Ryzyko operacyjne w bankach - zarządzanie i audyt
Transkrypt
Ryzyko operacyjne w bankach - zarządzanie i audyt
48 BankowoÊç Komercyjna BANK I KREDYT k w i e c i e ƒ 2 0 0 4 Ryzyko operacyjne w bankach zarzàdzanie i audyt w Êwietle wymagaƒ Bazylejskiego Komitetu ds. Nadzoru Bankowego Dariusz Lewandowski Wprowadzenie Procesy towarzyszàce deregulacji oraz globalizacji us∏ug finansowych wraz ze wzrostem z∏o˝onoÊci technologii informatycznych wykorzystywanych przez instytucje powodujà, ˝e dzia∏alnoÊç, a tym samym profil ryzyka instytucji stajà si´ coraz bardziej z∏o˝one. DoÊwiadczenia pokazujà, i˝ konsekwencje innych rodzajów ryzyk ni˝ kredytowe, p∏ynnoÊci czy rynkowe dla wielu instytucji finansowych by∏y doÊç powa˝ne. Do zagadnieƒ, które wymuszajà pilnà koniecznoÊç zaj´cia si´ problematykà ryzyka operacyjnego mo˝na zaliczyç: – coraz wi´ksze wykorzystanie zaawansowanych technologii informatycznych oraz systemów zintegrowanych w skali globalnej, wymagajàce wnikliwej i ciàg∏ej kontroli ze wzgl´du na zagro˝enia wystàpieniem ryzyka systemowego; – wzrost roli i skali handlu elektronicznego (e-commerce) wymuszajàcy obowiàzek tworzenia zabezpieczeƒ przed nadu˝yciami o charakterze wewn´trznym oraz zewn´trznym; – zjawiska o charakterze konsolidacyjnym, przej´cia, fuzje, wymagajàce dostosowania bàdê stworzenia nowych zintegrowanych systemów; – funkcjonowanie wysokokwotowych rozliczeƒ pomi´dzy instytucjami, wysokie wartoÊciowo transfery kwot pieni´˝nych, wymuszajàce koniecznoÊç stosowania specjalistycznych technik kontrolnych oraz tworzenie systemów zapasowych; – koniecznoÊç wykorzystania przez banki techniki zabezpieczania przed ryzykiem (np. zabezpieczenia prawne, pochodne kredytowe, netting, sekurytyzacja aktywów) w celu optymalizacji ekspozycji na ryzyko rynkowe czy kredytowe; stosowane techniki i instrumenty otwierajà z kolei ekspozycj´ na ryzyko, np. prawne; – wzrasta rola outsourcingu oraz uczestnictwo banków w systemach rozliczeƒ, mogàce ograniczyç ryzyko, ale tak˝e stanowiàce nowe zagro˝enia. Ten szeroki zestaw czynników ryzyka z ró˝norodnych obszarów tematycznych zosta∏ po∏àczony i nazwany ryzykiem operacyjnym. Definicja ryzyka operacyjnego. Obszary ryzyka operacyjnego Definicja ryzyka operacyjnego zosta∏a przedstawiona w dokumencie konsultacyjnym Nowa Bazylejska Umowa Kapita∏owa, opracowanym w styczniu 2001 r. przez Bazylejski Komitet ds. Nadzoru Bankowego 1 . 1 W kwietniu 2003 r. Komitet Bazylejski opublikowa∏ kolejnà wersj´ Nowej Bazylejskiej Umowy Kapita∏owej, tzw. Trzeci Dokument Konsultacyjny. Nowà Umow´ Kapita∏owà b´dzie trzeba stosowaç w uj´ciu skonsolidowanym do banków prowadzàcych dzia∏alnoÊç mi´dzynarodowà. Zakres stosowania w uj´ciu w pe∏ni skonsolidowanym obejmie równie˝ spó∏ki holdingowe, b´dàce podmiotami macierzystymi grup bankowych. Szerzej patrz: The New Basel Capital Accord. Consultative document. Basel Committee on Banking Supervision. April 2003. BANK I KREDYT k w i e c i e ƒ 2 0 0 4 Ryzyko operacyjne definiuje si´ jako „ryzyko straty wynikajàcej z niew∏aÊciwych lub zawodnych procesów, ludzi i systemów lub ze zdarzeƒ zewn´trznych”. Definicja ta obejmuje tak˝e ryzyko prawne. Ryzyko strategiczne i ryzyko reputacji nie sà w∏àczone do definicji ryzyka operacyjnego do celów minimalnego regulacyjnego wymogu kapita∏owego z tytu∏u ryzyka operacyjnego2. Komitet w dalszym ciàgu wspó∏pracuje z mi´dzynarodowym Êrodowiskiem bankowym nad tym zagadnieniem. Szeroki charakter definicji b´dzie na pewno êród∏em wielu wyzwaƒ i ostateczny kszta∏t definicji b´dzie zale˝a∏ od specyfiki dzia∏alnoÊci danej firmy. Podstawowe znaczenie ma jednak zdefiniowanie w ka˝dej instytucji ryzyka operacyjnego na jej w∏asne potrzeby, jasne rozumienie przez personel ca∏ej instytucji, co si´ rozumie pod poj´ciem ryzyka operacyjnego, zdefiniowanie czynników ryzyka. Takie podejÊcie umo˝liwi efektywne zarzàdzania ryzykiem. Do rodzajów ryzyka operacyjnego, które mogà wywo∏ywaç znaczne straty materialne mo˝na zaliczyç: – nadu˝ycia wewn´trzne: kradzie˝ przez pracowników, fa∏szowanie sprawozdawczoÊci wewn´trznej, transakcje wewn´trzne na szkod´ instytucji, – nadu˝ycia zewn´trzne: napady, kradzie˝e, w∏amania fizyczne, w∏amania komputerowe, oscylator finansowy, – zasady zatrudniania oraz bezpieczeƒstwo w miejscu pracy: roszczenia pracownicze dotyczàce wynagrodzeƒ, warunki pracy zagra˝ajàce zdrowiu i bezpieczeƒstwu pracowników, dyskryminacj´ pracowników itd., – klientów, produkty oraz praktyki