Hvilke konsekvenser har CRD IV for bankenes risikostyring? 17. september 2012 Partner Are Jansrud 10/09/2012 1
Agenda Den regulatoriske tsunamien en kort oversikt Kvantitativ risikostyring Kvalitativ risikostyring Risikotoleransen og risikoappetitten den største utfordringen! Oppsummering 10/09/2012 2
Den regulatoriske tsunamien - en kort oversikt 10/09/2012 3
Hvor står vi i dag? - utgangspunktet er mer enn krevende nok NUES Guidelines for governance Personopplysningsloven/-forskriften Godtgjørelsesforskriften Kapitalkravsregelverket Tilsynets moduler for risikobasert tilsyn MiFID Banken Forskrift om risikostyring og internkontroll Forsvarlig boliglånspraksis Anti hvitvaskregelverket Likviditetsforskriften IKT-forskriften Bokføringsloven Etc. 10/09/2012 4
Hva er bankene utsatt for? EKSTERNT Regulatorisk tsunami (mer enn bare CRD IV) Stigende fundingkostnader Volatile finansmarkeder Europeisk statsgjeldskrise INTERN(asjonal)T Foreclosure-sakene Libor-skandalen. Bonusutfordringer. Anti hvitvask-saker. Dårlige økonomiske resultater. Fallende aksjekurser. TILLIT OG OMDØMMERISIKO? - men ikke i Norge!!! 10/09/2012 5
Regulatorisk utvikling - Flere ulike agendaer Forbrukerbeskyttelse Finansiell stabilitet ( Treating Customers Soliditet Likviditet Corporate Governance Systemrisiko Fairly ) Skatter og avgifter 10/09/2012 6
Konklusjon Foredragets tematikk må behandles i en større kontekst enn bare CRD IV. Basel II Bail in CRD IV Market risk EMIR Finansmarkedsmeldingen MiFIR GSIFI Forsvarlig boliglånspraksis MiFID2 FATCA NSIFI GL44 IFRS 9 PRIPS Med mere 10/09/2012 7
Basel III / CRD IV LCR: Beholdning av meget likvide aktiva tilsvarende 100% dekning av netto negativ cash flow under 30 dagers stress NSFR: Krav til langsiktig finansiering av balanse og utenom balanse-poster Økte minimumskrav til kjernekapitaldekningen Økte kvalitetskrav til kjernekapitalen Utvidelse av de risikoer det skal stilles kapitaldekning for: Motpartsrisiko: CVA-tillegget Innføring av et ikke risikobasert kapitalkrav: Leverage Ratio Krav til risikostyring Tiltak for å dempe konjunktureffektene på soliditet: Motsyklisk kapitalbuffer Kapitalbevaringsbuffer 10/09/2012 8
Andre sentrale forslag og utviklingstrekk - et snevert utvalg Corporate Governance (GL44) Oppdaterte krav til internrevisjon i banker (og krav for alle banker i Norge?) DVA: kapitalfradrag for kredittspreadgevinsten på egen kredittrisiko i derivater EMIR: sentralisert clearing av alle standard derivatavtaler mellom finansinstitusjoner Recovery & Resolution plans Bail-in Fundamental revidering av markedsrisiko-regelverket: Definisjonen av skillet mellom handelsportefølje og bankportefølje Kalibrering for en periode med vesentlig finansielt stress Nye krav til interne modeller: Endringer i standardmodellen Håndtering av kredittrisiko i handelsporteføljen (ILAAP) Minimum risikovekter for boliglån både under IRB og standardmetoden (?) Forbrukerbeskyttelse: PRIPS, MiFID2, IMD2, UCITS V, etc 10/09/2012 9
RISIKOSTYRING Den regulatoriske utviklingen vil påvirke KUNDEPROSESSENE KAPITALPLANLEGGINGEN FUNDING OG LIKVIDITETSSTYRING 10/09/2012 10
Kvantitativ risikostyring - kapitalstyring - likviditet og funding - sikring 10/09/2012 11
Kapitalkravet: Økte krav på alle fronter. Økte kvalitetskrav Ansvarlig kapital Beregningsgrunnlag = Kapitaldekning Økte minstekrav Utvidet grunnlag og økte beregningssatser men norske banker går inn i dette med et godt utgangspunkt 10/09/201212
Basel III - Fremtidig kapitalkrav I praksis 9% fra 30.06.2012 Ikke like kapitaldefinisjoner! Ren Kjernekapital Totalkapital kjernekapital Minimum 4,5% 6,0% 8,0% Bevaringsbuffer 2,5% Minimum pluss 7,0% 8,5% 10,5% bevaringsbuffer Motsyklisk kapitalbuffer 0% - 2,5% 10/09/2012 13
