Polityka zarządzania ryzykiem operacyjnym

Załącznik Nr 2 do Uchwały Nr 2/VII/15 Zarządu
z dnia 20 lutego 2015
Załącznik do Uchwały Nr 10/I/15
Rady Nadzorczej
z dnia 20 lutego 2015
Polityka zarządzania ryzykiem operacyjnym
w Banku Spółdzielczym w Końskich
Końskie, luty 2015
1. Postanowienia ogólne
§1
1. Bank Spółdzielczy w Końskich zwany dalej Bankiem posiada zdefiniowane: strategię
działania Banku, strategię zarządzania poszczególnymi rodzajami ryzyk
oraz korespondującą z nimi politykę zarządzania ryzykiem operacyjnym opisaną
w niniejszym dokumencie.
2. Za jeden z kluczowych elementów koniecznych dla skutecznego wdrożenia strategii
rozwoju Banku uznano właściwą politykę zarządzania poszczególnymi rodzajami ryzyka,
w tym ryzykiem operacyjnym. Za główny cel uznano doskonalenie zarządzania ryzykiem
m.in. poprzez wyznaczenie akceptowalnego przez Bank jego poziomu, wdrożenie
efektywnych metod zarządzania ryzykiem i przegląd obowiązujących regulacji
wewnętrznych w Banku.
3. Politykę zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Końskich
opracowuje Zespół ryzyk i analiz ekonomicznych(ZRA), zgodnie z wytycznymi
zawartymi w ustawie Prawo bankowe, Rekomendacji M dotyczącej zarządzania
ryzykiem operacyjnym w bankach wydanej przez Komisję Nadzoru Finansowego w 2013
r., w Rekomendacji D dotyczącej zarządzania ryzykami towarzyszącymi systemom
informatycznym i telekomunikacyjnym używanym przez banki, w Uchwale Nr 76/2010
oraz w Uchwale 258/2011 KNF.
4. Projekt polityki przedkładany jest Zarządowi Banku do akceptacji i Radzie Nadzorczej
do zatwierdzenia.
5. ZRA jest odpowiedzialny za przegląd i aktualizację polityki przynajmniej raz w roku,
w szczególności w przypadku zmiany strategii Banku i tworzenia planu finansowego na
dany okres obrachunkowy.
6. Polityka zarządzania ryzykiem operacyjnym oraz jej realizacja podlega corocznemu
przeglądowi zarządczemu, który jest przeprowadzany przez Komisję ds. przeglądów
zarządczych.
7. Polityka zarządzania ryzykiem operacyjnym obejmuje następujące zagadnienia:
– uwarunkowania i cele Banku w zakresie ryzyka operacyjnego oraz ogólne kierunki
zarządzania ryzykiem operacyjnym,
– ocena profilu ryzyka operacyjnego w Banku ,
– poziomy ryzyka i metody ograniczania ryzyka operacyjnego (w tym określenie
akceptowalnego poziomu ryzyka),
– zasady limitowania i monitorowania ryzyka operacyjnego.
§2
1. Przez ryzyko operacyjne należy rozumieć możliwość wystąpienia straty wynikającej
z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze
zdarzeń zewnętrznych , obejmując również ryzyko prawne.
2. Do głównych obszarów ryzyka operacyjnego należy zaliczyć:
- ryzyka o charakterze personalnym,
- ryzyka o charakterze organizacyjnym,
- ryzyka o charakterze technicznym.
3. W kontekście ryzyka operacyjnego należy brać pod uwagę również możliwość utraty
reputacji w skutek zdarzeń ryzyka operacyjnego (choć samo ryzyko utraty reputacji oraz
ryzyko strategiczne związane jest z ryzykiem biznesowym) , w szczególności w obszarze
ryzyka prawnego , co może powodować w konsekwencji niezrealizowanie planu
ekonomiczno – finansowego i celów strategicznych Banku.
