico’s in kaart te brengen, te beperken en voor het restrisico kapitaal aan te houden. Ruwweg zijn er voor dat laatste twee mogelijkheden. De gestandaardiseerde aanpak bepaalt dat banken een hoeveelheid aan kapitaal moeten aanhouden die proportioneel is aan hun omvang zoals gemeten aan de hand van hun omzet. Dit is natuurlijk een inferieure aanpak die niet uitnodigt tot verantwoord operationeel risicobeheer. Risicovol gedrag wordt immers niet afgestraft, noch is er een prikkel voor risicobeperkende maatregelen.

Een betere aanpak is de Advanced Measurement Approach (AMA; art. 655). Conform deze aanpak dienen banken hun operationele risico’s te kwantificeren in frequentie van voorkomen per jaar (bijvoorbeeld voor een gegeven Business Unit 3,5 keer per jaar gemiddeld) en in de bijbehorende schade (bijvoorbeeld een range lopend van 100 euro tot 350.000 euro per incident). Aan de hand van een model wordt dan bepaald wat de 99,9% Value-at-Risk is, dat wil zeggen het verlies dat in één jaar kan voorkomen in het 99,9% slechtste scenario (art. 667).

Wat zijn de grootste operationele risico’s?

Om het AMA model te parameteriseren kan de bank gebruik maken van interne verliesdata, maar ook van externe verliesdata. Een voorbeeld van dat laatste is de data van het ORX consortium. Dit consortium verzamelt data met betrekking tot operationele verliezen van de betrokken banken. Vervolgens worden de data weer (geanonimiseerd) aan de betrokken banken ter beschikking gesteld. ORX publiceert ook op zeer geaggregeerd niveau enkele statistieken waaronder de totale schade en de breakdown van de totale schade over de operationele risicotypen (aangeduid conform Basel II als Event Types). Zetten we deze in een staafdiagram dan ontstaat het volgende beeld:

Onderverdeling operationele schade over de risicotypen (bron: ORX June 2010 report; 2004-2008 data)

Wat valt op: de grootste operationele risico’s zijn ‘Client/Product Practices’ en ‘Execution Delivery’.

In de eerste categorie vallen schendingen van de zorgplicht en marktmanipulatie. In de tweede categorie vallen foutief uitgevoerde bedrijfsprocessen, miscommunicatie en accounting fouten. Externe en interne fraude komen op de derde en vierde plaats.

Het IT-risico, dus het risico dat systemen uitvallen inclusief het internetbankieren, steekt schril af tegen de zorgplicht-, fraude- en procesrisico’s.

Aanvullende maatregelen nodig

Uit de statistieken blijkt dat de ‘KBC’ en ‘Barclays’ risico’s niet uit de lucht komen vallen. Meer beheersing is nodig en Basel II operationeel-risicomanagement eist ook meer dan alleen de genoemde kapitaalsbuffer.

Basel II stelt namelijk ook ‘kwalitatieve eisen’ stelt aan het gebruik van AMA. Deze kwalitatieve eisen hebben betrekking op een actieve betrokkenheid van het senior management, voldoende staf voor operationeel risicomanagement, onafhankelijke toetsing van de business door de risicofunctie (ook wel aangeduid als second line of defence) en audit (third line of defence), en documentatie van beleid en procedures.

De betrokken KBC kantoordirecteur is inmiddels ontslagen. Zijn regiodirecteur werkt nog wel bij KBC, maar in een andere functie. Wat verder nog opvalt bij de fraude is dat zoveel mensen erbij betrokken moeten zijn geweest. Ik probeer me voor te stellen hoe dat gegaan is: men heeft de manipulatie van de rendementen besproken en een goed idee gevonden, vervolgens de rapportages aan het systeem ontrokken, ingeladen in (ik vermoed) een spreadsheetomgeving, daarin bijgewerkt, grafieken gemaakt en deze (al zwetend) getoond aan Boonstra. Hier moeten meerdere mensen bij betrokken zijn geweest; veel checks-and-balances zijn niet bestand tegen een dergelijke omvang van samenspanning.

Ten aanzien van Barclays: gezien de vereiste betrokkenheid van het senior management is het terecht dat CEO Diamond ter verantwoording wordt geroepen. Ignorance is no longer an excuse.

Zie ook:

DSB zal uitgroeien tot standaard case in het risk management

De Barclays emails, een indringend inkijkje in Liborgate

Advertenties

Over Folpmers
Financial Risk Management consultant, manager van een FRM consulting department, bijzonder hoogleraar FRM

2 Responses to KBC en Barclays affaires onderstrepen falend operationeel-risicomanagement

  1. Pingback: DSB zal uitgroeien tot standaard case in het risk management « Folpmers

  2. Pingback: De Barclays emails: een indringend inkijkje in Liborgate « Folpmers

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s