Risiko, risikoappetitt og risikotoleranse: Styrets verktøy Are Jansrud, analysesjef Finans Norge
Styring og kontroll i bank: En klassisk historie om hvorfor det går galt. Dårlig (risiko)strategi Lorenzo lånte ut i stor stil til europeiske fyrster, noe Cosimo I i sin tid hadde lagt ned forbud mot Dårlig drift(sfokus) Lorenzo hadde mer fokus på politisk posisjon og makt enn på driften av Medici-banken, samt en noe mer dekadent livsstil enn Cosimo I Dårlig kontroll Cosimo I engasjerte seg personlig aktivt både i den nitidige bokføringen og i revisjoner av avdelingene / avdelingslederne. Lorenzo delegerte bokføringen og foretok ikke revisjoner.
Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in sample Richard Feynman, fysiker 3
Eller: Risiko It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker 4
Eller: enda verre. It is not what we know, but what we do not know which we must always address, to avoid major failures, catastrophes and panics. Event not in imagination Richard Feynman, fysiker 5
Et (for) enkelt verdensbilde Vet at det vil skje noe Vet ikke om det skjer noe Vet ikke hva som kan skje Risikorammer «UNK-UNKS» (og «svarte svaner» ) Vet hva som kan skje Ingen risiko (men slik er ikke verden ) Beredskapsplaner 6
Har DU lyst til å sitte med ansvaret Når DETTE skjer? 7
Disney-metoden som inspirasjonskilde 1. Utenforstående: tenk som en utenforstående for å få en analytisk, ekstern oppfatning av utfordringen. 2. Drømmer: brainstorming - avvikende tenkning for å få kreative og radikale ideer. 3. Realister: pragmatiske realister som bruker konvergent tenkning for å vurdere ideene. 4. Kritikere: vurderer planen for å identifisere svakheter, hindringer eller risiko. 8
Et enkelt risikobilde Sikker Sannsynlighet Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens 9
Grunnleggende måter å forholde seg til risiko på Avstå Dele Begrense Sannsynlighet Sikker Sannsynlig Middels Lite sannsynlig Akseptere Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens 10
De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Begrense Akseptere 11
De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Akseptere 12
De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere 13
De 4 grunnleggende måtene å forholde seg til risiko på Avstå Forby / Avvikle Dele Forsikre / Finansielle sikringer / Joint venture Begrense Risikorammer / Nedsalg Akseptere = Risikotoleransen 14
Et enkelt risikobilde Sikker Sannsynlighet Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens 15
Et enkelt risikobilde Sikker Sannsynlighet Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens 16
Sannsynlighet Sikker Sannsynlig Middels Lite sannsynlig Optimalisering av kapital vs inntjening Prosessforbedring Et enkelt risikobilde «Business as usual»- risikostyring Beredskapsplaner Scenarioer Stresstesting Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Konsekvens 17
Definisjoner Risk appetite means the aggregate level and types of risk an institution is willing to assume within its risk capacity, in line with its business model, to achieve its strategic objectives. Risk capacity means the maximum level of risk an institution is able to assume given its capital base, risk management and control capabilities as well as its regulatory constraints. 18
Risikotoleranse - definisjoner COSO s Enterprise Risk Management Integrated framework: The amount of risk, on a broad level, an entity is willing to accept in pursuit of value. Risikotoleransen gir uttrykk for hvilke risikotyper og det maksimale nivå på risiko samlet og per risikotype som styret er villig til å la GL44: selskapet Risk tolerance/appetite bli eksponert mot for is a å term realisere that selskapets embraces mål. all relevant definitions used by different institutions and supervisory authorities. These two terms are used here interchangeably to describe both the absolute risks an institution is a priori open to take (which some call risk appetite) and the actual limits within its risk appetite that an institutions pursues (which some call risk tolerance).
Risikotoleranse krav og forventninger GL44: «The key responsibilities of the management body should include setting and overseeing the overall risk risk strategy and policy of the institution, including its tolerance/appetite and its risk management framework EBA Consultation paper: Guidelines on internal governance The management body s responsibilities should include setting, approving and overseeing the implementation of: the overall risk strategy including its risk appetite and its risk management framework BCBS: Accordingly, the board should: Establish, along with senior management and the CRO, the bank s risk appetite, taking into account the competitive and regulatory landscape and the bank s long-term interests, risk exposure and ability to manage risk effectively Finanstilsynet Modul for operasjonell risiko: «I strategien bør styret tydelig definere sin operasjonelle risikotoleranse. Fastsettelsen av risikotoleransen skal definere nivået på operasjonell risiko som foretaket er villig til å akseptere»
Hvorfor risikotoleranse-utsagn? Tydeliggjøre sammenhengen mellom (forretningsmessige) beslutninger og strategien Sikre konsistent adferd Bevisst utnyttelse av kapasiteten til å påta seg risiko Bare det å utarbeide og fastsette risikotoleransen skaper verdi i seg selv!
