NB-BPN-II-021-5/03 - Zarządzanie ryzykiem operacyjnym

W maju br. Generalny Inspektorat Nadzoru Bankowego skierował do banków ankietę dotyczącą praktyk stosowanych w zarządzaniu ryzykiem operacyjnym. Jej celem było określenie specyfiki tego ryzyka w poszczególnych bankach oraz poziomu zarządzania nim. Informacje przekazywane były przez banki do 4 września 2003 r.

Ryzyko operacyjne nabiera coraz większego znaczenia w procesie zarządzania bankami. Nowy impuls temu kierunkowi nadała opracowywana przez Komitet Bazylejski ds. Nadzoru Bankowego "Nowa Umowa Kapitałowa", poprzez próbę ujęcia ryzyka operacyjnego w rachunku adekwatności kapitałowej. Impuls ten spowodował podjęcie przez banki przygotowań do kwantyfikacji tego ryzyka. Wstępne prace podjęte zostały także w Generalnym Inspektoracie Nadzoru Bankowego.

W swoim dokumencie "Sound practises for the management and supervision of operational risk" z lutego 2003 r., Komitet Bazylejski definiuje ryzyko operacyjne jako ryzyko straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub ze zdarzeń zewnętrznych. Definicja ta uwzględnia ryzyko prawne, pomija natomiast ryzyko reputacji i strategiczne.

Ryzyko operacyjne, ze względu na swój kompleksowy charakter może mieć znaczący wpływ na działalność i kondycję banków, zwłaszcza że jego źródłem jest organizacja sama w sobie. Rozwój technologii i coraz bardziej złożonych technik i produktów bankowych, oraz seria spektakularnych strat w bankach międzynarodowych skierowały uwagę regulatorów i menadżerów w bankach na znaczenie ryzyka o charakterze niefinansowym. Znaczenie wpływu ryzyka operacyjnego na działalność bankową wzrosło ze względu na rozwój automatyzacji i technologii informatycznych, bankowość elektroniczną, łączenie firm i integrację systemów zarządzania, rozwój outsourcingu, intensyfikację rozliczeń międzybankowych, błędy księgowe, kradzieże i oszustwa, kataklizmy, terroryzm etc.

Ekspozycje na ryzyko operacyjne są coraz bardziej znaczące, jednakże rzeczywisty wymiar tego ryzyka jest niezwykle trudno określić. Dlatego też celowe jest zarządzanie tym ryzykiem poprzez: określenie strategii i polityki, identyfikację, pomiar, monitorowanie i kontrolę w banku. Wypracowanie metodologii pomiaru ryzyka operacyjnego i włączenie jej do pomiaru ogólnego ryzyka banku, prowadzi do lepszego określenia narażenia instytucji na ryzyko całkowite oraz zwiększa efektywność alokacji kapitału, ograniczając jednocześnie ryzyko błędów (Diagram 1).

Diagram 1 Proces zarządzania ryzykiem operacyjnym

I. WYNIKI ANKIETY

Ankieta skierowana do banków miała na celu zebranie danych na temat rozpoznawania przez banki, działające w polskim sektorze bankowym, ryzyka operacyjnego oraz zarządzania nim. Informacje w niej zawarte posłużyły do oceny specyfiki omawianego zjawiska w polskim sektorze bankowym, zostaną także uwzględnione w tworzonej w GINB rekomendacji dotyczącej zarządzania ryzykiem operacyjnym.

Oszacowanie tego ryzyka jest trudne z uwagi zarówno na jego złożoność, jak i określenie sposobu pomiaru. Podejście do ryzyka operacyjnego przez poszczególne banki - jak wynika z uzyskanych informacji - zależy od wielu czynników, w szczególności: wielkości, kompleksowości i specyfiki prowadzonej przez banki działalności oraz sposobu zarządzania.

Do 31 sierpnia 2003 r. 57 banków przekazało informacje do GINB. Ponieważ dwa banki są w trakcie reorganizacji i prowadzą działalność operacyjną w ograniczonym zakresie, analizie poddano odpowiedzi z 55 banków.

Pytania zawarte w ankiecie dotyczyły przede wszystkim:

1. identyfikacji ryzyka operacyjnego,

2. zarządzania i kontroli tego ryzyka,

3. procedur i systemu raportowania,

4. zabezpieczania się przed tym ryzykiem.

