Motiven bakom system för riskhantering kan vara defensiva (utgår från problem som måste åtgärdas) eller offensiva (utgår från att riskhantering är nödvändigt för att balansera risker och möjligheter på bästa sätt), skriver Åke Tegin och Eric Wolrath.

Den finansiella krisen i Sverige visade bl.a. att den interna kontrollen och riskhanteringen i kreditinstitut som banker, finansbolag och hypoteksinstitut ofta var bristfällig.

En bidragande orsak till att varken företagsledningarna, Finansinspektionen eller revisorerna upptäckte de stora latenta riskerna i kreditportföljerna var att svenska finansiella institut i allmänhet saknade system för att objektivt kunna mäta kvalitet och risker i sina kreditportföljer.

Syftet med denna artikel är att:

1. Kortfattat beskriva några bidragande orsaker till de stora kreditförlusterna.

2. Beskriva hur man kan gå till väga för att stärka ett kreditinstituts kreditkultur och kreditriskhantering i framtiden. I denna beskrivning har vi försökt att inkorporera den internationella erfarenhet (”best practice”) som finns inom kreditriskhanteringsområdet.

3. Mot bakgrund av beskrivningarna i punkt 1 och 2 ovan ge en skiss över hur granskning av kreditrisker i kreditinstitut kan struktureras och genomföras i samband med revision.

Orsaker till de stora kreditförlusterna

Varför har vi återkommande förlustkriser inom finansiella system?

Internationellt visar historien två generella mönster vid förlustkriser:

Nationella eller regionala kriser.

En banks ekonomiska hälsa är ofta en spegelbild av den marknad den tjänar. Bankkriserna i Sverige, Norge, Finland eller Texas är således till stor del beroende av den ekonomiska hälsan i respektive land/region.

Man blundar för att kriser kan inträffa.

Tillväxt, framgång, konkurrens och fokusering på kortsiktig lönsamhet medför på sikt att möjligheten att bibehålla en stark och konsekvent kreditkultur undermineras.

Kreditkrisens olika stadier i en bank kan schematiskt beskrivas med vidstående figur. (Se sid. 19, Balans 11/1994.)

En finansiell institutions hälsa påverkas, som tidigare påpekats, i hög grad av hälsan i den marknad den tjänar. En del institut drabbas dock av större problem än sina konkurrenter, vilket framförallt beror på följande faktorer:

  • Hög tillväxt i utlåningen.

  • Utlåning till verksamheter eller marknader där banken har bristande erfarenhet.

  • Höga koncentrationer till viss bransch och/eller marknad.

  • Avsaknad av väldefinierad portföljstrategi, kreditpolicy och kredithanteringsrutiner.

  • Outvecklade informationssystem.

  • Bristande intern kontroll avseende kreditprocessen.

  • Bristfällig kompetens och/eller vilja rörande bedömning av kredittagarnas betalningsförmåga och säkerheternas värde.

Kreditkultur

De institutioner som riskerar att påverkas mest negativt av externa kriser är de som har dålig kreditkultur. Kreditkultur är ett svårdefinierat begrepp men kan sägas bestå av ett antal krafter som tillsammans skapar ett klimat som uppmuntrar ett särskilt kreditgivningsbeteende. Bland dessa krafter kan nämnas organisation, policies, instruktioner och inte minst den allmänt vedertagna inställningen till kreditgivning. Vi kan grovt dela in kreditkulturer i följande typkategorier utifrån institutets övergripande mål och strategi med kreditgivningen: 1

1. Kreditgivningen fokuseras på kvalitet, långsiktighet och en lugn och stadig tillväxt under bibehållandet av en acceptabel lönsamhet. Kreditorganisationen har stark ställning och hög status samt arbetar efter fasta regler och få undantag.

2. Kreditgivningen fokuseras på vinster. Kortsiktiga vinster och börskurs prioriteras. Kreditgivningen fokuseras normalt på kvalitet men det finns en press att av lönsamhetsskäl expandera utlåningen under perioder av låg låneefterfrågan och låg lönsamhet.

3. Kreditgivningen fokuseras på marknadsandelar och hög tillväxt av kreditportföljen. Kreditgivningen följer inte i praktiken de skrivna regler som lagts fast. Många undantag görs. Kreditorganisationen har svårt att värna kvaliteten i portföljen p.g.a. trycket från marknadssidan att öka utlåningen.