Internasjonal status bank (Kilde: 2015 risk management survey of major financial institutions: Rethinking risk management Banks focus on non-financial risks and accountability, EY) Topp fokusområder for styret og ledelsen: compliancerisiko (57%), risikoappetitt (47%), kredittrisiko (32%) Topp fokusområder for CRO: regulatorisk compliance (61%), risikoappetitt (59%), kredittrisiko (57%) 70% har en «significant linkage of risk appetite to business planning» Enkeltbeslutninger: 43% «largely tested» og 51% «somewhat tested» mot risikoappetitten Viktigste parametre: Kapitalrelaterte forholdstall (83%), mål for funding/likviditet (83%), kapitaldekning (77%), konsentrasjonsrammer (66%), Tier 1-krav (64%) 83% har startet å etablere en risikoappetitt-tilnærming for ikke-finansielle risikoer 74% benytter en tilpasset tilnærming for ikke-finansielle risikoer, som omfatter både kvantitative og kvalitative elementer innenfor rammeverket for operasjonell risiko 22
Risikotoleranse mulig rammeverk Risikotoleranseutsagn («statement») Rammer og måltall Beslutninger Organisering og ansvarsforhold Måling og rapportering
Risikotoleranse krav og forventninger 33. As part of the overall corporate governance framework, the board is responsible for overseeing a strong risk governance framework. An effective risk governance framework includes a strong risk culture, a well developed risk appetite articulated through the RAS, and well defined responsibilities for risk management in particular and control functions in general. 34. Developing and conveying the bank s risk appetite is essential to reinforcing a strong risk culture. The risk governance framework Kvantitative should og outline kvalitative actions to utsagn be taken when stated risk limits are breached, including disciplinary actions for excessive risk-taking, escalation procedures and board of director notification. Typer risikoeksponeringer som aksepteres Akseptert nivå for risikoeksponeringen(e) 35. The board should take an active role in defining the risk appetite and ensuring its alignment with the bank s strategic, capital and financial plans and compensation practices. The bank s risk appetite should be clearly conveyed through Forretningsmessige an RAS that can be easily hensyn understood som skal by all vurderes relevant parties: the board itself, senior management, bank employees and the supervisor. og rammer for virksomheten 36. The bank s RAS should: include both quantitative and qualitative considerations; establish the individual and aggregate level and types of risk that the bank is willing to assume in advance of and in order to achieve its business activities within its risk capacity; define the boundaries and business considerations in accordance with which the bank is expected to operate when pursuing the business strategy; and communicate the board s risk appetite effectively throughout the bank, linking it to daily operational decision-making and establishing the means to raise risk issues and strategic concerns across the bank.
Risikotoleranse og risikorammer fastsettelse av nivå Risikoevne: Kapital og likviditet Kapasitet Kompetanse Risikoevne Risikoappetitt: «Viljebasert» Skjønn og «magefølelse» Risikoappetitt
Kompetanse & Kapasitet Kompetansevurderinger - eksempler: Kunnskap om avanserte finansielle instrumenter? Bransjekompetanse? Regulatorisk kompetanse? Rådgivningskompetanse? Kapasitetsvurderinger - eksempler: Hvor stort forretningsvolum kan vi håndtere? Hvor stor back up-kapasitet har vi? Teknologien (digitaliseringen) «fjerner» langt på veg mange kapasitetsbegrensninger i finans («operasjonell gearing»), men ikke de andre parametrene
Kapital Pilar 1: Regulatorisk minstekrav og bufferkrav Pilar 2: Internt kapitalmål og tilsynsmyndighetenes vurderinger Pilar 3: «Markedets krav» «Markedets krav» for stabil tilgang på kapital Kapitalkostnader / kredittspreader Rating
Å finne toleransegrensen: Stresstester og scenarioanalyser Stresstester Sensitivitetsanalyser Alvorlige tenkte hendelser Scenarioanalyser Komplette, sammensatte hendelsesforløp 28
Å finne toleransegrensen: Omvendte stresstester FORETAKET HAR IKKE TILSTREKKELIG KAPITAL HVOR STORE TAP MÅ TIL FOR AT DETTE SKAL KUNNE SKJE? HVILKE SCENARIER KAN SKAPE SLIKE TAP? KAN DISSE SCENARIOENE INNTREFFE? ER DET SANNSYNLIG / HVOR SANNSYNLIG ER DET AT DE INNTREFFER? 29
Risikotoleranse-utsagn - fiktive eksempler «Compliancerisiko: Banken har 0-toleranse for brudd på lover og regler» «Compliancerisiko: Banken har meget lav toleranse for compliancerisiko. Dersom det er tvil om hvordan et regelverk er å forstå, skal det alltid praktiseres en konservativ tolkning. Banken skal ikke utsettes for omdømmerisiko som følge av regelverksetterlevelse. Banken skal ikke bare vurdere hvorvidt en handling juridisk sett er lovlig, men også om bankens handlinger er i samsvar med god etikk og moralske normer.» Hvilket utsagn gir best veiledning for organisasjonen?