1. Identyfikacja ryzyka operacyjnego

Strategia

Ze względu na nowy charakter omawianej problematyki wiele banków jest dopiero w fazie wstępnej identyfikacji i wypracowania zasad pomiaru oraz zarządzania. Zgodnie z informacjami zawartymi w ankiecie spośród 55 badanych:

- w 32 bankach (58% badanych banków) opracowano strategię zarządzania ryzykiem operacyjnym,

- w 16 bankach (29% badanych banków) trwają prace nad opracowaniem strategii zarządzania tym rodzajem ryzyka,

- 7 banków nie określiło strategii zarządzania ryzykiem, z czego 3 są to jednostki kontrolowane przez inwestorów krajowych, zaś 4 przez inwestorów zagranicznych.

Banki należące do ostatniej z wymienionych grup przytaczały następujące główne przyczyny niepodjęcia stosownych prac:

- za ocenę i redukowanie ryzyka operacyjnego odpowiedzialne są poszczególne jednostki organizacyjne (2),

- bank ma opracowaną mapę ryzyka (1),

- krótki okres działalności (1),

- bank nie podał przyczyn (3).

Profil ryzyka

Dla potrzeb zarządzania ryzykiem operacyjnym niezbędna wydaje się identyfikacja obszarów szczególnie zagrożonych pojawieniem się zjawisk kryzysowych. Profil ryzyka specyficzny dla poszczególnych banków został określony w 41 bankach (74% ankietowanych banków), zaś w 7 trwają prace nad określeniem profilu narażenia na ryzyko operacyjne.

W 49 bankach zidentyfikowano najgroźniejsze dla specyfiki działalności tych jednostek kategorie ryzyka operacyjnego. Zostały one przedstawione na poniższym wykresie (wykres 1).

Za najważniejszą kategorię ryzyka operacyjnego 36 banków uznało ryzyko technologiczne i techniczne (związane ze sprawnością systemów informatycznych i komunikacyjnych, błędami oprogramowania, utratą danych, adekwatnością wyposażenia, dostawą kluczowych usług: telekomunikacją, energią elektryczną).

Drugą kategorią najczęściej wymienianą przez banki było ryzyko kadrowe (związane z dostępnością i kwalifikacjami pracowników, ich fluktuacją, zdolnościami do adaptacji, kulturą pracy etc.) - za najgroźniejsze uznało ją 19 banków.

W 13 bankach uznano za jedną z najgroźniejszych kategorii również oszustwa zewnętrzne (malwersacje, kradzieże, nieprawidłowe celowe lub przypadkowe działania, "pranie pieniędzy").

Natomiast do najrzadziej rozpoznawanych w bankach kategorii ryzyka należy:

- ryzyko prawne - rozumiane jako brak regulacji, błędne regulacje wewnętrzne, straty z tytułu błędów prawnych, zmiany w przepisach, brak stabilności otoczenia prawnego, procesy sądowe) - jedynie 1 bank uznał je za najgroźniejszą kategorię,

- po 2 banki rozpoznały ryzyko nieprawidłowego funkcjonowania organizacji oraz outsourcingu.

Wykres 1 Najważniejsze kategorie ryzyka rozpoznawane przez banki (liczba banków)

KATEGORIE RYZYKA:

1. technologiczne i techniczne

2. wynikające z oszustw lub błędów wewnętrznych

3. wynikające z oszustw zewnętrznych

4. kadrowe

5. transakcji (związane z ich rodzajami i wielkością)

6. ewidencyjne (księgowe)

7. materialne i losowe

8. prawne

9. związane z nieprawidłowym zarządzaniem i funkcjonowaniem systemu organizacji

10. związane ze zlecaniem funkcji na zewnątrz

Na podstawie analiz przeprowadzonych na wybranych grupach banków wynika, że:

1. zarówno w bankach kontrolowanych przez kapitał polski jak i przez kapitał zagraniczny, struktura kategorii ryzyka operacyjnego uznanych za najgroźniejsze, nie odbiega od struktury występującej w całym sektorze,

2. w grupie pięciu największych banków można zaobserwować różnicę w strukturze ryzyka operacyjnego w odniesieniu do struktury występującej w sektorze (wykres 2).

