Ryzyko operacyjne w bankach - zarządzanie i audyt

48 BankowoÊç Komercyjna
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
Ryzyko operacyjne w bankach zarzàdzanie i audyt w Êwietle
wymagaƒ Bazylejskiego Komitetu
ds. Nadzoru Bankowego
Dariusz Lewandowski
Wprowadzenie
Procesy towarzyszàce deregulacji oraz globalizacji
us∏ug finansowych wraz ze wzrostem z∏o˝onoÊci technologii informatycznych wykorzystywanych przez instytucje powodujà, ˝e dzia∏alnoÊç, a tym samym profil ryzyka instytucji stajà si´ coraz bardziej z∏o˝one.
DoÊwiadczenia pokazujà, i˝ konsekwencje innych rodzajów ryzyk ni˝ kredytowe, p∏ynnoÊci czy rynkowe
dla wielu instytucji finansowych by∏y doÊç powa˝ne.
Do zagadnieƒ, które wymuszajà pilnà koniecznoÊç zaj´cia si´ problematykà ryzyka operacyjnego mo˝na zaliczyç:
– coraz wi´ksze wykorzystanie zaawansowanych
technologii informatycznych oraz systemów zintegrowanych w skali globalnej, wymagajàce wnikliwej i ciàg∏ej kontroli ze wzgl´du na zagro˝enia wystàpieniem
ryzyka systemowego;
– wzrost roli i skali handlu elektronicznego (e-commerce) wymuszajàcy obowiàzek tworzenia zabezpieczeƒ przed nadu˝yciami o charakterze wewn´trznym
oraz zewn´trznym;
– zjawiska o charakterze konsolidacyjnym, przej´cia, fuzje, wymagajàce dostosowania bàdê stworzenia
nowych zintegrowanych systemów;
– funkcjonowanie wysokokwotowych rozliczeƒ
pomi´dzy instytucjami, wysokie wartoÊciowo transfery
kwot pieni´˝nych, wymuszajàce koniecznoÊç stosowania specjalistycznych technik kontrolnych oraz tworzenie systemów zapasowych;
– koniecznoÊç wykorzystania przez banki techniki
zabezpieczania przed ryzykiem (np. zabezpieczenia
prawne, pochodne kredytowe, netting, sekurytyzacja
aktywów) w celu optymalizacji ekspozycji na ryzyko
rynkowe czy kredytowe; stosowane techniki i instrumenty otwierajà z kolei ekspozycj´ na ryzyko, np.
prawne;
– wzrasta rola outsourcingu oraz uczestnictwo
banków w systemach rozliczeƒ, mogàce ograniczyç ryzyko, ale tak˝e stanowiàce nowe zagro˝enia.
Ten szeroki zestaw czynników ryzyka z ró˝norodnych obszarów tematycznych zosta∏ po∏àczony i nazwany ryzykiem operacyjnym.
Definicja ryzyka operacyjnego. Obszary ryzyka
operacyjnego
Definicja ryzyka operacyjnego zosta∏a przedstawiona w dokumencie konsultacyjnym Nowa Bazylejska Umowa Kapita∏owa, opracowanym w styczniu
2001 r. przez Bazylejski Komitet ds. Nadzoru Bankowego 1 .
1 W kwietniu 2003 r. Komitet Bazylejski opublikowa∏ kolejnà wersj´ Nowej Bazylejskiej Umowy Kapita∏owej, tzw. Trzeci Dokument Konsultacyjny. Nowà Umow´
Kapita∏owà b´dzie trzeba stosowaç w uj´ciu skonsolidowanym do banków prowadzàcych dzia∏alnoÊç mi´dzynarodowà. Zakres stosowania w uj´ciu w pe∏ni skonsolidowanym obejmie równie˝ spó∏ki holdingowe, b´dàce podmiotami macierzystymi grup bankowych. Szerzej patrz: The New Basel Capital Accord. Consultative document. Basel Committee on Banking Supervision. April 2003.
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
Ryzyko operacyjne definiuje si´ jako „ryzyko straty wynikajàcej z niew∏aÊciwych lub zawodnych procesów, ludzi i systemów lub ze zdarzeƒ zewn´trznych”.
Definicja ta obejmuje tak˝e ryzyko prawne. Ryzyko
strategiczne i ryzyko reputacji nie sà w∏àczone do definicji ryzyka operacyjnego do celów minimalnego regulacyjnego wymogu kapita∏owego z tytu∏u ryzyka operacyjnego2. Komitet w dalszym ciàgu wspó∏pracuje z
mi´dzynarodowym Êrodowiskiem bankowym nad tym
zagadnieniem.
Szeroki charakter definicji b´dzie na pewno
êród∏em wielu wyzwaƒ i ostateczny kszta∏t definicji
b´dzie zale˝a∏ od specyfiki dzia∏alnoÊci danej firmy. Podstawowe znaczenie ma jednak zdefiniowanie w ka˝dej instytucji ryzyka operacyjnego na jej
w∏asne potrzeby, jasne rozumienie przez personel
ca∏ej instytucji, co si´ rozumie pod poj´ciem ryzyka operacyjnego, zdefiniowanie czynników ryzyka.
Takie podejÊcie umo˝liwi efektywne zarzàdzania
ryzykiem.
Do rodzajów ryzyka operacyjnego, które mogà
wywo∏ywaç znaczne straty materialne mo˝na zaliczyç:
– nadu˝ycia wewn´trzne: kradzie˝ przez pracowników, fa∏szowanie sprawozdawczoÊci wewn´trznej,
transakcje wewn´trzne na szkod´ instytucji,
– nadu˝ycia zewn´trzne: napady, kradzie˝e, w∏amania fizyczne, w∏amania komputerowe, oscylator finansowy,
– zasady zatrudniania oraz bezpieczeƒstwo w
miejscu pracy: roszczenia pracownicze dotyczàce wynagrodzeƒ, warunki pracy zagra˝ajàce zdrowiu i bezpieczeƒstwu pracowników, dyskryminacj´ pracowników itd.,
– klientów, produkty oraz praktyki biznesowe:
wykorzystanie poufnych informacji o klientach, pranie
pieni´dzy, przeprowadzanie niedozwolonych transakcji na rachunkach bankowych, sprzeda˝ nieautoryzowanych produktów,
– zniszczenie aktywów: akty wandalizmu, terroryzmu, dzia∏ania si∏y wy˝szej,
– brak ciàg∏oÊci pracy instytucji, przerwanie pracy systemów, za∏amanie pracy systemów: problemy ze
sprz´tem, z oprogramowaniem, problemy telekomunikacyjne,
– zarzàdzanie w instytucji, zarzàdzanie procesami:
b∏´dy przy wprowadzaniu danych, niekompletnà dokumentacj´ prawnà, nieautoryzowany dost´p do danych o klientach, reklamacje, zastrze˝enia dostawców,
sprzedawców itd.