4. Ryzyko operacyjne jest obecnie , po ryzyku kredytowym , najistotniejszym z ryzyk
występujących w Banku. Poziom ryzyka operacyjnego zależy głównie od podejścia
wszystkich pracowników na poziomie poszczególnych komórek lub w ramach procesów i
od podejmowanych przez nich czynności obejmujących min. identyfikację , raportowanie
oraz kontrolę ryzyka.
§3
1. Bank posiada strukturę , procesy i zasoby odpowiednie do skali i złożoności prowadzonej
działalności pozwalające na sprawne zarządzania ryzykiem operacyjnym.
2. Organizacja systemu zarządzania ryzykiem w Banku zapewnia efektywny i kompleksowy
proces oceny i kontroli ryzyka oraz określa podział kompetencji, w którym uwzględniono
rozdzielenie funkcji podejmowania ryzyka (operacyjna działalność) od funkcji niezależnej
jego oceny i kontroli. Zasada ta realizowana jest poprzez rozdzielenie pionu ryzyka od pionu
operacyjnego(bezpośrednio odpowiedzialnego za prowadzenie danego rodzaju działalności
operacyjnej).
3. Zarządzanie ryzykiem operacyjnym w Banku realizowane jest z uwzględnieniem
struktury i kompetencji wynikających z Regulaminu Organizacyjnego Banku
Spółdzielczego w Końskich. Zadania poszczególnych komórek organizacyjnych Banku
w procesie zarządzania ryzykiem operacyjnym w sposób kompleksowy ujęte zostały w
Instrukcji zarządzania ryzykiem operacyjnym oraz Instrukcji zarządzania systemami
informatycznymi i ryzykiem systemów informatycznych.
4. Bank wyznaczył osobę odpowiedzialną za pomiar i monitorowanie ryzyka operacyjnego
w ramach Zespołu ryzyk i analiz ekonomicznych oraz za nadzór nad ryzykiem –
Wiceprezesa Zarządu ds. finansowo - księgowych.
5. Schemat organizacyjny zarządzania ryzykiem operacyjnym zawiera Załącznik do
niniejszej Polityki.
2.Uwarunkowania i cele Banku w zakresie ryzyka operacyjnego oraz ogólne
kierunki zarządzania ryzykiem operacyjnym
§4
1.Zarządzanie ryzykiem operacyjnym odbywa się w Banku w sposób zapewniający realizację
zapisów ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity : Dz. U. z 2015
r.,poz.128) , znowelizowanej Rekomendacji M, Rekomendacji D oraz Uchwały Nr 76/2010
i 258/2011 KNF.
2.Istotnym elementem zarządzania ryzykiem operacyjnym jest zarządzanie:
1)bezpieczeństwem środowiska teleinformatycznego i informacji, którego podstawowe
kierunki określa Polityka bezpieczeństwa informacji,
2)kadrami, którego kierunki określa Polityka kadrowa,
3) bezpieczeństwem płatności internetowych .
3.Na poziom ryzyka operacyjnego w Banku oddziałuje szereg czynników, są to:
1) zasoby ludzkie i warunki pracy,
2) procesy i systemy,
3) bezpieczeństwo informatyczne, teleinformatyczne, informacji prawnie chronionej,
alternatywnych kanałów dostępu do usług i informacji bankowych (w tym płatności
internetowych) , fizyczne, związane z zasobami ludzkimi, klientów ( zmiany w środowisku
biznesowym), produktów (wdrażanie nowych produktów),
4) outsourcing ,
5) przestępstwa,
6) awarie, klęski, katastrofy.
§5
1. Celem nadrzędnym w zakresie zarządzania ryzykiem operacyjnym jest:
Utrzymanie narażenia Banku na ryzyko operacyjne na akceptowalnym
przez Zarząd i Radę Nadzorczą Banku, bezpiecznym dla działania i rozwoju
Banku poziomie.
