De Nederlandse Bank
Speech directeur Kellermann 'Drie keer 'WOLF' is scheepsrecht: de
risicomanagementfunctie stevig verankeren.'
Speech
Datum 17 november 2009
Tijd 11:43 uur
Lokatie
Spreker Mr. A.J. Kellermann, directeur van de Nederlandsche Bank
Introductie
Wie kent niet het verhaal van het jongetje dat schapen hoedde en twee
keer voor niets 'WOLF, WOLF!' riep, waarop de dorpelingen kwamen
aangesneld om hem te helpen. Toen het jongetje voor de derde keer
'WOLF, WOLF!' riep, namen de dorpelingen hem niet meer serieus. Zij
gingen gewoon door met hun werk. Dit keer was er echter daadwerkelijk
een wolf en deze at alle schapen op.
In de context van de financiële crisis zie ik een nieuwe moraal in dit
verhaal. Hierbij staat het jongetje voor de risicomanagementafdeling.
Het 'WOLF, WOLF!' roepen staat symbool voor de analyses die deze
afdeling maakt en het belang dat hieraan in organisaties wordt
gehecht. Schapen staan overduidelijk voor financiële instellingen.
Vandaar natuurlijk ook dat DNB wordt gezien als hoeder van de
financiële stabiliteit.
Achteraf bezien, zijn waarschuwingen van risicomanagementafdelingen te
vaak in de wind geslagen, of kwamen ze niet bij het bestuur terecht.
Daarbij schortte het in sommige gevallen overigens ook aan de analyses
zelf. Omdat bepaalde risico´s niet door de systemen werden herkend.
Nieuwe moraal is derhalve: ook al lijkt er geen vuiltje aan de lucht,
de boodschap van risicomanagementafdelingen moeten telkens serieus
afgewogen worden tegenover de belangen van andere stakeholders. Anders
kunnen de schapen worden opgegeten!
Nu wat concreter. Allereerst, complimenten voor organisatie en
deelnemers. Leren van en met elkaar om risicomanagement te verbeteren
is een belangrijke stap in het herstel van vertrouwen. En hopelijk in
het voorkomen van financiële crises in de toekomst.
Ik wil vooral ingaan op de risicomanagementfunctie en de visie van DNB
hierop. Ik zal hiertoe uitgebreid ingaan op Solvency II, vooral de
tweede pilaar daarvan, en de veranderingen die dit met zich meebrengt.
Reden voor de aandacht voor de risicomanagementfunctie moge duidelijk
zijn: als de signalen over aard en omvang van risico´s en de
voorgestelde beheersmaatregelen het te vaak afleggen tegenover andere
overwegingen dan kan dit leiden tot het nemen van ongewenste risico´s.
Verantwoordelijkheden en rol van DNB als toezichthouder
Door een te sterk door commerciële waarden gedreven cultuur en de
toegenomen druk van aandeelhouders is de aandacht voor de corporate
governance aspecten van risicomanagement teveel een ondergeschoven
kindje geweest.
Vanuit corporate governance perspectief is het derhalve belangrijk
antwoord te krijgen op vragen over hoe met risisicomanagement wordt
omgegaan. Denk hierbij aan vragen als:
* Hoe wordt omgegaan met de informatie uit risicomodellen en
stress-testing?
* Wat is het belang van de risicomanagementafdeling / Chief Risk
Officer binnen de organisatie?
* Is het bestuur deskundig genoeg om de informatie over risico´s op
de juiste waarde te schatten?
Deze vragen grijpen aan bij de verantwoordelijkheden en rol van DNB
als toezichthouder. Eisen in de Wet op het financieel toezicht die
relevant zijn voor de risicomanagementfunctie betreffen in het
bijzonder de eisen die gesteld worden aan:
* deskundigheid van beleidsbepalers;
* beheerste en integere bedrijfsvoering; en
* uitbesteding van werkzaamheden.
