&
FINANCE
CONTROL
Risicomanagement
Voo r spell e n d e analy s e s
HYBRIDE AANPAK RISICOMANAGEMENT De financiële crisis dwingt organisaties om zich snel aan te passen aan veranderende omstandigheden en om hun operationele risico’s effectief te managen. Dit is alleen mogelijk met innovatieve en flexibele systemen voor risicomanagement. De auteurs beschrijven in dit artikel een dergelijk systeem. Het is succesvol gebleken bij het managen van een groot aantal operationele risico’s. Het gebruik van dit systeem kan bedrijven een belangrijke analytische voorsprong geven ten opzichte van hun concurrenten. D O O R J O S L A G E R B E R G E N M A R K VA N D E N A K K E R
V
eel organisaties hebben de afgelopen drie jaar hun risicomanagement aanzienlijk verbeterd. Deze bevinding wordt bevestigd door diverse onderzoeken, waaronder een onderzoek van AON (2010). Ondanks deze verbeteringen worstelen veel organisaties met het concept key operational risk indicators, een belangrijk begrip voor effectief management van operational risks. Identificatie en selectie hiervan blijkt weerbarstig en er bestaat twijfel over de toegevoegde waarde ervan. Dit artikel beschrijft een hybride en daardoor pragmatische aanpak, gebaseerd op het gebruik van predictive analytics. Deze is gebaseerd op harde gegevens, in plaats van op percepties, waardoor de key operational risk indicators automatisch worden gegenereerd. Wij adviseren deze aanpak voor het snel en effectief identificeren en gebruiken van de risicofactoren die voor uw organisatie relevant zijn. Operational risk-definitie Het Bazel II-akkoord definieert operational risk als: ‘the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.’ (Bazel II-akkoord sectie V.A par. 644.) In dit artikel volgen wij deze definitie. Echter, het is belangrijk te constateren dat de reductie van operationele risico’s ook belangrijke gevolgen zal hebben voor andere risico’s, zoals acceptatie (financieel) en reputatierisico’s. Hoewel de gebruikte definitie afkomstig is van het Bazel IIFEBRUARI 2012
akkoord, wordt zij ook gebruikt in de Solvency II-discussie. Reductie van operationele risico’s heeft gevolgen voor kapitaalvereisten, zowel voor banken als voor verzekeraars, maar ook voor andere organisaties is dit van groot belang. Traditionele aanpak van operationele risico’s De traditionele benadering van operationele risico’s is gebaseerd op bedrijfsprocessen, historische gegevens over schades
Iedere aanpak begint met het handmatig vaststellen van fouten en schades en bijna-schades, externe statistieken en schadedatabases. Veel organisaties worstelen met deze aspecten en wel om de volgende redenen. Veel organisaties hebben geen systematische registratie van historische schadegegevens. Die organisaties die daar wel mee gestart zijn hebben slechts een historie van enkele jaren, hetgeen niet voldoende is als basis voor het vaststellen van operationele risico’s. Bijna-schades zijn daarvoor ook belangrijk, maar worden zelden zorgvuldig geregistreerd. Ook vinden veel organisaties het moeilijk om externe databases te vinden en deze te gebruiken ter veredeling van hun eigen schadegegevens. Zonder toereikende gegevens is het analyseren van schade-
|
21
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
oorzaken moeilijk. Toch adviseren wij hiermee aan te vangen, omdat het specificeren en analyseren van schades en risico’s het risicobewustzijn in uw organisatie vergroot. Deze analyses zijn ook belangrijk bij de selectie van key operational risk indicators. Niet alle risico’s vergen aandacht. Elke organisatie heeft haar eigen risk appetite, die bepalend is voor
CONTROL
teren, zal dit niet direct bekend worden en veelal zullen pas laat schadebeperkende maatregelen worden genomen. Ook kan dit belangrijke gevolgen hebben voor compliance en mogelijk leiden tot boetes. Bovendien, als een fout of schade niet wordt vastgesteld, verliest uw organisatie de mogelijkheid om deze te analyseren en
Case study Een van de top 100 FTSE, een motorrijtuigenverzekeraar in de UK,
voorbeeld, als ontwikkelingen in een bepaalde regio worden ge-
heeft een predictive-analytics- en rules-basedsysteem geïmplemen-
wantrouwd, kan een hogere weging worden toegepast, overigens
teerd om de steeds toenemende fraudes te bedwingen. Volgens een
zonder het fraudemodel te hoeven aanpassen. Tegelijkertijd kan
rapport uit 2010 van de Association of British Insurers bedraagt de
bij tekort aan personeel een regel worden toegevoegd, waardoor
fraudelast van motorrijtuigenverzekeraars in 2009 meer dan £ 410 miljoen. Hierdoor heeft deze categorie de hoogste fraudelast in de UK.
