In de nadagen van Enron, Worldcom en Ahold hebben begrippen als corporate governance, compliance en risk management een hoge vlucht genomen. Een groot scala aan codes, wetten en regels, zoals Sarbanes Oxley, Tabaksblat, maar ook IFRS en COSO werden binnen korte tijd onderdeel van de dagelijkse vocabulaire binnen de financiële industrie. Banken en beleggingsinstellingen zagen hun risk management afdelingen gestaag groeien en de positie van compliance officer werd plotseling populair.
Sinds de regering Clinton stelde dat iedere Amerikaan, hoe arm ook, een eigen huis moest kunnen aanschaven1 , zagen banken de hieruit voortkomende risicovolle hypotheken liever snel van hun balans verdwijnen en verzonnen creatieve oplossingen om de subprime hypotheken door te verkopen. Uit de mortgage backed securities werden specifieke risico’s losgekoppeld en als bijvoorbeeld collateralised debt securities doorverkocht met goedkeuring van de credit rating agencies2.
Particulieren, maar ook professionals bij andere banken en institutionele beleggingsinstellingen kochten graag diverse gestructureerde producten in de veronderstelling het rendement tegenover precies de gewenste risico’s te ontvangen. Vervolgens kwamen er producten op de balans met risico’s die, achteraf gezien, wellicht groter of anders waren dan werd ingeschat. De doorwerkingen van deze vermogensverliezen op de liquiditeitsrisico´s van Investment Banks en van ‘de van balans verdwenen’ oplossingen bleken enorm. Tenslotte bleken overheden niet of nauwelijks in staat om ‘systeembanken’ te redden.
Hebben risk managers simpelweg niet goed opgelet? Werd er bij de banken aan de verkoopkant een te grote druk op hen gelegd om de sales en accountmanagers niet te veel in de weg te zitten? Waren professionele portfoliomanagers te gretig bij het maken van beleggingskeuzes? Waren de producten te ingewikkeld om nog te kunnen doorzien of is risk management nog een te nieuw begrip om bij financiële professionals in de genen te zitten? Of zit het werkelijke risico erin dat niemand de risico’s kan zien…?
In dit artikel beogen leden van de VBA Risk Management Commissie de kwesties en de valkuilen met betrekking tot de wijze waarop het risicobeheer is ingericht onder ogen te zien en concrete handvatten te bieden voor verbetering.
‘Zonder wrijving geen glans…’
Voordat de details besproken worden, gaan we in op de trade-off tussen risico en rendement:
“De mens leert te lopen dankzij vallen en opstaan”. Geldt dit niet ook voor de ‘financiële mensheid?’ We hebben geleerd van de crisis in de jaren ’30, van de krach in ’87, van de LTCM crisis, etc. Moeten we niet accepteren dat we soms met zijn allen een buil vallen? Geen bank zal nu nog hypotheken op de balans nemen die als te risicovol worden gezien en geen belegger zal nu nog middelen alloceren aan producten die te complex en te weinig transparant zijn. Hoe ziet u dit?
Paul de Beus: Ja – dat zouden we moeten accepteren. Dit heeft ook te maken met de beperkingen van de menselijke geest. Risicomanagers zijn redelijk goed in het inschatten van de bekende risico’s: de ‘known unknowns’. Het zijn de ‘unknown unknowns’ die tot schade kunnen leiden. Of the ‘unknowns wrongly to believed knowns’. En dat is deels van toepassing op de huidige crisis. Overigens zijn de ‘knowns preferred to remain unknown’ misschien wel nog venijniger. Het gaat dan om bedrijfsspecifieke risico’s die wel onderkend zijn, maar niet in detail verder onderzocht worden, omdat een actie om deze risico’s te mitigeren wellicht dwingt om het business model aan te passen…
Rob Schreur: Daarnaast lijkt het leereffect niet erg sterk te zijn en als het er is, beperkt het zich vaak tot de concreet gemaakte fout. In het proberen op te lossen van deze fout of de gevolgen ervan is het niet uitgesloten dat er maatregelen worden genomen die uiteindelijk tot weer nieuwe fouten leiden met mogelijk nog grotere consequenties.
Bob Out: Er is bovendien nog steeds sprake van een te grote asymmetrie in de informatie voorziening. Dit leidt voor de belegger tot een verkeerde inschatting van het risico-rendementsprofiel van de belegging.
Berry Debrauwer: Ik ben het eens met de stelling dat we van tijd tot tijd de mist ingaan en de eerstvolgende keer zal het weer over een ander product gaan. Kenmerkend is wel dat in vrijwel alle gevallen iedereen op hetzelfde moment door dezelfde uitgang wil en er dus gebrek aan liquiditeit en een goed functionerende markt ontstaat. Ik zou een rijtje willen maken van slechte leningen aan landen begin jaren tachtig, LTCM en slechte hypotheken. De crisis jaren ‘30, krach ‘87, internet luchtbel 2000 is voor mij een ander rijtje. Het eerste rijtje is het falen van interne (risk) managementsystemen en risk governance bij financiële partijen, het tweede rijtje zijn financiële crises. Hoewel de financiële partijen zich niet aan hun verantwoordelijkheid kunnen onttrekken (zorgplicht naar beleggers deskundig advies), zijn bankiers bij het tweede rijtje niet de veroorzakers maar spelen meer algemene, sociaal-economische en psychologische factoren een rol en zorgen voor de in deze gevallen heftige gangbare bewegingen in economische cycli.
