Aggregering och rapportering av risker, IT-arkitekternas dröm eller mardröm?

Att regelverken översvämmar bankerna är ingen nyhet och det talas ofta om regelverkstsunamis, och det är mycket diskussioner kring detaljstyrning mm. Men, man bör ändå skilja på regelverk och regelverk. Baselregelverket kring riskdatarapportering och riskdataaggrerering, BCBS 239 och dess svenska införande FFFS 2014:1 och FFFS 2014:30, är ju ingen detaljstyrning utans snarast kvalitet, ordning och reda på data - något som alla bolag redan borde uppfylla. Har man ordning på sitt data behöver man ju inte göra något – och har man inte ordning… så kanske man kan få budget till att fixa till det…

Det nya regelverket kräver helhetsyn och automatisering för snabbare riskberäkningar och tydligare riskrapportering hos banker. Att hantera och prissätta risker är kärnan för bankernas verksamhet. Det är önskade risker som man tjänar pengar på – såsom kreditrisker, marknadsrisker och likviditetsrisker – och dessa ska naturligtvis vara överblickbara och korrekt  beräknade och rapporterade både för banken totalt som för olika enheter. Så det här borde ju redan vara perfekt hos bankerna, vad är problemet?

Well, under finanskrisen 2007 uppdagades stora brister i bankernas förmåga att på ett automatiserat och snabbt sätt ta fram riskexponeringarna för olika delar i bankerna och enligt Baselkommittén har detta fortfarande inte adresserats varför de nya kraven anses nödvändiga för att skydda deras kunder och i slutändan hela samhället. Ett nytt regelverk för styrning och risk för systemviktiga banker har därför tagits fram som ett komplement till Basel III. Svenska Finansinspektionen har i FFFS 2014:1 och FFFS 2014:30 infört delar av detta i Sverige och har även under hösten genomfört en studie i syfte att undersöka hur bankerna står sig i detta perspektiv. Resultaten är ännu inte offentliga men vi hoppas att Christer Furustedt, från Finansinspektionen kommer att berätta om detta på vårt seminarium den 14 november.

Men om det nu inte är perfekt idag, hur funkar det egentligen? Rapporter produceras ju regelbundet både internt och externt. Styrelse och ledning måste ha kontroll på vilka risker som tas eftersom de i slutändan är ansvariga och behöver ett bra beslutsunderlag och de får ju mängder av rapporter. Är inte problement löst då? Tyvärr inte skulle jag säga. Det managementkonsultbolag har sett är att bankerna har mycket manuell handpåläggning, ibland i flera led, i sin riskdataaggregering och riskrapportering vilket, om det blir fel, kan ge upphov till stora operativa risker då affären, styrelsen och ledningen måste fatta beslut baserat på felaktiga underlag.  En viktig konsekvens av det nya regelverket är att strukturen gällande beräkningar och riskdata måste automatiseras i mycket högre grad. Att som idag använda Excel i antal olika separata led fungerar inte längre, utan helt nya datastrukturer måste till. Då det oftast är många manuella steg innan riskrapportering, så införs onödigt många möjliga felkällor och totala risken blir svår att överblicka. Hur detta skulle kunna adresseras kommer vi också prata om på seminariet den 14 november och Carl Raning från Oliver Wyman kommer berätta om sina erfarenheter hur detta kan adresseras med en kombination av interna system och i kombination med nya. Generellt kan sägas att riskrapporteringen kommer bli mer tillförlitlig efter detta regelverk.

Men, vi pratar ju om riskrapportering – utan att nämna beräkningar – beräkningar är implicit i detta regelverk. Vad vi ser är att de olika riskerna oftast behandlas separat idag. Med de nya direktiven kommer sannolikt kredit- marknads och likviditetsrisker inte längre behandlas som åtskilda enheter, utan istället görs beräkningarna på samma data vilket gör dem lättare att jämföra och aggregera och även stresstesta. Med rätt verktyg kan man också ha samma prisfunktioner för en banks tillgångsvärdering och olika risktyper. Detta ger ett mer holististiskt perspektiv, med integrerad företagsövergripande riskhantering istället för det lapptäcke av riskhantering och manuella steg som ofta sker idag. Det kommer bli en kvalitetsförbättring och en affärsfördel givet att man är beredd att göra den investeringen som krävs för att detta ska vara möjligt. Det beror i sin tur hur regelverket tolkas och övervakas från Finansinspektionens sida.

Det kan för vissa banker innebära en stor kostnad initialt att byta systemen, men det finns stora kvalitetsförbättringar att göra utan att göra så radikala steg som att byta samtliga system. Rätt investeringen kan räknas hem genom ett positivt business case. En generisk riskmotor som kan läsa in information från övriga risksystem på detaljerad nivå och som samtidigt kan vara en mellanväg som ger snabba resultat.  Men på sikt är detta till gagn för alla. Undersökningar som managementkonsultbolagen (tex Oliver Wyman – ”The Risk Data Agenda”) gjort visar att den operativa verksamheten gynnas och att kostnaderna minskar på sikt. Vi har sett exempel på felrapportering och på vilka oerhört svåra konsekvenser det kan få.

På vårt frukostseminarium den 14:e november om insamling, aggregering och rapportering av risker ser jag fram emot att höra Jon Blomqvist från SAS Institute berätta mer om hur SAS kan visa att systemlösningarna kan blir en sann dröm och inte en mardröm för bankerna och kreditmarknadsbolagen..!

John Carlbäck, Key account manager, Bank & Finance
https://twitter.com/jcarlback