2. Cele szczegółowe to:
1) zapewnienie świadomości występowania ryzyka operacyjnego obciążającego Bank
na wszystkich szczeblach organizacyjnych Banku,
2) wdrożenie i systematyczna weryfikacja procesów zapobiegania oraz zmniejszania
skutków ryzyka, odpowiednio do rodzaju ryzyka i jego możliwego wpływu na
wynik finansowy Banku,
3) zapewnienie opłacalności stosowania wybranych metod ograniczania ryzyka,
odpowiednio do skali działania Banku i wielkości ryzyka.
§6
1. Bank będzie analizować potrzeby związane z zarządzaniem ryzykiem operacyjnym i
wprowadzać odpowiednie zmiany organizacyjne, mające na celu minimalizację ryzyka
operacyjnego, w tym zmiany wynikające z zewnętrznych przepisów i opracowań instytucji
nadzorczych.
2. Zarządzanie ryzykiem operacyjnym Banku ukierunkowane będzie na:
1) działania prewencyjne, związane z identyfikacją, oceną i monitoringiem ryzyka,
rozpoznawaniem i zapobieganiem powstawaniu zdarzeń ryzyka operacyjnego w
trakcie codziennej działalności, a także zapewnienie identyfikacji i oceny ryzyka przed
podjęciem istotnych decyzji związanych z wdrożeniem nowych produktów, procesów,
systemów;
2) osłabianie i niwelowanie skutków zaszłych zdarzeń poprzez przygotowanie
odpowiednich procedur i sposobów reagowania pracowników Banku na wypadek
zajścia zdarzenia ryzyka operacyjnego, a także poprzez dokonanie przeniesienia
ryzyka na inne podmioty w przypadku opłacalności i dostępności takiej metody dla
danego rodzaju ryzyka.
3. Zarządzanie ryzykiem będzie ukierunkowane ze szczególną uwagą na możliwość
powstania dwóch klas zdarzeń:
1) o wysokiej częstotliwości występowania, ale generujących niewielkie straty zarządzając nimi poprzez ustanowienie limitów, monitorowanie zdarzeń i obserwację
przestrzegana limitów występowania zdarzeń, a także poprzez metody zapobiegania
powstawaniu ryzyka, w tym także ustanawianie i przestrzeganie odpowiednich
procedur oraz działanie mechanizmów kontrolnych (kontroli funkcjonalnej),
2) o niskiej częstotliwości występowania, ale generujących duże straty - zarządzając nimi
poprzez ustanawianie procedur awaryjnych, planów ciągłości działania, a także w
miarę możliwości i takiej potrzeby przenosząc ryzyko poza Bank.
§7
1. W zakresie części ryzyka operacyjnego obejmującego ryzyko prawne i ryzyko braku
zgodności zarządzanie ukierunkowane jest na stałe dążenie do minimalizowania skutków
nieprzestrzegania zewnętrznych i wewnętrznych regulacji prawnych, a także właściwą
ochronę interesów Banku poprzez stałe aktualizowanie/dostosowywanie procedur
bankowych, kontrolę ich przestrzegania, wsparcie informatyczne, szkolenia, a także
korzystanie z zewnętrznego wsparcia prawnego.
2. W zakresie zarządzania ryzykiem prawnym i braku zgodności stosowane są zasady
określone w obowiązujących regulacjach wewnętrznych zgodnie z założeniami opisanymi
w Polityce zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich.
3.Ocena profilu ryzyka operacyjnego w Banku
§8
Profil ryzyka operacyjnego to skala i struktura ekspozycji Banku na ryzyko operacyjne;
określa stopień narażenia na ryzyko operacyjne i może być wyrażony w wybranych przez
Bank wymiarach strukturalnych ( takich jak m.in. rodzaje zdarzeń operacyjnych , rodzaje linii
biznesowych, kluczowe procesy) oraz wymiarach skali (takich jak m.in. oszacowana
potencjalna wielkość straty); do jego ustalenia Bank wykorzystuje posiadane informacje na
temat zdarzeń operacyjnych (w tym dotyczące ich częstości i dotkliwości) oraz informacje
pochodzące z wykorzystywanych narzędzi zarządzania ryzykiem operacyjnym.