Wykres 2 Najgroźniejsze kategorie ryzyka w pięciu największych bankach (udział kat. w %)

objaśnienia: kategorie ryzyka jak dla wykresu 1

W grupie tej najwięcej banków uznało za najgroźniejsze kategorie ryzyka operacyjnego nie ryzyko technologiczne (jak w całym sektorze), lecz ryzyko wynikające z oszustw zewnętrznych i wewnętrznych (80% banków). Duże narażenie na ten rodzaj ryzyka może wynikać z wielkości tych banków, dużej liczby klientów oraz ilości przeprowadzanych transakcji. Natomiast mniejszy udział ryzyka technologicznego i technicznego, jako najgroźniejszej kategorii tłumaczyć można lepszym zabezpieczeniem i mniej zawodnym funkcjonowaniem systemów informatycznych w tej grupie.

2. Zarządzanie ryzykiem operacyjnym i kontrola

Zarządzanie

Ankieta wykazała, że wszystkie banki prowadzące działalność operacyjną rozpoznają problem ryzyka operacyjnego. Na podstawie otrzymanych z banków odpowiedzi można stwierdzić, iż spośród 55 badanych banków:

- w 52 bankach utworzono strukturę zarządzania ryzykiem operacyjnym,

- w 2 bankach trwają prace nad opracowaniem odpowiedniej struktury zarządzania,

- 1 bank nie przesłał informacji na ten temat.

Zaawansowanie procesu zarządzania ryzykiem operacyjnym w każdym banku powinno być współmierne do wielkości podejmowanego ryzyka oraz złożoności produktów w bankach. Trudność w badaniu ryzyka operacyjnego wynika z faktu, iż często nie istnieją bezpośrednie mierzalne korelacje pomiędzy różnymi rodzajami tego ryzyka a wielkością i częstotliwością strat. Dlatego ważne w zarządzaniu tym rodzajem ryzyka jest zarówno stały monitoring zdarzeń, które mogą mieć wpływ na straty operacyjne, badanie prawdopodobieństwa wystąpienia strat operacyjnych, jak i tworzenie baz danych o stratach. Zarządzanie ryzykiem operacyjnym w codziennym prowadzeniu działalności delegowane jest w bankach bądź do poszczególnych komórek banku - 62% badanych banków (34 banki) lub utworzona została wydzielona komórka do spraw zarządzania tym rodzajem ryzyka 33% (18 banków).

W wyniku badań przeprowadzonych na podstawie ankiet można zauważyć prawidłowość, że w większości banków, w których zarządzanie ryzykiem operacyjnym przekazano do wydzielonej komórki (18 banków), zarządzanie to prowadzone jest na wysokim poziomie:

- w 9 z 18 banków ryzyko operacyjne monitorowane jest w sposób ciągły, zaś w 4 trwają prace nad utworzeniem takiego systemu monitorowania (w sumie 72%),

- w 12 z 18 banków utworzone zostały również bazy danych o stratach operacyjnych, zaś w 2 trwają prace nad przygotowaniem takich baz (w sumie 78%).

Natomiast na 34 banki, w których zarządzanie ryzykiem operacyjnym przekazane jest do poszczególnych komórek:

- jedynie w 7 z nich ryzyko operacyjne monitorowane jest stale (z czego w jednym banku monitoring w zależności od typu zidentyfikowanego ryzyka ma charakter stały lub doraźny), zaś w 7 trwają prace nad wprowadzeniem takiego systemu; w sumie 41%,

- zaś bazy danych o stratach operacyjnych powstały zaledwie w 3 bankach, a w 5 trwają prace nad utworzeniem takich baz; w sumie 23%.

W związku ze znacznym zaawansowaniem prac nad "Nową Umową Kapitałową" Komitetu Bazylejskiego, która dołącza do wymogów kapitałowych z tytułu ryzyka kredytowego i rynkowego również ilościowy wymóg z tytułu ryzyka operacyjnego, niezwykle ważne dla banków jest posiadanie stałego systemu monitoringu oraz tworzenie baz danych historycznych na temat strat operacyjnych. Wspomniany dokument umożliwia bankom stosowanie bardziej zaawansowanych metod kalkulacji wymogu kapitałowego z tytułu ponoszonego ryzyka operacyjnego. Metody te opierają się na wewnętrznych systemach pomiaru ryzyka wykorzystujących gromadzone dane historyczne o stratach z lat poprzednich i ich przyczynach. Jak wynika z przeprowadzonych badań bazy danych strat prowadzone są w 15 bankach, zaś w 8 trwają prace nad ich utworzeniem.