Tjemme van der Meer: Dit roept wel een vraag op: “Zou ‘too big to fail’ niet moeten betekenen ‘too big to exist?’”
Checks and balances
De huidige crisis wordt deels geweten aan een tekort van checks and balances binnen ondernemingen. Voor ondernemingen is het generen van business de eerste prioriteit en wordt de inrichting van een goede risk management department soms als een obligate extra beschouwd.
Ook binnen een financiële onderneming wordt de risk department soms gezien als ‘dure overhead’ die enkel de commerciële functies (“immers de raison d’être van de onderneming”) in de weg staat. Er zijn zelfs gevallen bekend waarin een dergelijke department onder druk wordt gezet door de business lines of, als het even kan, zoveel mogelijk genegeerd wordt. Hoe ziet u dit?
Paul de Beus: Dit is dus typisch een geval van ‘knowns preferred to remain unknown’.
Joeri van Alphen: ik zie niet dat risk management onder druk wordt gezet om ergens in mee te gaan, of bewust omzeild wordt. Ik zie wel dat op veel plaatsen risk management nog niet altijd betrokken wordt bij besluitvorming, waar dat volgens mij wel zou moeten. Dit vereist ook een andere cultuur, die om te beginnen moet worden uitgedragen door de raad van bestuur.
Berry Debrauwer: Goede risk en corporate governance kan het risico van ontsporen reduceren, maar niet uitbannen. Uiteindelijk gaat het om persoonlijkheden, ego’s, het gebruik van gezond verstand door de key decision makers. Misschien kan coaching van key decision makers individueel en als groep nog iets toevoegen aan de effectiviteit van de formele governancemodellen.
Deze gedachte sluit aan bij de roep om een andere cultuur die er meer een zou moeten zijn van financiële professionals die zich dienen te committeren aan wat het beste voor de klant is in plaats van wat op korte termijn het beste voor henzelf of hun bedrijf lijkt te zijn. Je zou dus de coach samen met de risk manager dienen in te zetten als bewaker van de goede cultuur?
Tjemme van der Meer: Ik kan me vinden in de opmerking van Berry. Ik heb een paar keer gehoord van organisatiedeskundigen die een slecht functionerende organisatie vaak toerekenden aan iemand die niet lekker in zijn vel zat. Het hoort volgens mij bij goed HR beleid. Corporate Values, hoe abstract ook, kunnen toegevoegde waarde bieden.
Bob Out: Toch zijn er wel degelijk oplossingen te vinden in het ontwerp van de governance: iedere onderneming, inclusief een financiële instelling, kent in feite een interne vermogensmarkt. Middelen dienen zodanig aangewend te worden dat zij, gegeven de aan het verdienmodel inherente risico’s, bij die business line worden ingezet waar de middelen het meest naar verwachting zullen renderen. In die zin kunnen riskmanagers een belangrijke verificatietoets uitvoeren en nagaan of de checks en balances adequaat zijn.
Paul de Beus: Bovendien ziet men steeds meer partijen die juist risico als een belangrijke performance instrument en indicator zien, zolang ze bekend zijn (de known unknowns). Er wordt steeds bewuster op risico gehandeld en tevens wordt aan risico’s een prijs toegekend en worden de risico’s gemanaged in producten. Denk aan rendementsgaranties in Unit Linked contracten. Daarnaast worden risk management afdelingen nogal eens verward met risk measurement afdelingen. De risk measurement afdelingen hebben meer een rapporterende en/of controlerende functie terwijl de risk management afdeling een meer beleidsmatige functie zou moeten hebben.
Tom Veerman: Toch ligt de focus nu nog veel op ontwikkeling van theoretisch mooie modellen en te weinig op handelen op basis van uitkomsten uit de modellen.
Berry Debrauwer: Mee eens, dat loopt als een rode draad door dit gesprek heen. Het falen van de modellen en daar waar ze niet faalden leidde bij de besluitvorming tot het negeren van de uitkomsten van de modellen dan wel dat ze als een te laag risico werden ingeschat.
Paul de Beus: Maar vergeet niet: “All models are wrong, but some are useful3”
Op welke wijze zou de commerciële druk op risicomanagers verminderd kunnen worden en zouden veranderende verantwoordelijkheden of bonusstructuren aan de kant van de business lines hieraan kunnen bijdragen? Of dienen bonussen juist aan de kant van de risk management departments gedefinieerd te worden?
Paul de Beus: de bonusstructuur zou de business strategie en het beleid moeten weerspiegelen en niet andersom. Het is zeer raar dat beleggers het neerwaartse risico grotendeels zelf lopen terwijl uitvoerders, de managers, een call optie hebben: minimum inkomen met (onbeperkt) opwaarts potentieel en nauwelijks een neerwaarts risico.
Kijk ook naar hedge funds waar dit principe werkt in de relatie tussen het fund en de belegger4! In de VS is deze asymmetrie in de feestructuren van mutual funds niet toegestaan. Gelukkig zijn er steeds meer partijen die risicogewogen rendementsmaatstaven en high watermarks gebruiken, al kan dat concept veel verder doorgevoerd worden.
Berry Debrauwer: Ik heb geen enkel probleem met hoge fees en bonussen van hedge funds. Valt een hedge fund om, afgezien van frauduleus handelen, dan is de individuele belegger weliswaar zijn geld kwijt, maar hij heeft de keuze gehad om niet in dat fund te beleggen. Het omvallen van het fund veroorzaakt in principe geen systeemcrisis, dit in tegenstelling tot bij banken, waar dit risico sterker aanwezig is.