§9
1. W Banku rejestrowane są zdarzenia ryzyka operacyjnego bez względu na wielkość straty
rzeczywistej lub potencjalnej jaką generują.
2. Poziom ryzyka operacyjnego monitorowany jest we wszystkich obszarach działalności
Banku.
3. Bank wylicza wymóg kapitałowy z tytułu ryzyka operacyjnego stosując metodę
podstawowego wskaźnika bazowego BIA.
4. Wielkość wskaźnika BIA stanowi tolerancję Banku na ryzyko operacyjne.
5. Apetyt Banku na ryzyko operacyjny stanowi wielkość alokacji kapitału na pokrycie tego
ryzyka , określoną w Polityce kapitałowej Banku.
§10
Na podstawie danych historycznych można określić następującą skalę i strukturę narażenia
Banku na ryzyko operacyjne :
1. w Banku nie występują zdarzenia o wysokiej stracie i niskiej częstotliwości,
2. bardzo często występują zdarzenia generujące niską stratę,
3. nie zanotowano jednostkowych zdarzeń ryzyka operacyjnego o stracie
powyżej poziomu 20% wskaźnika BIA,
4. suma rocznych oszacowanych strat z tytułu zdarzeń ryzyka operacyjnego nie
przekracza wielkości wskaźnika BIA,
5. najwięcej zdarzeń zaobserwowano w kategorii „ Klienci, produkty i praktyki
operacyjne” oraz „Wykonanie transakcji, dostawa i zarządzanie procesami
operacyjnymi”,
6. nie wystąpiły zdarzenia z kategorii „Oszustwa wewnętrzne”,
7. narażenie Banku na ryzyko operacyjne jest niskie i adekwatne do skali
działalności Banku.
4. Poziomy ryzyka i metody ograniczania ryzyka operacyjnego (w tym
określenie akceptowalnego poziomu ryzyka)
§11
1. Bank dzieli zidentyfikowane zagrożenia na poziomy ryzyka, ocena jest dokonywana
zgodnie z odpowiednimi regulacjami wewnętrznymi przyjętymi przez Zarząd i polega na
sporządzeniu odpowiednich map ryzyka dla poszczególnych procesów oraz mapy ryzyka dla
Banku (zgodnie ze znowelizowaną Rekomendacją M).
2. W celu doboru na podstawie oceny ryzyka zaprezentowanej w mapach ryzyka, metod
zarządzania odpowiednio do ocenianych zagrożeń - ustala się następujące podejście do
ograniczania zagrożeń, w ramach danego poziomu:
1) Ryzyko na poziomie akceptowalnym – identyfikacja i ocena danego ryzyka
wykazała, że potencjalne zagrożenia nie powodują konieczności stosowania
dodatkowych środków ochrony, ani dodatkowych działań monitorujących ponad
następującą listę:
1. sprawowanie kontroli wewnętrznej funkcjonalnej,
2. stosowanie odpowiednich procedur dokonywania operacji, a także limitów w
zakresie podejmowania decyzji, w celu ograniczenia strat mogących powstać z
tytułu błędów popełnianych przez ludzi,
3. szkolenie pracowników mające na celu prawidłowe wykonywanie operacji, a także
uświadomienie istnienia i sposobów zapobiegania występowaniu ryzyka,
4. przekazywanie bieżących informacji na temat istotnych zdarzeń ryzyka
operacyjnego, w celu zapobiegania rozprzestrzenianiu się ryzyka i ograniczeniu
jego wpływu,
5. monitorowanie zdarzeń ryzyka operacyjnego, gromadzenie informacji dotyczących
ryzyka i ich okresowa analiza,
6. okresowe raportowanie na temat poziomu ryzyka i obszarów szczególnie
narażonych na ryzyko.