2 Nale˝y zwróciç uwag´, ˝e w taki sposób zdefiniowano ryzyko operacyjne na
potrzeby wyliczania przez banki minimalnych wymogów kapita∏owych. Zakres definicji sformu∏owanej na inne potrzeby, a tym samym dla innych instytucji mo˝e si´ ró˝niç.
BankowoÊç Komercyjna
KoniecznoÊç nowego podejÊcia do zarzàdzania
ryzykiem operacyjnym
Zarzàdzanie pewnymi obszarami ryzyka operacyjnego
w instytucjach nie jest zagadnieniem nowym. W szczególnoÊci instytucje finansowe zawsze by∏y zainteresowane zabezpieczeniem si´ przed nadu˝yciami, przest´pstwami zewn´trznymi i wewn´trznymi, redukcjà
b∏´dów operacyjnych, integralnoÊcià systemów kontrolnych. NowoÊcià w tym zakresie jest jednak zwrócenie
uwagi na wa˝noÊç problematyki ryzyka operacyjnego
oraz wypracowanie nowoczesnych zasad ca∏oÊciowego
procesu zarzàdzania ryzykiem operacyjnym, zbli˝onych do zasad, technik i praktyk stosowanych w odniesieniu do ryzyka kredytowego oraz rynkowego. Wiedza
i dorobek z ostatnich lat w zakresie zarzàdzania innymi
rodzajami ryzyka powinny byç wykorzystywane w celu usprawnienia zarzàdzania ryzykiem operacyjnym.
W przesz∏oÊci banki zarzàdzajàc ryzykiem operacyjnym korzysta∏y g∏ównie z mechanizmów kontroli wewn´trznej stosowanych przez poszczególne komórki
organizacyjne, wspomaganych przez audyt wewn´trzny. Takie podejÊcie jest dalej wa˝ne, ale obecnie mo˝e
okazaç si´ niewystarczajàce. W pewnych organizacjach
pojawia si´ koniecznoÊç wyodr´bnienia specjalnych
funkcji oraz wypracowania procesowego, usystematyzowanego podejÊcia do zarzàdzania tym rodzajem ryzyka.
KoniecznoÊç nowego czy specjalnego podejÊcia wynika tak˝e z innych czynników, decydujàcych o specyfice ryzyka operacyjnego. Specyfika ta polega na tym, ˝e :
– ryzyka operacyjnego nie podejmuje si´ w celu
osiàgni´cia okreÊlonych korzyÊci biznesowych; towarzyszy ono prowadzeniu dzia∏alnoÊci, jest w nià wbudowane,
– ca∏kowita eliminacja êróde∏ ryzyka nie jest mo˝liwa,
– analiza czynników ryzyka i konsekwencji oraz
jego skutków nie jest prosta,
– pomiar ryzyka równie˝ nie jest zadaniem ∏atwym,
– trudno ustaliç w∏aÊcicieli ryzyka,
– ryzyko to ma wyjàtkowo heterogeniczny charakter.
Na ca∏oÊciowej mapie wszystkich rodzajów ryzyka
instytucji nie mo˝e zabraknàç ryzyka operacyjnego oraz
zastosowania odpowiednich technik zarzàdzania.
Najlepsze praktyki dotyczàce zarzàdzania
i nadzoru nad ryzykiem operacyjnym - wytyczne
Bazylejskiego Komitetu ds. Nadzoru Bankowego
Bazylejski Komitet ds. Nadzoru Bankowego opracowa∏
i opublikowa∏ w styczniu 2003 r. dokument zatytu∏owany Najlepsze praktyki dotyczàce zarzàdzania i
nadzoru nad ryzykiem operacyjnym. OkreÊlono w
nim zasady dotyczàce sposobu efektywnego zarzàdzania ryzykiem operacyjnym i nadzoru nad nim. Zasady
49
50 BankowoÊç Komercyjna
te powinny byç wykorzystywane przez banki oraz w∏adze nadzorcze podczas oceny adekwatnoÊci zasad i
procedur zarzàdzania ryzykiem operacyjnym3. Przyjrzyjmy si´ tym zasadom. Zosta∏y one opracowane i
przeznaczone dla okreÊlonej grupy podmiotów, jednak
zdaniem autora mogà i powinny byç stosowane równie˝ przez podmioty z innych bran˝. Ryzyko operacyjne jest bowiem tym rodzajem ryzyka, które w odró˝nieniu np. od ryzyka czysto finansowego towarzyszy
wszystkim podmiotom prowadzàcym dzia∏alnoÊç.
Tworzenie adekwatnego Êrodowiska zarzàdzania ryzykiem
Ryzyko operacyjne jest wbudowane we wszystkie
transakcje i czynnoÊci bankowe. Niezrozumienie i brak
czy niew∏aÊciwe zarzàdzanie nim, mogà doprowadziç
do zwi´kszenia prawdopodobieƒstwa braku nale˝ytej
kontroli lub braku ca∏kowitej identyfikacji pewnych
czynników ryzyka. Rada nadzorcza i zarzàd odpowiadajà za stworzenie w∏aÊciwej kultury organizacyjnej, w
ramach której problematyka efektywnego zarzàdzania
ryzykiem operacyjnym ma priorytetowe znaczenie. Odpowiadajà równie˝ za zapewnienie odpowiednich mechanizmów kontrolnych. OkreÊlenie i wprowadzenie
wysokich standardów etycznego post´powania personelu ca∏ej instytucji przyczyniajà si´ do zwi´kszenia
efektywnoÊci zarzàdzania ryzykiem operacyjnym.
