regelgeving
De impact van Bazel II op it Katalysator nieuwe architectuur
Om faillissementen van financiële instellingen te voorkomen, werd in 1988 het Bazel I-kapitaalakkoord afgesloten, dat in 1996 werd uitgebreid. Het Bazel II-
informatie / december 2004
akkoord, dat over enkele jaren van kracht wordt, heeft
50
Het Bazel II-akkoord voor krediet-, markt- en operationeel risico heeft grote invloed op de informaticainfrastructuur binnen een bank. Schattingen geven aan dat 40% van de investeringen voor Bazel II naar dataacquisitie en archivering gaan, ongeveer 20 à 25% wordt besteed aan itsystemen en het overblijvende gedeelte gaat op aan personeelskosten (Rea, 2004). Het inschatten en bepalen van de risico’s is de hoeksteen van het Bazel IIrisicomanagement. De risicoparameters die de banken zelf inschatten, worden berekend met interne en externe gegevens. Het vergaren, controleren en standaardiseren van gegevens uit verschillende bronnen om tot kwalitatieve en homogene databanken te komen, is een belangrijke uitdaging voor de banken. Op basis van deze databanken worden verdere analyses gedaan: analyses van de kredietwaardigheid van individuele tegenpartijen, industriële groepen en interne analyses van kredietportefeuilles. De calculation engines voor deze systemen moeten worden ontwikkeld en geïmplementeerd om op betrouwbare wijze, geautomatiseerd via massaverwerking, de kapitaalvereisten op te volgen. De resultaten worden gecentraliseerd en software genereert de rapporten voor intern en extern toezicht
grote gevolgen voor de informatietechnologie. Tony Van Gestel, Bart Baesens en Jan Vanthienen en de financiële markten. Verschillende leveranciers zijn gespecialiseerd in een of meer aspecten van het ganse Bazel II-project, waardoor samenwerking en coördinatie een belangrijk aspect is om tot een oplossing te komen die aan de eisen van Bazel II voldoet. Applicatie-, data- en technologie-architectuur moeten coherent gedefinieerd en beheerd worden. Het Bazel II-akkoord omvat drie pilaren (figuur 1): minimumkapitaalberekening, toezicht en rapportage. In dit manuscript wordt dieper ingegaan op de nieuwe reglementering voor kredietrisico.
Kredietrisico De verliezen op een kredietportefeuille variëren van jaar tot jaar. Het werkelijke verlies kan worden opgedeeld in verwacht en onverwacht verlies. Voor het verwachte verlies worden provisies aangelegd. Voor het onverwachte verlies moet de bank over voldoende eigen bufferkapitaal beschikken om bij voorbeeld de tegoeden van de deposito’s te allen tijde te kunnen garanderen. Bazel II legt minimumeisen op voor het eigen kapitaal in verhouding tot het totaal van de uitgeschreven leningen en
het overeenkomstig gelopen risico. Concreet betekent dit dus dat voor een gegeven kapitaal en kapitaalratio, de bank een beperkt aantal leningen kan uitschrijven en risico’s kan aangaan. De berekening van de minimumhoeveelheid kapitaal gebeurt aan de hand van de risicogewogen activa van de kredieten. De bank moet minstens 8% van de risicogewogen activa aan kapitaal te bezitten. De risicogewogen activa worden berekend aan de hand van vier parameters: 1. Het faalpercentage (PD, probability of default): de kans op falen van de financiële tegenpartij, bij voorbeeld de kans dat de tegenpartij haar financiële verplichtingen niet nakomt in het volgende jaar. 2. Het verliespercentage (LGD, loss given default): het procentuele verlies van de lening in geval van falen. 3. Het uitstaande bedrag van de lening ten tijde van falen (EAD, exposure at default): voor producten met een variabel kredietbedrag (bij voorbeeld kredietkaarten) is het uitstaande bedrag ten tijde van falen een percentage van het maximaal toegestaan krediet (kredietlijn). Dit percentage wordt de
Samenvatting Het Bazel II-kapitaalakkoord heeft grote gevolgen voor systemen voor risicoberekeningen, datamanagement, rapportage en voor de it-infrastructuur. Het akkoord bestaat uit drie pilaren: minimumkapitaalberekening, toezicht en controle & rapportage. Hierbij is belangrijke it-ondersteuning nodig. De wijzigingen nodigen uit tot herziening van de it-architectuur voor de kapitaalberekeningen en managementrapportage en -opvolging.