2) Ryzyko o podwyższonym poziomie –identyfikacja i ocena danego ryzyka
wykazała potencjalne zagrożenia wskazujące, że należy rozważyć konieczność
wprowadzenia dodatkowych środków ochrony i działań monitorujących w postaci:
1. opracowania i wdrożenia odpowiednich planów awaryjnych lub planów utrzymania
ciągłości działania dla danego rodzaju zagrożenia,
2. automatyzacja wykonywanych czynności stosowana w celu zapobiegania lub
wychwytywania błędów ludzkich lub występowania innych zdarzeń ryzyka,
3. ubezpieczenia mienia w wyspecjalizowanych firmach,
4. tworzenie rezerw na poczet ewentualnych strat,
5. zlecanie wykonania działań wyspecjalizowanemu podmiotowi,
6. odpowiednie zapisy w zawieranych z dostawcami lub partnerami umowach,
ograniczające ryzyko i dające Bankowi możliwość odszkodowania w przypadku nie
wywiązania się przez druga stronę z umowy,
7. zwiększenie zakresu i częstotliwości kontroli lub monitorowania funkcjonowania
danego obszaru,
8. inne uznane za odpowiednie dla danego zagrożenia.
3) Ryzyko na poziomie wysokim –identyfikacja i ocena danego ryzyka wykazała
potencjalne zagrożenia wskazujące, że niezbędne jest niezwłoczne zastosowanie
dodatkowych środków ochrony skutecznie obniżających poziom ryzyka lub powinna
zostać podjęta decyzja o rezygnacji z procesu bądź zasobu wobec którego występuje
ryzyko.
5. Zasady limitowania i monitorowania ryzyka operacyjnego.
§12
1. W Banku istnieją powszechnie zakomunikowane polityki i instrukcje zarządzania
poszczególnymi rodzajami ryzyka. Polityka zarządzania ryzykiem, wewnętrzne
procedury i zasady jego pomiaru, ograniczania, monitorowania i kontroli określają ramy
dla sprawnego funkcjonowania procesu zarządzania ryzykiem oraz dostosowywania
wielkości podejmowanego ryzyka do bieżącej i prognozowanej sytuacji rynkowej.
2. W ramach zarządzania ryzykiem szczególnie istotne jest dla Banku wypełnienie
obowiązku utrzymywania kapitału własnego na pokrycie podejmowanego ryzyka, w tym
ryzyka operacyjnego, na określonym regulacyjnie minimalnym poziomie.
§ 13
1. Poziom ryzyka operacyjnego w działalności Banku ograniczony jest poprzez system
limitów:
a) globalny limit rocznych strat z tytułu ryzyka operacyjnego (tolerancja / apetyt na
ryzyko) w tym wartości progowe sum strat danej klasy zdarzeń,
b) limity kluczowych wskaźników ryzyka (KRI).
2. Wszystkie limity z zakresu ryzyka operacyjnego uchwala Zarząd Banku.
3. Monitoring wykorzystania limitów w zakresie ryzyka operacyjnego realizowany jest przez
ZRA zgodnie z obowiązującą w Banku Instrukcją zarządzania ryzykiem operacyjnym.
§ 14
Identyfikacja ryzyka operacyjnego odbywa się na wszystkich poziomach organizacyjnych
Banku:
a) podstawowym – jednostki bezpośrednio zarządzające ryzykiem operacyjnym w
ramach swojej codziennej działalności (wszyscy pracownicy),
b) kierowniczym – jednostki sprawujące kontrolę funkcjonalną nad osobami
działającymi w ramach poziomu podstawowego (kierownicy, Główny Księgowy ,
Stanowisko ds. kontroli wewnętrznej),
c) nadrzędnym – główna funkcja zarządzania ryzykiem (Zarząd).
§ 15
Monitorowanie ryzyka obejmuje:
1) monitorowanie zdarzeń ryzyka operacyjnego,
2) monitorowanie kluczowych wskaźników ryzyka (KRI).