Risikotoleranse-utsagn - fiktive eksempler Resultatvolatilitet Meget lav Lav Middels Høy Meget høy X Soliditet Kredittrating Omdømme Compliance X X X X
Risikotoleranse-utsagn - fiktive eksempler Område Ramme Kapitaldekning X%-poeng over regulatorisk krav LCR XXX % Største engasjement X% av ansv kapital / Max X mill Andel BM-kunder Max X% Aksjerisiko Max X mill Renterisiko Max X mill ved Y %-poengs renteendring Operasjonelle tap Max N uønskede hendelser / Max X,- kr etc etc
Risikotoleranse-utsagn: fiktive eksempler Risikoklasse Parameter Grenseverdier Strategisk risiko Ren kjernekapitaldekning Egenkapitalavkastning Ratingnivå Kredittrisiko Utlånsvekst Maksimalt forventet tap Ingen eksponering mot angitte sektorer Konsentrasjonsrisiko Andel av utlån: største sektor Største engasjement: absolutte tall Største engasjement: I % av CET1 Markedsrisiko Aksjerisiko: Maksimal aksjeramme Renterisiko: Tap ved 2% renteendring Valutarisiko: Samlet netto FX-posisjon i % av CET1 Likviditetsrisiko LCR Overlevelsesperiode intern stresstest Refinansieringsevne under stress Finansieringsrisiko Minimum gj.snitt restløpetid funding Innskuddsdekning Operasjonell risiko Uønskede hendelser Omdømmerisiko Antall negative medieoppslag «Conduct risk» Antall brudd på anti hvitvask-rutinen Antall interne «varslinger» X < Limit < Y
Risikotoleranse Forretningsstrategi Kapitaliseringsstrategi Risikotoleranse Risikostrategi
Risikotoleranse oppnå med dette avkastningskravet Kan vi med dette soliditetsmålet ICAAP? Forretningsstrategi Kapitaliseringsstrategi Risikotoleranse Risikostrategi med disse risikorammene?
Resultatstyring: Risk / Reward Resultat Økonomisk kapitalbehov??? = Resultat Regulatorisk kapitalkrav??? = Strategisk avkastningskrav
Risikotoleranse praktisk anvendelse Norges Bank 100 1 000 Banker Norges Bank 100 0 % - Banker 500 7 000 Innskudd Banker 500 20 % 100 Utlån bolig 5 000 4 000 Obligasjoner Utlån bolig 5 000 35 % 1 750 Utlån massemarked 2 000-28 Annen gjeld Utlån massemarked 2 000 75 % 1 500 Utlån foretak 3 000 1 128 Egenkapital Utlån foretak 3 000 100 % 3 000 Obligasjoner 2 000 Obligasjoner 2 000 10 % 200 Aksjer 200 Aksjer 200 100 % 200 Annet 300 Annet 300 100 % 300 Sum 13 100 13 100 Sum RWA 13 100 7 050 Kapitaldekning 16,00 % Resultat 11 % 124 Massemarked økes til 60% Boliglånsandel reduseres til 40% Økt snitt løpetid funding fra 3 til 5 år Ingen rammer for aksjer Resultat 124 Økt andel massemarked 30 Redusert PM-andel 30 Økt løpetid funding -12 Nedsalg aksjer -20 Nytt resultat 152 Nytt kapitalkrav 1 104 Ny ek-avkastning 13,78 % BM-andel reduseres til 20% Boliglånsandel økes til 60% Resultat 124 Økt andel boliglån -15 Redusert BM-andel -15 Økt løpetid funding Nedsalg aksjer Nytt resultat 94 Nytt kapitalkrav 1 144 Ny ek-avkastning 8,22 %
Balansering av toleransen Likviditetsrisiko Høy Middels Lav Er alle kombinasjoner like fornuftige? Og forsvarlige? Lav Middels Høy Kredittrisiko 38
Risikotoleranse og strategisk styring Ekstrem Bank H Forsikring I Bank G R i s i k o e v n e Høy Middels Lav Ubetydelig Bank A Forsikring C Bank D Forsikring B Bank E Forsikring F Ubetydelig Lav Middels Høy Ekstrem Risikoappetitt 39
Risikotoleranse og risikostyring oppsummert Sikker Risikoevne Sannsynlig Middels Lite sannsynlig Usannsynlig Ubetydelig Lav Middels Høy Ekstrem Risikoappetitt 40