biznesowe: wykorzystanie poufnych informacji o klientach, pranie pieni´dzy, przeprowadzanie niedozwolonych transakcji na rachunkach bankowych, sprzeda˝ nieautoryzowanych produktów, – zniszczenie aktywów: akty wandalizmu, terroryzmu, dzia∏ania si∏y wy˝szej, – brak ciàg∏oÊci pracy instytucji, przerwanie pracy systemów, za∏amanie pracy systemów: problemy ze sprz´tem, z oprogramowaniem, problemy telekomunikacyjne, – zarzàdzanie w instytucji, zarzàdzanie procesami: b∏´dy przy wprowadzaniu danych, niekompletnà dokumentacj´ prawnà, nieautoryzowany dost´p do danych o klientach, reklamacje, zastrze˝enia dostawców, sprzedawców itd. 2 Nale˝y zwróciç uwag´, ˝e w taki sposób zdefiniowano ryzyko operacyjne na potrzeby wyliczania przez banki minimalnych wymogów kapita∏owych. Zakres definicji sformu∏owanej na inne potrzeby, a tym samym dla innych instytucji mo˝e si´ ró˝niç. BankowoÊç Komercyjna KoniecznoÊç nowego podejÊcia do zarzàdzania ryzykiem operacyjnym Zarzàdzanie pewnymi obszarami ryzyka operacyjnego w instytucjach nie jest zagadnieniem nowym. W szczególnoÊci instytucje finansowe zawsze by∏y zainteresowane zabezpieczeniem si´ przed nadu˝yciami, przest´pstwami zewn´trznymi i wewn´trznymi, redukcjà b∏´dów operacyjnych, integralnoÊcià systemów kontrolnych. NowoÊcià w tym zakresie jest jednak zwrócenie uwagi na wa˝noÊç problematyki ryzyka operacyjnego oraz wypracowanie nowoczesnych zasad ca∏oÊciowego procesu zarzàdzania ryzykiem operacyjnym, zbli˝onych do zasad, technik i praktyk stosowanych w odniesieniu do ryzyka kredytowego oraz rynkowego. Wiedza i dorobek z ostatnich lat w zakresie zarzàdzania innymi rodzajami ryzyka powinny byç wykorzystywane w celu usprawnienia zarzàdzania ryzykiem operacyjnym. W przesz∏oÊci banki zarzàdzajàc ryzykiem operacyjnym korzysta∏y g∏ównie z mechanizmów kontroli wewn´trznej stosowanych przez poszczególne komórki organizacyjne, wspomaganych przez audyt wewn´trzny. Takie podejÊcie jest dalej wa˝ne, ale obecnie mo˝e okazaç si´ niewystarczajàce. W pewnych organizacjach pojawia si´ koniecznoÊç wyodr´bnienia specjalnych funkcji oraz wypracowania procesowego, usystematyzowanego podejÊcia do zarzàdzania tym rodzajem ryzyka. KoniecznoÊç nowego czy specjalnego podejÊcia wynika tak˝e z innych czynników, decydujàcych o specyfice ryzyka operacyjnego. Specyfika ta polega na tym, ˝e : – ryzyka operacyjnego nie podejmuje si´ w celu osiàgni´cia okreÊlonych korzyÊci biznesowych; towarzyszy ono prowadzeniu dzia∏alnoÊci, jest w nià wbudowane, – ca∏kowita eliminacja êróde∏ ryzyka nie jest mo˝liwa, – analiza czynników ryzyka i konsekwencji oraz jego skutków nie jest prosta, – pomiar ryzyka równie˝ nie jest zadaniem ∏atwym, – trudno ustaliç w∏aÊcicieli ryzyka, – ryzyko to ma wyjàtkowo heterogeniczny charakter. Na ca∏oÊciowej mapie wszystkich rodzajów ryzyka instytucji nie mo˝e zabraknàç ryzyka operacyjnego oraz zastosowania odpowiednich technik zarzàdzania. Najlepsze praktyki dotyczàce zarzàdzania i nadzoru nad ryzykiem operacyjnym - wytyczne Bazylejskiego Komitetu ds. Nadzoru Bankowego Bazylejski Komitet ds. Nadzoru Bankowego opracowa∏ i opublikowa∏ w styczniu 2003 r. dokument zatytu∏owany Najlepsze praktyki dotyczàce zarzàdzania i nadzoru nad ryzykiem operacyjnym. OkreÊlono w nim zasady dotyczàce sposobu efektywnego zarzàdzania ryzykiem operacyjnym i nadzoru nad nim. Zasady 49 50 BankowoÊç Komercyjna te powinny byç wykorzystywane przez banki oraz w∏adze nadzorcze podczas oceny adekwatnoÊci zasad i procedur zarzàdzania ryzykiem operacyjnym3. Przyjrzyjmy si´ tym zasadom. Zosta∏y one opracowane i przeznaczone dla okreÊlonej grupy podmiotów, jednak zdaniem autora mogà i powinny byç stosowane równie˝ przez podmioty z innych bran˝. Ryzyko operacyjne jest bowiem tym rodzajem ryzyka, które w odró˝nieniu np. od ryzyka czysto finansowego towarzyszy wszystkim podmiotom prowadzàcym dzia∏alnoÊç. Tworzenie adekwatnego Êrodowiska zarzàdzania ryzykiem Ryzyko operacyjne jest wbudowane we wszystkie transakcje i czynnoÊci bankowe. Niezrozumienie i brak czy niew∏aÊciwe zarzàdzanie nim, mogà doprowadziç do zwi´kszenia prawdopodobieƒstwa braku nale˝ytej kontroli lub braku ca∏kowitej identyfikacji pewnych czynników ryzyka. Rada nadzorcza i zarzàd odpowiadajà za stworzenie w∏aÊciwej kultury organizacyjnej, w ramach której problematyka efektywnego zarzàdzania ryzykiem operacyjnym ma priorytetowe znaczenie. Odpowiadajà równie˝ za zapewnienie odpowiednich mechanizmów kontrolnych. OkreÊlenie