Kontrola

W 93% (51 banków) badanych banków ryzyko operacyjne jest kontrolowane zarówno w ramach kontroli funkcjonalnej na poszczególnych stanowiskach, jak i instytucjonalnej przez odpowiednie komórki audytu wewnętrznego.

Komórki kontroli wewnętrznej z natury nie wypełniają funkcji zarządzania ryzykiem, dostarczają natomiast obiektywnej oceny efektywności, adekwatności i skuteczności funkcjonującego systemu zarządzania oraz oceny jakości przeprowadzanych operacji bankowych.

3. Procedury i systemy raportowania

Procedury

Banki w przeprowadzonej ankiecie przedstawiały również informacje na temat posiadanych procedur zarządzania ryzykiem operacyjnym. Zgodnie z przeprowadzonym badaniem, 3 banki nie miały w ogóle opracowanych tego typu procedur i dopiero rozpoczęły prace związane z ich tworzeniem, z czego:

- w 1 banku tymczasowe uregulowania przekazywane były w formie pism dyrektora,

- w 1 banku nastąpiła zmiana profilu działania wskutek połączenia się banków,

- 1 bank nie podał dodatkowych informacji na ten temat.

W 33 bankach procedury obejmują wybrane kategorie ryzyka operacyjnego i piony działalności i 22 z nich nie poinformowały w ankiecie o pracach nad przygotowaniem całościowych procedur zarządzania ryzykiem operacyjnym.

Bez przygotowania prawidłowych procedur, obejmujących wszystkie obszary działalności zagrożone ryzykiem operacyjnym, w banku mogą zaistnieć poważne problemy związane z zarządzaniem tym rodzajem ryzyka. Jednocześnie w związku ze zmianami otoczenia, wprowadzaniem nowych produktów etc. banki powinny okresowo dokonywać przeglądu procedur dla lepszego dostosowania ich do określonego profilu ryzyka. W przeprowadzonej ankiecie na 55 badanych banków jedynie 17 (31%) posiada wdrożone całościowe procedury identyfikowania i zarządzania ryzykiem operacyjnym. W 14 bankach trwają prace nad opracowaniem procedur obejmujących ogół zagadnień związanych z ryzykiem operacyjnym, przy czym 12 z nich ma już wdrożone procedury dotyczące wybranych dziedzin zarządzania z ryzykiem operacyjnym (głównie związane z: działaniem systemów, bezpieczeństwem pracy, przeprowadzaniem transakcji, oszustwami).

Systemy raportowania

Niezbędnym elementem odpowiedniego systemu zarządzania ryzykiem operacyjnym w bankach jest odpowiednie i systematyczne raportowanie obejmujące zarówno straty operacyjne, jak i zdarzenia, które mogą wpłynąć na zarządzanie tym ryzykiem w przyszłości. Sprawny system przepływu informacji jest niezbędny do weryfikacji strategii zarządzania ryzykiem w banku. Dlatego też zintegrowany system raportowania umożliwia uwzględnienie wszystkich dziedzin zagrożonych ryzykiem. Na 55 banków objętych ankietą, system raportowania na temat strat operacyjnych funkcjonuje w 49 (89%) z nich. W 22 (42%) bankach opracowany został zintegrowany system raportowania, zaś w 7 trwają prace nad usprawnieniem dotychczasowego systemu raportowania rozproszonego, w 2 natomiast tworzony jest od razu system zintegrowany.

4. Zabezpieczanie się przed ryzykiem operacyjnym

Głównym celem analizy ryzyka operacyjnego powinno być określenie wielkości oraz specyfiki występującego ryzyka i możliwości jego redukcji poprzez zastosowanie odpowiednich zabezpieczeń (Wykres 3). Wśród instrumentów zabezpieczających można wyróżnić: instrumenty zapobiegające (adekwatne procedury), sygnalizujące (np. kontrola wewnętrzna), korygujące (działania podejmowane po przekroczeniu wewnętrznych limitów) oraz instrumenty redukujące (ubezpieczenia, plany awaryjne).

