Hoofdstuk 7: Aggregatie 7.1
Inleiding
Zoals in de hoofdstukken 5 en 6 over risicoanalyse en beheersingsanalyse uiteen is gezet, wordt binnen FIRM het oordeel van de toezichthouder vastgelegd in scores per risico- en beheersingscategorie of, bij uitgebreid scoren, per risico- en beheersingsitem. Ten behoeve van het toezichtplanningsproces en de vaststelling van de noodzaak om bij specifieke instellingen of activiteiten van instellingen te interveniëren, is verdichting van deze informatie nodig. Om vanuit de gedetailleerde scores een zinvolle vergelijking over functionele activiteiten, managementeenheden en over instellingen heen, maar ook tussen de verschillende risico- en beheersingscategorieën onderling mogelijk te maken, vindt er binnen FIRM daarom aggregatie plaats. Evenals de binnen FIRM toegekende scores zelf, is ook de aggregatie een abstractie van de werkelijkheid. Hierbij zijn aannames gehanteerd ten aanzien van de mate waarin beheersing binnen een instelling mitigerend werkt op de aanwezige risico’s. Deze aannames zullen verderop in dit hoofdstuk worden toegelicht. Voor een zinvolle analyse bij de vergelijking van geaggregeerde scores over managementeenheden en risico- en beheersingscategorieën maar ook over instellingen heen, is het steeds noodzakelijk om af te dalen in de decompositie om vast te stellen waardoor bepaalde scores zijn veroorzaakt. Ook bij gelijke uitkomsten dient de nodige zorgvuldigheid te worden betracht alvorens wordt geconcludeerd dat er dus sprake is van een gelijk risicoprofiel. 7.2
Basisbeginselen van aggregatie
De aggregatie binnen FIRM wordt uitgevoerd op basis van de volgende variabelen: • de defaultscore op risico-itemniveau dan wel de door de toezichthouder overschreven waarde op risico-itemniveau of risicocategorieniveau; • door de toezichthouder toegekende scores op beheersingsitem- of categorieniveau (afhankelijk van de keuze tussen uitgebreid of vereenvoudigd scoren); • de onderlinge gewichten van individuele risicocategorieën binnen een functionele activiteit, zoals default is vastgelegd in de sjablonen, of eventueel zoals die door de toezichthouder zijn aangepast; • de onderlinge gewichten van functionele activiteiten binnen managementeenheden; • de onderlinge gewichten van managementeenheden binnen de instelling. Voor de hierboven genoemde scores geldt dat de volgende input mogelijk is; ‘onbekend’, ‘ niet van toepassing’, ‘1’, ‘2’, ‘3’ en ‘4’. Voor de hierboven genoemde gewichten geldt dat de volgende input mogelijk is; ‘geen’, ‘hoog’, ‘midden’ en ‘laag’. Voor de scores geldt dat het invullen door de toezichthouder altijd in gehele getallen, dus zonder cijfers achter de komma, moet plaatsvinden. Dit geldt zowel voor de input op item- en categorieniveau als voor het overschrijven van berekende scores. Binnen de FIRM-applicatie wordt in de aggregatie gerekend met vijf cijfers achter de komma. Er wordt als berekende score echter steeds maar één cijfer achter de komma getoond. De mate waarin de beheersing in staat is om de inherente risico’s te mitigeren, is een belangrijk onderdeel van het aggregatiealgoritme. Binnen het aggregatiealgoritme worden voor de twee soorten beheersing, a) Risicospecifieke beheersing en b) Management en Organisatie, aparte uitgangspunten gehanteerd. Ad a) Risicospecifieke beheersing Ten aanzien van de effecten van risicospecifieke beheersing binnen het aggregatiealgoritme zijn de volgende uitgangspunten gehanteerd: • bij hoge inherente risico’s moet het mogelijk zijn dat een zeer goede risicospecifieke beheersing leidt tot een per saldo aanvaardbaar netto risico, zonder dat dit overigens suggereert dat hiermee helemaal geen restrisico’s meer zouden bestaan; • indien de inherente risico’s laag worden ingeschat, zal de invloed van de scores voor risicospecifieke beheersing nog maar beperkt zijn. Risico’s die er niet of nauwelijks zijn, kunnen ook niet of nauwelijks verder worden gemitigeerd. Wel zal bij lage inherente risico’s een onvoldoende score voor risicospecifieke beheersing tot een beperkte stijging van het netto risico moeten leiden.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 1 van 9
Hierdoor wordt rekening gehouden met een als gevolg van onvoldoende beheersing toenemende onzekerheid dat het inherente risico ook echt laag blijft. Hiermee komt in de netto risicoscore tot uitdrukking de wens van de toezichthouder dat een instelling ook zijn lage inherente risico’s van een gepaste mate van beheersing voorziet. Hieronder zijn grafisch enkele voorbeelden opgenomen, waarbij de risicospecifieke beheersing als ‘filter’ wordt weergegeven. Des te scherper de zijden van de filter, des te beter worden inherente risico’s uitgefilterd en des te kleiner worden dus de resterende netto risico’s.