Het dagelijkse beleid van verzekeraars moet worden bepaald door
personen die deskundig zijn in verband met de uitoefening van het
bedrijf van de financiële onderneming. Een bestuurder wordt bij
benoeming en gedurende het lopende toezicht door DNB op deskundigheid,
waaronder begrip en toepasbare kennis van risicomanagement, beoordeeld
DNB herziet op dit moment haar beleid betreffende de
deskundigheidstoetsing. Om meer duidelijkheid te scheppen over de
criteria en wijze waarop een bestuurder wordt getoetst. Deze toetsing
zal uitgebreider zijn dan de huidige toetsing. Naast kennis zal ook
nadrukkelijk op competenties worden getoetst.
Een belangrijke les uit de financiële crisis is dat naast een
deskundig bestuur een onderneming ook over een deskundige Raad van
Commissarissen moet beschikken om voldoende interne 'checks and
balances' te waarborgen. De deskundigheidstoetsing zal in de toekomst
derhalve ook voor leden van de Raad van Commissarissen gaan gelden.
Elke instelling moet helder hebben of de bedrijfsprocessen in de
organisatie worden beheerst. Dit betekent dat de risico's in kaart
zijn gebracht en dat daarvoor voldoende beheersmaatregelen zijn
getroffen. DNB verwacht dat de bedrijfsvoering minimaal op een
inzichtelijke wijze is vastgelegd en dat de onderneming over een
adequate functiescheiding beschikt.
In het kader van de risicomanagementfunctie moet u hierbij denken aan:
* duidelijke en adequate verdeling van taken, bevoegdheden en
verantwoordelijkheden met betrekking tot risicomanagement;
* eenduidige rapportagelijnen met betrekking tot gesignaleerde
risico´s;
* een adequaat systeem van informatievoorziening en communicatie
over risico´s.
Dit geldt niet alleen voor de processen die u zelf uitvoert. Hoewel
uitbesteding namelijk wel de plaats van uitvoering van werkzaamheden
verlegt, verlegt het niet de verantwoordelijkheid daarvoor. Die blijft
altijd bij het bestuur van de verzekeraar. Vanzelfsprekend mag
uitbesteding het risicobeheer en het toezicht niet belemmeren.
Toereikende procedures, maatregelen, deskundigheid en informatie om de
uitvoering van de uitbestede werkzaamheden te kunnen beoordelen, zijn
cruciaal. Structurele aandacht, goede afspraken met de dienstverlener
en tijdig optreden zijn dan ook voorwaarden voor de uitbesteding van
werkzaamheden.
Deze uitgewerkte eisen komen voor een groot deel voort uit de
internationale harmonisatie van toezichteisen. Oftewel, via de
implementatie van EU-richtlijnen in de Nederlandse wet- en
regelgeving. Ik kom hier zodadelijk nog uitgebreid op terug in relatie
tot Solvency II.
Standpunt DNB
Ik gaf u al eerder aan dat wij sterk belang hechten aan een goede
governance van de risicomanagementfunctie. DNB benadrukt al geruime
tijd dat het noodzakelijk is dat er binnen een organisatie één
risicotaal, één benaderingswijze en één consistent doorvertaald
risicomanagementbeleid is dat door het bestuur wordt uitgedragen. Het
belang hiervan neemt toe naarmate een onderneming meer uitbesteed.
'Tone at the top' is ook hier van doorslaggevend belang. Ik hoop dan
ook dat er in de zaal ook bestuurders aanwezig zijn!
Naast de 'tone at the top' is de deskundigheid van bestuurders
natuurlijk ook essentieel. Keuzes ten aanzien van de te nemen risico´s
en de inzet van beheersmaatregelen zijn immers altijd de
verantwoordelijkheid van het bestuur. Het bestuur moet ervoor zorgen
dat relevante informatie over risico´s bij hen terechtkomt en dat zij
deze informatie ook begrijpen.
