Polityka zarządzania ryzykiem operacyjnym
Transkrypt
Polityka zarządzania ryzykiem operacyjnym
Załącznik Nr 2 do Uchwały Nr 2/VII/15 Zarządu z dnia 20 lutego 2015 Załącznik do Uchwały Nr 10/I/15 Rady Nadzorczej z dnia 20 lutego 2015 Polityka zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Końskich Końskie, luty 2015 1. Postanowienia ogólne §1 1. Bank Spółdzielczy w Końskich zwany dalej Bankiem posiada zdefiniowane: strategię działania Banku, strategię zarządzania poszczególnymi rodzajami ryzyk oraz korespondującą z nimi politykę zarządzania ryzykiem operacyjnym opisaną w niniejszym dokumencie. 2. Za jeden z kluczowych elementów koniecznych dla skutecznego wdrożenia strategii rozwoju Banku uznano właściwą politykę zarządzania poszczególnymi rodzajami ryzyka, w tym ryzykiem operacyjnym. Za główny cel uznano doskonalenie zarządzania ryzykiem m.in. poprzez wyznaczenie akceptowalnego przez Bank jego poziomu, wdrożenie efektywnych metod zarządzania ryzykiem i przegląd obowiązujących regulacji wewnętrznych w Banku. 3. Politykę zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Końskich opracowuje Zespół ryzyk i analiz ekonomicznych(ZRA), zgodnie z wytycznymi zawartymi w ustawie Prawo bankowe, Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach wydanej przez Komisję Nadzoru Finansowego w 2013 r., w Rekomendacji D dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, w Uchwale Nr 76/2010 oraz w Uchwale 258/2011 KNF. 4. Projekt polityki przedkładany jest Zarządowi Banku do akceptacji i Radzie Nadzorczej do zatwierdzenia. 5. ZRA jest odpowiedzialny za przegląd i aktualizację polityki przynajmniej raz w roku, w szczególności w przypadku zmiany strategii Banku i tworzenia planu finansowego na dany okres obrachunkowy. 6. Polityka zarządzania ryzykiem operacyjnym oraz jej realizacja podlega corocznemu przeglądowi zarządczemu, który jest przeprowadzany przez Komisję ds. przeglądów zarządczych. 7. Polityka zarządzania ryzykiem operacyjnym obejmuje następujące zagadnienia: – uwarunkowania i cele Banku w zakresie ryzyka operacyjnego oraz ogólne kierunki zarządzania ryzykiem operacyjnym, – ocena profilu ryzyka operacyjnego w Banku , – poziomy ryzyka i metody ograniczania ryzyka operacyjnego (w tym określenie akceptowalnego poziomu ryzyka), – zasady limitowania i monitorowania ryzyka operacyjnego. §2 1. Przez ryzyko operacyjne należy rozumieć możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych , obejmując również ryzyko prawne. 2. Do głównych obszarów ryzyka operacyjnego należy zaliczyć: - ryzyka o charakterze personalnym, - ryzyka o charakterze organizacyjnym, - ryzyka o charakterze technicznym. 3. W kontekście ryzyka operacyjnego należy brać pod uwagę również możliwość utraty reputacji w skutek zdarzeń ryzyka operacyjnego (choć samo ryzyko utraty reputacji oraz ryzyko strategiczne związane jest z ryzykiem biznesowym) , w szczególności w obszarze ryzyka prawnego , co może powodować w konsekwencji niezrealizowanie planu ekonomiczno – finansowego i celów strategicznych Banku. 4. Ryzyko operacyjne jest obecnie , po ryzyku kredytowym , najistotniejszym z ryzyk występujących w Banku. Poziom ryzyka operacyjnego zależy głównie od podejścia wszystkich pracowników na poziomie poszczególnych komórek lub w ramach procesów i od podejmowanych przez nich czynności obejmujących min. identyfikację , raportowanie oraz kontrolę ryzyka. §3 1. Bank posiada strukturę , procesy i zasoby odpowiednie do skali i złożoności prowadzonej działalności pozwalające na sprawne zarządzania ryzykiem operacyjnym. 2. Organizacja systemu zarządzania ryzykiem w Banku zapewnia efektywny i kompleksowy proces oceny i kontroli ryzyka oraz określa podział kompetencji, w którym uwzględniono rozdzielenie funkcji podejmowania ryzyka (operacyjna działalność) od funkcji niezależnej jego oceny i kontroli. Zasada ta realizowana jest poprzez rozdzielenie pionu ryzyka od pionu operacyjnego(bezpośrednio odpowiedzialnego za prowadzenie danego rodzaju działalności operacyjnej). 