Inherent risico (4 = hoog)
Inherent risico (4 = hoog)
risicospecifieke beheersing (1 = sterk)
risicospecifieke beheersing (3 = onvoldoende)
Netto risico (2,5 = aanvaardbaar)
Netto risico (3,3 = aanzienlijk/hoog)
Inherent risico (1 = laag)
Inherent risico (1 = laag)
Risicospecifieke beheersing (1 = sterk)
Risicospecifieke beheersing (4 = zwak)
Netto risico (1 = laag)
Netto risico (2 = aanvaardbaar)
Ad b) Management en organisatie Ten aanzien van de effecten van de risico-overstijgende beheersingscategorieën Management en Organisatie binnen het aggregatiealgoritme worden de volgende uitgangspunten gehanteerd: • Management en Organisatie worden gezien als het fundament voor alle overige beheersing; • hierdoor zullen een zwak management of een zwakke organisatie zorgen baren over het algemene risicobewustzijn en de tijdige herkenning van wijzigingen in het risicoprofiel van activiteiten. Slechte scores voor Management en Organisatie zullen dan ook een opdrijvend effect hebben op de totale risicoscore; • goede scores voor Management en Organisatie zullen de totale risicoscore positief beïnvloeden. Echter, indien binnen een functionele activiteit de inherente risico’s onvoldoende worden gemitigeerd door risicospecifieke beheersing, dan zullen ook goede scores voor de beheersingscategorieën Management en Organisatie slechts in zeer beperkte mate een positieve invloed op de totaalscore hebben.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 2 van 9
De volgende vormen van aggregatie zijn ingebouwd in de FIRM-applicatie: a) aggregatie langs de lijn van managementeenheden; b) aggregatie langs de lijn van risico- en beheersingscategorieën; c) aggregatie van relatieve gewichten per managementeenheid en risico- en beheersingscategorie; d) aggregatie van solvabiliteits- en liquiditeitsbeheer; e) aggregatie naar gelijkluidende functionele activiteiten. In de navolgende paragrafen zullen deze verschillende vormen van aggregatie nader worden toegelicht. Voor de onder a, b, c en d genoemde vormen van aggregatie geldt dat zij op het allerhoogste niveau zichtbaar worden op het FIRM-dashboard. Op alle lagere niveaus zijn de uitkomsten van de (sub-)aggregaties steeds zichtbaar. De onder e genoemde aggregatie is opgenomen in een separate rapportage.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 3 van 9
7.3
Aggregatie via de lijn van managementeenheden
Bij deze vorm van aggregatie worden scores op het niveau van individuele functionele activiteiten, managementeenheden en het instellingsniveau berekend. Door een eenduidige aggregatie worden zij onderling vergelijkbaar. Om te komen tot deze scores worden bottom-up de scores voor inherente risico’s, risicospecifieke beheersing en risico-overstijgende beheersing stap voor stap samengevoegd tot één score voor de genoemde niveaus. Grafisch weergegeven wordt er binnen FIRM op de navolgende wijze geaggregeerd. De cijfers in de rondjes verwijzen naar de navolgende toelichting. Risicocategorie 1
Risico categorie 1
Risico categorie 1
item a
item b
item c
Specifieke beheersing categorie 1 item a
Specifieke beheersing categorie 1 item b
Specifieke beheersing categorie 1 item c
Risicospecifieke beheersing categorie 1
Score Organisatie voor functionele activiteit
Score Management voor functionele
Stap
1 Risicocategorie 1 Inherente risico score
activiteit
Stap
2 Risicocategorie 1
Risicocategorie 2
Risicocategorie 3
Netto score
Netto score
Netto score
Stap
3 Score Management en Organisatie
Totaal netto risico’s voor functionele activiteit Stap