4. Kreditgivningen är inte fokuserad. Målen är oklart formulerade eller motsägelsefulla eller utsatta för ständiga förändringar i takt med utvecklingen. Oklarhet råder om vilket kreditgivningsbeteende som är önskvärt inom organisationen.

Möjligheten att upprätthålla en god kreditkultur är generellt sett störst i kategori 1 ovan och minst i kategori 4. Huruvida kreditkulturen varit bra eller dålig visar sig tyvärr oftast först i kristider.

Som framgår av beskrivningarna av olika kreditkulturer ovan är distinktion mellan formell och verklig kreditkultur viktig. Många institutioner har väl utvecklade skrivna policies och kreditrutiner men dessa kan vara otydliga eller dåligt kommunicerade vilket medför risk att verkligheten inte alltid stämmer med kartan. Av stor betydelse i detta sammanhang är att de ledande befattningshavarna inom institutet själva följer (personifierar) och kommunicerar fastslagna policies och rutiner.

En invändning mot begreppet kreditkultur är att det är alltför svårtillgängligt till sin natur och att en analys av ett instituts kreditkultur blir alltför subjektiv. Trots att detta till stor del är riktigt torde en analys av kreditkulturen vara en mycket viktig faktor vid bedömning av ett instituts framtida möjligheter.

Kreditkultur är något som ständigt måste kommuniceras och underhållas genom klara policyuttalanden, incitamentstruktur, utbildning m. m. 2

Beskrivningen av kreditkulturerna bygger på Robert Brice, ”Improving Credit Quality”, 1992, Australian Institute of Bankers Scholarship Report.

En mycket intressant artikel som belyser hur kreditkulturen underminerades i Citibank, skriven av John W. Milligan och Ida Packer och återfinns i Institutional Investor, dec 1991.

Kreditorganisation

Av stor betydelse för kreditkulturen är hur kreditsystem och kreditorganisation är utformade. Möjligheten att upprätthålla en god kreditkultur är normalt större med en centralt styrd kreditorganisation jämfört med en mer decentraliserad kreditorganisation.

Om kreditbeviljningsrätt i stor utsträckning innehas av personer inom institutet med marknadsansvar/försäljningsansvar och med ringa kreditkompetens kan detta leda till en organisation som gynnar tillväxt och kortsiktigt vinsttänkande. Detta urholkar kreditkulturen och medför ofta ett alltför högt risktagande med åtföljande förluster. Samtidigt kan sägas att riskerna med att decentralisera är mindre i den kreditkultur som beskrivs enligt 1 ovan än i kreditkulturerna 2–4.

För att garantera en opartisk kreditbedömning är det därför en fördel om kreditbeviljningsfunktionen organisatoriskt inte är inordnad i linje-/marknadsorganisationen.

Kreditriskhantering – en helhetssyn

Vi skall i det följande försöka ge en helhetssyn på hur kreditrisker kan och bör hanteras. Vår förhoppning är att en tillämpning av dessa tankegångar medför att finansiella institutioner står bättre rustade när nästa ”kris” kommer.

Risk kontra osäkerhet

Hantering av kreditrisker försvåras av att man vid bedömning och analys av olika typer av krediter måste beakta distinktionen mellan risk och osäkerhet. Skillnaden kan illustreras med nedanstående figur. (Se sid. 21, Balans 11/1994.)

I beslutsteorin sägs beslut under risk föreligga när sannolikheten för ett visst utfall är känt. Som exempel kan nämnas sannolikheten att få en sexa vid kast med en tärning. Beslut under osäkerhet föreligger om flera skilda framtida utfall är tänkbara, men det inte är möjligt att uppskatta sannolikheten för att de skall inträffa. Osäkerhet kan således sägas föreligga om vi inte vet hur många sidor tärningen har och vad som står på sidorna. När det gäller kreditgivning är vi inte så lyckligt lottade att vi från början vet sannolikheten för olika utfall. Dels vet vi inte risken för fallissemang dvs. att kredittagaren inte klarar av att betala tillbaka krediten, dels vet vi inte hur stor förlusten blir vid fallissemang.