Tidslinjen Basel III / CRD IV: Når skal man tilpasse seg? Hvordan?. Markedet bestemmer.??!! 14,0 % 12,0 % 10,0 % 8,0 % 6,0 % 9% Tier 2 Motsyklisk Kapitalbevaring Hybridkapital Core Tier 1 4,0 % 2,0 % 0,0 % 2011 2012 2013 2014 2015 2016 2017 2018 2019 10/09/2012 14
Risikostyring og kapitalstyring: Den strategiske agendaen - tiltakene Kapitalkilder: økt inntjening tilbakeholdt resultat emisjoner kapitalstruktur Ansvarlig kapital Beregningsgrunnlag = Kapitaldekning Foredle balansen Redusert balanse Redusert vekst Redusert RWA: Endret aktivastruktur IRB (dog lavere fordel boliglån??) Marginer og collateral Sjablongmetode op.risk 10/09/2012 15
Verdien av ansvarlig lånekapital i fremtidens kapitalstruktur 10/09/2012 16
Verdien av ansvarlig lånekapital i fremtidens kapitalstruktur Bank 1 Bank 2 Bank 3 Bank 4 Ren kjernekapital 4,50 % 9,50 % 13,00 % 9,50 % Hybridkapital 1,50 % 1,50 % Tilleggskapital 2,00 % 2,00 % Kapitaldekning 8,00 % 9,50 % 13,00 % 13,00 % Oppfyllelse av min.kravet 8,00 % 8,00 % 8,00 % 8,00 % Buffer mot minimumskravet 0,00 % 1,50 % 5,00 % 5,00 % Ren kjernekapital 4,50 % 9,50 % 13,00 % 9,50 % Minimimskrav til ren kjerne 4,50 % 4,50 % 4,50 % 4,50 % Ren kjerne utover minimum 0,00 % 5,00 % 8,50 % 5,00 % Herav til dekning av samlet krav 0,00 % 3,50 % 3,50 % 0,00 % "Overskudd" av ren kjernekapital 0,00 % 1,50 % 5,00 % 5,00 % Kombinert bufferkrav 5,00 % 5,00 % 5,00 % 5,00 % Margin -5,00 % -3,50 % 0,00 % 0,00 % 10/09/2012 17
Likviditetsstyring og fremtidens likviditetsbuffer - illustrasjonseksempel Type aktiva LCR-compliant Likvide aksjer på hovedlisten Boliglån klargjort for OMF ing Boliglån klargjort for OMF ing Behov: Tidsperiode 0 1 mnd 1 3 mndr 3 6 mndr 6 12 mndr I likviditetssammenheng er kort sikt i løpet av dagen, mellomlang sikt over natten og lang sikt i løpet av uka. Lengre overlever du ikke 10/09/2012 18
ICAAP stabling av kapitalbehovene Det innføres en rekke nye bufferkrav: kapitalbevaringsbuffer motsyklisk konjunkturbuffer systemrisikobuffer I tillegg: økes de regulatoriske mininumskravene til kjernekapital generelt ekstra kapitalkrav for de systemviktige institusjonene Flere av disse elementene må antas å dekke opp for risikoaspekter som i dag delvis omfattes av Pilar 2-tilleggene. Modeller hvor ICAAP dannes som regulatorisk minimumskrav pluss add on (restrisiko-metoden) bør høre fortiden til. ICAAP for fremtiden: brutto kapitalbehov etter egen vurdering sammenlignet med regulatorisk minimumskrav (inkl bufferkrav) + fremtidsrettede stresstester for å analysere evnen til å oppfylle minimuskravene under utfordrende forhold. 10/09/2012 19
CRD IV, EMIR, MiFIR, m.v. gjør derivatposisjoner mer kostbare CVA-tillegget på kapitalkravet øker beregningsgrunnlaget fra derivatposisjoner vesentlig. Det foreslåtte DVA-fradraget på derivatposisjoner kan komme til å spise av dagens ansvarlige kapital. ISDA-avtaler med CSA-tillegg og krav om sikkerhetsstillelse vil ventelig kunne bli mer sentralt. Kravet om sentralisert clearing av alle standard OTC-derivater vil stille nye krav til oppgjørsrutiner og systemer (driftskostnader!), samt medføre krav om sikkerhetsstillelse / marginer (som også innebærer kostnader i form av rentetap). Bankene må velge en clearingstrategi (direkte medlem eller clearingavtale med et medlem, samt hvor og hvor mange). Men hva med selve sikringsstrategien? 10/09/2012 20
CRD IV og kvalitativ risikostyring 10/09/2012 21
Utvalgte elementer fra CRD IV Kredittrisiko - om bruk av eksterne kredittratinger: internal methodologies shall not rely solely or mechanistically on external ratings. Plikt til å etablere: Risikostyringskomite Risikostyringsfunksjon med ansvar for å identifisere, måle og rapportere risikoeksponeringen 10/09/2012 22