4 Totaalscore functionele activiteit 2
Totaalscore functionele activiteit 1
Totaalscore functionele activiteit 3
Totaalscore groepsfuncties
Totaalscore managementeenheid 1
Totaalscore managementeenheid 2
Stap
5
Stap
6 Totaalscore instelling
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 4 van 9
7.3.1
Toelichting stap 1
Bij aggregatiestap 1 worden de scores van de individuele items binnen een risicocategorie en binnen de beheersingscategorieën Risicospecifieke beheersing, Management en Organisatie per categorie geaggregeerd op basis van het rekenkundig gemiddelde1. Alle onderliggende items wegen even zwaar mee. Indien voor een specifieke functionele activiteit en/of risicocategorie uitgebreid wordt gescoord, worden als eerste stap in de aggregatie de hierbij gescoorde items op de hiervoor beschreven wijze geaggregeerd. Indien op het niveau van een risico- en/of beheersingscategorie wordt gescoord (vereenvoudigd scoren) worden geen scores toegekend aan individuele items. In dit geval wordt slechts een score op categorieniveau toegekend. De beschikbare defaultscore voor het inherente risico op categorieniveau wordt binnen de FIRM-applicatie eveneens - op basis van het rekenkundig gemiddelde - opgebouwd uit de scores voor de onderliggende (van een defaultscore voorziene) items. Als vereenvoudigd wordt gescoord zijn er voor interne beheersing geen ingevulde items en dus vangt de aggregatie aan op het niveau van de beheersingscategorie. 7.3.2
Toelichting stap 2
Bij aggregatiestap 2 worden de inherente risicoscores op het niveau van de risicocategorieën gecombineerd met de bijbehorende score voor risicospecifieke beheersing, leidend tot één score voor netto risico. Aan deze aggregatie liggen de uitgangspunten ten grondslag die eerder in paragraaf 7.2 zijn weergegeven. Hieronder zijn in tabelvorm (met alleen gehele getallen voor inherent risico en risicospecifieke beheersing) en door middel van een grafiek meerdere combinaties van inherent risico en risicospecifieke beheersing met hun bijbehorende netto risicoscore weergegeven.2
Beheersing 1 2 3 4
Inherent risico 1 2 1,0 1,5 1,1 1,7 1,4 2,1 2,0 2,7
3 2,0 2,2 2,7 3,3
4 2,5 2,8 3,3 4,0
4,0
3,5
3,0 Netto risico 2,5
2,0 1,5 1,0 1,0
1,5
3,5 2,0
Risicospecifieke beheersing
1 2
4,0
3,0 2,5
2,5 3,0
2,0 3,5
Brutorisico
1,5 4,01,0
Voor Management en Organisatie is dit niet als zodanig weergegeven in bovenstaand diagram Alle combinaties van Inherent risico en beheersing zijn te berekenen met de volgende formule: Netto risicoscore = [R - ((4 - B)/(6/(R - 1)))]+[((B-R)*(B-1)/9)]. Hierbij is R de score voor inherent risico en B de score voor risicospecifieke beheersing.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 5 van 9
7.3.3
Toelichting stap 3
In aggregatiestap 3 worden de afzonderlijke scores per risicocategorie samengevoegd tot één score voor het netto risico voor de functionele activiteit als geheel. Hierbij worden de netto risicoscores gewogen op basis van hun onderlinge gewichten. Deze gewichten (H/M/L, corresponderend met verhouding 4:2:1) zijn default vastgelegd in het gebruikte sjabloon voor de betreffende functionele activiteit. Tevens worden in deze aggregatiestap de afzonderlijke scores voor de beheersingscategorieën Organisatie en Management geaggregeerd op basis van een onderling gelijk gewicht. 7.3.4
Toelichting Stap 4