i wprowadzenie wysokich standardów etycznego post´powania personelu ca∏ej instytucji przyczyniajà si´ do zwi´kszenia efektywnoÊci zarzàdzania ryzykiem operacyjnym. Równie˝ rada i zarzàd poprzez dzia∏ania i s∏owa powinny promowaç kultur´ organizacyjnà. ZASADA 1. Rada Nadzorcza powinna byç Êwiadoma najwa˝niejszych aspektów ryzyka operacyjnego banku traktowanego jako odr´bna kategoria ryzyka, którym bank powinien zarzàdzaç. Rada powinna zatwierdziç strategi´ zarzàdzania ryzykiem operacyjnym oraz dokonywaç jej okresowego przeglàdu. Strategia powinna definiowaç, co bank rozumie przez ryzyko operacyjne, oraz powinna zawieraç zasady identyfikacji, oceny, monitorowania oraz kontroli i ograniczania ryzyka. BANK I KREDYT k w i e c i e ƒ 2 0 0 4 mu tolerancji i tzw. apetytu na ryzyko. Procedury zarzàdzania powinny wynikaç z przyj´tego poziomu tolerancji ryzyka. W strategii nale˝y tak˝e wskazaç priorytetowe czynnoÊci z zakresu zarzàdzania ryzykiem oraz zakres i sposób ewentualnego transferu ryzyka poza bank. W strategii muszà znaleêç si´ zapisy wskazujàce na podejÊcie banku do identyfikacji, oceny, monitorowania oraz kontroli i ograniczania ryzyka. Zarówno zakres, jak i stopieƒ szczegó∏owoÊci zapisów strategii powinny byç dostosowane do profilu ryzyka instytucji. Rada jest odpowiedzialna za utworzenie w∏aÊciwej struktury zarzàdzania i organizacji zapewniajàcej realizacj´ strategii. Poniewa˝ wa˝nym aspektem zarzàdzania ryzykiem jest stworzenie silnych mechanizmów i procedur kontroli wewn´trznej, istotne jest ustanowienie przez rad´ czytelnego zakresu odpowiedzialnoÊci, podporzàdkowania, podleg∏oÊci oraz raportowania. Dodatkowo, w celu unikni´cia konfliktu interesów, powinna byç wprowadzona zasada rozdzielenia odpowiedzialnoÊci oraz raportowania. W strategii powinny byç zarysowane równie˝ g∏ówne procesy, które instytucja musi wypracowaç w celu skutecznego zarzàdzania ryzykiem. Rada powinna dokonywaç regularnego przeglàdu strategii pod kàtem jej aktualnoÊci oraz zapewnienia, by bank w∏aÊciwie zarzàdza∏ ryzykiem i uwzgl´dnia∏ wszystkie czynniki ryzyka, wynikajàce z zewn´trznych zmian rynkowych, innych czynników Êrodowiskowych oraz towarzyszàce nowym produktom, us∏ugom, czynnoÊciom czy systemom. W przeglàdzie nale˝y braç pod uwag´ doÊwiadczenia oraz najlepsze praktyki bankowe w tym zakresie. ZASADA 2. Rada nadzorcza powinna zapewniç, by strategia zarzàdzania ryzykiem operacyjnym by∏a przedmiotem oceny dokonywanej przez efektywny i kompleksowy audyt wewn´trzny. Audyt wewn´trzny jako niezale˝na funkcja nie powinien byç bezpoÊrednio odpowiedzialny za zarzàdzanie ryzykiem operacyjnym. Rada powinna - akcentujàc odr´bnoÊç i wa˝noÊç tej kategorii - wyraênie zdefiniowaç swoje oczekiwania w zakresie strategii zarzàdzania ryzykiem operacyjnym. Powinna wskazaç po˝àdane kierunki dzia∏aƒ oraz zatwierdziç stworzone przez zarzàd stosowne procedury i zasady polityki. Strategia i zasady polityki powinny byç oparte na w∏aÊciwym zdefiniowaniu, na potrzeby instytucji, ryzyka operacyjnego. Nale˝y si´ tak˝e odnieÊç do pozio- Banki powinny mieç sprawnie funkcjonujàcy audyt wewn´trzny4, który weryfikuje, czy zasady polityki i procedury operacyjne sà wprowadzane i przestrzegane. Rada (bezpoÊrednio lub poÊrednio za poÊrednictwem Komitetu Audytu) powinna zadbaç aby program audytu by∏ adekwatny do profilu ryzyka w banku. Audyt powinien okresowo weryfikowaç i wydawaç opini´ na temat poprawnoÊci wdra˝ania wszystkich zapisów 3 Rekomendacje opracowywane przez Komitet Bazylejski stanowià zbiór najlepszych praktyk w zakresie zarzàdzania poszczególnymi rodzajami ryzyka bankowego. Kierowane sà do ró˝nych banków (wielkoÊci, charakteru dzia∏alnoÊci itp.) funkcjonujàcych w ró˝nych jurysdykcjach prawnych. Tym samym nie majà one mocy obowiàzujàcej lecz pe∏nià funkcj´ pewnych ogólnych wytycznych. Ich uniwersalny charakter oraz wysoka jakoÊç merytoryczna sprawiajà, ˝e regulatorzy i nadzorcy bankowi w poszczególnych krajach ch´tnie w∏àczajà je do wytycznych dla banków. 