Wykres 3 Metody redukcji ryzyka operacyjnego w polskich bankach (liczba banków)

Zgodnie z wynikami ankiety, banki wykorzystują różne metody zabezpieczania się przed ryzykiem operacyjnym. Najwięcej banków wymieniło plany awaryjne (49 banków) oraz ubezpieczenia (41 banków). Określona metoda zabezpieczenia jest związana z konkretnym typem ryzyka występującego w danej dziedzinie działalności bankowej, dlatego poniżej przedstawione zostały obszary zabezpieczane najczęściej danym typem zabezpieczenia:

1. ochrona ubezpieczeniowa:

- ubezpieczenia mienia od zdarzeń losowych,

- na wypadek awarii sprzętu elektronicznego i komputerowego i sieci komputerowych,

- strat w wyniku fałszerstwa lub oszustwa,

- odpowiedzialności cywilnej

2. plany utrzymania ciągłości biznesowej (awaryjne) - służące przeciwdziałaniu i minimalizowaniu negatywnych skutków nieoczekiwanych zdarzeń, w tym ataków wewnętrznych i zewnętrznych, które mogą szkodzić funkcjonowaniu organizacji:

- na wypadek awarii kluczowych procesów biznesowych,

- zapasowe centra przetwarzania danych,

- na wypadek klęsk żywiołowych

- awarii zasilania etc.

3. transfer ryzyka poprzez świadczenie wybranych usług przez wyspecjalizowane firmy zewnętrzne:

- związane z systemami informatycznymi,

- transportem,

- windykacją należności,

- usług powierniczych etc.

4. zabezpieczenia (prawne, organizacyjne, techniczne):

- procedury w zakresie zatrudniania,

- procedury oceny pracowników,

- systemy uprawnień systemów informatycznych,

- stosowne postanowienia w umowach,

- systemy kompetencji i limitów dotyczących głównie działalności handlowej,

- szkolenia,

- kontrole.

Podsumowując, można zauważyć korzystną tendencję - banki, w ramach zabezpieczania się przed ryzykiem operacyjnym, nie opierają się jedynie na ubezpieczeniach na wypadek strat, lecz rozbudowują własne systemy zabezpieczeń (w dziedzinach gdzie jest to możliwe), poprzez tworzenie planów awaryjnych i procedur, zapewniających zachowanie ciągłości działania.

II. WYRÓŻNIONE GRUPY BANKÓW

Pomiar ryzyka operacyjnego jest zagadnieniem w miarę nowym, jednak zostały już wypracowane na podstawie badań i konsultacji z instytucjami finansowymi na całym świecie, rekomendacje dotyczące prawidłowego zarządzania tym rodzajem ryzyka. Komitet Bazylejski określił zbór podstawowych zasad, których wprowadzenie w systemie zarządzania bankiem ułatwi zminimalizowanie narażenia na ryzyko operacyjne. Należą do nich między innymi:

1. strategia banku czytelna i adekwatna do ponoszonego ryzyka w zakresie ekspozycji na ryzyko operacyjne oraz określony specyficzny profil ryzyka,

2. właściwie funkcjonująca kontrola wewnętrzna obejmująca między innymi ściśle określony podział obowiązków i zakres odpowiedzialności,

3. odpowiedni system przepływu informacji, poprzez: stały i efektywny system monitorowania ekspozycji na ryzyko operacyjne, służący natychmiastowemu wykryciu i przeanalizowaniu okoliczności związanych z występującą stratą operacyjną oraz rejestrowania sygnałów ostrzegawczych i wzajemnych powiązań występujących zdarzeń skutkujących stratą,

4. zintegrowane i regularne raportowanie niezbędnych informacji dla kierownictwa wspierającego system zarządzania odpowiedni do ponoszonego ryzyka,

5. posiadanie przez bank odpowiednich planów i zabezpieczeń na wypadek wystąpienia czynników zakłócających odpowiednie funkcjonowanie instytucji (plany awaryjne, ubezpieczenia, procedury, szkolenia etc.).

