Biznesmen do biznesmena:
- Jest wspaniały interes do zrobienia,
wchodzisz?
- a ile można na tym stracić?
Zarządzanie ryzykiem
W systemach bankowych
Autorski komentarz do następujących dokumentów:
Bazylijski Komitet ds. Nadzoru Bankowego:
•
Nowa metodologia adekwatności kapitałowej
•
Zasady dobrej praktyki w zakresie
zarządzania i nadzorowania ryzyka
operacyjnego
Generalny Inspektorat Nadzoru Bankowego
1.
Rekomendacja D
dotycząca
zarządzania ryzykami towarzyszącymi
systemom informatycznym i
telekomunikacyjnym używanym przez banki.
Romuald Kłosiński
Dokąd zmierzamy
czyli Nowa Metodologia Adekwatności Kapitałowej
Trzy filary
I Procedury bankowe pomiaru ryzyka i wprowadzenie
obciążeń kapitałowych nie tylko dla ryzyka kredytowego
II Badanie adekwatności kapitałowej przez nadzór
III Dyscyplina rynkowa ( globalizacja)
- jawność danych finansowych banku, w tym
w szczególności adekwatności kapitałowej
Ad I.
Poszerzenie adekwatności kapitałowej o inne ryzyka
(poza ryzykiem kredytowym i rynkowym)
stopy procentowej
operacyjne
prawne
reputacji
Ad II
Komitet oczekuje, że wszystkie banki prowadzące działalność w skali
międzynarodowej będą posiadały efektywne wewnętrzne procesy oceny swej
własnej adekwatności kapitałowej. W realizacji tego celu banki mogą
wykorzystać różne techniki, w tym subiektywne miary ryzyka, rygorystyczne
metodologie alokacji kapitału i wewnętrzne modele. Komitet uważa także, że
decyzje banków dotyczące rzeczywistego poziomu i metodologii kapitału będą
nadal odzwierciedlały w znacznym stopniu względy związane z
oczekiwaniami w stosunku do banku., w tym domniemane lub jasno określone
oczekiwania rynku oraz inne czynniki jakościowe. Bez względu na
preferowaną przez banki metodologię, muszą być one w stanie wykazać,
że wewnętrzne cele dotyczące kapitału, które sobie stawiają, opierają się
na solidnych podstawach. Banki powinny posiadać również efektywny
proces testowania awaryjnego, wspierający dokonywane przez nie założenia.
Jak człowiek dźwiga własne ciało, a ciężaru jego nie czuje,
tak nie dostrzega własnych błędów.
A. Schopenhauer
Ad III
Efektywna dyscyplina rynkowa wymaga wiarygodnych i aktualnych
informacji, które umożliwią kontrahentom dokonywanie dobrze
ugruntowanych ocen ryzyka. Banki powinny publicznie oraz na czas
ujawniać wszystkie kluczowe informacje o kapitale
utrzymywanym jako zabezpieczenie przed stratami oraz poziomie
zagrożenia ryzykiem, które może takie straty spowodować.
Umożliwi to dokonanie przez uczestników rynku oceny zdolności
banku do pozostania wypłacalnym. Informacje takie powinny być,
jako minimum, dostarczane w rocznych sprawozdaniach finansowych i
powinny obejmować szczegóły ilościowe i jakościowe dotyczące
kondycji finansowej banku i osiąganych wyników, prowadzonej
działalności gospodarczej, profilu ryzyka i działań podejmowanych w
ramach zarządzania.