Równie˝ rada i zarzàd poprzez dzia∏ania i s∏owa powinny promowaç kultur´ organizacyjnà.
ZASADA 1. Rada Nadzorcza powinna byç Êwiadoma
najwa˝niejszych aspektów ryzyka operacyjnego banku
traktowanego jako odr´bna kategoria ryzyka, którym
bank powinien zarzàdzaç. Rada powinna zatwierdziç
strategi´ zarzàdzania ryzykiem operacyjnym oraz dokonywaç jej okresowego przeglàdu. Strategia powinna definiowaç, co bank rozumie przez ryzyko operacyjne,
oraz powinna zawieraç zasady identyfikacji, oceny,
monitorowania oraz kontroli i ograniczania ryzyka.
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
mu tolerancji i tzw. apetytu na ryzyko. Procedury zarzàdzania powinny wynikaç z przyj´tego poziomu tolerancji ryzyka. W strategii nale˝y tak˝e wskazaç priorytetowe czynnoÊci z zakresu zarzàdzania ryzykiem
oraz zakres i sposób ewentualnego transferu ryzyka
poza bank. W strategii muszà znaleêç si´ zapisy wskazujàce na podejÊcie banku do identyfikacji, oceny, monitorowania oraz kontroli i ograniczania ryzyka. Zarówno zakres, jak i stopieƒ szczegó∏owoÊci zapisów
strategii powinny byç dostosowane do profilu ryzyka
instytucji.
Rada jest odpowiedzialna za utworzenie w∏aÊciwej struktury zarzàdzania i organizacji zapewniajàcej
realizacj´ strategii. Poniewa˝ wa˝nym aspektem zarzàdzania ryzykiem jest stworzenie silnych mechanizmów i procedur kontroli wewn´trznej, istotne jest
ustanowienie przez rad´ czytelnego zakresu odpowiedzialnoÊci, podporzàdkowania, podleg∏oÊci oraz raportowania. Dodatkowo, w celu unikni´cia konfliktu
interesów, powinna byç wprowadzona zasada rozdzielenia odpowiedzialnoÊci oraz raportowania. W strategii powinny byç zarysowane równie˝ g∏ówne procesy,
które instytucja musi wypracowaç w celu skutecznego
zarzàdzania ryzykiem.
Rada powinna dokonywaç regularnego przeglàdu
strategii pod kàtem jej aktualnoÊci oraz zapewnienia,
by bank w∏aÊciwie zarzàdza∏ ryzykiem i uwzgl´dnia∏
wszystkie czynniki ryzyka, wynikajàce z zewn´trznych
zmian rynkowych, innych czynników Êrodowiskowych
oraz towarzyszàce nowym produktom, us∏ugom, czynnoÊciom czy systemom. W przeglàdzie nale˝y braç pod
uwag´ doÊwiadczenia oraz najlepsze praktyki bankowe
w tym zakresie.
ZASADA 2. Rada nadzorcza powinna zapewniç, by
strategia zarzàdzania ryzykiem operacyjnym by∏a przedmiotem oceny dokonywanej przez efektywny i kompleksowy audyt wewn´trzny. Audyt wewn´trzny jako
niezale˝na funkcja nie powinien byç bezpoÊrednio odpowiedzialny za zarzàdzanie ryzykiem operacyjnym.
Rada powinna - akcentujàc odr´bnoÊç i wa˝noÊç
tej kategorii - wyraênie zdefiniowaç swoje oczekiwania
w zakresie strategii zarzàdzania ryzykiem operacyjnym. Powinna wskazaç po˝àdane kierunki dzia∏aƒ
oraz zatwierdziç stworzone przez zarzàd stosowne procedury i zasady polityki.
Strategia i zasady polityki powinny byç oparte na
w∏aÊciwym zdefiniowaniu, na potrzeby instytucji, ryzyka operacyjnego. Nale˝y si´ tak˝e odnieÊç do pozio-
Banki powinny mieç sprawnie funkcjonujàcy audyt wewn´trzny4, który weryfikuje, czy zasady polityki
i procedury operacyjne sà wprowadzane i przestrzegane. Rada (bezpoÊrednio lub poÊrednio za poÊrednictwem Komitetu Audytu) powinna zadbaç aby program
audytu by∏ adekwatny do profilu ryzyka w banku. Audyt powinien okresowo weryfikowaç i wydawaç opini´
na temat poprawnoÊci wdra˝ania wszystkich zapisów
3 Rekomendacje opracowywane przez Komitet Bazylejski stanowià zbiór najlepszych praktyk w zakresie zarzàdzania poszczególnymi rodzajami ryzyka
bankowego. Kierowane sà do ró˝nych banków (wielkoÊci, charakteru dzia∏alnoÊci itp.) funkcjonujàcych w ró˝nych jurysdykcjach prawnych. Tym samym
nie majà one mocy obowiàzujàcej lecz pe∏nià funkcj´ pewnych ogólnych wytycznych. Ich uniwersalny charakter oraz wysoka jakoÊç merytoryczna sprawiajà, ˝e regulatorzy i nadzorcy bankowi w poszczególnych krajach ch´tnie
w∏àczajà je do wytycznych dla banków.
4 Definicja audytu wewn´trznego zatwierdzona w czerwcu 1999 r. przez Zarzàd Instytutu Audytorów Wewn´trznych (The IIA’ Board of Directors) brzmi
nast´pujàco:
„Audyt wewn´trzny jest dzia∏alnoÊcià niezale˝nà, obiektywnie zapewniajàcà
i doradczà, której celem jest przysparzanie wartoÊci i usprawnienie dzia∏alnoÊci operacyjnej organizacji. Pomaga on organizacji w osiàganiu jej celów poprzez systematyczne i zdyscyplinowane podejÊcia do oceny i doskonalenia
skutecznoÊci procesów zarzàdzania ryzykiem, kontroli i governance.”