Na podstawie ankiety zbadano poziom zarządzania ryzykiem operacyjnym w zależności od struktury właścicielskiej banków w Polsce oraz ich wielkości. Za pozytywne odpowiedzi uznano w poszczególnych kategoriach wskazanie przez banki metod zgodnych z zaleceniami bazylejskimi (Tabela 1).

Tabela 1 Zgodność zarządzania ryzykiem operacyjnym zgodne z rekomendacjami bazylejskimi w zależności od struktury właścicielskiej i wielkości banków (w %)

Założenia:

- do odpowiedzi pozytywnych zaliczono: TAK, trwają prace,

- do odpowiedzi negatywnych zaliczono: NIE, brak danych,

- wybór największych banków oparto na sumie bilansowej na dzień 30 czerwca 2003 r.

- banki kontrolowane przez inwestorów zagranicznych - banki w formie spółek, w których do zagranicznych osób (prawnych, fizycznych) należy bezpośrednio lub pośrednio pakiet akcji uprawniających do wykonywania łącznie co najmniej 50%+1 głos na walnym zgromadzeniu; oraz oddziały banków zagranicznych (na dzień 30 czerwca 2003),

- banki kontrolowane przez kapitał polski: pozostałe prowadzące działalność operacyjną (poza bankami spółdzielczymi).

W całym sektorze bankowym (bez uwzględniania banków spółdzielczych) 87% banków posiada strategię i określony profil ryzyka operacyjnego. Ponad połowa banków posiada lub tworzy: całościowe procedury, stały system monitorowania i zintegrowany system raportowania. Bazy danych o stratach operacyjnych są tworzone lub funkcjonują w 42% banków.

1. Największe banki

Jak wynika z powyższej tabeli najwięcej pozytywnych odpowiedzi uzyskano w pięciu największych bankach. Zgodnie z wynikami ankiety, rozwiązania Komitetu Bazylejskiego w większości tych banków zostały wdrożone lub trwają prace nad ich wdrożeniem. Wszystkie mają określoną strategię zarządzania ryzykiem operacyjnym, określony profil ryzyka oraz wykonywaną kontrolę zarządzania tym ryzykiem. Badając kategorię 10 i 15 największych banków można dojść do wniosku, że im mniejsze banki tym mniej jest pozytywnych odpowiedzi, czyli mniej jest banków z odpowiednim systemem zarządzania ryzykiem operacyjnym.

2. Struktura właścicielska

Jak wynika z tabeli, w bankach kontrolowanych przez kapitał zagraniczny procent pozytywnych odpowiedzi jest większy, niż w bankach z przewagą polskiego kapitału.

Stały system monitorowania ryzyka operacyjnego posiada połowa banków kontrolowanych przez inwestorów zagranicznych, zaś zaledwie 30% banków polskich. Podobne rozbieżności występują przy całościowych procedurach zarządzania (odpowiednio 62% i 38%) oraz posiadaniu baz danych o stratach operacyjnych. Może to wynikać z transferu przez zagranicznych inwestorów strategicznych wiedzy, technologii oraz wdrożonych już w jednostkach dominujących nowoczesnych systemów zarządzania ryzykiem operacyjnym.

III. WNIOSKI I REKOMENDACJE

1. Celem przeprowadzonej ankiety było zapoznanie się z poziomem zarządzania ryzykiem operacyjnym oraz problemami, jakie mają polskie banki z opracowaniem adekwatnych metod przeciwdziałania ryzyku operacyjnemu. Informacje zostaną wykorzystane w tworzonej obecnie rekomendacji KNB dotyczącej zarządzania ryzykiem operacyjnym.

2. Z ankiety wynika, że banki w Polsce rozpoznają problem ryzyka operacyjnego. Śledzą prace Bazylejskiego Komitetu ds. Nadzoru Bankowego związane z Nową Umową Kapitałową oraz rekomendacjami dotyczącymi ryzyka operacyjnego. Prawie 90% banków w polskim systemie bankowym określiło strategię, określiło profil ryzyka specyficzny dla każdego z nich oraz kontroluje to ryzyko.

