I 2007 trer nye kapitaldekningsregler for banker i kraft, kjent som Basel II etter komiteen som de største internasjonale bankene satt sammen for å finne fram til måter å begrense tap gjennom overeksponert risiko.
De nye reglene pålegger bankene å foreta løpende vurderer av sin samlede risiko, og å operere med risikojusterte priser på sine utlånsprodukter, for eksempel ved at solide kunder betaler lavere rente enn mer risikable prosjekter. Mens Kredittilsynet i dag krever at det settes av åtte prosent av utlånt kapital – samme andel for Hydro som for Finance Credit – krever Basel II at det skal avsettes reservekapital i forhold til den faktiske risiko, slik den beregnes av bankens risikovurderingssystem.
For bankene innebærer denne pålagte overgangen til risikostyring at de må endre alt fra kultur og rutiner til IT-baserte verktøy for beslutningsstøtte. Omstillingen gir velorienterte og IT-kompetente konsulentselskaper gode muligheter.
BearingPoint Norway har grepet anledningen på et tidlig tidspunkt, og står klar både med en undersøkelse som viser i hvilken utstrekning norske banker forholder seg til risikostyring, og med de første IT-verktøyene som kan bidra til å sette prinsippene ut i live.
Undersøkelsen, Risikostyring i norske banker, har bidratt til å overbevise daglig leder Christian Mjaanes i BearingPoint Norway om nødvendigheten av de nye reglene.
– Poenget er ikke at banken skal slutte å ta risiko. Tvert om: Det er jo risiko de lever av. Men i dag er det ikke samsvar mellom risikoen de tar, og det de tar seg betalt for å ta den. I stedet er det mange kreative bortforklaringer og mye skjønn, av typen "jeg kjenner kunden godt". De bruker sikkerhet som en måte å bestemme prisen – renten – på, men sikkerhetsdekning har jo lite med sannsynlighet for mislighold å gjøre.
Mjaanes peker på at det er en nær sammenheng mellom god risikostyring, og lønnsomhet.
– Uten risikobasert prising, overpriser du de gode kundene, og du underpriser de dårlige. Alle velger bankene som gir dem best pris. Over tid vil porteføljen til bankene med dårlig risikostyring vris mot de dårlige kundene, mens de gode kundene går til bankene som gir dem de beste tilbudene. Vi har konkrete eksempler fra Norge, for eksempel i byer med to konkurrerende banker, der denne forskjellen har utviklet seg. Overført på hele landet kan dette gi et A-lag av banker som er flinke til å vurdere risiko, og et B-lag som ikke er det.
Undersøkelsen avdekker at norske banker er klar over dette, i teorien.
– De ser poenget med at risikostyring er gunstig i tillegg til at det vil bli pålagt. De svarer at de vil ha økt fokus på risiko, og bruke risikoinformasjon både til å beslutte låne-innvilgelse og rente for den enkelte kunden, og til å styre hele porteføljen, med analyser av hvordan eksponeringen er mot ulike bransjer og miljøer.
Beslutningsmodeller er viktige for å redusere bruken av skjønn.
– Bankenes saksnotater i dag er alt for ofte prosa. De er klare på at de trenger mindre subjektivitet og et mer objektivt grunnlag for sine avgjørelser.
BearingPoint deler risiko i blant annet kredittrisiko og operasjonell risiko. Bankene er langt mer opptatt av kredittrisiko enn av operasjonell risiko, altså den løpende vurderingen av faren for naturuhell, driftsforstyrrelser, svindel og feil i prosesser, for eksempel manglende overholdelse av ting som signaturplikt og tinglysning.
– Undersøkelsen viser at operasjonell risiko er det området hvor en har dårligst modeller for kvantifisering og styring. Den viser også at 20 prosent av bankenes samlede risiko er operasjonell, mot 65 prosent for kredittrisiko.
Mjaanes mener norske banker bør dele data om operasjonell risiko.
– Norge er så lite at det er vanskelig å få tak i data til prediksjonsmodeller for blant annet flom og sabotasje. Vi ser ingen grunn til at bankene ikke skulle være med på ett sentralt system for å dele data om operasjonell risiko, og trekke ut statistikk. Her er det en rolle for en aktør, for eksempel EDB Bank & Finans (tidligere Fellesdata), å tilby en slik teknisk løsning med felles informasjon.
IT spiller en sentral rolle, både for å få fram korrekte data, og for å tilby analyseverktøy og hensiktsmessige modeller. I dag er det mange hindringer på informasjonssiden. Bankenes IT-systemer er ofte lite fleksible, og på mange områder er det dårlig kvalitet på data, for eksempel om løpende verdi på eiendomsmassse.
De første "Basel II-verktøyene" til BearingPoint Norway er utviklet i Cognos. Verktøyene leveres til norske banker av BearingPoint og EDB Bank & Finans i samarbeid.
– I bunn ligger datavarehus med hensiktsmessig informasjon. Disse forer datalagre tilpasset spesielle applikasjoner, forteller Lars-Roar Masdal i Cognos' representant RAV Norge. – Det er mange beregninger fra datavarehus til datamarten som ligger under lettbrukte verktøy for både ledelse og saksbehandlere.
– Bruken av verktøyene betinger at hele banken styres etter risikobaserte prinsipper. Kundebehandlerne kan for eksempel ikke lenger premieres for stort volum. Det må lages insentiver som krever at man bruker verktøyene, sier Mjaanes. – Dette er en del av kulturendringen som Basel II-reglene krever.
Mjaanes og Masdal peker på at Norge er gunstig stilt til å få et forsprang i forhold til større land i å implementere verktøy for risikostyring.
– I Storbritannia og Tyskland sliter man med et spagetti av underliggende stormaskinsystemer. I Norge er IT-plattformen langt mer standardisert. Det er et unikt fortrinn som kan vare fra et halvt til et helt år.
Et område der mye gjenstår, er hvitvasking.
– I USA investeres det nå stort i å utvikle analyseverktøy mot hvitvasking og bedrageri, sier Mjaanes. – Vi erfarer er IT-situasjonen på dette området er svært brokete, og at det er dyrt å produsere gode rapporter. Mye av det vi har er dårlig når det gjelder å analysere og drille ned i data. Mange venter på at de regulatoriske kravene er klare før de vil lage noe, og har verktøy på designstadiet. Mange venter også på hva leverandørene av økonomisystemer vil komme med.