3. Zarządzanie ryzykiem operacyjnym w Banku realizowane jest z uwzględnieniem struktury i kompetencji wynikających z Regulaminu Organizacyjnego Banku Spółdzielczego w Końskich. Zadania poszczególnych komórek organizacyjnych Banku w procesie zarządzania ryzykiem operacyjnym w sposób kompleksowy ujęte zostały w Instrukcji zarządzania ryzykiem operacyjnym oraz Instrukcji zarządzania systemami informatycznymi i ryzykiem systemów informatycznych. 4. Bank wyznaczył osobę odpowiedzialną za pomiar i monitorowanie ryzyka operacyjnego w ramach Zespołu ryzyk i analiz ekonomicznych oraz za nadzór nad ryzykiem – Wiceprezesa Zarządu ds. finansowo - księgowych. 5. Schemat organizacyjny zarządzania ryzykiem operacyjnym zawiera Załącznik do niniejszej Polityki. 2.Uwarunkowania i cele Banku w zakresie ryzyka operacyjnego oraz ogólne kierunki zarządzania ryzykiem operacyjnym §4 1.Zarządzanie ryzykiem operacyjnym odbywa się w Banku w sposób zapewniający realizację zapisów ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity : Dz. U. z 2015 r.,poz.128) , znowelizowanej Rekomendacji M, Rekomendacji D oraz Uchwały Nr 76/2010 i 258/2011 KNF. 2.Istotnym elementem zarządzania ryzykiem operacyjnym jest zarządzanie: 1)bezpieczeństwem środowiska teleinformatycznego i informacji, którego podstawowe kierunki określa Polityka bezpieczeństwa informacji, 2)kadrami, którego kierunki określa Polityka kadrowa, 3) bezpieczeństwem płatności internetowych . 3.Na poziom ryzyka operacyjnego w Banku oddziałuje szereg czynników, są to: 1) zasoby ludzkie i warunki pracy, 2) procesy i systemy, 3) bezpieczeństwo informatyczne, teleinformatyczne, informacji prawnie chronionej, alternatywnych kanałów dostępu do usług i informacji bankowych (w tym płatności internetowych) , fizyczne, związane z zasobami ludzkimi, klientów ( zmiany w środowisku biznesowym), produktów (wdrażanie nowych produktów), 4) outsourcing , 5) przestępstwa, 6) awarie, klęski, katastrofy. §5 1. Celem nadrzędnym w zakresie zarządzania ryzykiem operacyjnym jest: Utrzymanie narażenia Banku na ryzyko operacyjne na akceptowalnym przez Zarząd i Radę Nadzorczą Banku, bezpiecznym dla działania i rozwoju Banku poziomie. 2. Cele szczegółowe to: 1) zapewnienie świadomości występowania ryzyka operacyjnego obciążającego Bank na wszystkich szczeblach organizacyjnych Banku, 2) wdrożenie i systematyczna weryfikacja procesów zapobiegania oraz zmniejszania skutków ryzyka, odpowiednio do rodzaju ryzyka i jego możliwego wpływu na wynik finansowy Banku, 3) zapewnienie opłacalności stosowania wybranych metod ograniczania ryzyka, odpowiednio do skali działania Banku i wielkości ryzyka. §6 1. Bank będzie analizować potrzeby związane z zarządzaniem ryzykiem operacyjnym i wprowadzać odpowiednie zmiany organizacyjne, mające na celu minimalizację ryzyka operacyjnego, w tym zmiany wynikające z zewnętrznych przepisów i opracowań instytucji nadzorczych. 2. Zarządzanie ryzykiem operacyjnym Banku ukierunkowane będzie na: 1) działania prewencyjne, związane z identyfikacją, oceną i monitoringiem ryzyka, rozpoznawaniem i zapobieganiem powstawaniu zdarzeń ryzyka operacyjnego w trakcie codziennej działalności, a także zapewnienie identyfikacji i oceny ryzyka przed podjęciem istotnych decyzji związanych z wdrożeniem nowych produktów, procesów, systemów; 2) osłabianie i niwelowanie skutków zaszłych zdarzeń poprzez przygotowanie odpowiednich procedur i sposobów reagowania pracowników Banku na wypadek zajścia zdarzenia ryzyka operacyjnego, a także poprzez dokonanie przeniesienia ryzyka na inne podmioty w przypadku opłacalności i dostępności takiej metody dla danego rodzaju ryzyka. 