Kunskapen om dessa sannolikheter kan dock förbättras genom informationsinsamling och analys, vilket medför att vår tilltro beträffande var sannolikheten för fallissemang ligger kan vara högre eller mindre. Som exempel på kreditsegment där man ligger relativt nära risk kan kontokortskrediter nämnas och som exempel på kreditsegment där man ligger närmare osäkerhet kan företagskrediter nämnas. Distinktionen blir tydligare om vi studerar sannolikhetsfördelningarna för dessa olika kreditsegment.

Av figuren ovan (Se sid. 22, Balans 11/1994.) framgår att variansen för sannolikheten för förluster är betydligt större för portföljen av företagskrediter jämfört med portföljen av kontokortskrediter. Även om vi i snitt kan förvänta oss samma förlustnivå i de båda portföljerna är sannolikheten för höga förluster betydligt större för portföljen av företagskrediter. Observeras bör att illustrationen är utformad av pedagogiska skäl och inte skall ses som en beskrivning av några verkliga sannolikhetsfördelningar.

Även om det mest sannolika utfallet i detta exempel är detsamma för såväl kontokortskrediter som för företagskrediter kan vi konstatera att den större variansen för företagskrediter gör att vi måste ha högre beredskap för större förluster avseende företagskrediter. Detta bör avspegla sig i institutets riskpolicy såtillvida att man för företagskrediter kräver en lägre genomsnittlig risknivå, alternativt en högre avkastning för att bygga upp ett större eget kapital som riskbuffert. Vidstående figur åskådliggör detta. (Se sid. 22, Balans 11/1994.)

Försäkringsbolagens kreditförsäkringsverksamhet utgör ett exempel på ett fall där man missbedömt sannolikheterna för ”skadefall”. När denna verksamhet släpptes fri i slutet av 80-talet närmade sig försäkringsbolagen verksamheten utifrån ett försäkringstekniskt tänkande. Man utgick från föreställningen att kreditförsäkringsverksamheten i sak kunde jämföras med t.ex. uppbyggnaden av en portfölj bestående av bilförsäkringsåtaganden, dvs. som en portfölj där sannolikheten för skadefall är relativt känd och där variansen runt förväntat utfall är mycket liten. Vad man inte beaktade var att stor osäkerhet förelåg om sannolikheten för fallissemang och följaktligen för variansen.

Segmentering av balansräkningen

För vissa typer av kreditportföljer bestående av likartade krediter, som kontokortskrediter, har vi en stor tilltro till hur sannolikhetsfördelningen för riskerna ser ut. Det är denna typ av portföljer som vi betecknar som homogena. För andra typer av portföljer krävs en individuell bedömning av de enskilda engagemangen för att kunna bedöma sannolikhetsfördelningen för riskerna. Dessa portföljer betecknar vi som unika. Av dessa skäl kan man vid bedömning och analys av kreditrisker i ett institut segmentera kreditriskerna/motpartsriskerna på följande sätt. (Se figuren på sid. 23, Balans 11/1994.)

För unika kreditportföljer krävs specifika, individuella bedömningar av kreditriskerna. Denna del av den totala kreditportföljen utgörs i huvudsak av företagskrediter. De homogena portföljerna utgörs i huvudsak av privatkrediter (kontokort, lönekrediter, villa- och andra bostadskrediter). Analysen av riskerna i dessa portföljer kan göras med statistiska metoder.

Det finns en hel del kreditrisker som är förknippade med olika åtaganden utanför balansräkningen, s.k. off balance åtaganden, som garantier och motpartsrisker i samband med t.ex. valutaaffärer, remburser, terminer, optioner, futures, ränte- och

valutaswapar. Dessa kan och bör efter omfattning och art delas in i homogena och unika.

Kreditprocessen

Kreditprocessen i ett kreditgivande institut kan beskrivas med utgångspunkt från nedanstående figur. (Se sid. 23, Balans 11/1994.)

Affärsidé, mål, strategier och verksamhetsplan

Utgångspunkten vid uppbyggnaden av kreditprocessen i ett institut bör vara vad styrelsen och företagsledningen lagt fast avseende affärsidé, mål, strategi och verksamhetsplan.

Portfölj- och kreditpolicy

På grundval av styrelsens och företagsledningens ställningstaganden angående affärsidé, mål, strategi och verksamhetsplaner kan sedan riktlinjer och anvisningar för kreditgivningen läggas fast i form av skriftliga dokument som preciserar institutets portfölj- och kreditpolicy.