kredietconversiefactor genoemd (CCF, credit conversion factor). 4. De (resterende) economische looptijd van de lening (M, maturity): naarmate de lening een langere looptijd heeft, is het risico groter.
De drie pilaren van Bazel II
1
De Bazel II-reglementering geeft richtlijnen voor de berekeningen van de risicogewogen activa en sommige van de hierboven besproken parameters. Er zijn drie belangrijke benaderingen voor het bepalen van de risicogewogen activa: 1. De gestandaardiseerde benadering: RWA = EAD × Tabel(externe rating) 2. De fundamentele interne-ratinggebaseerde benadering: RWA = EAD × LGDBazel II × f(PDbank, MBazel II) 3. De geavanceerde interne-ratinggebaseerde benadering: RWA = EAD × LGDbank × f(PDbank, Mbank) ook meer geavanceerde technieken zoals beslissingsbomen, neurale netwerken en supportvectormachines toegepast, die ook gebruikt worden voor andere vormen van datamining (Baesens et al., 2004; Suykens et al., 2002; Van Gestel et al., 2004).
Ict-impact pilaar 1 De evaluatie van de faal- en verliesrisico’s in de interne-ratinggebaseerde benadering gebeurt op basis van klanten productgegevens. Het verzamelen, verifiëren en overbrengen van deze data (mogelijk uit verschillende bronnen) is een cruciaal en tijdrovend proces, dat voor belangrijke uitdagingen zorgt voor het risicomanagement. Deze kosten beperken ook de frequentie waarmee de risicoanalyses gebeuren en de ratings worden toegekend. XBRL (Extensible Business Reporting Language) Web Services is een nieuwe internetstandaard waarmee men veilig
en betrouwbaar data tussen verschillende systemen over het internet kan uitwisselen (Willis & Saegesser, 2003). Met deze automatisering van de informatiebevoorrading zijn data op efficiënte wijze uit te wisselen tussen systemen buiten en binnen een bank, maar ook tussen de verschillende interne systemen binnen de bank zelf. Bovendien kunnen de kosten van informatieverspreiding en -vergaring worden beperkt en de informatiedoorstroming verbeterd. De resulterende ratings van de ratingsystemen dienen gearchiveerd te worden voor toekomstige performance-analyses. Alle referentie-informatie over de toekenning van de rating (analist, methodologie, gegevens) wordt gearchiveerd voor audits en controles betreffende integriteit en voorspellende waarde van de rating. Dit vraagt belangrijke inspanningen voor de archiveringscapaciteit.