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
strategii zarzàdzania ryzykiem operacyjnym we wszystkich pionach operacyjnych banku.
Rada powinna zadbaç, aby audyt wewn´trzny mimo szerokiego zaanga˝owania w ocen´ poprawnoÊci realzacji strategii zarzàdzania ryzykiem operacyjnym zachowywa∏ swojà niezale˝noÊç. Niezale˝noÊç b´dzie zagro˝ona, je˝eli audyt b´dzie bezpoÊrednio zaanga˝owany w zarzàdzanie ryzykiem operacyjnym. Audyt mo˝e
dostarczyç du˝ego wsparcia osobom zarzàdzajàcym i
odpowiedzialnym za ten obszar ryzyka, jednak˝e nie
mo˝e ponosiç jakiejkolwiek bezpoÊredniej odpowiedzialnoÊci w zarzàdzaniu ryzykiem5. Komitet Bazylejski zdaje sobie spraw´, ˝e ze wzgl´dów praktycznych
audyt w pewnych - szczególnie mniejszych - bankach
mo˝e na poczàtkowym etapie uczestniczyç w opracowaniu programu zarzàdzania ryzykiem operacyjnym.
Jednak po wprowadzeniu programu odpowiedzialnoÊç
za codzienne zarzàdzanie musi byç przypisana w∏aÊciwym pionom operacyjnym.
ZASADA 3. Zarzàd powinien byç odpowiedzialny za
realizacj´ strategii zarzàdzania ryzykiem operacyjnym
zatwierdzonej przez radà nadzorczà. Strategia powinna
byç konsekwentnie, spójnie i kompleksowo wdra˝ana
w ca∏ym banku. Na wszystkich poziomach organizacyjnych pracownicy powinni rozumieç swojà rol´ i odpowiadaç za zarzàdzanie ryzykiem operacyjnym. Zarzàd
powinien odpowiadaç równie˝ za opracowanie zasad
polityki, procedur oraz procesów zarzàdzania ryzykiem
operacyjnym dotyczàcych wszystkich produktów, obszarów dzia∏alnoÊci, procesów i systemów o materialnej istotnoÊci.
Zarzàd powinien prze∏o˝yç strategi´ zarzàdzania
ryzykiem operacyjnym stworzonà przez rad´ na konkretne zasady polityki, procesy oraz procedury operacyjne, które b´dà wprowadzane i weryfikowane we
wszystkich pionach operacyjnych. Kierownictwo poszczególnych pionów operacyjnych odpowiada za adekwatnoÊç zasad, procedur oraz jakoÊç kontroli w swoich jednostkach. Zarzàd powinien jasno okreÊliç wymagania co do podleg∏oÊci, odpowiedzialnoÊci oraz trybu raportowania, jak równie˝ zadbaç o istnienie w banku w∏aÊciwych zasobów umo˝liwiajàcych efektywne
zarzàdzanie ryzykiem. Dodatkowo, Zarzàd powinien
oceniaç adekwatnoÊç i skutecznoÊç zarzàdzania przez
kierownictwo pionów operacyjnych ryzykiem wbudowanym niejako w dzia∏ania tych pionów.
Zarzàd powinien zapewniç, aby poszczególne
czynnoÊci bankowe by∏y wykonywane przez wykwali5 Audyt wewn´trzny jest elementem sk∏adowym procesu monitorowania systemu kontroli wewn´trznej w banku oraz wewn´trznych procedur w zakresie
oceny adekwatnoÊci kapita∏owej. Audyt dostarcza bowiem niezale˝nej oceny
w zakresie adekwatnoÊci oraz zgodnoÊci z obowiàzujàcymi przepisami. W tym
sensie funkcja audytu wewn´trznego wspomaga odpowiedzialny za zarzàdzanie instytucjà zarzàd oraz rad´ w skutecznym podziale odpowiedzialnoÊci.
BankowoÊç Komercyjna
fikowany personel majàcy odpowiednie doÊwiadczenie, umiej´tnoÊci techniczne i dost´p do technologii i
zasobów. Zarzàd powinien te˝ zadbaç, aby personel odpowiedzialny za monitorowanie i badanie zgodnoÊci
post´powania z politykà instytucji dotyczàcà zarzàdzania ryzykiem nie podlega∏ nadzorowanym pionom operacyjnym. Zarzàd powinien zadbaç aby zasady polityki
zarzàdzania ryzykiem operacyjnym i wszelkie wymagania w tym zakresie by∏y jasno komunikowane personelowi wszystkich tych pionów, których dotyczy ryzyko
operacyjne.
Zarzàd powinien zapewniç istnienie w∏aÊciwych
zasad komunikacji pomi´dzy personelem odpowiedzialnym za zarzàdzanie ryzykiem operacyjnym i innymi rodzajami ryzyka a tymi pionami w instytucji, które odpowiadajà za nabywanie us∏ug na zewnàtrz, np. zakup polis ubezpieczeniowych, czy wszelkie inne umowy outsourcingowe. Wspó∏praca jest niezb´dna w celu unikni´cia
luk lub nak∏adania si´ pewnych zadaƒ w ca∏oÊciowym
programie zarzàdzania ryzykiem w instytucji.
Zarzàd powinien prowadziç polityk´ w zakresie
wynagrodzeƒ spójnà z apetytem banku na ryzyko. Zasady wynagradzania, które premiujà jakiekolwiek odst´pstwa od zasad polityki i procedur obowiàzujàcych
w instytucji (np. przekraczanie ustanowionych limitów), negatywnie wp∏ywajà na zarzàdzanie ryzykiem w
banku.
Nale˝y zwróciç szczególnà uwag´ na jakoÊç dokumentowania kontroli oraz praktyki w zakresie przeprowadzania transakcji. Zasady polityki, procesy i procedury odnoszàce si´ do wykorzystywania zaawansowanych technologii, np. do obs∏ugi transakcji wysokokwotowych, powinny byç nale˝ycie dokumentowane i
przydzielane w∏aÊciwemu personelowi.