prioriteit wordt gegeven aan alleen de hoogst scorende claims. 3. Vervolgens ondersteunt een offlineanalysetool bij het herkennen
Met meer dan 2 miljoen klanten in de UK, was de fraudedetectie van
van nieuwe en opkomende fraudepatronen in de lager scorende
deze verzekeraar al van hoog niveau, door een ervaren schadebe-
claims die nog niet waren onderzocht. Dit produceert waardevolle
handelingsteam. Echter, een groot aantal georganiseerde fraudeaan-
input voor het fraudemodel en zal periodiek worden herhaald.
slagen bleef onopgemerkt, waardoor de fraudelast fors toenam. Dit was de aanleiding tot een onderzoek naar een oplossing die, geba-
Dit predictive analytics-fraudedetectiesysteem herkent patronen die
seerd op een groot aantal klantgegevens en gegevens van derden,
andere traditionele systemen niet vinden. Bovendien worden claims
het bedrijf kon helpen met het voorspellen van fraudeclaims.
gesorteerd op hoogte van frauderisico en wordt aangegeven waarom deze verdacht zijn. Dit geeft richting aan het nader onderzoek.
FICO’s Motor Fraud Platform is gekozen omdat dit significant beter
Naast het voordeel van het herkennen van meer fraudes (en het
scoorde dan de alternatieve oplossingen. Het bleek bijna tweemaal
voorkomen dat deze een fraudelast worden) kunnen de volgende
zo effectief bij het detecteren van niet-herkende fraudepatronen
voordelen worden onderkend:
dan de bestaande beoordelingsprocessen.
~ vermindering van zowel de schadebehandelingstijd als de fraude-
Het fraudedetectiesysteem volgt drie onderscheiden stappen:
risico-exposure;
1. Alle schademeldingen worden gescoord door het FICO fraudemo-
~ snelle herkenning van opkomende fraudemethoden;
del, dat op basis van historische fraudepatronen is geijkt om fraude-indicatoren te kunnen herkennen. Een hogere score betekent
~ verhoging van de productiviteit van het fraudeonderzoek door precies aan te geven waarom een claim als verdacht wordt gekwa-
een grotere kans op een fraudeclaim en vice versa.
lificeerd;
2. Op het moment dat de score is berekend kan het fraudeteam deze
~ focus van het onderzoek op de meest verdachte claims.