Bob Out: Belangrijk is niet alleen een rendementscomponent in de bonus van individuele managers op te nemen, maar ook een risico component, dat initieel gemeten kan worden aan de hand van Corporate Governance scoring modellen. Daarnaast kunnen ook zeg maar milieu en sociale te realiseren doelstellingen opgenomen worden in het ontwerp van de bonus. Kortom het werkt twee kanten op.
Tjemme van der Meer: Problemen kunnen niet altijd opgevangen worden door uitkeringen pas na bijvoorbeeld drie jaar te doen. Strategische beslissingen rond verzekeringsconstructies vereisen bijv. een grotere horizon. Met uitgestelde bonusuitkeringen vang je niet alle risico´s af. We kunnen in deze steeds dynamischere wereld niet wachten totdat iemand dood is met iemand ‘heilig verklaren’. Zoals Bob zegt, dienen we bonussen ook te baseren op risico.
Joeri van Alphen: Bonussen moeten mijns inziens in ieder geval gebaseerd worden op de overall doelstelling van de onderneming, zoals RAROC, embedded value profit, of iets waarin risk- en return zijn meegenomen.
Zouden oplossingen voor belangenconflicten gevonden kunnen worden in meerdere decentrale risk departments of juist door het onderdeel te laten zijn van het top management?
Paul de Beus: Dat is sterk afhankelijk van hoe de rest van de organisatie is ingericht. Risk Measurement en Control zou best een centrale service functie kunnen zijn. Risk Management kan prima decentraal, ook al worden de kaders op centraal niveau door topmanagement bepaald. Denk bijvoorbeeld aan de coöperatieve Rabobank met alle aangesloten lokale banken. Dit lijkt nog steeds prima te werken.
Joeri van Alphen: Risk management moet vertegenwoordigd zijn in het top management, in de persoon van een Chief Risk Officer, naar wie functionele rapportagelijnen lopen door de gehele organisatie, conform de organisatiestructuur. Vertegenwoordiging van de CRO in de RvB is van belang om een onafhankelijke rapportagelijn tot het hoogste niveau toegang te bieden. Verder kan in officiële overleggen de risk manager vetorecht worden gegeven.
Creëer je hiermee niet het risico van afschuiven: “We hebben een CRO, dus ons kan niets gebeuren en als het toch mis gaat is hij de schuldige”.
Tjemme van der Meer: Eens. Het mandaat van risk management is niet altijd duidelijk. Wie wordt er ontslagen als het fout gaat? Wat mij betreft is dit de manager. Het introduceren van risk managers moet een toevoeging zijn aan het arsenaal, geen vervanging. We kunnen geen managers hebben die geen ownership over risico voelen. Risico en rendement moeten in één hand liggen. Het meten van risico op afstand is onvoldoende. Als er verliezen ontstaan, moeten visies en risico’s snel opnieuw ingeschat kunnen worden en actieplannen ontwikkeld, inclusief het definiëren van stop-losses, en het aanpassen van beleggingshorizonnen.
Joeri van Alphen: Ik denk dat de CRO, of risk management meer in het algemeen, verantwoordelijk mag worden gehouden voor het niet rapporteren van bepaalde risico’s. Het management blijft echter altijd verantwoordelijk voor alle beslissingen. Risk management zie ik als een tweedelijns orgaan.
Bob Out: Het Corporate Governance model gaat ervan uit dat het eerste risico wordt gecreëerd door het principal-agent probleem. Door op vermogensverschaffer niveau mechanismes te introduceren waardoor management en vermogensverschaffer conformiteit in de belangen nastreving hebben, kan vervolgens het model topdown worden uitgerold tot het laatste echelon in de organisatie aan toe.
Met andere woorden: het gaat er steeds om, om laag voor laag in de organisatie de belangen gelijk te schakelen. Dit komt mij toch wel enigszins utopisch over…
Tjemme van der Meer: Dit lijkt me juist een uiterst waardevol punt van Bob. Iedereen moet verantwoordelijkheid; ‘ownership’ nemen, transparantie verschaffen aan managers en transparantie eisen van ondergeschikten.
Zouden externe risk bureaus de oplossing kunnen bieden? Op welke wijze zouden dergelijke externe bureaus zich verhouden tot de ervaringen die we nu met rating agencies hebben opgedaan?
Tom Veerman: Alleen ten aanzien van educatie van interne risk managers. Er is veel kennis aanwezig die goed benut kan worden door de interne risk management afdeling.
Rob Schreur: Ik verwacht niet dat externe risk bureaus de oplossing kunnen bieden doch mogelijk wel deel ervan kunnen uitmaken. Veel pensioenfondsen maken gebruik van bijvoorbeeld ALM consultants om inzicht te krijgen in de diverse pensioenfondsrisico’s en hoe deze verschillen afhankelijk zijn van het gekozen beleggingsbeleid. Belangrijk is dat deze consultants niet alleen beschikken over de juiste kwantitatieve bagage en modellen, maar vooral de ervaring en expertise hebben om buiten de modellen om te denken over de niet gemodelleerde risico’s of de risico’s van de gebruikte modellen en aannames. Het blind vertrouwen op model uitkomsten is niet zonder risico.