Zarzàdzanie ryzykiem: identyfikacja, ocena, monitoring oraz ograniczanie i kontrola
ZASADA 4. Banki powinny identyfikowaç i oceniaç ryzyko operacyjne wbudowane we wszystkie produkty,
czynnoÊci, procesy i systemy o materialnej istotnoÊci.
Banki powinny równie˝ zapewniç, by przed podj´ciem
lub wprowadzeniem nowych produktów, czynnoÊci,
procesów czy systemów towarzyszàce im ryzyko operacyjne by∏o przedmiotem wnikliwej analizy. W tej materii powinny istnieç stosowne procedury.
W∏aÊciwa identyfikacja ryzyka jest podstawà prawid∏owego wypracowania zasad monitorowania i kontroli. Efektywna identyfikacja ryzyka wymaga rozwa˝enia czynników wewn´trznych (struktura banku, rodzaje us∏ug, produktów bankowych oraz czynnoÊci, jakoÊç
personelu, zmiany organizacyjne i kadrowe) oraz czynników zewn´trznych (zmiany w bran˝y, nowe technologie), które mogà negatywnie wp∏ywaç na osiàganie
celów banku.
51
52 BankowoÊç Komercyjna
Oprócz samej identyfikacji czynników ryzyka nale˝y szacowaç podatnoÊç banku na te zagro˝enia. Efektywna ocena ryzyka umo˝liwia w∏aÊciwe okreÊlenie
profilu ryzyka oraz skierowanie posiadanych zasobów
na obszary zagro˝eƒ.
SpoÊród dost´pnych narz´dzi i technik identyfikacji i oceny ryzyka na uwag´ zas∏ugujà:
• Samoocena oraz samoocena w zakresie ryzyka
- ocena podatnoÊci operacji, czynnoÊci bankowych na
czynniki ryzyka operacyjnego wraz z ocenà zagro˝eƒ.
Jest to proces wewn´trzny w instytucji. Mo˝na go realizowaç poprzez system ankiet czy wewn´trznych seminariów bàdê warsztatów, s∏u˝àcych identyfikacji silnych i s∏abych stron w procesach.
• Mapowanie ryzyka - poszczególne jednostki operacyjne, funkcje organizacyjne czy procesy sà nak∏adane
na mapy ryzyka. Pomaga to identyfikowaç zagro˝enia,
s∏aboÊci oraz okreÊlaç priorytety dzia∏aƒ zarzàdczych.
• Wskaêniki ryzyka - to dane statystyczne, liczbowe, finansowe odnoszàce si´ do okreÊlonych rodzajów
ryzyka. Wskaêniki muszà byç wyliczane oraz cyklicznie analizowane. Mogà obejmowaç np. liczb´ niezrealizowanych kontraktów, p∏atnoÊci, rotacj´ personelu,
liczb´ b∏´dów, nieprawid∏owoÊci.
• Pomiar ryzyka operacyjnego - pewne firmy rozpocz´∏y pomiar nara˝enia na ryzyko operacyjne stosujàc ró˝ne techniki. Tworzà bazy danych nt. strat historycznych. Bazy te mogà dostarczyç informacji przydatnych do usprawnienia zarzàdzania ryzykiem i jego kontroli w przysz∏oÊci. Dane te muszà byç systematycznie
rejestrowane. Powinny byç opisywane wszystkie szczegó∏y. Cenne sà te˝ porównania z innymi instytucjami,
bazami danych zewn´trznych, analizami scenariuszy.
ZASADA 5. Banki powinny regularnie monitorowaç
profil ryzyka operacyjnego i stopieƒ nara˝enia na straty o materialnej istotnoÊci. Powinien byç tak˝e stworzony system regularnego raportowania zarzàdowi o zagro˝eniach. System raportowania powinien wspieraç
zarzàdzanie ryzykiem operacyjnym.
• Efektywny monitoring jest wa˝nym elementem
w zarzàdzaniu ryzykiem. Pozwala na szybkà identyfikacj´ s∏aboÊci oraz umo˝liwia wprowadzenie - skutecznie i we w∏aÊciwym czasie - zmian zasad polityki, procedur oraz podj´cie dzia∏aƒ naprawczych. Dzi´ki temu
pozwala ograniczyç cz´stotliwoÊç i g∏´bokoÊç potencjalnych strat. Monitoring powinien obejmowaç analiz´ zdarzeƒ, w wyniku których dosz∏o do strat operacyjnych oraz analiz´ wskaêników i sygna∏ów ostrzegawczych informujàcych o zagro˝eniach wystàpieniem
strat w przysz∏oÊci. Wskaêniki te powinny pomagaç w
prognozowaniu zagro˝eƒ i opieraç si´ na êród∏ach ryzyka operacyjnego, takich jak gwa∏towny wzrost liczby
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
operacji, wprowadzanie nowych produktów, rotacja
personelu, zatrzymanie pracy systemów.
• Cz´stotliwoÊç monitoringu powinna zale˝eç od
ryzyka oraz charakteru i cz´stotliwoÊci zmian w Êrodowisku operacyjnym. Monitoring powinien byç naturalnà cz´Êcià czynnoÊci bankowych. Jego wyniki powinny
byç prezentowane w raportach dla zarzàdu i rady, wraz
z przeglàdami zgodnoÊci przeprowadzanymi przez audyt wewn´trzny lub pion zarzàdzania ryzykiem.
• Regularne raporty dla zarzàdu na temat ryzyka
operacyjnego powinny charakteryzowaç si´ nast´pujàcymi cechami:
– powinny byç opracowywane przez w∏aÊciwe
piony operacyjne, departamenty, biuro ds. zarzàdzania
ryzyka operacyjnego, audyt wewn´trzny;
– powinny zawieraç wewn´trzne dane finansowe,
dane operacyjne, dane weryfikujàce zgodnoÊç oraz zewn´trzne dane rynkowe o wydarzeniach czy uwarunkowaniach wp∏ywajàcych na procesy decyzyjne;
– powinny byç odpowiednio dystrybuowane do
wszystkich kierujàcych pionami operacyjnymi, których dotyczà opisywane zagadnienia;
– powinny prezentowaç wszystkie obszary, na których wyst´pujà problemy oraz wskazywaç na koniecznoÊç natychmiastowych dzia∏aƒ zaradczych.