3. Zarządzanie ryzykiem będzie ukierunkowane ze szczególną uwagą na możliwość powstania dwóch klas zdarzeń: 1) o wysokiej częstotliwości występowania, ale generujących niewielkie straty zarządzając nimi poprzez ustanowienie limitów, monitorowanie zdarzeń i obserwację przestrzegana limitów występowania zdarzeń, a także poprzez metody zapobiegania powstawaniu ryzyka, w tym także ustanawianie i przestrzeganie odpowiednich procedur oraz działanie mechanizmów kontrolnych (kontroli funkcjonalnej), 2) o niskiej częstotliwości występowania, ale generujących duże straty - zarządzając nimi poprzez ustanawianie procedur awaryjnych, planów ciągłości działania, a także w miarę możliwości i takiej potrzeby przenosząc ryzyko poza Bank. §7 1. W zakresie części ryzyka operacyjnego obejmującego ryzyko prawne i ryzyko braku zgodności zarządzanie ukierunkowane jest na stałe dążenie do minimalizowania skutków nieprzestrzegania zewnętrznych i wewnętrznych regulacji prawnych, a także właściwą ochronę interesów Banku poprzez stałe aktualizowanie/dostosowywanie procedur bankowych, kontrolę ich przestrzegania, wsparcie informatyczne, szkolenia, a także korzystanie z zewnętrznego wsparcia prawnego. 2. W zakresie zarządzania ryzykiem prawnym i braku zgodności stosowane są zasady określone w obowiązujących regulacjach wewnętrznych zgodnie z założeniami opisanymi w Polityce zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich. 3.Ocena profilu ryzyka operacyjnego w Banku §8 Profil ryzyka operacyjnego to skala i struktura ekspozycji Banku na ryzyko operacyjne; określa stopień narażenia na ryzyko operacyjne i może być wyrażony w wybranych przez Bank wymiarach strukturalnych ( takich jak m.in. rodzaje zdarzeń operacyjnych , rodzaje linii biznesowych, kluczowe procesy) oraz wymiarach skali (takich jak m.in. oszacowana potencjalna wielkość straty); do jego ustalenia Bank wykorzystuje posiadane informacje na temat zdarzeń operacyjnych (w tym dotyczące ich częstości i dotkliwości) oraz informacje pochodzące z wykorzystywanych narzędzi zarządzania ryzykiem operacyjnym. §9 1. W Banku rejestrowane są zdarzenia ryzyka operacyjnego bez względu na wielkość straty rzeczywistej lub potencjalnej jaką generują. 2. Poziom ryzyka operacyjnego monitorowany jest we wszystkich obszarach działalności Banku. 3. Bank wylicza wymóg kapitałowy z tytułu ryzyka operacyjnego stosując metodę podstawowego wskaźnika bazowego BIA. 4. Wielkość wskaźnika BIA stanowi tolerancję Banku na ryzyko operacyjne. 5. Apetyt Banku na ryzyko operacyjny stanowi wielkość alokacji kapitału na pokrycie tego ryzyka , określoną w Polityce kapitałowej Banku. §10 Na podstawie danych historycznych można określić następującą skalę i strukturę narażenia Banku na ryzyko operacyjne : 1. w Banku nie występują zdarzenia o wysokiej stracie i niskiej częstotliwości, 2. bardzo często występują zdarzenia generujące niską stratę, 3. nie zanotowano jednostkowych zdarzeń ryzyka operacyjnego o stracie powyżej poziomu 20% wskaźnika BIA, 4. suma rocznych oszacowanych strat z tytułu zdarzeń ryzyka operacyjnego nie przekracza wielkości wskaźnika BIA, 5. najwięcej zdarzeń zaobserwowano w kategorii „ Klienci, produkty i praktyki operacyjne” oraz „Wykonanie transakcji, dostawa i zarządzanie procesami operacyjnymi”, 6. nie wystąpiły zdarzenia z kategorii „Oszustwa wewnętrzne”, 7. narażenie Banku na ryzyko operacyjne jest niskie i adekwatne do skali działalności Banku. 4. Poziomy ryzyka i metody ograniczania ryzyka operacyjnego (w tym określenie akceptowalnego poziomu ryzyka) §11 1. Bank dzieli zidentyfikowane zagrożenia na poziomy ryzyka, ocena jest dokonywana zgodnie z odpowiednimi regulacjami wewnętrznymi przyjętymi przez Zarząd i polega na sporządzeniu odpowiednich map ryzyka dla poszczególnych procesów oraz mapy ryzyka dla Banku (zgodnie ze znowelizowaną Rekomendacją M). 