aanpassen op basis van kennis en aanvullende informatie. Bij-
de mate van aandacht van het management. Volgens deze traditionele benadering worden key operational risk indicators geselecteerd op basis van (bijna-)schadegegevens en percepties over de oorzaken hiervan. De selectie is gebaseerd op criteria als relevantie, meetbaarheid, toetsbaarheid, voorspelbaarheid en vergelijkbaarheid. Veel organisaties zijn niet overtuigd van de toegevoegde waarde van deze key operational risk indicators voor risicomanagementdoeleinden. Zij worstelen met het verzamelen van representatieve schadegegevens en met de selectie van indicators met voorspelbare capaciteiten. Naar onze mening wordt bij deze benadering geen rekening gehouden met het belangrijkste operationeel risico namelijk de menselijke factor. Iedere aanpak begint met het handmatig vaststellen van fouten en schades. Als iemand, ongeacht de reden daarvoor, besluit om een fout of schade niet te rappor-
22
|
om toekomstige vergelijkbare risico’s te beperken. In de volgende paragraaf lichten wij een moderne aanpak toe die meer succesvol is gebleken ten behoeve van het managen van een groot aantal operationele risico’s. Innovatieve aanpak operationele risico’s Met onze innovatieve aanpak van operationele risico’s wordt het voorspellen van afwijkingen veel eenvoudiger. Met behulp van real time predictive analytics kan alles gevonden worden wat voor uw organisatie ongewoon is. Vaak wordt dit al gevonden voordat de fout of schade wordt gerapporteerd en zelfs voordat de fout of schade zich voordoet. Deze aanpak heeft drie belangrijke voordelen: ~ vermindering van de afhankelijkheid van het menselijk handelen, omdat iedere fout of schade wordt geregistreerd, ongeacht de melding door medewerkers; FEBRUARI 2012
&
FINANCE
~ automatische productie van relevante key operational risk indicators, inclusief indicatoren waar nooit aan gedacht is; ~ management tools, real time-registratie en -analyse leveren belangrijke gegevens voor de besluitvorming. Afhankelijkheid van menselijk handelen Met de innovatieve aanpak van operationele risico’s worden abnormaal gedrag, onverwachte vertragingen, verdachte activiteiten en dergelijke gemonitord en gerangschikt op een schaal van 0 tot 1000. Deze universele classificatie legt de na-
De innovatieve aanpak werkt op basis van neurale netwerken druk op het risico van elke transactie, waardoor de prioriteit van onderzoek kan worden bepaald. In het begin zullen alleen bekende operationele risico’s aan bod komen, maar door de zogenaamde adaptive analytics kunnen ook nieuwe risicopatronen worden ontdekt. De hele aanpak (met uitzondering van het onderzoek) is volledig geautomatiseerd en niet afhankelijk van menselijke interventie. Operational risk indicators Een van de grootste problemen van operational risk-management is het identificeren van key risk indicators. Dit is vaak een statisch proces, met als gevolg dat een organisatie die gekozen heeft voor het managen van een bepaalde set risico’s, niet tijdig reageert op nieuwe risico’s. De innovatieve aanpak werkt op basis van neurale netwerken die functioneren op dezelfde wijze als waarop het menselijk brein werkt. Hierdoor worden abnormale en onverwachte gebeurtenissen gedetecteerd en voorzien van een numerieke risicoscore. Bovendien worden de oorzaken van escalatie geidentificeerd. De monitoringfunctie richt de schijnwerper op de hogere risico’s en stuurt de onderzoeker in de juiste richting. Hierdoor wordt niet alleen de productiviteit van het onderzoek verbeterd, ook wordt het aantal false positives (bijvoorbeeld van fraude verdachte claims die toch terecht bleken) sterk gereduceerd. Hierdoor ontstaat een dynamisch proces van identificatie van key operational risk indicators, dat automatisch continu wordt aangepast. Managementtool De managementtool is het direct resultaat van de aanpak. Als de architectuur is bepaald voor het monitoren, detecteren en onderzoeken van key operational risk indicators, kan de volgende stap worden gezet: het ontwikkelen en benchmarken van een besluitvormings- en werkproces om de operationele FEBRUARI 2012