informatie / december 2004
Naarmate de methode meer geavanceerd wordt, nemen de risicogevoeligheden toe, alsook de eigen verantwoordelijkheid van de bank voor het bepalen van de parameters (zie figuur 2). In de standaard benadering wordt de risicobepaling van een tegenpartij overgelaten aan externe, erkende ratingbureaus (Moody’s, S&P, Fitch) die een alfanumerieke beoordeling aanbieden van het risico van een economische entiteit. Op basis van deze externe rating wordt de risicoweging bepaald zoals voorgeschreven in het kapitaalakkoord. In de fundamentele en geavanceerde interne-ratinggebaseerde benadering wordt het faal- en verliesrisico bepaald door interne ratings gebaseerd op expert- of statistisch onderbouwde systemen. De ontwikkelingen van deze systemen vragen belangrijke inspanningen betreffende data-acquisitie en expertkennis. Naast klassieke statistische methoden worden
51
regelgeving Een belangrijke voorwaarde voor het ontwikkelen van interne-ratingsystemen is de beschikbaarheid van interne of externe databases met financiële data en default informatie. Externe databases met financiële informatie over landen, banken, kleine en middelgrote bedrijven worden door verschillende bedrijven aangeboden. Ook databases met faillissementen, default histories en histories van externe ratings zijn beschikbaar. In sommige marktsegmenten met weinig gegevens worden datapooling-initiatieven tussen verschillende banken opgezet, al dan niet met de bemiddeling van een derde partij. Het datamanagement wordt veelal als de belangrijkste uitdaging beschouwd voor het toepassen van de Bazel II-richtlijnen. Datakwaliteit en -homogeniteit over de verschillende businesslijnen en landenorganisaties
zijn belangrijke voorwaarden voor het correct toepassen en inschatten van de risico’s. Scorecards worden gedefinieerd voor het verzamelen van gegevens in de toekomst. Om de kwaliteit ervan te garanderen, kunnen deze uitgerust worden met parsing, correctie, standaardisatie, (handmatige) correctie, matching en consolidatie. Databases met historische gegevens over falen en de bijhorende verliezen worden opgesteld. Nieuwe risicosystemen en scorefuncties dienen te worden (her)ontwikkeld voor de verschillende portefeuilles binnen de bank, voor het inschatten van faal- en verliesrisico’s. De performance van bestaande systemen moet nagekeken worden. De definitie van falen overeenkomstig de Bazel IIrichtlijnen moet worden opgesteld. Met de noodzaak van nieuwe systemen kunnen nieuwe, recente technieken worden gebruikt, zoals vroeger vermeld, en meer data om de parameters van deze modellen nauwkeuriger te schatten. Naast hun nut in de toepassing van Bazel II, wordt onder meer ook verwacht dat deze systemen het risicomanagement naar de toekomst toe zullen verbeteren en dat ze zullen toelaten om betere beslissingen in kredietdossiers te maken (Rea, 2004).
Toezicht en controle In pilaar 1 wordt het risico op de kredietportefeuille vooral ingeschat op basis van kwantitatieve methoden en analyses. In de tweede pilaar van het akkoord wordt de nadruk gelegd op kwalitatieve controle van de eerste pilaar. De tweede pilaar omvat vier taken: 1. intern toezicht en controle op de kapitaalvereisten 2. extern toezicht en controle door de supervisor op intern toezicht en controle 3. vereiste om een minimum aan kapitaal aan te houden 4. vroegtijdige interventie en corrigerende maatregelen Het intern toezicht en controle op de kapitaalvereisten van de bank (Internal Capital Adequacy Assessment Process, ICAAP) is de basis van pilaar 2. Op het intern toezicht wordt toegezien door externe auditeurs, eventueel via bezoeken ter plaatse (Supervisory Review Process, SREP). Er moet voldoende transparantie zijn in de verschillende processen van het risicomanagement om het toezicht mogelijk te maken. De eerste taak van het intern toezicht is na te gaan of er voldoende kapitaal
informatie / december 2004
Berekeningswijze basisparameters voor bepaling van risicogewogen activa
52
2
Schema scoresysteem voor faalrisico (gedragscores) en verliesrisico voor detailhandel
dit betekent dat men een aantal stressscenario’s uitdenkt (al dan niet opgelegd door de regulator) en de impact op winst, reserves en kapitaal van de bank onderzoekt. Voor een retailbank is een mogelijk stressscenario een sterke daling van de woningprijzen en de impact van de stijging van de overeenkomstige verliespercentages (LGD). Een belangrijk aspect is dat deze analyses op een geaggregeerd niveau gebeuren, bijvoorbeeld voor een portefeuille van kredieten, een businessline of de totale bank. Dit betekent dat de informatie over de tegenpartijen op een geaggregeerd niveau, over een ganse businessline (mogelijk over verschillende landen) moet kunnen worden geëxtraheerd. Dit vereist toegang tot alle nodige data en dataparameters op een geaggregeerd niveau en de Bazel II-ictinfrastructuur moet dergelijke data- en parameterextracties mogelijk maken. De resultaten van het ICAAP worden nauwgezet opgevolgd door het hoger management binnen de bank. Het ICAAP maakt integraal deel uit van het risicobeheer, risicomanagement en besluitvormingsproces. Het extern toezicht van de regulator gaat na of het intern toezicht op het naleven van de kapitaalratio’s voldoende nauwkeurig is, of de minimumkapitaalratio’s daadwerkelijk gehaald worden en of er eventueel
extra kapitaal nodig is voor de dekking van bijkomende risico’s.