§ 16
1. Monitorowanie zdarzeń ryzyka operacyjnego - wystąpienie wszystkich zdarzeń ryzyka
operacyjnego jest monitorowane przez ZRA, w ramach prowadzenia ewidencji zdarzeń
operacyjnych, a zebrane dane służą do dokonywania cyklicznej identyfikacji, analizy i oceny
zagrożeń.
2. Monitoring obejmuje straty brutto (bez odzysku straty) .
3. Na potrzeby zarządzania ryzykiem operacyjnym wprowadza się następującą klasyfikację
zdarzeń ryzyka operacyjnego:
a. zdarzenia istotne - zdarzenia ryzyka operacyjnego (incydenty), które
spowodowały wystąpienie szacunkowej straty finansowej co najmniej 10%
planowanego wyniku finansowego netto;
b. zdarzenia pozostałe - pozostałe zdarzenia ryzyka operacyjnego.
4. Wystąpienie istotnych zdarzeń ryzyka operacyjnego będzie szczególnie wnikliwie
analizowane przez Zarząd Banku.
§ 17
Metody pomiaru ryzyka operacyjnego to:
a) mapa ryzyka i rejestr incydentów operacyjnych,
b) kluczowe wskaźniki ryzyka (KRI),
c) macierz ryzyka operacyjnego,
d) samoocena w zakresie ryzyka operacyjnego.
§ 18
1. W Banku przeprowadzane są testy warunków skrajnych, których celem jest ocena stopnia
wrażliwości kapitału alokowanego na pokrycie ryzyka operacyjnego na wystąpienie w
przyszłości potencjalnych strat z tytułu ryzyka operacyjnego o wartości przekraczającej
straty dotychczas zrealizowane.
2. Bank opracował plany awaryjne i plany utrzymania działania (Instrukcja Plany ciągłości
działania Banku Spółdzielczego w Końskich), które obejmują krytyczne zasoby Banku i
okresowo przeprowadza ich testy oraz weryfikację.
§ 19
Wyniki analizy ekspozycji Banku na ryzyko operacyjne, w tym przestrzegania limitów są
raportowanie Zarządowi oraz Radzie Nadzorczej w zakresie i w cyklach zgodnych
z Instrukcją sporządzania informacji zarządczej.
§ 20
Bank posiada, przyjęte uchwałami Zarządu Banku, wewnętrzne procedury postępowania
w przypadku stwierdzenia przekroczenia limitów dotyczących ryzyka operacyjnego,
zaistnienia istotnej straty, zaistnienia incydentów mających istotny wpływ na bezpieczeństwo
informacji i danych , wystąpienia sytuacji kryzysowej zagrażającej ciągłości działania Banku
oraz zaistnienia zdarzenia o charakterze przestępczym obejmujące m.in. zasady
informowania organów Banku oraz wskazujące komórki odpowiedzialne za podjęcie działań
ograniczających narażenie na ryzyko operacyjne do poziomów akceptowanych przez Bank.
6. Postanowienia końcowe.
§ 21
Polityka zarządzania ryzykiem operacyjnym oraz jej zmiany wchodzą w życie z dniem
podjęcia uchwały przez Radę Nadzorczą Banku.
Załącznik nr 1 do Uchwały Zarządu
Nr 2/VII/15 z dnia 20 lutego 2015 r.
ZAŁĄCZNIK – SCHEMAT ORGANIZACYJNY ZARZĄDZANIA RYZYKIEM
OPERACYJNYM
Rada Nadzorcza
Zarząd
Wiceprezes ds.
handlowych
Kierownicy
Oddziałów
Prezes Zarządu
Stanowisko ds.
kontroli
wewnętrznej
Wiceprezes ds.
finansowoksięgowych
Główny
Księgowy
Komisja ds.
przeglądów
zarządczych
Zespół organizacyjno
-administracyjny
Komórki i jednostki
organizacyjne
Komórka monitorująca - Zespół
ryzyk i analiz ekonomicznych
Zespół księgowo-informatyczny
Stanowisko ds.
produktów
bankowych i
marketingu