Paul de Beus: Een onderneming kan nooit de verantwoordelijkheid voor het risicobeheer delegeren aan een externe partij (zie bv recente SII Governance implementing measures issues paper van CEIOPS5). Externen kunnen bijdragen aan het verbeteren van de professionaliteit van een organisatie, maar moeten ook pro actief acteren op de strategie of het beleid van de te servicen partij en niet meer.
Joeri van Alphen: Ik denk dat risicobewustzijn vanuit de organisatie zelf moet komen. Interne auditors en de RvC hebben vervolgens de taak te beoordelen of risk management haar werk goed doet. Het inschakelen van externe bureaus leidt tot een checkboxcultuur.
Tjemme van der Meer: Voorzover externe stakeholders risk control vereisen, is een externe risk manager (rating agency / regulator) het meest onafhankelijk.
In zekere zin vervullen de rating agencies de rol van een toezichthouder, zij het op commerciële basis. Hebben we nu niet juist gezien dat daar ook weer risico’s aan verbonden zijn?
Berry Debrauwer: Ik denk dat er aanmerkelijke verschillen zijn tussen toezichthouders en rating agencies, alleen al op basis van het mandaat dat ze hebben. De huidige omstandigheden hebben de beperkingen van rating agencies / externe bureau’s aangetoond, maar dat is ook gebeurd ten aanzien van het interne riskmanagement. Maar zoals we intern riskmanagement niet overboord gooien, zelfs eerder versterken, zo blijft er een rol voor externe bureau’s. Alleen zal er altijd het besef moeten bestaan dat ook zij niet onfeilbaar zijn, zowel qua inzicht als qua snelheid van handelen. Bij snelle ontwikkelingen zoals de afgelopen 12 maanden zullen ze achter de feiten aan blijven hollen, net zoals rapporten van de economische voorspellers, zoals OESO en IMF vaak rapporteren over de stand van zaken van de economie zoals we die zelf al aan den lijve ervaren hebben 2 tot 3 maanden terug.
Zou je in het algemeen kunnen zeggen dat risk management achter de feiten aanloopt?
Berry Debrauwer: Nee, zeker niet voor producten die nog in ontwikkeling zijn. Riskmanagement zal bijvoorbeeld bijna altijd onderdeel zijn van het ‘product approval’ proces.
Tjemme van der Meer: Risk management heeft niet altijd direct contact met markt / stakeholders. Maar ze dienen die wel pro-actief te volgen, net als interne exposures.
Zou in dit verband de externe auditor nog meer naar de risicoposities van de onderneming moeten kijken dan nu het geval is?
Tjemme van der Meer: Op dit moment richt audit zich vooral op processen. Bij verzekeraars bestaat sinds enkele jaren het begrip ‘certificerend actuaris’ die onafhankelijk naar de cijfers kijkt. Dat biedt mijns inziens toegevoegde waarde, met name als de inter ne actuarissen risk ownership blijven houden en als de certificerend actuaris over verzekeraars heen kan kijken. Naarmate annual reports meer informatie geven over risico, valt de eindverantwoordelijkheid meer toe aan externe accountants.
Berry Debrauwer: Ik weet niet of dat dé oplossing is. Van de externe partijen zijn auditors wel één van de partijen die behoorlijk diep in de organisatie mogen en kunnen kijken. Alleen vraag ik me af of zij meer zullen constateren dan die riskmanagers, die vervolgens overruled worden door de business in het krachtenveld binnen de onderneming.
Paul de Beus: Auditors kijken in hun opdracht met name naar gerealiseerde, historische resultaten, terwijl risico juist toekomstgericht is. Dat zit nog niet in de standaard bagage van auditors, wat juist de reden en eis is van audit standard setters voor de inzet van experts (zie bv ISA 545). Deze ontwikkeling zal nu sneller vervolg krijgen, mede gezien de ontwikkelingen naar toekomstgerichte informatie (bijvoorbeeld Wft, IFRS fase 2, Solvency II, MCEV, maar ook IFRS7).
Tjemme van der Meer: Ik denk niet dat auditors zinvol subjectieve risico-inschattingen kunnen monitoren, maar ze zouden wel ‘objectieve’ risico-inschattingen kunnen monitoren, zoals risico’s gebaseerd op historische data.
Kennis
Over de huidige crisis wordt vaak beweerd dat er assets verkocht zijn, zoals gestructureerde producten, doorverpakte mortgage backed securities e.d. waarvan niemand nog begreep wat ze inhielden.
Is dit een correcte veronderstelling, of verschuilt men zich nu achter de complexiteit en had men beter moeten weten?
Bob Out: Natuurlijk wist een deel niet waar het om gaat en een ander deel wel, dat is met bijna alle producten zo. De angel zit hem in het feit dat producten nooit zijn gestandaardiseerd en daardoor vergelijking van pricing minder inzichtelijk is. De mogelijkheden om producten op een secundaire markt te verhandelen zijn van onschatbare waarde indien liquiditeit moet worden gegenereerd.
Vandaar dat een centraal clearing systeem een mogelijke oplossing is.
De centrale clearing kan dan toezien op een goede verhandelbaarheid tussen marktpartijen onderling en nauwlettend bijhouden wat de netto liquidatiewaarde is van de positie van de diverse partijen verbonden aan de centrale clearing. Daarbij komt dat een clearing systeem OTC producten die niet volstaan conform een aantal criteria, niet hoeft toe te laten.
Het wederpartij risico wordt hiermee tegengegaan en tevens krijgen centrale banken een extra instrument in handen, namelijk dat het percentage dat niet via een centrale clearing wordt verhandeld niet hoger mag zijn dan zeg bijvoorbeeld 12,5% van de activa.