Ict-impact pilaar 2 De Bazel II-ict-architectuur levert voor pilaar 2 een ondersteunende functie voor data-extractie (ETL, extraction, transformation and loading) voor bijkomende analyses en testen, voor de interne kapitaalberekeningen en voor de interne en externe rapportage. Vaak gebeuren deze pilaar 2-analyses op de hoofdzetel, terwijl de pilaar 1-ratingengines in de individuele entiteiten en businesslines gebruikt worden. De centralisatie van gegevens en archivering is een belangrijke uitdaging voor het toezicht op de kapitaalvereisten. Uit deze gegevens worden de resultaten berekend en gerapporteerd aan de verschillende datamarkten. Het opmaken, (automatisch) invullen en communiceren (XBRL) van rapporten voor intern en extern gebruik is een belangrijk aspect voor pilaar 2 en 3.
Rapportage en marktmechanismen Pilaar 3 adviseert een meer gedetailleerde publicatie van de risico’s van de bank en het overeenkomstig kapitaal naar de financiële markten. Er wordt verondersteld dat de markten banken met een stevige kapitaalstructuur en een geavanceerd, transparant risicoma-
informatie / december 2004
aanwezig is overeenkomstig het huidig risicoprofiel. Daarnaast wordt ook nagekeken of er voldoende kapitaal is en zal zijn voor het toekomstig risicoprofiel overeenkomstig de strategie van de bank. Het ICAAP dient omvattend te zijn: alle huidige en nieuwe of toekomstige risico’s moeten worden ingeschat. De complexiteit van het ICAAP is afhankelijk van de complexiteit, grootte en aard van de risico’s. Men moet ook de impact van risico’s die niet in pilaar 1 behandeld werden inschatten en de eventuele gevolgen voor het eigen vermogen van de bank nakijken. Dit omvat onder meer het nakijken van de impact van interestvoetrisico’s, de restrisico’s van de kredietvermindering, het beheer van het concentratierisico en stresstesten voor banken die de aanpak van de interne-ratingbepaling volgen. Het inschatten van het economisch kapitaal gebeurt met behulp van kredietportefeuillemodellen waaronder activamodellen (KMV-portfoliomanager, CreditMetrics), macro-economische modellen (CreditPortfolioView) en actuariële modellen (CreditRisk+) (Bluhm e.a., 2003). Deze modellen worden intern of extern ontwikkeld of gekalibreerd op de portefeuilles van de bank. Ze zijn de computation engines voor het economisch kapitaal van de bank. Deze modellen kunnen ook worden gebruikt voor het stresstesten;
3
53
regelgeving
activiteiten bepaald werden, welke de kapitaalvereisten zijn voor de verschillende risicosegmenten, en wat de uiteindelijke kapitaalratio is. De risicobedragen beschrijven de totale bedragen voor kredietrisico, marktrisico en operationeel risico waaraan de bank is blootgesteld door haar activiteiten.
operationeel risico, met onder meer kapitaalvereisten van pilaar 1. Indien gewenst kunnen er ook interne risicoberekeningen worden gedaan. De resultaten worden gebruikt voor interne en externe rapportage, onder meer voor pilaar 2 en 3.