Risikostyringskomitèen: CRD IV artikkel 75 Styreutvalg Kompetansekrav Unntaksmulighet 3. Competent authorities shall ensure that institutions establish a risk committee composed of members of the management body who do not perform any executive function in the institution concerned. Members of the risk committee shall have appropriate knowledge, skills and expertise to fully understand and monitor the risk strategy and the risk appetite of the institution. The risk committee shall advise the management body in its supervisory function on the institution s overall current and future risk appetite and strategy and assist the management body in its supervisory function in overseeing the implementation of that strategy. Competent authorities may authorise an institution not to establish a separate risk committee taking into account the nature, scale and complexity of credit institution's activities. 4. Competent authorities shall ensure that the risk committee, or, when such a committee has not been established, the management body in its supervisory function regularly communicates with the institution s risk management function and shall, where appropriate, have access to external expert advice. The risk committee, or, when such a committee has not been established, the management body in its supervisory function, shall determine the nature, the amount, the format, and the frequency of the information on risk it shall receive from senior management. Samarbeid med risikostyring 10/09/2012 23
Risikostyringsfunksjonen: CRD IV art 75 5. Competent authorities shall ensure that institutions have a risk management function independent from the operational and management functions and which shall have sufficient authority, stature, resources and access to the management body. The risk management function shall be responsible for identifying, measuring, and reporting on risk exposures. The risk management function shall be actively involved in elaborating institution s risk strategy and in all material risk management decisions. The risk management function shall be able to deliver a complete view on the whole range of risks of the institution. The risk management function shall be able to report directly to the management body in its supervisory function when necessary, independent from senior management. The head of the risk management function shall be an independent senior executive with distinct responsibility for the risk management function. Where the nature, scale and complexity of the activities of the institution do not justify a specially appointed person, another senior person within the institution may fulfil this function, provided there is no conflict of interest. The head of the risk management function shall not be removed without prior approval of the management body in its supervisory function and shall be able to have direct access to the management body in its supervisory function when necessary. Krav til risk mgmt Uavhengig Forholdsmessighet Stillingsvern 10/09/2012 24
EBA Guidelines on Internal Governance 26. The Risk Control Function s role RCF s role in strategy and decisions RCF s role in transactions with related parties RCF s role in complexity of the legal structure RCF s role in material changes RCF s role on measurement and assessment RCF s role in monitoring RCF s role in unapproved exposures 10.09.2012 25
Compliance-funksjonen: compliancerisikoen øker! Overvåke regelverksutviklingen og analysere konsekvenser av forventede endringer Evaluere rutiner og prosedyrer for å sikre regelverksetterlevelse, samt foreslå forbedringer Teste etterlevelse av etablere rutiner og prosedyrer Overvåke og kontrollere etterlevelse av regelverk Forretningsmessige fordeler: gode forberedelser kan gi fortrinn! Reduserer omdømmerisiko! Reduserer konsesjonsrisiko! Reduserer omdømmerisiko! Reduserer konsesjonsrisiko! Effektivitetsgevinster! Reduserer omdømmerisiko! Reduserer konsesjonsrisiko! Reduserer omdømmerisiko! Reduserer konsesjonsrisiko! 10/09/2012 26