Tjemme van der Meer: We hebben zelfs voor gestandaardiseerde producten, zoals LIBOR, gezien dat het OTC-karakter aanleiding heeft gegeven tot problemen. Misschien moet LIBOR gebaseerd gaan worden op verhandelbaar papier (CDs).
Laten we veronderstellen dat het centrale clearingsysteem werkt en dat op zijn minst een deel van de markt hiervan gebruik maakt. Desondanks zullen er altijd partijen zijn die onderlinge contracten aangaan die niet in het keurslijf van het clearinghouse passen. Blijft het probleem van gebrek aan kennis hier niet nog steeds van toepassing?
Paul de Beus: ‘Zij die niet zwemmen kunnen, ga het water niet in’. De industrie heeft te makkelijk gesteund op externen zoals rating agencies. Achteraf is dit gemakkelijk te zeggen, maar het is wel objectief aanwijsbaar dat weinigen een serieuze due dilligence hebben uitgevoerd naar de producten waarin zij of hun klanten in belegd hebben. Dit is dan weer een concreet voorbeeld van de ‘unknowns wrongly believed to be knowns’.
Tjemme van der Meer: Ik maak me zorgen of we als maatschappij wel voldoende geld over hebben voor goede research. Wie betaalt de rating agencies om goede kwaliteit te leveren? De overheid wil dat ze niet gefinancierd worden door de sell-side (conflict of interest), maar aan de buy-side is het ‘free-rider’ probleem levensgroot. Shiller6 heeft voorgesteld dat de overheid een zwaardere rol moet spelen bij improved Financial disclosure. De derde pijler van Basel II7 is derhalve een belangrijke stap.
In uw antwoorden geeft u aan dat de kopende partijen en dan vooral de professionele beleggers, verweten kan worden onvoldoende buy side analyse te doen en zomaar ergens in te stappen, ofwel dat professionele beleggers niet hebben gedaan waar ze voor betaald worden. Is dit een juiste conclusie uit uw antwoord?
Tjemme van der Meer: Ik denk inderdaad dat dit het geval is voor heel wat beleggers.
Berry Debrauwer: Het gaat mij te ver om professionele beleggers te verwijten dat ze zomaar ergens in zijn gestapt. Ik vind wel dat dit een goed moment is voor zelfreflectie van beleggers als pensioenfondsen en verzekeraars die middelen moeten beleggen waar anderen van moeten leven. Je eerste taak is de uitkeringen veilig te stellen en misschien hoort daar wel per definitie een heel risicomijdend beleid bij met betrekking tot het onderscheid tussen complexe en niet-complexe producten.
Kunnen professionele beleggers zich nog verschuilen achter het argument dat ze met wereldwijde beleggingen niet ieder risico apart meer kunnen inzien? Grote institutionele beleggers hebben vele beleggingsspecialisten in huis en anders kunnen zij wel gespecialiseerde beleggingsfondsen of mandaten in de portefeuille opnemen. Wat is hierover uw mening?
Tjemme van der Meer: Niet alle grote institutionele beleggers hebben vele beleggingsspecialisten in huis. Ook het verantwoord uitbesteden van mandaten vereist intern heel wat kennis.
Berry Debrauwer: Uit mijn vorige antwoord mag je afleiden dat zij zich daarachter niet kunnen verschuilen. Als zij zich beperkt of niet competent voelen in het kunnen overzien van alle individuele risico’s, dan moet het voor pensioenfondsen en verzekeraars met hun verantwoordelijkheid naar hun belangrijke stakeholders duidelijk zijn: niet aangaan, die risico’s.
Organisaties als PRMIA, GARP, het CFA Institute en de VBA hebben zich tot doel gesteld om kennis binnen de financiële industrie zo diep mogelijk te ontwikkelen en tegelijk zo breed mogelijk te verspreiden. PRMIA en GARP zijn hierbij het meest gericht op risk management. Dienen zij het curriculum te verzwaren opdat risk managers complexe structuren beter kunnen doorzien?
Tom Veerman: De diepgang van de kennis van deze instituten is mijns inziens geen probleem. Het is de verantwoordelijkheid van de verzekeraar of bank om te waarborgen dat voldoende kennis aanwezig is indien men besluit zich toe te leggen op verkoop of aankoop van complexe producten.
Zou je dan kunnen zeggen dat beslissers op zijn minst gecertificeerd moeten zijn?
Tjemme van der Meer: Op dit moment kan iedereen zich risk manager noemen. Een parallel met de beschermde titel van actuaris zou een flinke verbetering betekenen.
Berry Debrauwer: Op zich is er niets mis mee om beroepseisen te verzwaren, maar of het deze problemen oplost is de vraag. Een aantal partijen die het niet begrepen, hebben daardoor niet of nauwelijks meegedaan aan deze producten en zijn daardoor in ieder geval niet direct geraakt door de crisis. Kennis kan het verkeerde gevoel van comfort geven.
Dienen risk managers dan simpelweg “nee” te zeggen op het moment dat ze een structuur als zijnde te complex beoordelen?
Tom Veerman: Ja. Het is dan ook van belang dat risicolimieten niet alleen kwantitatief, maar ook kwalitatief van aard zijn.