Ict-architectuur Ict-impact pilaar 3 nagement zullen bevoordelen, zodat een solide, onafhankelijk en degelijk risicomanagement aangemoedigd wordt. De rapportage omvat de reikwijdte van de toepassing van Bazel II, de kapitaalstructuur, de kapitaalgeschiktheid en de risicobedragen van de bank. De reikwijdte van de Bazel IItoepassing preciseert welke (dochter)bedrijven in de rapportage zijn opgenomen en de wijze van consolidatie. De kapitaalstructuur rapporteert voornamelijk gegevens zoals het totale Tier 1-, 2- en 3-kapitaal. Voor kapitaalgeschiktheid wordt weergegeven op welke manier de kapitaalvereisten voor huidige en toekomstige
De Bazel II-ict-infrastructuur (figuur 4) moet alle voorgaande rapportages op het gepaste geconsolideerde niveau mogelijk maken. De ict-impact is, zoals in pilaar 2, vooral te merken in de datacentralisatie en de automatisering van de rapportage. Op basis van interne en externe databases met informatie over de tegenpartij, het product, het bedrag, de kredietwaardigheid en de portfolio-eigenschappen, wordt het Bazel II-warehouse gevoed. Hier wordt alle relevante informatie van de verschillende portfolio’s verzameld. Op basis van deze informatie worden de resultaten berekend voor krediet-, markt- en
informatie / december 2004
Schema van de Bazel II-ict-infrastructuur
54
Een schematisch overzicht van de globale Bazel II-ict-architectuur is weergegeven in figuur 4 (IBM, 2003; Ghosh, 2003; Pinchock, 2001). Interne en externe databases voeden per portfolio (banken, landen, retail, kleine en middelgrote bedrijven, grote bedrijven, projectfinanciering, aandelenvermogen) de databanken met klant- en productinformatie. Op basis hiervan worden externe ratings opgezocht of aangevraagd of worden de interne ratings berekend. De gegevens voor de analyses en berekeningen voor de interne ratings worden uit interne en externe databases opgezocht. Het belang van onderpand en andere risicoverlagende producten wordt mee in rekening gebracht.
4
In het centrale datawarehouse wordt een centraal relatiebestand gecreëerd met de relevante informatie voor de rating verzameld op een uniform platform. De gegevens uit de lokale databases (meestal in de businesslines) worden opgeladen naar het centrale datawarehouse (meestal in het corporate center). De data-extractie, de transformatie en het laden gebeuren op een betrouwbare en fouttolerante manier. Groepsrelaties tussen moeder- en dochterbedrijven worden in kaart gebracht. Dit wordt onder meer gebruikt om het totale uitstaande bedrag van een enkele industriële groep te beperken. Voor grote groepen is het een complexe taak om de relaties tussen dochters en moederbedrijf, met al dan niet dezelfde merknaam, op semi-automatische via bestandsmatching in kaart te brengen. Handmatige interventie is nodig om ontbrekende velden in te vullen of onzekere resultaten te verifiëren. De Bazel II-richtlijnen vereisen dat er per tegenpartij een faalrating en per product een verliesrating wordt ingeschat. Dezelfde rating wordt in de ganse organisatiestructuur van de bank toegepast, wat een verregaande centralisatie vereist van alle risicoanalyses en -resultaten. Een centrale bibliotheek moet worden opgesteld waarin alle ratinganalyses worden bijgehouden, met autorisatieen controlefaciliteiten, een aangepaste datastructuur voor de specifieke eigenschappen van alle portfolio’s en een uniek identificatienummer. De ratings moeten consequent in de ganse organisatiestructuur worden toegepast en verspreid: risicomanagement, kapitaalberekening, provisies, tarifering. De centralisatie van klantgegevens heeft ook voordelen voor marketing, business intelligence en strategiebepaling.
schillende portfolio’s op te nemen. Het is het gemeenschappelijk platform waarop de nodige informatie voor de Bazel II-berekeningen gecentraliseerd wordt. Hieruit worden de calculation engines voor Bazel II (krediet-, markten operationeel risico) en voor interne doeleinden (bijvoorbeeld interne risicosystemen voor economisch vermogen; Bluhm e.a., 2003) gevoed. De resultaten van de massaverwerking worden aangeboden op de datamarkten. Een belangrijk resultaat is de minimumkapitaalvereiste nodig voor pilaar 1. De nodige rapporten voor het intern en extern toezicht en controle worden geëxtraheerd en er worden bijkomende analyses gedaan (pilaar 2). De resultaten kunnen geautomatiseerd op de financiële markten worden gepubliceerd (pilaar 3) om zo de nodige marktwerking te creëren. Op basis van de interne rapportage wordt indien nodig bijgestuurd voor aanleg van provisies, risicoverminderingen en business-strategie.