Kierownictwo pionów operacyjnych w celu zapewnienia u˝ytecznoÊci i wiarygodnoÊci raportów powinno regularnie weryfikowaç terminowoÊç, kompletnoÊç oraz adekwatnoÊç systemu raportowania oraz systemu kontroli wewn´trznej.
W∏aÊciwie funkcjonujàcy system raportowania
powinien zapewniç otrzymywanie przez rad´
wystarczajàcych zagregowanych informacji, umo˝liwiajàcych zrozumienie ca∏oÊciowego profilu ryzyka
operacyjnego instytucji i skoncentrowanie si´ na istotnych i strategicznych skutkach dla dzia∏alnoÊci.
ZASADA 6. Banki powinny wypracowaç zasady polityki, procedury i procesy w zakresie kontroli i ograniczania najbardziej istotnych rodzajów ryzyka operacyjnego. Powinny dokonywaç regularnego przeglàdu systemu limitów ryzyka oraz w∏asnych strategii kontrolnych. Powinny tak˝e wykorzystywaç w∏aÊciwe strategie, by dostosowywaç bie˝àcy profil ryzyka operacyjnego do ca∏kowitego profilu i sk∏onnoÊci do podejmowania ryzyka przez instytucj´.
CzynnoÊci i mechanizmy kontrolne powinny byç
nakierowane na ryzyko operacyjne zidentyfikowane
przez bank. W przypadku wszystkich zidentyfikowanych rodzajów ryzyka operacyjnego o materialnym
znaczeniu nale˝y zdecydowaç, czy zastosowaç okreÊlone procedury kontroli i (lub) ograniczania ryzyka, czy
procedury stosowane, gdy bank Êwiadomie decyduje
si´ na ponoszenie ryzyka. Dla ryzyka, które nie mo˝e
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
BankowoÊç Komercyjna
byç kontrolowane, bank powinien zdecydowaç, czy akceptuje je, ogranicza poziom dzia∏alnoÊci na pewnych
zbyt ryzykownych obszarach, czy rezygnuje z danej
dzia∏alnoÊci ca∏kowicie. Bank musi mieç stosowne mechanizmy, wypracowaç procesy i procedury kontroli
wewn´trznej oraz sprawnie funkcjonujàcy system zapewniajàcy zgodnoÊç post´powania z wewn´trznymi
regulacjami w zakresie zarzàdzania ryzykiem. Mo˝na
wskazaç na nast´pujàce elementy takiego systemu:
• Przeglàdy post´pu realizacji za∏o˝onych celów
dokonywane przez zarzàd.
• Badanie przestrzegania mechanizmów kontrolnych opracowanych przez kierownictwo.
• Zasady polityki, procesy oraz procedury dotyczàce post´powania w sytuacjach niezgodnych z obowiàzujàcymi zasadami.
• Udokumentowane upowa˝nienia, zezwolenia i autoryzacje zapewniajàce w∏aÊciwe przydzielenie odpowiedzialnoÊci na danym szczeblu kierownictwa.
Oprócz formalnych, pisemnych procedur w instytucji musi istnieç silna kultura kontroli, promujàca zasady w∏aÊciwego zarzàdzania ryzykiem. Za jej stworzenie odpowiada rada i zarzàd. Efektywny system kontroli wewn´trznej powinien wymusiç tak˝e w∏aÊciwy podzia∏ zadaƒ i obowiàzków oraz takie przydzielenie zadaƒ i odpowiedzialnoÊci, które nie b´dzie powodowa∏o konfliktu interesów. Niew∏aÊciwe przydzielenie zadaƒ poszczególnym pracownikom czy zespo∏om mo˝e
umo˝liwiç pope∏nianie b∏´dów, b∏´dy w dzia∏aniu czy
straty. Dlatego obszary potencjalnego konfliktu interesów powinny byç identyfikowane, minimalizowane
oraz precyzyjnie monitorowane. Do innych przyk∏adów wewn´trznych zasad przydatnych w kontroli ryzyka operacyjnego mo˝na zaliczyç:
- praktyki uniemo˝liwiajàce ukrycie b∏´dów,
- ciàg∏y monitoring zgodnoÊci transakcji z limitami,
- zabezpieczenie dost´pu i wykorzystywania aktywów, systemów informatycznych, zapisów ksi´gowych,
- zapewnienie w∏aÊciwych szkoleƒ i praktyk,
- identyfikacj´ wszystkich nadzwyczajnych, nieoczekiwanych zysków, powstajàcych w pionach operacyjnych, czy zwiàzanych z produktami, które nie powinny przynosiç wysokich dochodów,
- regularnà weryfikacj´ i uzgodnienie transakcji i
rachunków.
bezpieczenia w postaci np. w∏aÊciwych polis ubezpieczeniowych. Do takich zdarzeƒ mo˝na zaliczyç: b∏´dy w∏asne, b∏´dy czy nadu˝ycia partnerów zewn´trznych, fizycznà strat´ papierów wartoÊciowych, kl´ski ˝ywio∏owe.
Czasem przydatne jest rozwa˝enie, czy sposoby
ograniczania ryzyka - np. zakup polis ubezpieczeniowych6, outsourcing, transfer ryzyka - rzeczywiÊcie
ograniczajà ryzyko do po˝àdanego poziomu. W bankach powinny istnieç mechanizmy natychmiast identyfikujàce b∏´dy oraz korygujàce je. Wymaga to dalszego
inwestowania w odpowiednie technologie oraz systemy informatyczne i informacyjne. Konieczna jest tak˝e
odpowiednia kontrola tych technologii.
Banki powinny wypracowaç polityk´ w zakresie
outsourcingu oraz zasady wspó∏pracy ze wszystkimi
podmiotami zewn´trznymi, z podmiotami grupy, z
klientami itd. Powinny stosowaç w∏aÊciwe techniki
„due diligence” stron trzecich7. Podstawowe znaczenie
ma równie˝ planowanie awaryjne.