4 Definicja audytu wewn´trznego zatwierdzona w czerwcu 1999 r. przez Zarzàd Instytutu Audytorów Wewn´trznych (The IIA’ Board of Directors) brzmi nast´pujàco: „Audyt wewn´trzny jest dzia∏alnoÊcià niezale˝nà, obiektywnie zapewniajàcà i doradczà, której celem jest przysparzanie wartoÊci i usprawnienie dzia∏alnoÊci operacyjnej organizacji. Pomaga on organizacji w osiàganiu jej celów poprzez systematyczne i zdyscyplinowane podejÊcia do oceny i doskonalenia skutecznoÊci procesów zarzàdzania ryzykiem, kontroli i governance.” BANK I KREDYT k w i e c i e ƒ 2 0 0 4 strategii zarzàdzania ryzykiem operacyjnym we wszystkich pionach operacyjnych banku. Rada powinna zadbaç, aby audyt wewn´trzny mimo szerokiego zaanga˝owania w ocen´ poprawnoÊci realzacji strategii zarzàdzania ryzykiem operacyjnym zachowywa∏ swojà niezale˝noÊç. Niezale˝noÊç b´dzie zagro˝ona, je˝eli audyt b´dzie bezpoÊrednio zaanga˝owany w zarzàdzanie ryzykiem operacyjnym. Audyt mo˝e dostarczyç du˝ego wsparcia osobom zarzàdzajàcym i odpowiedzialnym za ten obszar ryzyka, jednak˝e nie mo˝e ponosiç jakiejkolwiek bezpoÊredniej odpowiedzialnoÊci w zarzàdzaniu ryzykiem5. Komitet Bazylejski zdaje sobie spraw´, ˝e ze wzgl´dów praktycznych audyt w pewnych - szczególnie mniejszych - bankach mo˝e na poczàtkowym etapie uczestniczyç w opracowaniu programu zarzàdzania ryzykiem operacyjnym. Jednak po wprowadzeniu programu odpowiedzialnoÊç za codzienne zarzàdzanie musi byç przypisana w∏aÊciwym pionom operacyjnym. ZASADA 3. Zarzàd powinien byç odpowiedzialny za realizacj´ strategii zarzàdzania ryzykiem operacyjnym zatwierdzonej przez radà nadzorczà. Strategia powinna byç konsekwentnie, spójnie i kompleksowo wdra˝ana w ca∏ym banku. Na wszystkich poziomach organizacyjnych pracownicy powinni rozumieç swojà rol´ i odpowiadaç za zarzàdzanie ryzykiem operacyjnym. Zarzàd powinien odpowiadaç równie˝ za opracowanie zasad polityki, procedur oraz procesów zarzàdzania ryzykiem operacyjnym dotyczàcych wszystkich produktów, obszarów dzia∏alnoÊci, procesów i systemów o materialnej istotnoÊci. Zarzàd powinien prze∏o˝yç strategi´ zarzàdzania ryzykiem operacyjnym stworzonà przez rad´ na konkretne zasady polityki, procesy oraz procedury operacyjne, które b´dà wprowadzane i weryfikowane we wszystkich pionach operacyjnych. Kierownictwo poszczególnych pionów operacyjnych odpowiada za adekwatnoÊç zasad, procedur oraz jakoÊç kontroli w swoich jednostkach. Zarzàd powinien jasno okreÊliç wymagania co do podleg∏oÊci, odpowiedzialnoÊci oraz trybu raportowania, jak równie˝ zadbaç o istnienie w banku w∏aÊciwych zasobów umo˝liwiajàcych efektywne zarzàdzanie ryzykiem. Dodatkowo, Zarzàd powinien oceniaç adekwatnoÊç i skutecznoÊç zarzàdzania przez kierownictwo pionów operacyjnych ryzykiem wbudowanym niejako w dzia∏ania tych pionów. Zarzàd powinien zapewniç, aby poszczególne czynnoÊci bankowe by∏y wykonywane przez wykwali5 Audyt wewn´trzny jest elementem sk∏adowym procesu monitorowania systemu kontroli wewn´trznej w banku oraz wewn´trznych procedur w zakresie oceny adekwatnoÊci kapita∏owej. Audyt dostarcza bowiem niezale˝nej oceny w zakresie adekwatnoÊci oraz zgodnoÊci z obowiàzujàcymi przepisami. W tym sensie funkcja audytu wewn´trznego wspomaga odpowiedzialny za zarzàdzanie instytucjà zarzàd oraz rad´ w skutecznym podziale odpowiedzialnoÊci. BankowoÊç Komercyjna fikowany personel majàcy odpowiednie doÊwiadczenie, umiej´tnoÊci techniczne i dost´p do technologii i zasobów. Zarzàd powinien te˝ zadbaç, aby personel odpowiedzialny za monitorowanie i badanie zgodnoÊci post´powania z politykà instytucji dotyczàcà zarzàdzania ryzykiem nie podlega∏ nadzorowanym pionom operacyjnym. Zarzàd powinien zadbaç aby zasady polityki zarzàdzania ryzykiem operacyjnym i wszelkie wymagania w tym zakresie by∏y jasno komunikowane personelowi wszystkich tych pionów, których dotyczy ryzyko operacyjne. Zarzàd powinien zapewniç istnienie w∏aÊciwych zasad komunikacji pomi´dzy personelem odpowiedzialnym za zarzàdzanie ryzykiem operacyjnym i innymi rodzajami ryzyka a tymi pionami w instytucji, które odpowiadajà za nabywanie us∏ug na zewnàtrz, np. zakup polis ubezpieczeniowych, czy wszelkie inne umowy outsourcingowe. Wspó∏praca jest niezb´dna w celu unikni´cia luk lub nak∏adania si´ pewnych zadaƒ w ca∏oÊciowym programie zarzàdzania ryzykiem w instytucji. Zarzàd powinien prowadziç polityk´ w zakresie wynagrodzeƒ spójnà z apetytem banku na ryzyko. Zasady wynagradzania, które premiujà jakiekolwiek odst´pstwa od zasad polityki i procedur obowiàzujàcych w instytucji (np. przekraczanie ustanowionych limitów), negatywnie wp∏ywajà na zarzàdzanie ryzykiem w banku. Nale˝y zwróciç szczególnà uwag´ na jakoÊç dokumentowania kontroli oraz praktyki w zakresie przeprowadzania transakcji. Zasady polityki, procesy i procedury odnoszàce si´ do wykorzystywania zaawansowanych technologii, np. do obs∏ugi transakcji wysokokwotowych, powinny byç nale˝ycie