In aggregatiestap 4 wordt per functionele activiteit de totaalscore voor netto risico’s samengevoegd met de gezamenlijke score van Organisatie en Management. Dit gebeurt met een onderlinge verhouding van 3/4 staat tot 1/4. Door deze verhouding te kiezen wordt bereikt dat op instellingsniveau er een evenwicht ontstaat tussen de mate waarin de individuele risicocategorieën en de risico-overstijgende beheersingscategorieën beide bepalend zijn voor de uiteindelijke eindscore op het FIRM-dashboard. Hieronder zijn in tabelvorm (met alleen gehele getallen voor netto risico en Organisatie en Management) meerdere combinaties van netto risicoscores en scores voor Organisatie en Management en hun bijbehorende netto totaalscore weergegeven. Totaal netto risico's 1 2
Organisatie en Management 1 2 3 4 7.3.5
1,0 1,3 1,5 1,8
1,8 2,0 2,3 2,5
3
4
2,5 2,8 3,0 3,3
3,3 3,5 3,8 4,0
Toelichting stap 5
In aggregatiestap 5 worden de scores voor de verschillende functionele activiteiten geaggregeerd tot één score voor de managementeenheid. Dit gebeurt op basis van de door de toezichthouder aan de individuele functionele activiteiten toegekende gewichten (H/M/L, corresponderend met verhouding 4:2:1).
7.3.6
Toelichting Stap 6
In aggregatiestap 6 worden de scores voor de verschillende managementeenheden geaggregeerd tot één score voor de totale instelling dan wel de op een hoger niveau geplaatste managementeenheden. Dit gebeurt op basis van de door de toezichthouder aan de individuele managementeenheden toegekende gewichten (H/M/L, corresponderend met verhouding 4:2:1). 7.4
Overschrijven van berekende scores; gevolgen voor aggregatie
Met de in de FIRM-applicatie opgenomen aggregatiealgoritmen wordt een belangrijke mate van consistentie van berekende scores en daarmee vergelijkbaarheid van uitkomsten nagestreefd. Indien echter naar het oordeel van de toezichthouder de door FIRM berekende scores geen recht doen aan zijn oordeel over het risicoprofiel (op enig niveau binnen de decompositie), dan kan de toezichthouder besluiten deze scores te overschrijven. Het overschrijven van berekende scores kan plaatsvinden op het niveau van de functionele activiteiten, de managementeenheden en de instelling. Overschrijven van berekende scores op het niveau van individuele risicoen beheersingscategorieën is niet mogelijk. In dit geval zal de toezichthouder op itemniveau scores moeten aanpassen (of defaultscores overschrijven) om op categorieniveau tot een score te komen die overeenkomt met diens perceptie.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 6 van 9
Reden voor het overschrijven kan bijvoorbeeld zijn dat de toezichthouder vindt dat bepaalde risico- of beheersingscategorieën een veel belangrijker gewicht hebben dan andere en dat dit uitsluitend door middel van het aanpassen van de standaardgewichten van de risico- en beheersingscategorieën onvoldoende doorwerkt in de berekende score. Een andere reden kan zijn dat de toezichthouder een totale managementeenheid bij bijzondere gebeurtenissen wil highlighten door het (tijdelijk) toekennen van een hogere score, zonder de onderliggende analyse te hoeven aanpassen. Of mogelijk spelen er andere zaken die naar het oordeel van de toezichthouder onvoldoende binnen FIRM kunnen worden gevangen. Om achteraf te kunnen nagaan waarom het overschrijven heeft plaatsgevonden, zal FIRM steeds om een toelichting hierop vragen. Na invulling hiervan zal FIRM in de aggregatie naar hoger gelegen managementeenheden altijd de overschreven score gebruiken. ‼ Belangrijk is om te beseffen dat met het overschrijven de relaties tussen de scores, die langs de lijn van de managementeenheden worden geaggregeerd, en de scores, die langs de lijn