Portföljförvaltare på värdepappersområdet har länge arbetat efter de principer som gäller för modern portföljteori. 3 Även kreditgivande institut måste i större utsträckning tillämpa dessa principer på kreditportföljen. Principerna innebär att:

  • Varje tillgång karakteriseras av en viss avkastning och en viss risk. Med risk avses i detta sammanhang variationerna i avkastningen, mätt med standardavvikelsen.

  • Genom diversifiering kan riskerna i portföljen minskas utan att för den skull nödvändigtvis minska avkastningen. Detta gäller om korrelationen (samvariationen) mellan tillgångarnas (kreditsegmentens) avkastningar är mindre än 1.

  • En portfölj kan skapas som optimerar relationen mellan avkastning och risk.

En förutsättning för tillämpning av teorin är att man har möjlighet att mäta standardavvikelsen runt avkastningen för olika kreditsegment samt korrelationen mellan avkastningarna för dessa segment. Även om det i praktiken är svårt att tillämpa teorin på kreditportföljer så är det viktigt att så långt som möjligt beakta teorins implikationer genom att begränsa stora kreditkoncentrationer till riskfyllda samvarierande kreditsegment (branscher).

Av portfölj- och kreditpolicyn bör institutets principer för risktagande, kundinriktning, riskspridning, kreditgivning, och värdering framgå.

En viktig orsak till att vissa institut fått större problem än andra är just avsaknaden av portföljpolicy och portföljanalys, vilket medfört att kreditgivningen inte styrts på ett medvetet sätt. Portföljen har i stället ”styrt” sig själv vilket inneburit att den fått en hög riskprofil, främst beroende på att det är lättare att expandera kreditvolymen till mindre kreditvärdiga kunder och/eller riskfyllda branscher.

Bilden överst på nästa sida (Se sid. 25, Balans 11/1994.) är avsedd att illustrera skillnaden i riskprofil hos två olika finansiella institut, hos olika enheter inom ett institut eller vid två olika mättillfällen i ett institut eller en enhet. Y-axeln visar andelen av exponeringen som ligger inom de åtta olika risksegmenten på X-axeln där 1 representerar mycket kreditvärdiga kunder och 8 representerar reserveringsengagemang.

Som framgår av figuren har bägge instituten lika stor andel reserveringsengagemang, dvs. man redovisar troligen lika stora kreditförluster. Det är på detta sätt risknivån vanligtvis mäts. Om vi i stället koncentrerar oss på risksegmenten 1–7 kan vi omedelbart se att skillnaden i riskprofil är påtaglig då institutet med de blå staplarna har en betydligt svagare kundstruktur än institutet med de gröna staplarna. Vi menar att denna typ av analys är nödvändig för institutets interna kontroll och styrning av risknivån, och borde vara en naturlig del av portföljanalysen.

Se t. ex. Lybeck (87), Finansstrategi, kap 8.

Kreditrutiner

Institutets portfölj- och kreditpolicy är i nästa steg utgångspunkt för de kreditrutiner som skall gälla för verksamheten. Kreditrutinerna dokumenteras i form av skriftliga kreditinstruktioner.

Portföljhantering och prestationskontroll

En förutsättning för att följa upp sin portfölj- och kreditpolicy är att institutionen har byggt upp ett informationssystem som möjliggör analys över tiden av kreditportföljens sammansättning och kvalitet.

Varje kreditgivande institut bör kunna presentera en portföljanalys för sin kreditportfölj som utöver uppdelning efter typ av kund, produkt, affärsenhet, branscher, storlek och lönsamhet också är uppdelad efter riskklass eller annan riskgradering. För t.ex. homogena portföljer som kontokortskrediter m.m. kan scoringtekniken användas för att mäta kvaliteten över tiden.

Denna typ av analyser utgör det nödvändiga beslutsunderlag som krävs för att ledningen skall kunna styra institutet mot uppställda mål och kontrollera efterlevnaden av policies och instruktioner.

Riskklassificering – allmänt

En förutsättning för analysen av en kreditportföljs kvalitet, och framtida avkastningsförmåga, är att man kan bedöma risknivån på olika kreditexponeringar. Detta är framförallt nödvändigt för den unika delen av kreditportföljen (företagskrediterna) och för olika off-balance åtaganden.