2. W celu doboru na podstawie oceny ryzyka zaprezentowanej w mapach ryzyka, metod zarządzania odpowiednio do ocenianych zagrożeń - ustala się następujące podejście do ograniczania zagrożeń, w ramach danego poziomu: 1) Ryzyko na poziomie akceptowalnym – identyfikacja i ocena danego ryzyka wykazała, że potencjalne zagrożenia nie powodują konieczności stosowania dodatkowych środków ochrony, ani dodatkowych działań monitorujących ponad następującą listę: 1. sprawowanie kontroli wewnętrznej funkcjonalnej, 2. stosowanie odpowiednich procedur dokonywania operacji, a także limitów w zakresie podejmowania decyzji, w celu ograniczenia strat mogących powstać z tytułu błędów popełnianych przez ludzi, 3. szkolenie pracowników mające na celu prawidłowe wykonywanie operacji, a także uświadomienie istnienia i sposobów zapobiegania występowaniu ryzyka, 4. przekazywanie bieżących informacji na temat istotnych zdarzeń ryzyka operacyjnego, w celu zapobiegania rozprzestrzenianiu się ryzyka i ograniczeniu jego wpływu, 5. monitorowanie zdarzeń ryzyka operacyjnego, gromadzenie informacji dotyczących ryzyka i ich okresowa analiza, 6. okresowe raportowanie na temat poziomu ryzyka i obszarów szczególnie narażonych na ryzyko. 2) Ryzyko o podwyższonym poziomie –identyfikacja i ocena danego ryzyka wykazała potencjalne zagrożenia wskazujące, że należy rozważyć konieczność wprowadzenia dodatkowych środków ochrony i działań monitorujących w postaci: 1. opracowania i wdrożenia odpowiednich planów awaryjnych lub planów utrzymania ciągłości działania dla danego rodzaju zagrożenia, 2. automatyzacja wykonywanych czynności stosowana w celu zapobiegania lub wychwytywania błędów ludzkich lub występowania innych zdarzeń ryzyka, 3. ubezpieczenia mienia w wyspecjalizowanych firmach, 4. tworzenie rezerw na poczet ewentualnych strat, 5. zlecanie wykonania działań wyspecjalizowanemu podmiotowi, 6. odpowiednie zapisy w zawieranych z dostawcami lub partnerami umowach, ograniczające ryzyko i dające Bankowi możliwość odszkodowania w przypadku nie wywiązania się przez druga stronę z umowy, 7. zwiększenie zakresu i częstotliwości kontroli lub monitorowania funkcjonowania danego obszaru, 8. inne uznane za odpowiednie dla danego zagrożenia. 3) Ryzyko na poziomie wysokim –identyfikacja i ocena danego ryzyka wykazała potencjalne zagrożenia wskazujące, że niezbędne jest niezwłoczne zastosowanie dodatkowych środków ochrony skutecznie obniżających poziom ryzyka lub powinna zostać podjęta decyzja o rezygnacji z procesu bądź zasobu wobec którego występuje ryzyko. 5. Zasady limitowania i monitorowania ryzyka operacyjnego. §12 1. W Banku istnieją powszechnie zakomunikowane polityki i instrukcje zarządzania poszczególnymi rodzajami ryzyka. Polityka zarządzania ryzykiem, wewnętrzne procedury i zasady jego pomiaru, ograniczania, monitorowania i kontroli określają ramy dla sprawnego funkcjonowania procesu zarządzania ryzykiem oraz dostosowywania wielkości podejmowanego ryzyka do bieżącej i prognozowanej sytuacji rynkowej. 2. W ramach zarządzania ryzykiem szczególnie istotne jest dla Banku wypełnienie obowiązku utrzymywania kapitału własnego na pokrycie podejmowanego ryzyka, w tym ryzyka operacyjnego, na określonym regulacyjnie minimalnym poziomie. § 13 1. Poziom ryzyka operacyjnego w działalności Banku ograniczony jest poprzez system limitów: a) globalny limit rocznych strat z tytułu ryzyka operacyjnego (tolerancja / apetyt na ryzyko) w tym wartości progowe sum strat danej klasy zdarzeń, b) limity kluczowych wskaźników ryzyka (KRI). 2. Wszystkie limity z zakresu ryzyka operacyjnego uchwala Zarząd Banku. 