van de risico- en beheersingscategorieën worden geaggregeerd, worden doorbroken. Indien er nergens wordt overschreven tellen de gewogen gemiddelde scores per risico- en beheersingscategorie op instellingsniveau op tot dezelfde geaggregeerde scores als die via de lijn van de managementeenheden totstandkomt. Indien scores op managementeenheidniveau worden overschreven, is het binnen de FIRM-applicatie niet mogelijk deze aangepaste score toe te rekenen aan individuele risico- of beheersingscategorieën. Hierdoor kunnen de in het dashboard gepresenteerde geaggregeerde scores van de verschillende risico- of beheersingscategorieën een positief beeld van alle netto risico’s oproepen, terwijl de totaalscore van de instelling, door het overschrijven van scores toch een totaal ander beeld oproept. 7.5
Aggregatie via de lijn van risico- en beheersingscategorieën
Naast de aggregatie langs de lijn van functionele activiteiten en managementeenheden biedt de FIRM-applicatie ook een aggregatie per risico- en beheersingscategorie. Op het niveau van de instelling en de onderliggende managementeenheden worden de volgende geaggregeerde scores getoond: • per risicocategorie een geaggregeerde score voor inherent risico, risicospecifieke beheersing en netto risico; • één score voor Organisatie; • één score voor Management. Zowel op het niveau van de instelling als op het niveau van de onderliggende managementeenheden worden de scores van gelijkluidende risicocategorieën (kredietrisico, verzekeringstechnisch risico, operationeel risico et cetera) en beheersingscategorieën (organisatie en management) vanuit alle onderliggende functionele activiteiten en managementeenheden geëxtraheerd en geaggregeerd. Hierbij wordt in de aggregatie gebruikgemaakt van de relatieve gewichten (zie volgende paragraaf) van de functionele activiteiten en managementeenheden. De aldus berekende scores geven de toezichthouder een tweede invalshoek bij de analyse van de onder toezicht staande instellingen. !! In het dashboard wordt naast de geaggregeerde score van alle inherente en netto risico’s geen geaggregeerde score voor risicospecifieke beheersing getoond. Het is namelijk niet mogelijk om bijvoorbeeld op het niveau van de instelling op basis van de geaggregeerde inherente risicoscore voor operationeel risico en de corresponderende score voor risicospecifieke beheersing het netto operationeel risico op instellingsniveau uit te rekenen. Dit komt doordat de aggregatieformule uit paragraaf 7.3.2 (aggregatiestap 2) geen lineaire formule is. Dit betekent dat wanneer van verschillende functionele activiteiten de gelijkluidende inherente risico’s en risicospecifieke beheersing afzonderlijk worden geaggregeerd, de uitkomsten hiervan, ingevuld in de aggregatieformule, niet leiden tot dezelfde uitkomst als die de afzonderlijke aggregatie van de netto risico’s oplevert.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 7 van 9
7.6
Aggregatie van relatieve gewichten
Binnen FIRM worden aan de hand van de toegekende gewichten (H/M/L) voor alle managementeenheden, functionele activiteiten en risico- en beheersingscategorieën relatieve gewichten berekend. Dit gebeurt top-down door allereerst aan de instelling een gewicht van 100,0 procent toe te kennen. De onderliggende managementeenheden krijgen op basis van hun eigen gewicht een relatief gewicht toegerekend. Dit geldt ook voor alle onderliggende managementeenheden, functionele activiteiten en risico- en beheersingscategorieën. Dit kan als volgt worden geïllustreerd.