Bob Out: Moeilijk te beantwoorden, maar de markten worden door innovatie gedreven, dus de ontwikkeling van nieuwe en dus onbekende producten is toch niet stop te zetten. Het vereist vanuit die redenering dus een toenemende kennis van de risico’s die aan een product of verdienmodel ten grondslag liggen. Een goed begin zou een apart risicohoofdstuk in analistenrapporten zijn die niet op juridische grondslag, maar meer vanuit een economisch financieel perspectief worden behandeld. In de zin van what if en dan doorrekenen.
Bepaalde risico’s die vroeger nog niet bekend waren, kregen later de volle aandacht en andere risico’s werden na verloop van tijd steeds minder belangrijk gevonden. Op welke wijze dient een onderneming risico’s te monitoren en op welke wijze dient deze monitoring embedded te zijn in de organisatie?
Rob Schreur: Afhankelijk van de aard van het risico kan de frequentie van monitoring verschillen. Marktrisico of tegenpartij risico zou frequenter bezien kunnen worden dan bijvoorbeeld procesrisico’s. Belangrijk is wel dat er een continue nieuwsgierigheid is naar de diverse risico’s en dat deze vanuit diverse invalshoeken worden belicht en dat men elkaar uitdaagt ook naar risico’s te kijken waarvan de waarschijnlijkheid laag wordt geacht.
Bob Out: Het is niet zo dat risico’s niet werden gevolgd. Ze waren op dat moment domweg niet eminent. Dat is ook het probleem van risico, het is latent altijd aanwezig maar je weet nooit wanneer het manifest wordt en als je dat wel voelt aankomen dan weet je vaak niet wat de katalysator ervan is. Monitoren is dus van groot belang en zodra een bel gaat dient de rode vlag worden gehesen tezamen met een vooraf vastgesteld actie programma, omdat anders te veel tijd wordt verloren.
Zouden we meer aandacht moeten besteden aan risicoinnovatie?
Paul de Beus: Absoluut!
Tjemme van der Meer: Of misschien juist wat minder! Het was achteraf niet altijd verstandig om vooral te vertrouwen op ‘geavanceerde’ risico-maatstaven, en daarbij ‘ouderwetse’ maatstaven als leverage nauwelijks mee te nemen. Veranderende risico-perspectieven kunnen ontstaan vanuit stakeholders, vanuit de markt en vanuit de organisatie. Contactpunten met stakeholders en met de markt hebben derhalve een belangrijke verantwoordelijkheid om een veranderende omgeving op een effectieve manier te communiceren aan het management. En het management moet daar ook van doordrongen zijn. Twee lessen: (1) je moet opnieuw en zorgvuldiger naar een product kijken als het ‘groot’ geworden is, (2) al was het maar om te checken of destijds de juiste expertise is ingeschakeld.
Waar ligt de grens? Zouden we dan kunnen stellen dat we te maken hebben gehad met een extreme vorm van de productlevenscyclus? Zitten we niet domweg in de fase waarin de winstgevendheid van gestructureerde producten daalt, omdat er een kritische massa in het aantal partijen is bereikt, met daarbij het vervelende bijeffect dat we te maken hebben met een product dat ook nog eens financiële risico’s in zich draagt?
Tjemme van der Meer: Ik denk inderdaad dat dit het geval is. Mensen gingen steeds meer risico nemen om bij te blijven.
In welke mate is het de rol van de professionele belegger om meer transparantie af te dwingen in de producten die hem worden aangeboden?
Joeri van Alphen, Tom Veerman en Rob Schreur zijn hierover eensgezind: Als een belegger als vertrekpunt neemt beleggingen die hij niet begrijpt te mijden dan hebben professionele beleggers zeker een belangrijke rol te spelen en ook tezamen een behoorlijk zware stem. Met name ook de wisselwerking tussen belegger en riskmanager kan hier belangrijk zijn omdat ze aanvullend op elkaar kunnen werken.
Bob Out: Vooral binnen de governance structuur van de belegger zouden richtlijnen en toetsing comités van nieuwe titels die kandidaat zijn voor opname in een portefeuille een belangrijke rol kunnen spelen. Hierdoor is de belegger zelf ook beter in staat de rendement/risico relatie in kaart te brengen. Daarnaast zou additionele transparantie bijvoorbeeld via de website om de achterban ook op de hoogte te houden de verassingen kunnen verkleinen.
Transparantie en complexiteit lijken nog wel eens door elkaar gehaald te worden. Wat is hierover uw mening?
Berry Debrauwer: Complexiteit leidt volgens mij per definitie tot minder transparantie en legt een grote verantwoordelijkheid bij de verkopers om het goed uit te leggen, de nodige transparantie te verschaffen. Maar in de keten van bedenkers van een complex product tot aan de uiteindelijke eindbeleggers zitten de nodige schakels, dus daar gaat in de keten veel informatie verloren of wordt deze verkeerd geïnterpreteerd.
Toezicht / Aandeelhouders
Wat vindt u van de maatschappelijke roep om meer toezicht van overheden?
Tjemme van der Meer: De ontwikkelingen rond toezicht op risk management gingen al heel snel voordat de crisis dit jaar losbarstte. En er lijkt nu een vlucht naar voren te komen van regulators: “We zullen en moeten alle risico’s aantoonbaar identificeren, meten, managen en controleren”. Het zou geen kwaad kunnen om even stil te staan om te kijken of we op de goede weg zijn. Als bedrijven al terughoudend zijn met het geven van winstprognoses voor het komende jaar, mogen we dan realistisch van ze verwachten dat ze aangeven hoe betrouwbaar die ramingen zijn in een 1-200 (!) jaar scenario?