I Bankrörelselagen 2:13 sägs att:

Kredit får beviljas endast om låntagaren på goda grunder kan förväntas fullgöra låneförbindelsen. Dessutom krävs betryggande säkerhet i fast eller lös egendom eller i lös form av borgen. Banken får dock avstå från sådan säkerhet om den kan anses obehövlig eller om det annars föreligger särskilda skäl att avstå från säkerhet.

Av lagtexten framgår att det vid all kreditgivning primärt gäller att bedöma kredittagarens betalningsförmåga, dvs. risken för fallissemang. Med risk för fallissemang avses risken att kredittagaren inte kan uppfylla sina förpliktelser på grund av konkurs, betalningsinställelse, ackord eller andra rekonstruktionsåtgärder som kräver eftergifter från kreditgivaren, alternativt att kreditgivaren måste ta erhållna säkerheter i anspråk.

Av lagtexten framgår vidare att banken skall betinga sig säkerhet för lämnad kredit, såvida särskilda skäl inte föreligger. Banken behöver alltså även bedöma vad säkerheterna är värda vid ett eventuellt fallissemang, dvs. risken vid fallissemang.

Bedömningen av en kreditportföljs kvalitet innebär således dels att mäta risken för fallissemang, dels risken vid fallissemang. Sammanfattningsvis kan sägas att risken för fallissemang är en bedömning av kredittagarens betalningsförmåga och risken vid fallissemang en bedömning av säkerheternas värde.

Riskklassificeringssystem

I USA har sedan lång tid funnits lagkrav på att banker skall riskklassificera sina krediter. De system som används i amerikanska banker härstammar från regler utformade av Office of the Comptroller of the Currency (OCC). Dessa regler stipulerar att bankerna skall fördela sina krediter i dels ”Criticized Assets” för krediter som ej uppfyller acceptabel standard vad gäller förlustrisknivå, dels i en ”Pass Grade” för samtliga de krediter som är acceptabla ur förlustrisknivå. ”Criticized Assets” skall sedan delas in i fyra olika klasser beroende på risknivå. I USA har bankerna, med utgångspunkt från OCC’s riktlinjer, utvecklat ”Loan Grading Systems” med varierande grad av förfining. Gemensamt för systemen är att de bygger på att det skall finnas 4 kritiserade klasser samt att de som ej faller in i dessa klasser, alltså acceptabla krediter, normalt graderas i allt från ett till nio ”Pass Grades”, alltså från fem till tretton klasser totalt. De kritiserade klasserna betecknas som OAEM (Other Assets Especially Mentioned), Sub Standard, Doubtful och Loss.

Normalt kan sägas att de större kommersiella bankerna i USA har fler klasser, och att ett genomsnittligt antal klasser är åtta. Endast 5 % av de kommersiella bankerna har stannat vid en pass grade, dvs. minimikravet. 4 Utvecklingen i USA har drivits fram av trycket från tillsynsmyndigheterna. Efter hand har dock bankerna själva insett fördelarna med riskklassificering och själva utökat antalet ”Pass Grades” för att på detta sätt få en bättre differentiering av riskerna i de godkända klasserna.

Det finns klara likheter mellan de riskklassificeringssystem som bankerna arbetar med och de ratingmodeller som ratinginstituten (Standard & Poors’, Moodys’ m.fl.) arbetar efter. Bankerna har dock funnit att ratinginstitutens modeller inte fungerar tillräckligt bra för att differentiera risker vid utlåning till mindre och medelstora företag.

I andra länder har vissa banker själva utvecklat olika typer av riskklassificeringssystem. Dessa system bygger ofta på den amerikanska modellen med olika riskklasser som skall avspegla förlustriskerna i de olika klasserna.

Flera svenska institut har under senare år utvecklat eller håller på att utveckla riskklassificeringssystem. Likformigheten mellan dessa olika system är dock ännu begränsad.

För att beskriva den principiella uppbyggnaden av ett riskklassificeringssystem kan nedanstående riskklassificeringsmatris användas. (Se sid. 25, Balans 11/1994.) Matrisen bygger på amerikanska förebilder.

