Biznesmen do biznesmena:

- Jest wspaniały interes do zrobienia,

wchodzisz?

- a ile można na tym stracić?

Zarządzanie ryzykiem

W systemach bankowych

Autorski komentarz do następujących dokumentów:

Bazylijski Komitet ds. Nadzoru Bankowego:
•

Nowa metodologia adekwatności kapitałowej

•

Zasady dobrej praktyki w zakresie
zarządzania i nadzorowania ryzyka
operacyjnego

Generalny Inspektorat Nadzoru Bankowego
1.

Rekomendacja D
dotycząca

zarządzania ryzykami towarzyszącymi
systemom informatycznym i
telekomunikacyjnym używanym przez banki.

Romuald Kłosiński

Dokąd zmierzamy

czyli Nowa Metodologia Adekwatności Kapitałowej

Trzy filary

I Procedury bankowe pomiaru ryzyka i wprowadzenie

obciążeń kapitałowych nie tylko dla ryzyka kredytowego

II Badanie adekwatności kapitałowej przez nadzór

III Dyscyplina rynkowa ( globalizacja)
- jawność danych finansowych banku, w tym

w szczególności adekwatności kapitałowej

Ad I.

Poszerzenie adekwatności kapitałowej o inne ryzyka

(poza ryzykiem kredytowym i rynkowym)

stopy procentowej

operacyjne

prawne

reputacji

Ad II

Komitet oczekuje, że wszystkie banki prowadzące działalność w skali
międzynarodowej będą posiadały efektywne wewnętrzne procesy oceny swej
własnej adekwatności kapitałowej. W realizacji tego celu banki mogą
wykorzystać różne techniki, w tym subiektywne miary ryzyka, rygorystyczne
metodologie alokacji kapitału i wewnętrzne modele. Komitet uważa także, że
decyzje banków dotyczące rzeczywistego poziomu i metodologii kapitału będą
nadal odzwierciedlały w znacznym stopniu względy związane z
oczekiwaniami w stosunku do banku., w tym domniemane lub jasno określone
oczekiwania rynku oraz inne czynniki jakościowe. Bez względu na
preferowaną przez banki metodologię, muszą być one w stanie wykazać,
że wewnętrzne cele dotyczące kapitału, które sobie stawiają, opierają się
na solidnych podstawach. Banki powinny posiadać również efektywny
proces testowania awaryjnego, wspierający dokonywane przez nie założenia.

Jak człowiek dźwiga własne ciało, a ciężaru jego nie czuje,

tak nie dostrzega własnych błędów.

A. Schopenhauer

Ad III

Efektywna dyscyplina rynkowa wymaga wiarygodnych i aktualnych
informacji, które umożliwią kontrahentom dokonywanie dobrze
ugruntowanych ocen ryzyka. Banki powinny publicznie oraz na czas
ujawniać wszystkie kluczowe informacje o kapitale
utrzymywanym jako zabezpieczenie przed stratami oraz poziomie
zagrożenia ryzykiem, które może takie straty spowodować.
Umożliwi to dokonanie przez uczestników rynku oceny zdolności
banku do pozostania wypłacalnym. Informacje takie powinny być,
jako minimum, dostarczane w rocznych sprawozdaniach finansowych i
powinny obejmować szczegóły ilościowe i jakościowe dotyczące
kondycji finansowej banku i osiąganych wyników, prowadzonej
działalności gospodarczej, profilu ryzyka i działań podejmowanych w
ramach zarządzania.