Zarządzanie ryzykiem
Identyfikacja – macierz ryzyka
Pomiar – hierarchia istotności ryzyk
Zarządzanie
monitorowanie
działania zaradcze
minimalizowanie
limity
dywersyfikacja
sekutyryzacja
Ryzyko operacyjne
Definicja ogólna
Zróżnicowane rodzaje ryzyka, które wymieniono powyżej, można
połączyć w jedną wspólną kategorię „ryzyka operacyjnego”, które
Komitet zdefiniował jako „ryzyko poniesienia straty z powodu
nieodpowiednich lub wadliwych procesów wewnętrznych, winy
osób i systemów lub zdarzeń zewnętrznych”.Definicja obejmuje
ryzyko prawne lecz nie ryzyko strategiczne i ryzyko reputacji
Ta definicja została przejęta od branży w trakcie prac Komisji nad
opracowaniem zaleceń w sprawie minimalnego odpisu kapitałowego
na pokrycie ryzyka operacyjnego. Mimo, iż dokument ten nie jest
formalną częścią struktury kapitałowej, Komitet spodziewa się jednak,
że podstawowe elementy struktury właściwego zarządzania ryzykiem
przedstawione w niniejszym dokumencie dostarczą informacji na
temat oczekiwań nadzoru bankowego przy analizowaniu adekwatności
kapitałowej, na przykład, w ramach procesu analizy dokonywanej
przez nadzór.
10 zasad
Zarząd powinien znać najważniejsze aspekty ryzyka
operacyjnego banku jako odrębnej kategorii ryzyka,
którym należy zarządzać oraz zatwierdzić i okresowo
analizować ramową strukturę zarządzania ryzykiem
operacyjnym banku.Taka ramowa struktura powinna
zawierać definicję ryzyka operacyjnego obowiązują w
całej firmie i prezentować zasady rozpoznawania,
oceny, monitorowania i kontrolowania/łagodzenia
ryzyka operacyjnego.
Zasada 1
Zasada 2
Zarząd powinien spowodować, by struktura zarządzania
ryzykiem operacyjnym była przedmiotem skutecznej i
pełnej kontroli wewnętrznej wykonywanej przez
niezależny pod względem operacyjnym, odpowiednio
przeszkolony i kompetentny personel. Dział kontroli
wewnętrznej nie powinien odpowiadać bezpośrednio za
zarządzanie ryzykiem operacyjnym
Zasada 3
Wyższe kierownictwo powinno odpowiadać za wdrożenie
struktury zarządzania ryzykiem operacyjnym
zatwierdzonej przez zarząd. Struktura powinna być
konsekwentnie wcielana w życie w całej instytucji, a
personel wszystkich szczebli powinien znać swoje
obowiązki w zakresie zarządzania ryzykiem operacyjnym.
Wyższe kierownictwo powinno być
również
odpowiedzialne za opracowywanie zasad polityki,
procesów i procedur zarządzania ryzykiem
operacyjnym w odniesieniu do wszystkich istotnych
produktów, czynności, procesów i systemów banku.
Zasada 4
Banki powinny rozpoznawać i oceniać ryzyko
operacyjne nieodłącznie towarzyszące (inherentne)
wszystkim istotnym produktom, działaniom,
procesom i systemom. Banki powinny również
spowodować, by przed
(!)
podjęciem lub
wprowadzeniem nowych produktów, działań,
procesów i systemów, ryzyko operacyjne, które jest
z nimi nieodłącznie związane, było przedmiotem
odpowiedniej oceny
Zasada 5
Banki powinny wdrożyć proces regularnego
monitorowania profilu ryzyka operacyjnego i istotnych
ekspozycji na straty. Powinna istnieć regularna
sprawozdawczość obejmująca odnośne informacje dla
wyższego kierownictwa i zarządu, wspomagająca aktywne
zarządzanie ryzykiem operacyjnym.