Instelling XYZ 100%
Unit verzekeren H 36,4%
Unit bankieren M 18,2%
Deelnemingen L 9,0%
Groepsfuncties H 36,4%
Binnenland H 29,1%
Binnenland M 5,2%
Governance H 18,2%
Europa L 7,3%
Europa L 2,6%
IAD M 9,1%
Amerika H 10,4%
Risk Mgt M 9,1%
Private Banking L 2,1%
Kredietrisico M 0,4%
Operationeel risico L 0,2%
Integriteitsrisico H 0,9%
Management H 0,3%
Organisatie H 0,3%
Management H 1,0%
Organisatie H 1,0%
Corporate Banking H 8,3%
Kredietrisico H 3,6%
Operationeel risico L 0,9%
IT risico M 1,8%
De relatieve gewichten bieden de toezichthouder een handreiking om de diepgang van de in FIRM in te voeren organisatiestructuur te kunnen bepalen. Immers het relatieve belang van iedere ingevoerde managementeenheid en functionele activiteit wordt direct zichtbaar. Tevens wordt zichtbaar wat het relatieve belang is van de verschillende risico- en beheersingscategorieën voor de totstandkoming van de totaalscore op instellingsniveau. Het totaal van de relatieve gewichten per risico- en beheersingscategorie wordt opgeteld en op instellingsniveau zichtbaar gemaakt op het dashboard en is lager in de organisatiestructuur (voor managementeenheden en functionele activiteiten) steeds zichtbaar in het invoerscherm.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 8 van 9
7.7
Aggregatie van Solvabiliteits- en Liquiditeitsbeheer
Bij kleine instellingen (instellingen die binnen FIRM met slechts één functionele activiteit worden weergegeven) worden solvabiliteitsbeheer en (alleen bij banken) liquiditeitsbeheer rechtstreeks onder de instelling als aparte beheersingscategorieën opgenomen, naast de reguliere risico- en beheersingscategorieën. Binnen die beheersingscategorieën wegen alle onderliggende items even zwaar mee. Bij niet-kleine instellingen worden twee aparte groepsfuncties opgenomen, aangeduid met Solvabiliteitsbeheer dan wel Liquiditeitsbeheer. Binnen deze groepsfuncties zijn dan vervolgens drie beheersingscategorieën opgenomen, te weten Solvabiliteitsbeheer dan wel Liquiditeitsbeheer, Management en Organisatie. Binnen elke beheersingscategorie wegen alle items even zwaar mee. Deze categorieën worden vervolgens onderling gewogen volgens een verhouding van hoog: laag: laag om te komen tot de score voor de hele groepsfunctie. De toegekende scores worden slechts geaggregeerd tot op het niveau van de betreffende beheersingscategorie (kleine instellingen), dan wel de groepsfunctie (niet-kleine instellingen). De scores voor solvabiliteitsbeheer en liquiditeitsbeheer worden niet meegerekend in de aggregatie langs de lijn van de managementeenheden, maar worden uitsluitend op het dashboard in de FIRM-applicatie getoond. De uitkomsten van de analyse van Organisatie en Beheersing en Integere bedrijfsvoering worden dus gescheiden van de analyse van Solvabiliteitsbeheer en Liquiditeitsbeheer gepresenteerd en dus niet als één allesomvattende score. Met betrekking tot de verhouding tussen de aanwezige en de vereiste solvabiliteit en liquiditeit kent de toezichthouder een toereikendheidsoordeel toe. Dit wordt eveneens zichtbaar in het dashboard, naast de hiervoor besproken scores voor Solvabiliteitsbeheer en Liquiditeitsbeheer. Beide scores worden onderling niet verder geaggregeerd maar worden elk afzonderlijk getoond. 7.8
Aggregatie naar gelijkluidende functionele activiteiten
Deze aggregatie maakt het mogelijk om bij de grotere instellingen snel inzicht te krijgen in het risicoprofiel van onderling vergelijkbare activiteiten die zich op diverse geografische en/of organisatorische plaatsen afspelen en dus op verschillende plaatsen binnen de decompositie zijn opgehangen. Hierbij wordt per functionele activiteit (bijvoorbeeld ziektekostenverzekeringen of hypotheekbedrijf), dwars door de decompositie van de hele instelling, inzicht gegeven in de onderliggende scores per risico- en beheersingscategorie. Deze aggregatie is opgenomen als separate rapportage, die via het FIRM-menu is op te roepen.
Handboek FIRM, november 2005 Hoofdstuk 7 – Aggregatie
Pagina 9 van 9