Godkända låntagarklasser

Kritiserade låntagarklasser

Exempel på riskattribut

1

2

3

4

5

6

7

8

Finansiell styrka

Lönsamhet och cash-flow

Företagsledning

Ägarstruktur

Bransch och marknad

Tillgång till information

Övrigt

Slutlig klass

Syftet med denna matris är att klassificera kredittagarens, ett företags, betalningsförmåga, dvs. att mäta risken för fallissemang. Antalet riskklasser är i denna matris 8 varav 4 är ”acceptabla” och 4 ”icke önskvärda”. Kredittagaren bedöms med utgångspunkt från ett antal definierade riskattribut. För varje riskattribut finns en beskrivning av vad som konstituerar riskklass 1, riskklass 2 osv. I matrisen ovan har finansiell styrka åsatts 4, lönsamhet och cash-flow 3 osv. En sammanvägning av de olika attributen leder till en slutlig riskklass på 4. Matrisen innehåller en kombination av subjektiva och objektiva bedömningar. Matrisen kan sedan kombineras med en beräkning av risken vid fallissemang, säkerhetstäckning, varvid man erhåller en vägd förlustrisk. Som alternativ kan säkerhetstäckningen integreras som en komponent i matrisen, vilket man normalt gör i USA. Efter några års drift kan man med historiska data mäta migration (förflyttning) samt fallissemangsrisk i respektive klass.

Olika segment av kreditportföljen kan kräva olika matriser. Framtagandet av riskmatriser som är tillförlitliga och konsistenta är en mycket arbetsam process. Riskklassificering av enskilda engagemang görs normalt av lånehandläggaren/kundansvarig som ett led och hjälpmedel i den normala kreditprocessen.

Riskklassificeringssystem utgör grunden för en effektiv portföljhantering. Fördelarna med riskklassificeringssystem, utöver att identifiera och mäta kreditrisk, är följande:

  • Systemen stärker kreditprocessen och kreditkulturen genom en bättre strukturerad nybeviljning och kredituppföljning. En intressant aspekt i detta sammanhang är att forskningen om risk- och personbedömning pekar på att vår förmåga till ”rationella” bedömningar är begränsad, vilket torde öka behovet av ”systemstöd”. 5

  • Systemen ökar möjligheten till intern kontroll genom att fasta normer läggs fast för hur kvaliteten skall mätas. Se vidare under avsnittet intern och extern revision nedan.

  • Systemen underlättar förlustprognoser genom att dessa kan knytas till historiska och förväntade förlustnivåer för olika riskklasser. Vi kan i detta sammanhang tala om två typer av förluster, förväntade förluster och icke förväntade förluster. Förväntade förluster är den genomsnittliga förväntade förlustnivån för en viss typ av krediter tillhörande samma riskklass. Icke förväntade förluster representerar spridningen i förlustnivån runt den förväntade nivån över åren. Genom statistiska analysmetoder kan dessa mätas.

  • Systemen gör det möjligt att allokera eget kapital till olika verksamheter efter risk, vilket möjliggör riskbaserade lönsamhetsberäkningar. Det kapital som behövs för verksamheten måste vara så stort att det täcker såväl förväntade som icke förväntade förluster. Det kapitalbehov som framräknas på detta sätt kan naturligtvis vara både större och mindre än det kapital som krävs enligt kapitaltäckningsreglerna.

  • Systemen ger underlag för differentiering av priser efter risk. Priset bör inkludera dels ett påslag för att täcka förväntade förluster, dels ett påslag som ger den önskade avkastningen på eget kapital, där det egna kapitalet enligt ovan innehåller en buffert för att täcka även icke förväntade förluster.

Uppbyggnaden av ett riskklassificeringssystem måste anpassas till såväl svenska förhållanden som respektive instituts förutsättningar. En klar fördel för såväl tillsynsmyndighet, revisorer och kanske instituten själva vore naturligtvis om samtliga institut hade snarlika system. Detta skulle även möjliggöra en enhetlig redovisning av aktuell riskprofil. Vägen dit är dock troligen både lång och krokig.

1993 Survey of Credit Risk Management Practices, KPMG Peat Marwick, Financial Services Practices.

Se boken Riskbedömning – kunskap om risker. En rapport från riskbedömningsprojektet utgiven av NUTEK, framför allt artiklarna om riskupplevelsens psykologi och personbedömning av professor Lennart Sjöberg.

Intern och extern revision

För såväl den interna som den externa revisionen torde granskningsarbetet och dess inriktning underlättas genom förekomsten av olika typer av riskklassificeringssystem dels därför att dessa ger en bättre överblick över bolagets risksituation, dels genom att det blir möjligt att kontrollera om institutet har och följer de väldefinierade ”spelregler” som fastställts för klassificering av risker.