Zasada 6
Banki powinny posiadać zasady polityki, procesy i
procedury kontrolowania i/lub łagodzenia istotnych
rodzajów ryzyka operacyjnego. Banki powinny okresowo
analizować limity ryzyka i strategie w zakresie kontroli
oraz odpowiednio korygować profil ryzyka operacyjnego
stosując przy tym odpowiednie strategie w kontekście
ogólnej gotowości do ponoszenia ryzyka i jego profilu
Zasada 7
Banki powinny dysponować planami awaryjnymi i
planami zachowania ciągłości działalności dla zapewnienia
sobie zdolności do nieprzerwanego działania
i ograniczenia strat w przypadku poważnych zakłóceń
działalności
Zasada 8
Organa nadzoru bankowego powinny
wymagać od wszystkich banków, niezależnie
od ich wielkości, posiadania skutecznej
ramowej struktury rozpoznawania, oceny,
monitorowania oraz kontroli/łagodzenia
istotnych rodzajów ryzyka operacyjnego,
która powinna stanowić element ogólnego
podejścia do zarządzania ryzykiem
Zasada 9
Organa nadzoru winny dokonywać - bezpośrednio lub
pośrednio - regularnej, niezależnej oceny zasad polityki,
procedur i praktyk stosowanych w banku w związku
z ryzykiem operacyjnym. Organa nadzoru powinny
upewnić się, czy istnieją odpowiednie mechanizmy,
umożliwiające posiadanie stałej wiedzy o nowych
wydarzeniach w bankach.
kłania się Schopenhauer...
Zasada 10
Banki powinny ujawniać publicznie informacje w zakresie
wystarczającym do tego, by umożliwić rynkowi ocenę ich
podejścia do zarządzania ryzykiem operacyjnym
globalizacja
Komentarz do wybranych tez
z uaktualnionej rekomendacji D
1. Władze banku w ramach wypełniania swoich funkcji są odpowiedzialne
za opracowywanie strategii banku, w tym strategii w zakresie rozwoju
i eksploatacji systemów informatycznych i sieci.
analiza trendów
cząstkowe biznes plany
czas jako główny element kosztów i ryzyka
2. Władze banku powinny ustanowić efektywną kontrolę zarządczą
ryzyk związanych z systemami informatycznymi, w tym ustanowić
polityki i inne, bardziej szczegółowe regulacje służące zarządzaniu tymi
ryzykami.
Precyzyjne określenie akceptowanego przez bank poziomu ryzyka w
zakresie systemów informatycznych
Ustanowienie podstawowych upoważnień i mechanizmów
podległości, w tym w odniesieniu do procedur zgłaszania przypadków
wystąpienia incydentów wpływających na bezpieczeństwo, kondycję
finansową lub reputację banku (np. przypadków penetracji sieci,
złamania zasad bezpieczeństwa przez pracowników oraz wszelkich
poważnych przypadków niewłaściwego użycia sprzętu
komputerowego),
Uwzględnienie unikalnych czynników ryzyka związanych z
zapewnieniem bezpieczeństwa, integralności, dostępności produktów i
usług bankowości elektronicznej oraz wymaganie, aby strony trzecie,
którym banki zleciły sprawy podstawowych systemów lub aplikacji,
podejmowały te same kroki.
Kierownictwo banku jest odpowiedzialne za stworzenie właściwej
polityki bezpieczeństwa redukującej ryzyko błędu ludzkiego i
niewłaściwego wykorzystania sprzętu i informacji
Procesy i systemy transakcyjne powinny być zaprojektowane w taki
sposób, żeby uniemożliwiały każdemu pojedynczemu pracownikowi
lub wynajętemu usługodawcy zainicjowanie, autoryzację i realizację
transakcji,
Należy zachować podział na osoby inicjujące dane statystyczne ( w
tym treść strony internetowej) i osoby odpowiedzialne za weryfikację
rzetelności tych danych
Należy testować systemy bankowości elektronicznej w celu
upewnienia się, ze nie można obejść podziału obowiązków
Należy zachować podział na osoby opracowujące i osoby
administrujące systemami bankowości elektronicznej
Zarządzanie ryzykiem w systemach
technologicznych banku
1. Mapa Ryzyk
2. Kwantyfikacja
3. Ocena akceptowalności ryzyka
akceptowalne
monitorowanie
propozycje rozwiązań podnoszących bezpieczeństwo
ocena kosztów podniesienia bezpieczeństwa na odpowiedni poziom
akceptacja
realizacja
audyt
monitorowanie
•
nieakceptowalne
Na posiedzeniu rządu, ministrowie
zapewniają W. Churchilla, że zrobią
wszystko co w ich mocy.
a na to premier odpowiada:
-nie róbcie wszystkiego, zróbcie tylko
to co konieczne.