Een les uit de financiële crisis is dat centrale sturing en beheersing
van verschillende risicomanagementactiviteiten in veel gevallen
ontbreekt. Hierdoor is feitelijk geen sprake van effectief en
geïntegreerd risicomanagement. DNB pleit er daarom voor dat deze
verantwoordelijkheid bij één persoon wordt belegd: de Chief Risk
Officer (CRO).
Een CRO is een hoog in de organisatie geplaatste functionaris die,
ongeacht de formele positie, de verantwoordelijkheid draagt voor alle
risicomanagementactiviteiten in de onderneming. Een belangrijke
randvoorwaarden voor het goed functioneren van de CRO is dat deze
persoon voldoende macht (autoriteit, middelen en toegang tot alle
relevante informatie) heeft, objectief en onafhankelijk is van
commerciële activiteiten en dat hij goede toegang tot de Raad van
Bestuur en Raad van Commissarissen heeft.
Tot dusver heb ik vooral gepraat over de visie van DNB inzake de
risicomanagementfunctie, maar een beter risicomanagement begint
natuurlijk bij uzelf. Dit wordt gelukkig ook onderkend aangezien u
hier vandaag in groten getale aanwezig bent. Ik vind het belangrijk
dat risicomanagers zichzelf als professionals zien die een
zelfstandige verantwoordelijkheid dragen.
DNB verwelkomt initiatieven die vanuit de sector zelf komen, maar
tekent hierbij aan dat zelfregulering op dit moment het tij niet mee
heeft. De aanbevelingen die genoemd zijn in het position paper
'Verzekeraars trekken lessen uit de kredietcrisis' zijn desalniettemin
een goed voorbeeld. Ik grijp deze gelegenheid dan ook graag aan om bij
u te informeren naar de concrete follow up, bijvoorbeeld inzake:
* Aanbeveling 3 van het position paper, te weten
'risico-rendementafwegingen zijn de verantwoordelijkheid van ieder
lid van de RvB van een verzekeraar.'
* En het verbeteren van de in het paper gesignaleerde knelpunten
zoals:
- er moet beter over uitkomsten van modellen worden
gecommuniceerd;
- afdelingen durven negatieve uitkomsten niet de lijn in te
sturen, en
- senior management is niet altijd direct aangesloten bij de
beslissingen van de risicomanagement afdelingen.
Solvency II
Ik kan hier natuurlijk niet over risicomanagement spreken zonder te
verwijzen naar Solvency II. Wat heeft de toekomst voor ons in petto op
het gebied van risicomanagement in het algemeen en de
risicomanagementfunctie in het bijzonder?
Hiertoe wil ik graag de hoofdpunten uit het consultatiedocument
Implementatie Solvency II naar voren brengen. Dit document is eind
oktober gepubliceerd en ik roep u op hier goed kennis van te nemen. De
consultatietermijn loopt tot 15 januari 2010.
Solvency II behelst een grondige herziening en herschikking van voor
(her)verzekeraars relevante Europese Richtlijnen en daarmee
samenhangend de Wft.
Solvency II zal uiterlijk op 31 oktober 2012 de huidige Solvency I
regels vervangen met nieuwe regelgeving voor kapitaaleisen,
waarderingsgrondslagen en risicobeheer. Lessen uit de voorbereiding,
implementatie en werking van Basel II worden hierbij meegenomen.
Een goed begin is het halve werk! Ik raad u dan ook aan om de
voorbereidingen voor Solvency II in een voortvarend tempo te
continueren dan wel met spoed aan te vangen.
DNB beveelt hiertoe aan dat verzekeraars self assessments uitvoeren om
tekortkomingen te identificeren, en om hiermee samenhangend een
realistisch implementatieplan op te stellen zodat aan de nieuwe
wettelijke vereisten wordt voldaan.
Vandaag wil ik vooral ingaan op pilaar 2 van Solvency II: governance.