CONTROL
risico’s te managen. Het risicomanagement wordt optimaal ondersteund door tools die het resultaat van beslissingen simuleren en complexe besluitvormingslogica visualiseren en monitoren. Dit ondersteunt de ontwikkeling en continue verfijning van uw organisatie. Businesscase De innovatieve en datagestuurde aanpak heeft belangrijke voordelen. Operationele risico’s worden gereduceerd door snelle waarschuwingen en tijdig ingrijpen. De kwaliteit van processen wordt verbeterd, waardoor ook andere risico’s, zoals acceptatie- en reputatierisico’s worden verkleind. Alle bedrijfsprocessen en transacties kunnen worden ondersteund door modellering en automatisch meten, waardoor meetbare, objectieve, voorspelbare en vergelijkbare key operational risk indicators worden ontwikkeld. De scores van alle bedrijfsprocessen en transacties kunnen worden gebruikt als real time dashboardinformatie waarmee een continue stroom van inzichten wordt geproduceerd en snelle detectie en interventie mogelijk wordt. Deze aanpak bestaat uit de volgende drie fases. Fase 1. Bouwen framework De architectuur bestaat voornamelijk uit een monitoringomgeving die aangesloten is op de gehele organisatie. Deze registreert en monitort alle processen en transacties. In eerste instantie worden de bedrijfskritieke processen en transacties aangesloten, maar dit kan worden uitgebreid. De monitoringomgeving verzamelt data waarmee een model wordt gebouwd van gebruikelijke bedrijfsactiviteiten en gebruikelijke transactiepatronen. Daardoor kunnen ongebruikelijke patronen worden herkend en voorspeld. Fase 2. Analyse van de bevindingen Continue data-analyse maakt modellering mogelijk door middel van de volgende stappen: ~ herkenning van trends en patronen; ~ definitie van ‘normale’ activiteiten en transacties; ~ bouwen van analytische modellen die afwijkende activiteiten en gedrag herkennen en operationele risico’s kunnen voorspellen; ~ vaststellen van onderzoeksgrenzen, gebaseerd op de risicoscores. Fase 3. Invoeren scoring De monitoringomgeving genereert voor iedere activiteit en transactie een score in alle voorgedefinieerde onderdelen van uw organisatie. De score wordt geregistreerd en gemonitord in een dashboardomgeving, naast de traditionele operational risk registratie-tool die handmatig wordt gevoed. De monitoringomgeving identificeert twee soorten ongebrui|
23
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
kelijke activiteiten: de activiteiten die corresponderen met de bekende risicopatronen en de activiteiten waarvoor (nog) geen risicopatroon is onderkend. Onderzoekers ontvangen niet alleen de scores, maar ook de onderliggende redenen, waardoor zij de juiste maatregelen kunnen nemen of nader onderzoek kunnen doen. Iedere ongebruikelijke score wordt gekoppeld aan een fout/ risico (event). Nader onderzoek wordt gedaan als er sprake is van mismatches (hoge scores zonder duidelijke reden).
Fraudeurs proberen meestal hun methode een aantal keren uit op kleine schaal Dit is een systematische methode om de analytische modellen te valideren. Uiteindelijk kan een zodanig professioneel niveau worden bereikt, dat operationele risico’s kunnen worden voorspeld en preventieve acties kunnen worden uitgevoerd,
CONTROL
voordat de schade is ontstaan. Waarom hybride aanpak? De innovatieve aanpak kan tot belangrijke verbeteringen leiden, maar voor bepaalde operationele risico’s is deze minder goed toepasbaar. Bijvoorbeeld de meeste catastrofes (hoge impact, lage frequentie) kunnen moeilijk met data-analyses worden voorspeld. Andere operationele risico’s kunnen zowel met traditionele als innovatieve methoden worden gemanaged. De innovatieve methode verbetert operational riskmanagement door gebruik te maken van de correlatie tussen transacties en operationele risico’s. Hiermee worden voorspellende modellen gebouwd voor snelle detectie en mogelijk vermijding van operationele risico’s. Een langdurig netwerkprobleem op het hoofdkantoor kan de operatie stilleggen. Deze netwerkproblemen kunnen vaak eerder worden gedetecteerd door het monitoren van transactieinformatie. Afwijkende patronen daarin kunnen vroegtijdig waarschuwen voor een komende storing. Interne fraude komt meestal niet ineens. Fraudeurs proberen meestal hun methode een aantal keren uit op kleine schaal, voordat ze de grote slag slaan. Door het herkennen