dokumentowane i przydzielane w∏aÊciwemu personelowi. Zarzàdzanie ryzykiem: identyfikacja, ocena, monitoring oraz ograniczanie i kontrola ZASADA 4. Banki powinny identyfikowaç i oceniaç ryzyko operacyjne wbudowane we wszystkie produkty, czynnoÊci, procesy i systemy o materialnej istotnoÊci. Banki powinny równie˝ zapewniç, by przed podj´ciem lub wprowadzeniem nowych produktów, czynnoÊci, procesów czy systemów towarzyszàce im ryzyko operacyjne by∏o przedmiotem wnikliwej analizy. W tej materii powinny istnieç stosowne procedury. W∏aÊciwa identyfikacja ryzyka jest podstawà prawid∏owego wypracowania zasad monitorowania i kontroli. Efektywna identyfikacja ryzyka wymaga rozwa˝enia czynników wewn´trznych (struktura banku, rodzaje us∏ug, produktów bankowych oraz czynnoÊci, jakoÊç personelu, zmiany organizacyjne i kadrowe) oraz czynników zewn´trznych (zmiany w bran˝y, nowe technologie), które mogà negatywnie wp∏ywaç na osiàganie celów banku. 51 52 BankowoÊç Komercyjna Oprócz samej identyfikacji czynników ryzyka nale˝y szacowaç podatnoÊç banku na te zagro˝enia. Efektywna ocena ryzyka umo˝liwia w∏aÊciwe okreÊlenie profilu ryzyka oraz skierowanie posiadanych zasobów na obszary zagro˝eƒ. SpoÊród dost´pnych narz´dzi i technik identyfikacji i oceny ryzyka na uwag´ zas∏ugujà: • Samoocena oraz samoocena w zakresie ryzyka - ocena podatnoÊci operacji, czynnoÊci bankowych na czynniki ryzyka operacyjnego wraz z ocenà zagro˝eƒ. Jest to proces wewn´trzny w instytucji. Mo˝na go realizowaç poprzez system ankiet czy wewn´trznych seminariów bàdê warsztatów, s∏u˝àcych identyfikacji silnych i s∏abych stron w procesach. • Mapowanie ryzyka - poszczególne jednostki operacyjne, funkcje organizacyjne czy procesy sà nak∏adane na mapy ryzyka. Pomaga to identyfikowaç zagro˝enia, s∏aboÊci oraz okreÊlaç priorytety dzia∏aƒ zarzàdczych. • Wskaêniki ryzyka - to dane statystyczne, liczbowe, finansowe odnoszàce si´ do okreÊlonych rodzajów ryzyka. Wskaêniki muszà byç wyliczane oraz cyklicznie analizowane. Mogà obejmowaç np. liczb´ niezrealizowanych kontraktów, p∏atnoÊci, rotacj´ personelu, liczb´ b∏´dów, nieprawid∏owoÊci. • Pomiar ryzyka operacyjnego - pewne firmy rozpocz´∏y pomiar nara˝enia na ryzyko operacyjne stosujàc ró˝ne techniki. Tworzà bazy danych nt. strat historycznych. Bazy te mogà dostarczyç informacji przydatnych do usprawnienia zarzàdzania ryzykiem i jego kontroli w przysz∏oÊci. Dane te muszà byç systematycznie rejestrowane. Powinny byç opisywane wszystkie szczegó∏y. Cenne sà te˝ porównania z innymi instytucjami, bazami danych zewn´trznych, analizami scenariuszy. ZASADA 5. Banki powinny regularnie monitorowaç profil ryzyka operacyjnego i stopieƒ nara˝enia na straty o materialnej istotnoÊci. Powinien byç tak˝e stworzony system regularnego raportowania zarzàdowi o zagro˝eniach. System raportowania powinien wspieraç zarzàdzanie ryzykiem operacyjnym. • Efektywny monitoring jest wa˝nym elementem w zarzàdzaniu ryzykiem. Pozwala na szybkà identyfikacj´ s∏aboÊci oraz umo˝liwia wprowadzenie - skutecznie i we w∏aÊciwym czasie - zmian zasad polityki, procedur oraz podj´cie dzia∏aƒ naprawczych. Dzi´ki temu pozwala ograniczyç cz´stotliwoÊç i g∏´bokoÊç potencjalnych strat. Monitoring powinien obejmowaç analiz´ zdarzeƒ, w wyniku których dosz∏o do strat operacyjnych oraz analiz´ wskaêników i sygna∏ów ostrzegawczych informujàcych o zagro˝eniach wystàpieniem strat w przysz∏oÊci. Wskaêniki te powinny pomagaç w prognozowaniu zagro˝eƒ i opieraç si´ na êród∏ach ryzyka operacyjnego, takich jak gwa∏towny wzrost liczby BANK I KREDYT k w i e c i e ƒ 2 0 0 4 operacji, wprowadzanie nowych produktów, rotacja personelu, zatrzymanie pracy systemów. • Cz´stotliwoÊç monitoringu powinna zale˝eç od ryzyka oraz charakteru i cz´stotliwoÊci zmian w Êrodowisku operacyjnym. Monitoring powinien byç naturalnà cz´Êcià czynnoÊci bankowych. Jego wyniki powinny byç prezentowane w raportach dla zarzàdu i rady, wraz z przeglàdami zgodnoÊci przeprowadzanymi przez audyt wewn´trzny lub pion zarzàdzania ryzykiem. • Regularne raporty dla zarzàdu na temat ryzyka operacyjnego powinny charakteryzowaç si´ nast´pujàcymi cechami: – powinny byç opracowywane przez w∏aÊciwe piony operacyjne, departamenty, biuro ds. zarzàdzania ryzyka operacyjnego, audyt wewn´trzny; – powinny zawieraç wewn´trzne dane finansowe, dane operacyjne, dane weryfikujàce zgodnoÊç oraz zewn´trzne dane rynkowe o wydarzeniach czy uwarunkowaniach wp∏ywajàcych na procesy