Konieczne jest tak˝e monitorowanie zagro˝eƒ
zwiàzanych z wprowadzaniem nowych produktów,
wchodzeniem na nowe obszary, dzia∏aniem przez podmioty odleg∏e geograficznie od siedziby centrali. W tej
sytuacji nale˝y zbadaç, czy dzia∏ania te zosta∏y obj´te
systemem kontroli wewn´trznej i czy jest on nale˝ycie
dostosowany do ryzyka.
Wa˝ne sà tak˝e monitorowanie zagro˝eƒ typu „niskie prawdopodobieƒstwo, du˝e konsekwencje” i za-
rów biznesowych powodowanych zaniedbaniami, nieuczciwoÊcià lub przest´pstwami pracowników firmy, w∏amaniami, kradzie˝ami, od odpowiedzialnoÊci cywilnej. Przy transferze ryzyka operacyjnego dokonywanym poprzez
zakup stosownych polis ubezpieczeniowych bank otwiera pozycj´ ryzyka kredytowego wystawcy polisy.
7 W dniu 4 paêdziernika 2001 r. Bazylejski Komitet ds. Nadzoru Bankowego
wyda∏ dokument Customer due diligence for banks. Zawiera on zalecenia dla
banków oraz nadzorców bankowych na temat szeroko rozumianego procesu
pog∏´bionej analizy klienta oraz operacji bankowych z zachowaniem zasad
nale˝ytej starannoÊci przez banki. Dokument ten zawiera minimalny zestaw
standardów, które powinny pos∏u˝yç zainteresowanym stronom do rozwijania
w∏asnych praktyk w tej dziedzinie.
ZASADA 7. Banki powinny mieç plany awaryjne oraz
plany dotyczàce ciàg∏oÊci dzia∏ania w sytuacjach awaryjnych w celu zapewnienia ciàg∏oÊci operacyjnej oraz
ograniczenia strat.
Pewne wydarzenia zewn´trzne, które sà poza kontrolà banku, mogà wywrzeç negatywny wp∏yw na realizacj´ cz´Êci lub nawet wszystkich zobowiàzaƒ banku, w
szczególnoÊci gdy uszkodzeniu czy zniszczeniu ulegnie
infrastruktura fizyczna, telekomunikacyjna czy informatyczna banku. Mo˝e to spowodowaç powa˝ne straty dla
samego banku lub poprzez zaburzenia w systemach
p∏atnoÊci wp∏ynàç na wiele podmiotów. Stàd tak du˝ego znaczenia nabierajà plany ciàg∏oÊci dzia∏ania oraz
wszelkie plany awaryjne. W tym celu nale˝y identyfikowaç wszystkie wa˝ne procesy biznesowe pod kàtem podatnoÊci na nadu˝ycia, uzale˝nienia od zewn´trznych
dostawców, stron trzecich, z∏o˝onoÊci technologii informatycznych. Analizie powinny byç poddane mo˝liwe scenariusze wydarzeƒ. Nale˝y tak˝e ustaliç priorytety dzia∏aƒ w warunkach kryzysu i oceniç mo˝liwoÊç
wykorzystania np. alternatywnych zasobów.
6 Ró˝norodne instrumenty ubezpieczeniowe od dawna nale˝à do wa˝nych narz´dzi zabezpieczania przed ryzykiem operacyjnym, a tym samym zabezpieczania instytucji przed stratami. Firmy ubezpieczeniowe proponujà instrumenty zabezpieczajàce przed stratami np. z tytu∏u zobowiàzaƒ wobec partne-
53
54 BankowoÊç Komercyjna
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
Rola nadzoru bankowego
Znaczenie obowiàzków sprawozdawczych
ZASADA 8. Nadzorcy bankowi powinni wymagaç, aby
wszystkie banki, niezale˝nie od wielkoÊci, mia∏y i stosowa∏y zasady identyfikacji, oceny, monitorowania
oraz kontroli i ograniczania ryzyka operacyjnego. Zasady te powinny byç cz´Êcià ca∏oÊciowej strategii zarzàdzania ryzykiem w instytucji.
ZASADA 10. Banki powinny prezentowaç wystarczajàcà iloÊç informacji, które umo˝liwià uczestnikom rynkowym ocen´ podejÊcia banku do zarzàdzania ryzykiem operacyjnym.
Nadzorcy powinni wymagaç, aby banki tworzy∏y
strategi´ zarzàdzania ryzykiem operacyjnym opartà na
wytycznych Komitetu Bazylejskiego – adekwatnà do
wielkoÊci banku, skali i z∏o˝onoÊci prowadzonej dzia∏alnoÊci, profilu ryzyka. Je˝eli roÊnie poziom ryzyka
operacyjnego w banku, musi on dostosowywaç strategi´ oraz techniki zarzàdzania.
Prezentowanie z okreÊlonà cz´stotliwoÊcià aktualnych informacji przez banki wzmocni dyscyplin´ rynkowà, a przez to jakoÊç zarzàdzania ryzykiem. Informacje majà daç w∏aÊciwy obraz sytuacji banku i umo˝liwiç inwestorom, klientom banku oraz regulatorom
ocen´ jakoÊci zarzàdzania ryzykiem operacyjnym w instytucji.
Podsumowanie
ZASADA 9. Nadzorcy powinni, bezpoÊrednio lub poÊrednio, dokonywaç regularnych niezale˝nych ocen
polityki, procedur oraz praktyk dotyczàcych ryzyka
operacyjnego. Nadzorcy powinni tak˝e zapewniç istnienie i funkcjonowanie stosownych mechanizmów,
które dostarczajà im wiedzy o wydarzeniach w banku.