Praktisch gezien dwingen regulators en rating agencies, misschien onbedoeld, een gestandaardiseerde, bureaucratische risk management aanpak af. Dat creëert niet alleen extra kosten, maar vergroot ook de spanning tussen business en risk management. De budgetten voor risk management worden (in eerste instantie) vooral besteed aan externe compliance in plaats van aan het voeren van goede interne risicobeheersing. De RvB zou ook zelf verantwoordelijkheid moeten nemen voor het beïnvloeden van regelgeving.
Paul de Beus: Ik ben het niet met Tjemme eens. De gebruiker moet meer informatie eisen van de leverancier en de leverancier moet aan een bepaald minimum voldoen volgens regels van nationale of Europese toezichthouders / overheid. Solvency II is daar een heel goed, positief, voorbeeld van. Maar laat het ondernemersschap ook nog ambities hebben! In zekere zin dient een ondernemer juist de ‘unknown unknowns’ op te zoeken en kansen te benutten die niemand anders ziet.
Joeri van Alphen: Ik geloof ook niet zo in ‘meer toezicht’ door bijvoorbeeld de regels uit te breiden of zaken te verbieden. Toezicht moet zich ervan vergewissen dat een onderneming zelf alle risico’s onder controle heeft. Ik denk dat het toezicht hier en daar dieper moet prikken als een onderneming zegt ‘in control’ te zijn. Als dit niet het geval blijkt te zijn, heeft zij bijvoorbeeld de mogelijkheid extra kapitaalseisen op te leggen (formeel onder de tweede pijler van Basel II en Solvency II).
Op welke wijze zou de toezichthouder moeten prikken? Door het inhuren van financiële analisten of door nog zwaarder te tillen aan de “in control statement” van auditors of openbaarheid eisen van de financiële databases etc?
Joeri van Alphen: De toezichthouder in Nederland heeft de capaciteit, kennis en kunde in huis om on-site onderzoeken uit te voeren en DNB doet dit regelmatig. Hierbij zal DNB zich niet zozeer moeten baseren op openbare statements maar vooral focussen op gebieden waar zij zelf de grootste risico’s ziet in de organisatie.
In welke mate dient de industrie zich zelf te reguleren?
Tom Veerman: Zoveel mogelijk.
Joeri van Alphen: Externe toezichthouders, zoals DNB, kunnen de risk governance niet negeren omdat het een wezenlijk element is van de stabiliteit van financiële ondernemingen, en dus van de belangen van polishouders en spaarders. Volledige zelfregulering is dus niet aan de orde.
Berry Debrauwer: Zelfregulatie is een mooi ding, maar kan nooit alleen de oplossing zijn. De historie heeft dat bij herhaling aangetoond. Kijk maar eens naar alle mooie rapporten, bijvoorbeeld IIF8, die door de industrie al in het voorjaar van 2008 geschreven zijn naar aanleiding van de zichtbaar geworden problemen in augustus 2007. Deze voorkwam desondanks niet de diepe val in Q3 en Q4 2008.
Tjemme van der Meer: Het IIF en de Counterparty Risk Management Group9 hebben goed werk geleverd. Ik denk dat Amerikaanse banken kunnen leren van de Gedragscode Hypothecaire Financieringen zoals we die in Nederland kennen10. PRMIA en GARP zouden standaarden kunnen ontwikkelen voor het objectief meten van risico’s op historische basis. Echter, hoe belangrijk deze codes ook zijn, ik deel de scepsis van Stiglitz11 dat codes of conduct moeilijk hard te maken zijn, en het best werken als de stakeholders die afdwingen.
Op welke wijze kan de rol van de auditor met betrekking tot toezicht worden verbeterd?
Berry Debrauwer: De externe auditor is bij uitstek de instantie die van buitenaf diep een kijkje in de onderneming kan nemen, veel meer dan andere partijen, ook al hebben die in het geval van bijvoorbeeld DNB en AFM meer bevoegdheden. De externe auditor zou dan de extra spiegel zijn, die ook nog toegang heeft tot de RvC.
Bob Out: Een auditor kijkt en registreert het verleden. Natuurlijk is hieruit informatie te verzamelen die kan bijdragen aan de benoeming van indicatoren. De verantwoordelijkheid voor strategische beslissingen kan echter niet in handen zijn van een auditor.
De crises rond Enron, Worldcom en Ahold zijn aanjager geweest voor Sarbanes Oxley en in Nederland de code Tabaksblat. Doel hierbij was om de aandeelhouders meer macht te geven en om professionele lange termijn aandeelhouders, zoals pensioenfondsen, meer aan te sporen van hun zeggenschap gebruik te maken. In Nederland heeft dit geleid tot een heroriëntatie bij Eumedion, de oprichting van het Governance Platform en toegenomen aandacht voor de VEB. Kunnen we nu stellen dat aandeelhouders desondanks hebben gefaald?
Bob Out: Neen, integendeel. De initiatieven die ontplooid zijn hebben geleid tot minder kapitaalvernietiging in vergelijking met de situatie dat deze organisaties niet zouden zijn opgezet. Iedere hausse cyclus in een financieel systeem wordt gevolgd door een inzinking.