Risikotoleranse og risikoappetitt - den store utfordringen! 10/09/2012 27
Risikotoleranse / Risikoappetitt: Overordnet konsept Statements Rammer og fullmakter Strategi Rapportering og beslutningstaking Måltall Governance: Roller og ansvar Det ligger i guidelines for corporate governance for banker / kredittinstitusjoner klare forventninger om at selskapet har en klart uttrykt risikoappetitt. RISIKOTOLERANSE OG ORSA 28
Risikotoleransen Regulatoriske rammer (pilar 1) Kapitalmessige rammer (pilar 1 + pilar 2) Faktisk risikovilje RISIKOTOLERANSE OG ORSA 29
Tankemodellen Med hvilken sannsynlighet er vi villige til å tape hvor mye av dette? K O N S E K V E N S 100% 50% 0% 0% 50% 100% ICAAP Faktisk kapital SANNSYNLIGHET Pilar 1 Pilar 2 30
Risk statement eller Bankens risikopostulat! Risikotoleranse Risikoappetitt Risikoappetitt: Hvor stort ønske har vi om å påta oss risiko? Uttrykkes i form av avkastningskrav: Hvilken betaling / kompensasjon krever vi for å påta oss risiko: Aksepter alle investeringer med en internrente lik eller bedre enn X %. Høy risikoappetitt = Lav internrenten Lav risikoappetitt = Høy internrenten Hvor mye risiko er vi maksimalt villig til å akseptere? Toleransen begrenses både av evnen (kapital & kompetanse) og viljen! Kan uttrykkes på ulike vis for eksempel: Rent kvalitativt for eksempel moderat risikoprofil VaR-ramme(r) Minimumskrav til kapitaldekning Resultatvolatilitet 31
SAMMENHENGEN MELLOM STRATEGI OG RISIKOPOSTULAT Strategi Risikoappetitt Risikotoleranse Høye vekstambisjoner Høy Høy Lave vekstambisjoner Lav Lav Høyt avkastningsmål Lav Høy Lavt avkastningsmål Høy Lav Mål om høy rating Lav Lav Godtar lav rating Høy Høy Utbytteaksje / stabilt utbytte - Lav Vekstaksje Høy Høy 32
Måltallene: eksempler Fra strategisk plan Egenkapitalavkastning Resultat / overskuddsmål Utbyttepolitikk Målsatt kapitaldekning Vekst Effektivitet (Kostnads-%) Rating etc Fra Risikopostulatet Minimum kapitaldekning VaR-ramme markedsrisiko Expected Shortfall Resultatvolatilitet Likviditetsdekning Rammer for risikokonsentrasjoner Krav til driftskontinuitet etc 33
Risikoappetitt - fordeling av risikorammer og fullmakter Sone Kapitaldekning Rød sone Under X % Gul sone X Y % Grønn sone Over Y % Kredittrisiko Fordeling av kapitalen Markedsrisiko etc Budsjettprosess, policyrevideringer, etc Budsjetter Kredittfullmakter Investeringsrammer mm 34
Roller og ansvar - De tre forsvarslinjene Risk & Compliance er i andre forsvarslinje! Divisjon I Forretningsområde Geografi Styret Konsernledelse Divisjon II Forretningsområde Geografi Risk Management Støtte Koordinering Kontrollere Compliance Revisjonskomite Intern revisjon Første forsvarslinje Divisjonene/forretningsområdene har primæransvaret for å identifisere, kontrollere og rapportere risikoer Andre forsvarslinje Formelle og uformelle ledelsesprosesser inklusiv risk management prosesser vil gi støtte til forretningsledelsen og hjelpe de med å nå sine mål Støtteavdelinger vil bidra til at andre enheter i organisasjonen når sine mål. Støttefunksjoner Første forsvarslinje/dag til dag risikostyring Finans/økonomi/ regnskap Informasjon Juridisk HR etc Andre forsvarslinje/oversikt over risikoene Tredje forsvarslinje/ uavhengig bekreftelse Tredje forsvarslinje Styret og en eventuell revisjonskomite vil skaffe seg sikkerhet for at risikoer styres i samsvar med de forutsetninger styret har etablert og på en effektiv måte Internrevisjonen vil gi styret uavhengig vurdering av robustheten i modellen 35