W ramach niezale˝nej oceny ryzyka operacyjnego
nadzorcy bankowi biorà pod uwag´:
– efektywnoÊç zarzàdzania ryzykiem w banku oraz
ca∏oÊç kontroli w zakresie ryzyka operacyjnego,
– metody monitorowania ryzyka operacyjnego
oraz raportowania na jego temat , w∏àczajàc dane o poniesionych stratach operacyjnych oraz inne wskaêniki
ryzyka,
– procedury terminowego oraz efektywnego post´powania w razie wydarzeƒ ryzyka oraz zagro˝eƒ,
– procedury, mechanizmy oraz czynnoÊci kontroli
wewn´trznej, przeglàdy i audyty – pod kàtem zapewnienia integralnoÊci ca∏ego procesu zarzàdzania ryzykiem operacyjnym,
– efektywnoÊç i techniki ograniczania ryzyka,
– jakoÊç oraz kompleksowoÊç podejÊcia do budowy planów naprawczych, planów awaryjnych, planów
ciàg∏oÊci dzia∏ania,
– adekwatnoÊç kapita∏owà.
W przypadku banków wchodzàcych w sk∏ad grupy
finansowej nadzór bankowy powinien równie˝ oceniaç
integralnoÊç i adekwatnoÊç zarzàdzania ryzykiem operacyjnym w ramach ca∏ej grupy. Do realizacji tego zadania niezb´dne b´dà w∏aÊciwe zasady wspó∏pracy pomi´dzy nadzorcami ró˝nych instytucji finansowych.
Rolà nadzoru powinno równie˝ byç zach´canie do
ulepszania procesu zarzàdzania ryzykiem.
Zdaniem autora, cennà inicjatywà Bazylejskiego Komitetu ds. Nadzoru Bankowego jest zwrócenie uwagi na
zagadnienia ryzyka operacyjnego w dzia∏alnoÊci banków i okreÊlenie minimalnych wymagaƒ w zakresie
zarzàdzania i kontroli. Obecnie ryzyko operacyjne zaczyna byç traktowane jako odr´bna kategoria ryzyka.
B´dzie to skutkowaç utworzeniem i wprowadzeniem
przez banki infrastruktury zarzàdzania i kontroli w zakresie ryzyka operacyjnego i wpisania jej w ca∏oÊciowy
system zarzàdzania ryzykiem w banku. Pojawiajà si´
propozycje definicji, narz´dzi zarzàdzania oraz pomiaru8. Ryzyko operacyjne dotyczy praktycznie ca∏ego personelu danej instytucji. Trudno zarzàdzaç tym ryzykiem w sposób zcentralizowany. Konieczne jest zarzàdzanie we wszystkich komórkach i pionach instytucji.
Praktyka w zarzàdzaniu ryzykiem operacyjnym b´dzie
zapewne zró˝nicowana ze wzgl´du na silne uzale˝nienie od jednostki, kultury i sposobu zarzàdzania. Poszczególne bran˝e i instytucje realizujà odr´bne zadania, jakoÊç procesów i zarzàdzania procesami jest odmienna, wykorzystywane sà ró˝ne systemy informatyczne; ró˝na jest te˝ jakoÊç czynnika ludzkiego. W zakresie zarzàdzania ryzykiem operacyjnym brak jest jednolitego benchmarku dla wszystkich firm ze wzgl´du
na specyfik´ ich dzia∏alnoÊci. Nie oznacza to jednak˝e,
i˝ ten rodzaj ryzyka by∏ ca∏kowicie pomijany. Zarzàdzanie nim spowoduje wzrost kosztów dzia∏ania banków.
Oprócz zmian organizacyjnych, kontrolnych i technologicznych pojawi si´ koniecznoÊç utrzymywania wymogu kapita∏owego z tytu∏u ryzyka operacyjnego. Ten
parametr prze∏o˝y si´ na norm´ adekwatnoÊci kapita∏owej. Uzupe∏niajàcym instrumentem ochrony przed
8 Patrz równie˝: A. Wojtasik: Wybrane metody pomiaru ryzyka operacyjnego
dla instytucji finansowych dzia∏ajàcych na rynku instrumentów pochodnych.
„Bank i Kredyt” nr 1/2004.
BANK I KREDYT k w i e c i e ƒ 2 0 0 4
konsekwencjami ryzyka b´dà ró˝norodne ubezpieczenia i bli˝sza wspó∏praca banków z firmami ubezpieczeniowymi. Ju˝ dziÊ pewne banki organizujà warsztaty
poÊwi´cone problematyce ryzyka operacyjnego, tworzone sà komórki w instytucji do spraw zarzàdzania ryzykiem operacyjnym. W pionach operacyjnych powo∏ywane sà stanowiska maned˝erów ds. ryzyka operacyjnego. Piony audytu wewn´trznego dedykujà pewne audyty zbadaniu i ocenie tej problematyki. Organizowane
sà tak˝e spotkania ró˝nych jednostek banku poÊwi´cone tym problemom. Podejmuje si´ próby mapowania
ryzyka oraz analizy rozk∏adu wartoÊci strat operacyj-
BankowoÊç Komercyjna
nych9 czy stosowania teorii wartoÊci ekstremalnych,
metodologii wartoÊci zagro˝onej czy analizy scenariuszy10. Tworzone sà bazy zdarzeƒ ryzyka operacyjnego. Analizuje si´ jakoÊç zarzàdzania i ryzyko procesów operacyjnych. Równie˝ polski nadzór bankowy
opracowa∏ projekt rekomendacji dotyczàcej zarzàdzania ryzykiem operacyjnym w bankach. Projekt ten jest
konsultowany z bankami.
MyÊl´, ˝e zestaw dobrych praktyk opublikowany
przez Komitet Bazylejski b´dzie na wiele lat przewodnikiem po obszarach zarzàdzania ryzykiem operacyjnym.
9 Autor artyku∏u ze wzgl´du na innà poruszanà problematyk´ nie podda∏ analizie ˝adnych metod pomiaru ryzyka operacyjnego. Zainteresowanych tym tematem odsy∏am np. do pracy K. Jajugi: Podstawy analizy wartoÊci ekstremalnych na rynkach finansowych. „Rynek Terminowy” nr 11/2001.
10 Patrz np: P. Jorion. Value At Risk. The New benchmark for managing financial risk. New York. 2001 Mc Graw - Hill.
55