Rob Schreur: Een meer actieve opstelling van aandeelhouders kan ook vanuit andere gezichtspunten zinvol zijn. Naast aandacht voor aandeelhouderswaarde kunnen ook aspecten rond duurzaam ondernemen bespreekbaar worden gemaakt. Natuurlijk is het niet zo dat aandeelhouders in het proces geen fouten maken doch per saldo lijkt mij dit systeem een betere verdeling van checks en balances op te leveren dan een systeem waarbij de aandeelhouder niet wordt gehoord.
Berry Debrauwer: Aandeelhouders zijn een heel heterogene groep. Activisme onder aandeelhouders, gecombineerd met toegenomen wettelijke macht van aandeelhouders heeft geleid tot het in eigen voet schieten: de korte termijn focus waartoe ondernemingsbesturen werden gedwongen heeft mede ten grondslag gelegen aan de huidige crisis en dus de massale vernietiging van aandeelhouderswaarde.
Deze korte termijn focus was er ook al vóórdat corporate governance richtlijnen in zwang kwamen. Heeft aandeelhoudersactivisme deze korte termijn focus versterkt?
Berry Debrauwer: Interessant in deze zou het antwoord op de vraag zijn of het relatief goed presteren van de Rabobank toe te schrijven is aan het management of aan het coöperatieve karakter.
Joeri van Alphen en Tom Veerman: Aandeelhouders kunnen geen onafhankelijk oordeel vellen over de risk governance vanwege te beperkte informatieverstrekking. Toevoegen van een groepsbreed risk report (met bijbehorende risicolimieten en naleving daarvan) als additionele disclosure bij het jaarverslag vormt een mogelijke oplossing.
Kunnen we hieruit concluderen dat aandeelhouders geen blaam treft in de crisis?
Joeri van Alphen: Ik denk inderdaad dat de aandeelhouders niet de eerste aangewezen groep zijn van wie verwacht had mogen worden dat zij een forse bijdrage hadden kunnen leveren aan het voorkomen van de crisis. Ik denk inderdaad dat aandeelhouders van Nederlandse banken die overheidssteun hebben aangevraagd geen blaam treft. Voor banken waarbij de distributie van CDO’s core business was, zoals enkele zakenbanken als UBS en Lehman Brothers, was een meer kritische houding van aandeelhouders (in ieder geval achteraf gezien) op zijn plaats geweest.
Zou men kunnen stellen dat deze regels nog te recent zijn ingevoerd waardoor (professionele) aandeelhouders te weinig tijd hebben gehad zich als zodanig te bewijzen en zijn ze door de tijd ingehaald?
Tjemme van der Meer: Ik denk inderdaad dat banken, ook vanwege hun leverage, relatief veel instrumenten hadden waarbij geen gegarandeerde liquiditeit / prijsvorming was en waarbij onvoldoende breed gedragen risicomaatstaven waren.
Of zijn de opgestelde codes en regels van corporate governance toch nog te zwak?
Bob Out: Nee, niet als de situatie wordt bezien van een transparantie en accountabilitiy invalshoek, de twee hoofdpijlers van Corporate Governance. Immers, indien dit goed gebruikt was geweest in de communicatie richting onder meer de toezichthouders en van toezichthouders richting de markt dan wisten we lang geleden al veel meer.
Rob Schreur: Dat durf ik niet te zeggen. Er moet ook een balans zijn tussen codes en regels en hetgeen verwacht mag worden van aandeelhouders. Overigens verwacht ik wel in de toekomst dat de risicoparagraaf van met name financiële instellingen meer aandacht zal krijgen waarbij niet alleen hetgeen er wel staat doch ook hetgeen er niet staat beschreven de nodige aandacht zal krijgen.
Noten
- New York Times, 30 september 1999: “Fannie Mae eases credit to aid mortgage lending”. In het artikel wordt er reeds voor gewaarschuwd dat Fannie Mae als gevolg van deze wet significant meer risico in de boeken neemt en dat dit in tijden van economische downturns tot een ‘governent bail out’ zou kunnen leiden.
- Hans de Ruiter: “Lessen van de huidige financiële crisis”, VBA Journaal 2008
- “Empirical Model-Building and Response Surfaces”, George E. P. Box et al, 1987
- Jan Bertus Molenkamp heeft 11 nov. j.l. een presentatie over dit onderwerp gegeven voor het VBA (´fee structuren en gelijkschakeling van belangen´).
- CEIOPS, Nov. 2008, “Implementing Measures on Systems of Governance” http://www.ceiops.eu/media/docman/ public_files/consultations/IssuesPaper-on-Governance. pdf
- Shiller, Robert J., 2008, “The Subprime Solution”.
- De drie pijlers betreffen (1) kapitaalvereisten ten opzichte van de gelopen risico’s; (2) wijze waarop toezichthouders op de eerste pijler reageren; (3) transparante informatie.
- IIF, Final Report of the IIF Committee on Market Best Practices: Principles of Conduct and and Best Practice Recommendations, July 2008.
- CRM Policy Group, Containing Systematic Risk: The Road to Reform, Augustus 2008.
- Zie: http://www.nvb.nl/scrivo/asset.php?id=103344
- http://www.vanityfair.com/magazine/2009/01/stiglitz 200901?currentPage=1.
in VBA Journaal door Vlnr: Drs. Joeri van Alphen RBA MBA, Dr. Tjemme van der Meer, Drs. Herialt Mens CFA, Drs. Berry Debrauwer, Drs. Paul de Beus, Op de foto ontbreken: Mr.Drs. Rob Schreur, Dr. Bob Out, Drs. Tom Veerman AAG RBA