decyzyjne; – powinny byç odpowiednio dystrybuowane do wszystkich kierujàcych pionami operacyjnymi, których dotyczà opisywane zagadnienia; – powinny prezentowaç wszystkie obszary, na których wyst´pujà problemy oraz wskazywaç na koniecznoÊç natychmiastowych dzia∏aƒ zaradczych. Kierownictwo pionów operacyjnych w celu zapewnienia u˝ytecznoÊci i wiarygodnoÊci raportów powinno regularnie weryfikowaç terminowoÊç, kompletnoÊç oraz adekwatnoÊç systemu raportowania oraz systemu kontroli wewn´trznej. W∏aÊciwie funkcjonujàcy system raportowania powinien zapewniç otrzymywanie przez rad´ wystarczajàcych zagregowanych informacji, umo˝liwiajàcych zrozumienie ca∏oÊciowego profilu ryzyka operacyjnego instytucji i skoncentrowanie si´ na istotnych i strategicznych skutkach dla dzia∏alnoÊci. ZASADA 6. Banki powinny wypracowaç zasady polityki, procedury i procesy w zakresie kontroli i ograniczania najbardziej istotnych rodzajów ryzyka operacyjnego. Powinny dokonywaç regularnego przeglàdu systemu limitów ryzyka oraz w∏asnych strategii kontrolnych. Powinny tak˝e wykorzystywaç w∏aÊciwe strategie, by dostosowywaç bie˝àcy profil ryzyka operacyjnego do ca∏kowitego profilu i sk∏onnoÊci do podejmowania ryzyka przez instytucj´. CzynnoÊci i mechanizmy kontrolne powinny byç nakierowane na ryzyko operacyjne zidentyfikowane przez bank. W przypadku wszystkich zidentyfikowanych rodzajów ryzyka operacyjnego o materialnym znaczeniu nale˝y zdecydowaç, czy zastosowaç okreÊlone procedury kontroli i (lub) ograniczania ryzyka, czy procedury stosowane, gdy bank Êwiadomie decyduje si´ na ponoszenie ryzyka. Dla ryzyka, które nie mo˝e BANK I KREDYT k w i e c i e ƒ 2 0 0 4 BankowoÊç Komercyjna byç kontrolowane, bank powinien zdecydowaç, czy akceptuje je, ogranicza poziom dzia∏alnoÊci na pewnych zbyt ryzykownych obszarach, czy rezygnuje z danej dzia∏alnoÊci ca∏kowicie. Bank musi mieç stosowne mechanizmy, wypracowaç procesy i procedury kontroli wewn´trznej oraz sprawnie funkcjonujàcy system zapewniajàcy zgodnoÊç post´powania z wewn´trznymi regulacjami w zakresie zarzàdzania ryzykiem. Mo˝na wskazaç na nast´pujàce elementy takiego systemu: • Przeglàdy post´pu realizacji za∏o˝onych celów dokonywane przez zarzàd. • Badanie przestrzegania mechanizmów kontrolnych opracowanych przez kierownictwo. • Zasady polityki, procesy oraz procedury dotyczàce post´powania w sytuacjach niezgodnych z obowiàzujàcymi zasadami. • Udokumentowane upowa˝nienia, zezwolenia i autoryzacje zapewniajàce w∏aÊciwe przydzielenie odpowiedzialnoÊci na danym szczeblu kierownictwa. Oprócz formalnych, pisemnych procedur w instytucji musi istnieç silna kultura kontroli, promujàca zasady w∏aÊciwego zarzàdzania ryzykiem. Za jej stworzenie odpowiada rada i zarzàd. Efektywny system kontroli wewn´trznej powinien wymusiç tak˝e w∏aÊciwy podzia∏ zadaƒ i obowiàzków oraz takie przydzielenie zadaƒ i odpowiedzialnoÊci, które nie b´dzie powodowa∏o konfliktu interesów. Niew∏aÊciwe przydzielenie zadaƒ poszczególnym pracownikom czy zespo∏om mo˝e umo˝liwiç pope∏nianie b∏´dów, b∏´dy w dzia∏aniu czy straty. Dlatego obszary potencjalnego konfliktu interesów powinny byç identyfikowane, minimalizowane oraz precyzyjnie monitorowane. Do innych przyk∏adów wewn´trznych zasad przydatnych w kontroli ryzyka operacyjnego mo˝na zaliczyç: - praktyki uniemo˝liwiajàce ukrycie b∏´dów, - ciàg∏y monitoring zgodnoÊci transakcji z limitami, - zabezpieczenie dost´pu i wykorzystywania aktywów, systemów informatycznych, zapisów ksi´gowych, - zapewnienie w∏aÊciwych szkoleƒ i praktyk, - identyfikacj´ wszystkich nadzwyczajnych, nieoczekiwanych zysków, powstajàcych w pionach operacyjnych, czy zwiàzanych z produktami, które nie powinny przynosiç wysokich dochodów, - regularnà weryfikacj´ i uzgodnienie transakcji i rachunków. bezpieczenia w postaci np. w∏aÊciwych polis ubezpieczeniowych. Do takich zdarzeƒ mo˝na zaliczyç: b∏´dy w∏asne, b∏´dy czy nadu˝ycia partnerów zewn´trznych, fizycznà strat´ papierów wartoÊciowych, kl´ski ˝ywio∏owe. Czasem przydatne jest rozwa˝enie, czy sposoby ograniczania ryzyka - np. zakup polis ubezpieczeniowych6, outsourcing, transfer ryzyka - rzeczywiÊcie ograniczajà ryzyko do po˝àdanego poziomu. W bankach powinny istnieç mechanizmy natychmiast identyfikujàce b∏´dy oraz korygujàce je. Wymaga to dalszego inwestowania w odpowiednie technologie oraz systemy informatyczne i informacyjne. Konieczna jest tak˝e odpowiednia kontrola tych technologii. Banki powinny wypracowaç polityk´ w