Integrert rapportering: Virksomhetsstyring og risikostyring Virksomhetsstyring: resultatoppnåelse ifht strategi, plan og budsjett Risikostyring: posisjoner i forhold til risikorammer Compliance: etterlevelse av regelverk 36
Løpende, dynamisk risiko- og internkontrollrapportering Overordnet risikobilde (viktigste risikoer) Endringer i risikobildet siden forrige rapportering: 1. Nye risikoer 2. Risikoer som er utgått 3. Risikoer som har vesentlig endret konklusjon Bekreftelse på at nøkkelkontroller har vært effektive Evt angivelse av nøkkelkontroller som ikke har fungert Uønskede hendelser og tap
Stresstesting byggeklossene Kilde: CEBS Guidelines on stress testing (CP32)
Sensitivitetsanalyser, stresstester og kvantifiseringer for å understøtte analyser og vurderinger - eksempler Kredittrisiko effekt av endringer i sentrale parametre / forutsetninger i risikomodellene kvantifiseringer av ulike worst case (katastrofe-scenarier) fall i panteverdier økning i misligholdsfrekvenser og / eller tapsgrader Konsentrasjonsrisiko kunder / bransjer / geografi / etc Markedsrisiko kapitalkrav ved maksimal utnyttelse av de mest kostbare rammene Expected Shortfall risk / reward ved alternative investeringsstrategier kraftige endringer i renter, kredittspreader, aksjekurser, valutakurser Motpartsrisiko kvantifiseringer av ulike worst case pr motpart (kategori) Likviditetsrisiko likviditetsprognoser og stresstesting av disse Operasjonell risiko kvantifiseringer av ulike worst case
Stresstest / Scenarioanalyser Utgangspunkt: Fremskrivning av forventede resultater, balanse, kapitalbehov pilar I og pilar II (ICAAP) ihht strategi og forretningsplan Periode på minst 3-5 år Stresstest / scenario med utfordrende økonomiske rammebetingelser: Skal vise evnen til å oppfylle kapitalkravene / kapitalbehovene under slike forutsetninger Stresstest / scenario med integrasjon av ulike risikofaktorer Effekter av at ulike risikoer slår til samtidig eller tett opp til hverandre herunder første-, andre- og tredjerundeeffekter.
Omvendt stresstest - eksempel Kapitaldekningen har falt under kravet - et tap på X mill kr Kreditt- Markeds- Motparts- Operasjonell risiko risiko risiko risiko Kan dette skje hos oss? Hvordan? Er det sannsynlig? Hvilke tiltak bør eventuelt iverksettes?
Kapitaldekning: Trafikklysene og Beredskapsplan for kapitalisering Sone Solvensmargin Rød sone: Under X % Tiltak skal iverksettes Gul sone: X Y % Tiltak skal vurderes Grønn sone: Over Y % Ingen tiltak Behov for et early warning -opplegg, inkludert indikatorer, i forhold til soliditet 42
Det hele satt i system Eksempler: Lav risikoprofil Nulltoleranse for compliancebrudd Ikke skade omdømmet Strategi Inkl typisk måltall for vekst og lønnsomhet Eksempler: Soliditetskrav Resultatvolatilitet Vekstmål Avkastningskrav Statements Måltall Tiltak! Aktiv bruk av stresstester for å måle og kommunisere konsekvensene av valgt risikopostulat Rapportering og beslutningstaking Måloppnåelse Resultater Risiko Compliance Eksempler: Renterisiko Aksjerammer Kredittrammer Rammer og fullmakter Governance: Roller og ansvar 43
Oppsummering Økte og nye regulatoriske krav medfører at: ansvarlig kapital blir en stadig knappere ressurs compliance-risikoen øker Strategi og forretningsplan må gjennomtenkes: produkter og produktutforming fundingstrategi likvitetsporteføljen kapitalplan og kapitalsammensetning tidsplan for tilpasningene Det stilles strengere krav til risikostyringsopplegget: risikostyringskomitè i styret risikostyringsfunksjon økte krav til stresstesting bevisst definering av risikotoleransen / risikoappetitten 10/09/2012 44
Kontaktdetaljer Are Jansrud KPMG +47 406 39 512 are.jansrud@kpmg.no www.kpmg.no 10/09/2012 45
2011 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. 10/09/2012 46