Zarządzanie ryzykiem

Identyfikacja – macierz ryzyka
Pomiar – hierarchia istotności ryzyk
Zarządzanie

monitorowanie

działania zaradcze

minimalizowanie

limity

dywersyfikacja

sekutyryzacja

Ryzyko operacyjne

Definicja ogólna

Zróżnicowane rodzaje ryzyka, które wymieniono powyżej, można

połączyć w jedną wspólną kategorię „ryzyka operacyjnego”, które

Komitet zdefiniował jako „ryzyko poniesienia straty z powodu

nieodpowiednich lub wadliwych procesów wewnętrznych, winy

osób i systemów lub zdarzeń zewnętrznych”.Definicja obejmuje

ryzyko prawne lecz nie ryzyko strategiczne i ryzyko reputacji

Ta definicja została przejęta od branży w trakcie prac Komisji nad

opracowaniem zaleceń w sprawie minimalnego odpisu kapitałowego

na pokrycie ryzyka operacyjnego. Mimo, iż dokument ten nie jest

formalną częścią struktury kapitałowej, Komitet spodziewa się jednak,

że podstawowe elementy struktury właściwego zarządzania ryzykiem

przedstawione w niniejszym dokumencie dostarczą informacji na

temat oczekiwań nadzoru bankowego przy analizowaniu adekwatności

kapitałowej, na przykład, w ramach procesu analizy dokonywanej

przez nadzór.

10 zasad

Zarząd powinien znać najważniejsze aspekty ryzyka
operacyjnego banku jako odrębnej kategorii ryzyka,
którym należy zarządzać oraz zatwierdzić i okresowo
analizować ramową strukturę zarządzania ryzykiem
operacyjnym banku.Taka ramowa struktura powinna
zawierać definicję ryzyka operacyjnego obowiązują w
całej firmie i prezentować zasady rozpoznawania,
oceny, monitorowania i kontrolowania/łagodzenia
ryzyka operacyjnego.

Zasada 1

Zasada 2

Zarząd powinien spowodować, by struktura zarządzania
ryzykiem operacyjnym była przedmiotem skutecznej i
pełnej kontroli wewnętrznej wykonywanej przez
niezależny pod względem operacyjnym, odpowiednio
przeszkolony i kompetentny personel. Dział kontroli
wewnętrznej nie powinien odpowiadać bezpośrednio za
zarządzanie ryzykiem operacyjnym

Zasada 3

Wyższe kierownictwo powinno odpowiadać za wdrożenie
struktury zarządzania ryzykiem operacyjnym
zatwierdzonej przez zarząd. Struktura powinna być
konsekwentnie wcielana w życie w całej instytucji, a
personel wszystkich szczebli powinien znać swoje
obowiązki w zakresie zarządzania ryzykiem operacyjnym.
Wyższe kierownictwo powinno być

również

odpowiedzialne za opracowywanie zasad polityki,
procesów i procedur zarządzania ryzykiem
operacyjnym w odniesieniu do wszystkich istotnych
produktów, czynności, procesów i systemów banku.

Zasada 4

Banki powinny rozpoznawać i oceniać ryzyko
operacyjne nieodłącznie towarzyszące (inherentne)
wszystkim istotnym produktom, działaniom,
procesom i systemom. Banki powinny również
spowodować, by przed

(!)

podjęciem lub

wprowadzeniem nowych produktów, działań,
procesów i systemów, ryzyko operacyjne, które jest
z nimi nieodłącznie związane, było przedmiotem
odpowiedniej oceny

Zasada 5

Banki powinny wdrożyć proces regularnego
monitorowania profilu ryzyka operacyjnego i istotnych
ekspozycji na straty. Powinna istnieć regularna
sprawozdawczość obejmująca odnośne informacje dla
wyższego kierownictwa i zarządu, wspomagająca aktywne
zarządzanie ryzykiem operacyjnym.

Zasada 6

Banki powinny posiadać zasady polityki, procesy i
procedury kontrolowania i/lub łagodzenia istotnych
rodzajów ryzyka operacyjnego. Banki powinny okresowo
analizować limity ryzyka i strategie w zakresie kontroli
oraz odpowiednio korygować profil ryzyka operacyjnego
stosując przy tym odpowiednie strategie w kontekście
ogólnej gotowości do ponoszenia ryzyka i jego profilu

Zasada 7

Banki powinny dysponować planami awaryjnymi i
planami zachowania ciągłości działalności dla zapewnienia
sobie zdolności do nieprzerwanego działania
i ograniczenia strat w przypadku poważnych zakłóceń
działalności