zakresie outsourcingu oraz zasady wspó∏pracy ze wszystkimi podmiotami zewn´trznymi, z podmiotami grupy, z klientami itd. Powinny stosowaç w∏aÊciwe techniki „due diligence” stron trzecich7. Podstawowe znaczenie ma równie˝ planowanie awaryjne. Konieczne jest tak˝e monitorowanie zagro˝eƒ zwiàzanych z wprowadzaniem nowych produktów, wchodzeniem na nowe obszary, dzia∏aniem przez podmioty odleg∏e geograficznie od siedziby centrali. W tej sytuacji nale˝y zbadaç, czy dzia∏ania te zosta∏y obj´te systemem kontroli wewn´trznej i czy jest on nale˝ycie dostosowany do ryzyka. Wa˝ne sà tak˝e monitorowanie zagro˝eƒ typu „niskie prawdopodobieƒstwo, du˝e konsekwencje” i za- rów biznesowych powodowanych zaniedbaniami, nieuczciwoÊcià lub przest´pstwami pracowników firmy, w∏amaniami, kradzie˝ami, od odpowiedzialnoÊci cywilnej. Przy transferze ryzyka operacyjnego dokonywanym poprzez zakup stosownych polis ubezpieczeniowych bank otwiera pozycj´ ryzyka kredytowego wystawcy polisy. 7 W dniu 4 paêdziernika 2001 r. Bazylejski Komitet ds. Nadzoru Bankowego wyda∏ dokument Customer due diligence for banks. Zawiera on zalecenia dla banków oraz nadzorców bankowych na temat szeroko rozumianego procesu pog∏´bionej analizy klienta oraz operacji bankowych z zachowaniem zasad nale˝ytej starannoÊci przez banki. Dokument ten zawiera minimalny zestaw standardów, które powinny pos∏u˝yç zainteresowanym stronom do rozwijania w∏asnych praktyk w tej dziedzinie. ZASADA 7. Banki powinny mieç plany awaryjne oraz plany dotyczàce ciàg∏oÊci dzia∏ania w sytuacjach awaryjnych w celu zapewnienia ciàg∏oÊci operacyjnej oraz ograniczenia strat. Pewne wydarzenia zewn´trzne, które sà poza kontrolà banku, mogà wywrzeç negatywny wp∏yw na realizacj´ cz´Êci lub nawet wszystkich zobowiàzaƒ banku, w szczególnoÊci gdy uszkodzeniu czy zniszczeniu ulegnie infrastruktura fizyczna, telekomunikacyjna czy informatyczna banku. Mo˝e to spowodowaç powa˝ne straty dla samego banku lub poprzez zaburzenia w systemach p∏atnoÊci wp∏ynàç na wiele podmiotów. Stàd tak du˝ego znaczenia nabierajà plany ciàg∏oÊci dzia∏ania oraz wszelkie plany awaryjne. W tym celu nale˝y identyfikowaç wszystkie wa˝ne procesy biznesowe pod kàtem podatnoÊci na nadu˝ycia, uzale˝nienia od zewn´trznych dostawców, stron trzecich, z∏o˝onoÊci technologii informatycznych. Analizie powinny byç poddane mo˝liwe scenariusze wydarzeƒ. Nale˝y tak˝e ustaliç priorytety dzia∏aƒ w warunkach kryzysu i oceniç mo˝liwoÊç wykorzystania np. alternatywnych zasobów. 6 Ró˝norodne instrumenty ubezpieczeniowe od dawna nale˝à do wa˝nych narz´dzi zabezpieczania przed ryzykiem operacyjnym, a tym samym zabezpieczania instytucji przed stratami. Firmy ubezpieczeniowe proponujà instrumenty zabezpieczajàce przed stratami np. z tytu∏u zobowiàzaƒ wobec partne- 53 54 BankowoÊç Komercyjna BANK I KREDYT k w i e c i e ƒ 2 0 0 4 Rola nadzoru bankowego Znaczenie obowiàzków sprawozdawczych ZASADA 8. Nadzorcy bankowi powinni wymagaç, aby wszystkie banki, niezale˝nie od wielkoÊci, mia∏y i stosowa∏y zasady identyfikacji, oceny, monitorowania oraz kontroli i ograniczania ryzyka operacyjnego. Zasady te powinny byç cz´Êcià ca∏oÊciowej strategii zarzàdzania ryzykiem w instytucji. ZASADA 10. Banki powinny prezentowaç wystarczajàcà iloÊç informacji, które umo˝liwià uczestnikom rynkowym ocen´ podejÊcia banku do zarzàdzania ryzykiem operacyjnym. Nadzorcy powinni wymagaç, aby banki tworzy∏y strategi´ zarzàdzania ryzykiem operacyjnym opartà na wytycznych Komitetu Bazylejskiego – adekwatnà do wielkoÊci banku, skali i z∏o˝onoÊci prowadzonej dzia∏alnoÊci, profilu ryzyka. Je˝eli roÊnie poziom ryzyka operacyjnego w banku, musi on dostosowywaç strategi´ oraz techniki zarzàdzania. Prezentowanie z okreÊlonà cz´stotliwoÊcià aktualnych informacji przez banki wzmocni dyscyplin´ rynkowà, a przez to jakoÊç zarzàdzania ryzykiem. Informacje majà daç w∏aÊciwy obraz sytuacji banku i umo˝liwiç inwestorom, klientom banku oraz regulatorom ocen´ jakoÊci zarzàdzania ryzykiem operacyjnym w instytucji. Podsumowanie ZASADA 9. Nadzorcy powinni, bezpoÊrednio lub poÊrednio, dokonywaç regularnych niezale˝nych ocen polityki, procedur oraz praktyk dotyczàcych ryzyka operacyjnego. Nadzorcy powinni tak˝e zapewniç istnienie i funkcjonowanie stosownych mechanizmów, które dostarczajà im wiedzy o wydarzeniach w banku. W ramach niezale˝nej oceny ryzyka operacyjnego nadzorcy bankowi biorà pod uwag´: – efektywnoÊç zarzàdzania ryzykiem w banku oraz ca∏oÊç