Att kunna granska och uttala sig huruvida kvaliteten i kreditgivningen följer stipulerade risknivåer förutsätter naturligtvis att risknivåerna kan mätas på ett objektivt och enhetligt sätt. Ett utlåtande eller en ”anmärkning” från revisionen (intern och extern) låter sig ju svårligen grundas på subjektiva bedömningar eller allmänt tyckande. Hur revision av kreditrisker kan utformas, utvecklas närmare nedan.

Lånegranskning

I många utländska banker, framförallt i USA, finns en intern funktion för lånegranskning (Loan Review eller Risk Asset Review Unit). De uppgifter som dessa funktioner utför varierar i omfattning men generellt kan denna funktions uppgift sägas vara att kontrollera efterlevnaden av policy och interna kreditinstruktioner, identifiera problemkrediter samt tillse att kreditprocessen är effektiv. En av kontrollåtgärderna är vanligen att granska riktigheten i de riskklassificeringar som enskilda lånehandläggare genomför. Lånegranskningsfunktionen kan betraktas som en ”försvarsorganisation” där det yttersta syftet är att värna lönsamheten inom kreditgivningen.

Organisatoriskt kan lånegranskningsfunktionen vara inordnad på 3 olika sätt. Under kreditfunktionen, under intern revision eller som en självständig enhet. Det vanligaste är att den är inordnad under kreditavdelningen. En orsak till detta är att många bankledningar bedömt att den interna revisionsavdelningen saknar den specialistkompetens som krävs för att utföra denna typ av uppgifter. En nackdel med att inordna lånegranskningen under kreditfunktionen är dock att detta kan äventyra den självständighet som krävs av en lånegranskningsfunktion. Näst vanligast är att lånegranskningen utgör en egen funktion direkt under bankens ledning och att rapporteringen sker direkt till VD och styrelsen. En sådan inplacering garanterar funktionens självständighet. Det minst vanliga är att funktionen inordnas under internrevisionen, vilket garanterar funktionens självständighet. Självständighetsfrågan är naturligtvis av stor betydelse men av minst lika stor betydelse är att funktionen bemannas av personer med betydande kreditkompetens och krediterfarenhet, gärna från den egna organisationen. För att undvika att lånegranskningsavdelningens auktoritet undergrävs är det lämpligt att denna leds av en senior person vars kompetens inte ifrågasätts av linjen utan snarare efterfrågas.

Revision av kreditrisker

Avslutningsvis skall vi, mot bakgrund av beskrivningarna i tidigare avsnitt, presentera en skiss till hur revision av kreditrisker kan läggas upp. Skissen gör naturligtvis inget anspråk på att vara en fullständig beskrivning av revisionsprocessen utan skall snarare ses som ett försök att peka på hur revisionen kan läggas upp.

Revision av kreditgivning syftar till att bedöma om krediterna är upptagna till riktiga värden, riktiga reserveringar görs för befarade kreditförluster, riktiga uppgifter lämnas i årsredovisningen rörande kreditgivningen samt att intern kontroll och förvaltning fungerar tillfredsställande.

Principerna om väsentlighet och risk skall som alltid vara vägledande. Detta förutsätter att revisorn införskaffar information om företagets verksamhet, organisation, marknad, affärsrisker m.m. Vidare måste revisorn inhämta information om den interna kontrollen, och nivån på denna, genom att identifiera de risker som är förknippade med verksamheten, bolagets riskbedömning samt de övergripande kontrollåtgärder bolaget vidtagit med anledning av dessa risker.

Granskningen av förvaltningen innebär bl.a. att revisorn skall bedöma om bolagets interna rapporteringssystem förser styrelse och VD med tillfredsställande underlag för beslut samt om styrelse och VD har tillräcklig överblick över bolagets risksituation.

De regler som påverkar granskningen är den specifika associationsrättsliga lagstiftningen för institutet i fråga, Finansinspektionens föreskrifter och allmänna råd, bokföringslagen och god redovisningssed samt institutets system för styrning, information och intern kontroll av riskerna i verksamheten.

Med institutets system för styrning, information och intern kontroll avses:

* affärsidé, mål, strategi och verksamhetsplan,

* portfölj- och kreditpolicy,

* system för portfölj analys och eventuella riskklassificeringssystem,

* delegeringsinstruktioner, limitsystem och kreditorganisation,

* kredithanteringsinstruktioner för beviljning, löpande hantering och kreditbevakning.