3. Monitoring wykorzystania limitów w zakresie ryzyka operacyjnego realizowany jest przez ZRA zgodnie z obowiązującą w Banku Instrukcją zarządzania ryzykiem operacyjnym. § 14 Identyfikacja ryzyka operacyjnego odbywa się na wszystkich poziomach organizacyjnych Banku: a) podstawowym – jednostki bezpośrednio zarządzające ryzykiem operacyjnym w ramach swojej codziennej działalności (wszyscy pracownicy), b) kierowniczym – jednostki sprawujące kontrolę funkcjonalną nad osobami działającymi w ramach poziomu podstawowego (kierownicy, Główny Księgowy , Stanowisko ds. kontroli wewnętrznej), c) nadrzędnym – główna funkcja zarządzania ryzykiem (Zarząd). § 15 Monitorowanie ryzyka obejmuje: 1) monitorowanie zdarzeń ryzyka operacyjnego, 2) monitorowanie kluczowych wskaźników ryzyka (KRI). § 16 1. Monitorowanie zdarzeń ryzyka operacyjnego - wystąpienie wszystkich zdarzeń ryzyka operacyjnego jest monitorowane przez ZRA, w ramach prowadzenia ewidencji zdarzeń operacyjnych, a zebrane dane służą do dokonywania cyklicznej identyfikacji, analizy i oceny zagrożeń. 2. Monitoring obejmuje straty brutto (bez odzysku straty) . 3. Na potrzeby zarządzania ryzykiem operacyjnym wprowadza się następującą klasyfikację zdarzeń ryzyka operacyjnego: a. zdarzenia istotne - zdarzenia ryzyka operacyjnego (incydenty), które spowodowały wystąpienie szacunkowej straty finansowej co najmniej 10% planowanego wyniku finansowego netto; b. zdarzenia pozostałe - pozostałe zdarzenia ryzyka operacyjnego. 4. Wystąpienie istotnych zdarzeń ryzyka operacyjnego będzie szczególnie wnikliwie analizowane przez Zarząd Banku. § 17 Metody pomiaru ryzyka operacyjnego to: a) mapa ryzyka i rejestr incydentów operacyjnych, b) kluczowe wskaźniki ryzyka (KRI), c) macierz ryzyka operacyjnego, d) samoocena w zakresie ryzyka operacyjnego. § 18 1. W Banku przeprowadzane są testy warunków skrajnych, których celem jest ocena stopnia wrażliwości kapitału alokowanego na pokrycie ryzyka operacyjnego na wystąpienie w przyszłości potencjalnych strat z tytułu ryzyka operacyjnego o wartości przekraczającej straty dotychczas zrealizowane. 2. Bank opracował plany awaryjne i plany utrzymania działania (Instrukcja Plany ciągłości działania Banku Spółdzielczego w Końskich), które obejmują krytyczne zasoby Banku i okresowo przeprowadza ich testy oraz weryfikację. § 19 Wyniki analizy ekspozycji Banku na ryzyko operacyjne, w tym przestrzegania limitów są raportowanie Zarządowi oraz Radzie Nadzorczej w zakresie i w cyklach zgodnych z Instrukcją sporządzania informacji zarządczej. § 20 Bank posiada, przyjęte uchwałami Zarządu Banku, wewnętrzne procedury postępowania w przypadku stwierdzenia przekroczenia limitów dotyczących ryzyka operacyjnego, zaistnienia istotnej straty, zaistnienia incydentów mających istotny wpływ na bezpieczeństwo informacji i danych , wystąpienia sytuacji kryzysowej zagrażającej ciągłości działania Banku oraz zaistnienia zdarzenia o charakterze przestępczym obejmujące m.in. zasady informowania organów Banku oraz wskazujące komórki odpowiedzialne za podjęcie działań ograniczających narażenie na ryzyko operacyjne do poziomów akceptowanych przez Bank. 6. Postanowienia końcowe. § 21 Polityka zarządzania ryzykiem operacyjnym oraz jej zmiany wchodzą w życie z dniem podjęcia uchwały przez Radę Nadzorczą Banku. Załącznik nr 1 do Uchwały Zarządu Nr 2/VII/15 z dnia 20 lutego 2015 r. ZAŁĄCZNIK – SCHEMAT ORGANIZACYJNY ZARZĄDZANIA RYZYKIEM OPERACYJNYM Rada Nadzorcza Zarząd Wiceprezes ds. handlowych Kierownicy Oddziałów Prezes Zarządu Stanowisko ds. kontroli wewnętrznej Wiceprezes ds. finansowoksięgowych Główny Księgowy Komisja ds. przeglądów zarządczych Zespół organizacyjno -administracyjny Komórki i jednostki organizacyjne Komórka monitorująca - Zespół ryzyk i analiz ekonomicznych Zespół księgowo-informatyczny Stanowisko ds. produktów bankowych i marketingu