Literatuur Baesens, B., T. Van Gestel, S. Viaene, M. Stepanova, J.A.K. Suykens & J. Vandewalle (2003). Benchmarking state of the art classification algorithms for credit scoring. In: Journal of the Operational Research Society. Basel Committee on Banking Supervision (2004). The new Basel capital accord. Bank of International Settlements. Bluhm, C., L. Overbeck & C. Wagner (2003). An Introduction to Credit Risk Modeling. Chapman & Hall. Friedman, C. (2002). Credit Model Technical White Paper. New York: Standard & Poor’s, 17-Sep2002. Ghosh, A. (2003). Solution Framework for Credit Risk under Basel II. Wipro Whitepaper. IBM (2003). Banking Data Warehouse and the Basel II Capital Accord. IBM Whitepaper, September 2003. Liebig, T. (2003). Validierung von Internen RatingVerfahren der Banken. Deutsche Bundesbank. Pinchock, P. (2001). The SAP solution for Basel II. SAP White Paper, 2001. Rea, A. (2004). Weighing Risk, Basel II and the challenge for Mid-Tier banks. Economist Intelligence Unit, October 2004. Suykens, J.A.K., T. Van Gestel, J. De Brabanter, B. De Moor and J. Vandewalle. Least Squares Support Vector Machines. World Scientific, Singapore, November 2002. Van Gestel, T., J.A.K. Suykens, B. Baesens, S. Viaene, J. Vanthienen, G. Dedene, B. De Moor & J. Vandewalle (2004). Benchmarking Least Squares Support Vector Machine Classifiers. Machine Learning. Willis, M. & B. Saegesser (2003). XBRL: Streamlining Credit Risk Management. In: The Credit & Financial Management Review.
Besluit
Dr.ir. Tony Van Gestel werkt bij de Group Risk Management, Dexia Group en aan de Katholieke Universiteit Leuven, Toegepaste wetenschappen, ESAT-SCD. E-mail:
[email protected].
Het datawarehouse moet verschillende datamodellen bezitten om de specifieke eigenschappen voor elk van de ver-
De auteurs dragen de verantwoordelijkheid voor de wetenschappelijke inhoud van dit artikel. Dexia Group en K.U. Leuven zijn niet verantwoordelijk voor de inzichten en meningen in dit artikel.
Prof.dr. Bart Baesens werkt aan de University of Southampton, School of Management en de Katholieke Universiteit Leuven, Toegepaste economische wetenschappen, LIRIS. E-mail: bart.baesens @econ.kuleuven.ac.be. Prof.dr. Jan Vanthienen werkt aan de Katholieke Universiteit Leuven, Toegepaste economische wetenschappen, LIRIS. E-mail: jan.vanthienen @econ.kuleuven.ac.be.
informatie / december 2004
De implementatie van Bazel II vraagt belangrijke inspanningen van banken, met als voornaamste taken de ontwikkeling van interne scoresystemen en kwantitatieve risicomodellen, fouttolerant datamanagement (data- en ratingarchivering, extractie, transformatie en validatie), de creatie van een centraal datawarehouse, en het ontwikkelen van Bazel II-computation engines en rapportagefaciliteiten. Bazel II katalyseert de implementatie van een algehele ictarchitectuur, die als basis dient voor de berekeningen en rapportage, maar waaraan ook andere functionaliteiten voor managementrapportage gekoppeld worden die ook voor andere doeleinden kunnen worden gebruikt.
55