Planeringen av revisionens inriktning, omfattning och metoder förutsätter att information inhämtas om dessa olika delar.

Granskning av affärsidé, mål och strategier

Kartläggning av affärsidé, mål och strategier är nödvändig dels för att avgöra

* om dessa återspeglas i policies och instruktioner för verksamheten, dels

* för att bedöma om verksamheten drivs i enlighet med de fastställda intentionerna.

Granskning av portfölj- och kreditpolicy

Portfölj- och kreditpolicyn är det övergripande ramverket för kreditgivningen där inriktningen och principerna för kreditgivningen anges. De omfattar exempelvis:

  • policy för portföljens sammansättning för att åstadkomma riskspridning,

  • policy för olika branscher, typer av kredittagare, geografiska områden, säkerheter m.m.,

  • policy för inriktningen av nyförsäljningen,

  • kreditpolicy med allmänna principer för kreditgivningen innehållande bl.a. krav på dokumentation/underlag för kreditbeslut,

  • kreditorganisation,

  • kreditbeviljningsregler, limitsystem, delegeringsinstruktion, enhandsengagemang.

Portföljanalys och granskning av eventuella riskklassificeringssystem

Syfte med granskningen är att kartlägga kreditportföljens utseende, kvalitet och utveckling över tiden.

Portföljbeskrivningen kan avse portföljen uppdelad efter kundtyp, bransch, geografiska områden, affärsenheter/affärsområden, storlek på engagemang, lönsamhet samt efter riskklass/rating eller andra rapporter om riskerna i portföljen.

Revisorns portföljanalys kan dessutom, beroende på omfattning och inriktning, ge kunden ett mervärde genom värdefulla synpunkter på portföljens sammansättning och struktur.

Resultatet av denna granskning bör utnyttjas för att styra granskningen av enskilda engagemang till de delsegment eller kredittyper där de största riskerna bedöms föreligga.

Granskning av delegeringsinstruktioner, limitsystem och kreditorganisation

Granskning av delegeringsinstruktioner, limitsystem och kreditorganisationen är viktigt för att kartlägga ansvar och befogenheter, rapportvägar och intern kontroll.

Granskning av kredithanteringsinstruktioner

Granskningen av instruktioner avseende kredithanteringen kan lämpligen göras utifrån följande frågeställningar:

  • Hur är kreditrutinerna dokumenterade?

  • Hur ser ansvars- och befogenhetsfördelningen ut mellan olika enheter?

  • Vilka regler gäller för riskklassificering eller annan ”kvalitetsmätning”?

  • Vilka regler gäller för årsföredragningar/limitföredragningar?

  • Hur skall olika kredittagares betalningsförmåga analyseras?

  • Hur skall olika typer av säkerheter värderas?

  • Vilka regler gäller för kreditbevakning och hantering av osäkra fordringar?

  • Vilka regler gäller för förlustreservering och dokumentation därav?

Granskning av enskilda engagemang

Analysen av enskilda engagemang bör som tidigare sagts i första hand styras till krediter eller kreditsegment där de största riskerna för fel föreligger. Analysen av enskilda engagemang syftar till att granska eller verifiera

  • eventuella reserveringars rimlighet beträffande det enskilda engagemanget

  • kvaliteten på hanteringen av engagemanget,

  • efterlevnaden av interna policies och instruktioner,

  • efterlevnaden av Finansinspektionens anvisningar och allmänna råd.

Om urvalet anpassas enligt statistiska regler kan granskningen utnyttjas för generella uttalanden om granskade delsegment av portföljen.

Slutord

Motivet bakom uppbyggnaden av system för hantering av risker kan vara antingen defensivt eller offensivt. Det defensiva motivet utgår från identifierade problem som måste åtgärdas. Exempel härpå är stora förluster och/eller kritik från tillsynsmyndigheten. Det offensiva motivet utgår från tron på att bra riskhanteringssystem inte bara är bra för att undvika faror utan ett nödvändigt instrument för att balansera risker och möjligheter på bästa sätt. Härigenom uppnås en konkurrensfördel som medför bättre lönsamhet.

Åke Tegin och Eric Wolrath är verksamma vid KPMG Bohlins Bank & Finans.