Operational Risk Architecture
FICOTM EVENT & TRANSACTION PROCESSING
DEVELOPMENT & MANAGEMENT
CHANNELS
F(s Analytic Development Business Intelligence
Business User Tools
F(s
OPERATIONAL SYSTEMS Decision Request
F(s Strategy Development
Call Center
Operational Risk Decision Service Analytic Services
F(s Rule & Configuration Rules Model & Development Services Repository Services IT Tools
Decision
ERP
Email
CRM
Telemarketing Direct Mail Store/ Branch Kiosk/ ATM
BILLING SCM
Data Services
Optimisation
Web
Field Monitoring & Decision Analysis Reporting & Adaptive Analytics Services
Implementation & Rules Management
Data Warehouse
Operational Data Store
© 2009 Fair Isaac Corporation. Figuur 1 Voorbeeld basisarchitectuur van een innovatieve aanpak risicomanagement
24
|
FEBRUARI 2012
External data Source(s)
&
FINANCE
van abnormale activiteiten kan de innovatieve aanpak grote fraudeschades voorkomen. De innovatieve methode heeft een ander groot voordeel, namelijk ze ondersteunt en begeleidt veranderingen in organisaties. De methode ondersteunt managers bij het monitoren, ontwikkelen en benchmarken van veranderingen in organisaties en vergelijkt de oude met de nieuwe omgeving. Ook faciliteert de innovatieve aanpak de strategische besluit-
CONTROL
Literatuur ~ Aon Corporation (2010), Global Enterprise Risk Management Survey 2010, www. aon.com/attachments/2010_Global_ERM_Survey.pdf.
Jos Lagerberg is senior business consultant compliance & risk management bij Logica. Mark van den Akker is partner manager EMEA Decision Management Technologies Fair Isaac Services Ltd. FICO is de commerciële naam voor Fair Isaac Services Ltd.
Alleen met innovatieve, flexibele systemen kunnen organisaties zich snel aanpassen en hun operationele risico’s effectief managen vorming met modellen voor optimale besluitvorming voor het managen van operationele risico’s. Architectuur innovatieve aanpak Een voorbeeld van een basisarchitectuur is weergegeven in figuur 1. Aan de rechterkant van figuur 1 wordt een voorbeeld getoond van een specifieke operationele omgeving van een doelorganisatie. De operationele kanalen genereren transacties die naar de operationele systemen worden geleid. Bijzonderheden hiervan worden doorgestuurd naar de besluitvormingsservice in het midden. Daar genereert de combinatie van predictive analyticsmodellen, optimalisatiemodellen en operationele bedrijfsregels een score voor elke transactie die wordt doorgestuurd naar de operational risk monitor. Links wordt de operational risk modellingomgeving getoond die de modellen produceert en onderhoudt, waarmee de scores, het ontwerp (met behulp van bedrijfsregels en optimalisaties) en de beslissingsstrategie worden gerealiseerd. In de modellingomgeving wordt ook de neurale netwerkmodellingtechnologie ontwikkeld, waarmee ongebruikelijk gedrag en afwijkingen van historische trends worden herkend.
ruim ar 100nja kwaliteit beweze
nyenrode business universiteit Dé universiteit voor het behalen van uw RA- of RC-titel Specialist in het vakgebied Accountancy & Controlling Studie is volledig in deeltijd en Nederlandstalig
Conclusie De financiële crisis heeft iedereen onder druk gezet. Alleen de beste organisaties kunnen deze druk weerstaan. Alleen met innovatieve, flexibele systemen kunnen organisaties zich snel aanpassen en hun operationele risico’s effectief managen. De in dit artikel beschreven technologie wordt inmiddels door veel organisaties toegepast en geeft hen een belangrijke analytische voorsprong.
FEBRUARI 2012
Hoogwaardige kwaliteit door: gerenommeerde docenten uit de wetenschap en het bedrijfsleven interactieve colleges met actuele onderwerpen aandacht voor managementvaardigheden voorloper in discussie omtrent toekomst van het beroep OPEN AVOND 17 APRIL t 0346 295 813 www.nyenrode.nl
|
25
W W W. F I N A N C E - C O N T R O L . N L