Zasada 8

Organa nadzoru bankowego powinny
wymagać od wszystkich banków, niezależnie
od ich wielkości, posiadania skutecznej
ramowej struktury rozpoznawania, oceny,
monitorowania oraz kontroli/łagodzenia
istotnych rodzajów ryzyka operacyjnego,
która powinna stanowić element ogólnego
podejścia do zarządzania ryzykiem

Zasada 9

Organa nadzoru winny dokonywać - bezpośrednio lub
pośrednio - regularnej, niezależnej oceny zasad polityki,
procedur i praktyk stosowanych w banku w związku
z ryzykiem operacyjnym. Organa nadzoru powinny
upewnić się, czy istnieją odpowiednie mechanizmy,
umożliwiające posiadanie stałej wiedzy o nowych
wydarzeniach w bankach.

kłania się Schopenhauer...

Zasada 10

Banki powinny ujawniać publicznie informacje w zakresie
wystarczającym do tego, by umożliwić rynkowi ocenę ich
podejścia do zarządzania ryzykiem operacyjnym

globalizacja

Komentarz do wybranych tez
z uaktualnionej rekomendacji D

1. Władze banku w ramach wypełniania swoich funkcji są odpowiedzialne

za opracowywanie strategii banku, w tym strategii w zakresie rozwoju
i eksploatacji systemów informatycznych i sieci.

analiza trendów

cząstkowe biznes plany

czas jako główny element kosztów i ryzyka

2. Władze banku powinny ustanowić efektywną kontrolę zarządczą
ryzyk związanych z systemami informatycznymi, w tym ustanowić
polityki i inne, bardziej szczegółowe regulacje służące zarządzaniu tymi
ryzykami.

Precyzyjne określenie akceptowanego przez bank poziomu ryzyka w
zakresie systemów informatycznych

Ustanowienie podstawowych upoważnień i mechanizmów
podległości, w tym w odniesieniu do procedur zgłaszania przypadków
wystąpienia incydentów wpływających na bezpieczeństwo, kondycję
finansową lub reputację banku (np. przypadków penetracji sieci,
złamania zasad bezpieczeństwa przez pracowników oraz wszelkich
poważnych przypadków niewłaściwego użycia sprzętu
komputerowego),
Uwzględnienie unikalnych czynników ryzyka związanych z
zapewnieniem bezpieczeństwa, integralności, dostępności produktów i
usług bankowości elektronicznej oraz wymaganie, aby strony trzecie,
którym banki zleciły sprawy podstawowych systemów lub aplikacji,
podejmowały te same kroki.

Kierownictwo banku jest odpowiedzialne za stworzenie właściwej

polityki bezpieczeństwa redukującej ryzyko błędu ludzkiego i

niewłaściwego wykorzystania sprzętu i informacji

Procesy i systemy transakcyjne powinny być zaprojektowane w taki

sposób, żeby uniemożliwiały każdemu pojedynczemu pracownikowi

lub wynajętemu usługodawcy zainicjowanie, autoryzację i realizację

transakcji,
Należy zachować podział na osoby inicjujące dane statystyczne ( w

tym treść strony internetowej) i osoby odpowiedzialne za weryfikację

rzetelności tych danych
Należy testować systemy bankowości elektronicznej w celu

upewnienia się, ze nie można obejść podziału obowiązków

Należy zachować podział na osoby opracowujące i osoby

administrujące systemami bankowości elektronicznej

Zarządzanie ryzykiem w systemach
technologicznych banku

1. Mapa Ryzyk
2. Kwantyfikacja
3. Ocena akceptowalności ryzyka

akceptowalne

monitorowanie

propozycje rozwiązań podnoszących bezpieczeństwo

ocena kosztów podniesienia bezpieczeństwa na odpowiedni poziom

akceptacja

realizacja

audyt

monitorowanie

•

nieakceptowalne

Na posiedzeniu rządu, ministrowie

zapewniają W. Churchilla, że zrobią

wszystko co w ich mocy.

a na to premier odpowiada:

-nie róbcie wszystkiego, zróbcie tylko

to co konieczne.