In deze pilaar worden de kwalitatieve eisen waaraan verzekeraars
moeten voldoen geregeld. Hieronder valt de stevige verankering van de
risicomanagementfunctie.
Pilaar 2
De eisen in pilaar 2 betreffen vooral het 'system of governance'. Deze
eisen hebben betrekking op de organisatie en bedrijfsvoering, en op de
deskundigheid en integriteit van bestuurders en
sleutelfunctionarissen, risicobeheer, interne controle en compliance,
interne audit, de actuariële functie en uitbesteding in het bijzonder.
Nieuw is dat de verzekeraar moet beschikken over een aantal functies.
Een functie is een 'intern bestuurlijke capaciteit'. Deze wordt niet
gelijk gesteld aan een organisatorische afdeling of persoon.
De volgende functies worden verplicht:
* Actuariële functie;
* Risicobeheerfunctie, of zoals ik het eerder in mijn toespraak
noemde de risicomanagementfunctie;
* Compliance functie, als onderdeel van interne controle; en
* Interne auditfunctie.
In wezen is de enige 'echt nieuwe' voorgeschreven functie de
actuariële functie. Deze functie hoeft niet perse te worden uitgevoerd
door een actuaris. Wel wordt verwacht dat de persoon die de functie
uitoefent kennis heeft van actuariële en financiële rekenkunde. De
actuariële functie is, onder meer, belast met de volgende taken:
* Coördinatie van en toezicht houden op de berekening van de
technische voorzieningen;
* De dagelijkse leiding van de verzekeraar informeren over zijn
oordeel over het risico-acceptatiebeleid;
* Bijdragen aan de effectieve implementatie van het
risicobeheersysteem, interne modellen en de ORSA. Ik kom straks
nog op de ORSA terug.
Risicobeheer is één van de belangrijkste bouwstenen van Solvency II.
De inrichting van het risicobeheersysteem is hierbij van essentieel
belang. De risicobeheerfunctie moet ervoor zorgen dat het
risicobeheersysteem is geïntegreerd in de gehele organisatie van de
verzekeraar.
De compliance functie toets de naleving van interne en externe
regelgeving, terwijl de interne auditfunctie de effectiviteit van het
interne beheerskader toetst.
Er zijn verzekeraars die al over deze functies beschikken. Zij zullen
moeten nadenken over in hoeverre deze functies aan de eisen van
Solvency II voldoen. Verzekeraars die deze functies nog niet hebben
moeten gaan nadenken over hoe zij dit willen organiseren. De
verzekeraar is vrij om zelf te kiezen welke organisatievorm hem het
beste past. Verwacht mag worden dat de grotere en meer complexe
verzekeraars voor deze functies een aparte afdeling inrichten.
Waar de taken van de verschillende functies worden samengevoegd moet
rekening gehouden worden met de vereisten van functiescheiding en met
de mogelijke onverenigbaarheid met operationele werkzaamheden. Zo moet
de interne audit functie onafhankelijk zijn van operationele functies.
De verzekeraar moet als onderdeel van het risicobeheersysteem een
zogenaamd Own Risk and Solvency Assessment (ORSA) uitvoeren. De ORSA
moet niet worden gezien als een intern model. Ook is de ORSA geen
alternatief vereiste voor de solvabiliteitseisen of minimum
kapitaalvereisten. De ORSA is instrumenteel voor het risicobeheer van
de verzekeraar.
De ORSA zou dan ook een integraal onderdeel van de strategie van de
verzekeraar moeten zijn en moeten worden betrokken bij strategische
beslissingen. De ORSA is een proces, waarbij het proces zelf even
belangrijk is als uitkomst van het proces.
De ORSA dient in ieder geval het volgende te omvatten:
* Een beoordeling van de algehele solvabiliteitsbehoefte van de
verzekeraar op de korte en langere termijn, waarbij rekening wordt
gehouden met het specifieke risicoprofiel, de risicotolerantie en
de bedrijfsstrategie van de verzekeraar.