kontroli w zakresie ryzyka operacyjnego, – metody monitorowania ryzyka operacyjnego oraz raportowania na jego temat , w∏àczajàc dane o poniesionych stratach operacyjnych oraz inne wskaêniki ryzyka, – procedury terminowego oraz efektywnego post´powania w razie wydarzeƒ ryzyka oraz zagro˝eƒ, – procedury, mechanizmy oraz czynnoÊci kontroli wewn´trznej, przeglàdy i audyty – pod kàtem zapewnienia integralnoÊci ca∏ego procesu zarzàdzania ryzykiem operacyjnym, – efektywnoÊç i techniki ograniczania ryzyka, – jakoÊç oraz kompleksowoÊç podejÊcia do budowy planów naprawczych, planów awaryjnych, planów ciàg∏oÊci dzia∏ania, – adekwatnoÊç kapita∏owà. W przypadku banków wchodzàcych w sk∏ad grupy finansowej nadzór bankowy powinien równie˝ oceniaç integralnoÊç i adekwatnoÊç zarzàdzania ryzykiem operacyjnym w ramach ca∏ej grupy. Do realizacji tego zadania niezb´dne b´dà w∏aÊciwe zasady wspó∏pracy pomi´dzy nadzorcami ró˝nych instytucji finansowych. Rolà nadzoru powinno równie˝ byç zach´canie do ulepszania procesu zarzàdzania ryzykiem. Zdaniem autora, cennà inicjatywà Bazylejskiego Komitetu ds. Nadzoru Bankowego jest zwrócenie uwagi na zagadnienia ryzyka operacyjnego w dzia∏alnoÊci banków i okreÊlenie minimalnych wymagaƒ w zakresie zarzàdzania i kontroli. Obecnie ryzyko operacyjne zaczyna byç traktowane jako odr´bna kategoria ryzyka. B´dzie to skutkowaç utworzeniem i wprowadzeniem przez banki infrastruktury zarzàdzania i kontroli w zakresie ryzyka operacyjnego i wpisania jej w ca∏oÊciowy system zarzàdzania ryzykiem w banku. Pojawiajà si´ propozycje definicji, narz´dzi zarzàdzania oraz pomiaru8. Ryzyko operacyjne dotyczy praktycznie ca∏ego personelu danej instytucji. Trudno zarzàdzaç tym ryzykiem w sposób zcentralizowany. Konieczne jest zarzàdzanie we wszystkich komórkach i pionach instytucji. Praktyka w zarzàdzaniu ryzykiem operacyjnym b´dzie zapewne zró˝nicowana ze wzgl´du na silne uzale˝nienie od jednostki, kultury i sposobu zarzàdzania. Poszczególne bran˝e i instytucje realizujà odr´bne zadania, jakoÊç procesów i zarzàdzania procesami jest odmienna, wykorzystywane sà ró˝ne systemy informatyczne; ró˝na jest te˝ jakoÊç czynnika ludzkiego. W zakresie zarzàdzania ryzykiem operacyjnym brak jest jednolitego benchmarku dla wszystkich firm ze wzgl´du na specyfik´ ich dzia∏alnoÊci. Nie oznacza to jednak˝e, i˝ ten rodzaj ryzyka by∏ ca∏kowicie pomijany. Zarzàdzanie nim spowoduje wzrost kosztów dzia∏ania banków. Oprócz zmian organizacyjnych, kontrolnych i technologicznych pojawi si´ koniecznoÊç utrzymywania wymogu kapita∏owego z tytu∏u ryzyka operacyjnego. Ten parametr prze∏o˝y si´ na norm´ adekwatnoÊci kapita∏owej. Uzupe∏niajàcym instrumentem ochrony przed 8 Patrz równie˝: A. Wojtasik: Wybrane metody pomiaru ryzyka operacyjnego dla instytucji finansowych dzia∏ajàcych na rynku instrumentów pochodnych. „Bank i Kredyt” nr 1/2004. BANK I KREDYT k w i e c i e ƒ 2 0 0 4 konsekwencjami ryzyka b´dà ró˝norodne ubezpieczenia i bli˝sza wspó∏praca banków z firmami ubezpieczeniowymi. Ju˝ dziÊ pewne banki organizujà warsztaty poÊwi´cone problematyce ryzyka operacyjnego, tworzone sà komórki w instytucji do spraw zarzàdzania ryzykiem operacyjnym. W pionach operacyjnych powo∏ywane sà stanowiska maned˝erów ds. ryzyka operacyjnego. Piony audytu wewn´trznego dedykujà pewne audyty zbadaniu i ocenie tej problematyki. Organizowane sà tak˝e spotkania ró˝nych jednostek banku poÊwi´cone tym problemom. Podejmuje si´ próby mapowania ryzyka oraz analizy rozk∏adu wartoÊci strat operacyj- BankowoÊç Komercyjna nych9 czy stosowania teorii wartoÊci ekstremalnych, metodologii wartoÊci zagro˝onej czy analizy scenariuszy10. Tworzone sà bazy zdarzeƒ ryzyka operacyjnego. Analizuje si´ jakoÊç zarzàdzania i ryzyko procesów operacyjnych. Równie˝ polski nadzór bankowy opracowa∏ projekt rekomendacji dotyczàcej zarzàdzania ryzykiem operacyjnym w bankach. Projekt ten jest konsultowany z bankami. MyÊl´, ˝e zestaw dobrych praktyk opublikowany przez Komitet Bazylejski b´dzie na wiele lat przewodnikiem po obszarach zarzàdzania ryzykiem operacyjnym. 9 Autor artyku∏u ze wzgl´du na innà poruszanà problematyk´ nie podda∏ analizie ˝adnych metod pomiaru ryzyka operacyjnego. Zainteresowanych tym tematem odsy∏am np. do pracy K. Jajugi: Podstawy analizy wartoÊci ekstremalnych na rynkach finansowych. „Rynek Terminowy” nr 11/2001. 10 Patrz np: P. Jorion. Value At Risk. The New benchmark for managing financial risk. New York. 2001 Mc Graw - Hill. 55