* Een beoordeling van de mate waarin de verzekeraar voldoet aan de
Solvency II vereisten voor de berekening van de solvabiliteitseis
en de vaststelling van de technische voorziening;
* Een beoordeling of, en zo ja in welke mate, het risicoprofiel van
de verzekeraar significant afwijkt van de veronderstellingen die
ten grondslag liggen aan de berekening van de solvabiliteitseis op
basis van de standaardformule of een intern model.
Ik ben alleen ingegaan op de belangrijkste veranderingen die pilaar 2
met zich zullen meebrengen. Voor een goed begrip van alle
veranderingen, ook in de andere pilaren, verwijs ik nogmaals naar het
'consultatiedocument Implementatie Solvency II'. Op 10 december
aanstaande organiseren DNB en het Verbond een symposium over de
implementatie van Solvency II en het consultatiedocument.
Afsluiting
Tot slot wil ik nog even terugkomen op het 'WOLF, WOLF!' roepen van
het jongetje uit het verhaal. 'WOLF, WOLF!'stond symbool voor de
analyses die de risicomanagementafdeling maakt en het belang dat
hieraan in organisaties wordt gehecht.
De AIG casus zoals beschreven door 'Bloomberg' illustreert duidelijk
het belang van goed risicomanagement, in het bijzonder van een stevige
verankering van de risicomanagementfunctie.
De grote Amerikaanse verzekeraar bouwde in de tien jaar voorafgaand
aan de kredietcrisis een omvangrijke, synthetische positie in
Amerikaanse schuldbewijzen op door kredietderivaten te verkopen. Met
kredietderivaten kunnen kredietrisico's los van de onderliggende
lening of obligatie worden verhandelen, waardoor het kredietrisico op
een lening of obligatie wordt omgezet in een doorgaans veel kleiner
risico op de tegenpartij.
In 2005 werd AIG's rating neerwaarts bijgesteld van triple A naar AA
nadat CEO Greenberg moest aftreden vanwege een onderzoek naar malafide
herverzekeringspraktijken. De CEO die hem opvolgde bleek niet in staat
de risico's te managen die onder Greenberg waren genomen met de handel
in kredietderivaten. Onder zijn bestuur werden zelfs nieuwe risico's
met kredietderivaten genomen.
In september 2008 verloor AIG zijn AA-rating bij alle grote rating
bureaus terwijl de marktwaarde van de leningen of obligaties die waren
afgedekt met kredietderivaten afnam. Gevolg hiervan was dat AIG
miljarden dollars onderpand moest overmaken aan zijn tegenpartijen.
AIG had dit geld niet.
De Amerikaanse overheid redde AIG. Als AIG zou instorten zouden
namelijk ook de tegenpartijen van de kredietderivaten en
verzekeringscontracten in de neergang kunnen worden mee gezogen.
Hoewel de kredietcrisis vooral een bankencrisis is, is hierdoor een
verzekeraar en niet een bank de grootste ontvanger van overheidssteun.
Achteraf bezien blijkt dat waarschuwingen van de
risicomanagementafdelingen van AIG genegeerd werden door belangrijke
bestuursleden die ook nog eens solistisch opereerden. De deskundigheid
van het bestuur als collectief schoot duidelijk tekort waar het
risicomanagement en kennis van complexe financiële producten betrof.
Laat deze casus een les zijn voor de dorpelingen om voortaan het
'WOLF, WOLF!' roepen van het jongetje serieus te nemen. Ook al lijkt
hij op het eerste gezicht vals alarm te slaan. Een stevige verankering
van de risicomanagementfunctie in de organisatie en een goede
voorbereiding voor Solvency II is hiertoe noodzakelijk. Of, om nog een
beetje in mijn metafoor te blijven: het wordt tijd dat het jongetje
volwassen wordt!
---