3. Na podstawie ankiety można stwierdzić, że poziom zarządzania ryzykiem operacyjnym w bankach jest zróżnicowany. W bankach kontrolowanych przez inwestorów zagranicznych można zaobserwować korzystanie z doświadczeń banków zagranicznych i wdrażanie ich standardów zarządzania ryzykiem operacyjnym. W bankach polskich również ryzyko to jest uwzględniane lub trwają prace nad utworzeniem systemu zarządzania ryzykiem operacyjnym. Banki polskie mają utrudniony dostęp do zaawansowanych rozwiązań banków zagranicznych. Na rynku pojawiają się gotowe produkty zarządzania ryzykiem operacyjnym, jednak jest to bardziej kosztowne rozwiązanie. Zaledwie jedna trzecia banków kontrolowanych przez kapitał polski posiada lub tworzy stały system monitorowania ryzyka operacyjnego, gdy w przypadku banków zagranicznych jest to połowa z nich. Podobne różnice można zaobserwować w liczbie banków posiadających bazy danych o stratach oraz całościowe procedury zarządzania.

4. Jak wynika z uzyskanych informacji, różny jest poziom postrzegania przez banki poszczególnych kategorii ryzyka operacyjnego. Podczas, gdy ryzyko technologiczne i techniczne, czy kadrowe jest uwzględniane przez wiele z nich, to np. ryzyka prawnego, ryzyka związanego ze zlecaniem funkcji na zewnątrz, czy złym funkcjonowaniem organizacji wiele banków nie postrzega jako groźnego dla działania banku.

5. Odpowiednie procedury zarządzania ryzykiem operacyjnym są jednym z podstawowych elementów odpowiedniego zarządzania ryzykiem operacyjnym oraz zapobiegania stratom operacyjnym. Zaledwie połowa banków posiada lub tworzy całościowe procedury zarządzania ryzykiem operacyjnym (56% banków), zaś wdrożone procedury całościowe posiada zaledwie jedna trzecia wszystkich badanych banków.

6. Wiele banków stosuje okresowy system monitorowania ryzyka operacyjnego (55% badanych banków), nie tworząc historycznych baz danych o stratach, co może wpływać negatywnie na zarządzanie tym rodzajem ryzyka, poprzez zaniechanie działań prewencyjnych. Brak ciągłego badania sygnałów ostrzegawczych, analizy przyczyn już powstałych strat operacyjnych oraz dostosowywania obowiązującego systemu zarządzania i obowiązujących w banku procedur może doprowadzić do spektakularnych strat (odnotowywanych przez ostatni okres w wielu bankach międzynarodowych).

7. Zawarte w projekcie Nowej Umowy Kapitałowej tworzonej przez Bazylejski Komitet ds. Nadzoru Bankowego zaawansowane metody kalkulacji wymogu kapitałowego z tytułu ponoszonego ryzyka operacyjnego, bardziej adekwatne do ponoszonego ryzyka wymagają od banków wewnętrznego systemu pomiaru ryzyka opartego na odpowiednio gromadzonych i właściwie wykorzystywanych informacjach o stratach z lat poprzednich, ich przyczynach oraz weryfikacji parametrów i wyników systemu. Dlatego w wielu bankach trwają prace nad wypracowaniem w pełni zintegrowanych metod zarządzania ryzykiem operacyjnym. Prawie połowa banków funkcjonujących w polskim systemie bankowym posiada lub tworzy bazy danych o stratach operacyjnych niezbędne po wejściu w życie NUK oraz Dyrektywy CAD III do korzystania z zaawansowanych metod kalkulacji wymogu kapitałowego z tytułu ryzyka operacyjnego (AMA).

8. Żaden z banków nie wyodrębnia funduszy na pokrycie strat wynikających z ryzyka operacyjnego, natomiast ryzyko to uwzględniają w ramach funduszu ogólnego ryzyka (14 banków) lub rezerwy na ryzyko ogólne.

9. Generalny Inspektorat Nadzoru Bankowego zaleca bankom, aby uzupełniły istniejące braki w systemie zarządzania ryzykiem operacyjnym. Dotyczy to przede wszystkim:

- zdefiniowania, adekwatnego do prowadzonej działalności profilu ryzyka ze stworzoną mapą ryzyka oraz strategii zarządzania tym ryzykiem,

- stworzenia odpowiedniego systemu przepływu informacji, poprzez: stały i efektywny system monitorowania ekspozycji na ryzyko operacyjne, służący natychmiastowemu wykryciu i przeanalizowaniu okoliczności związanych z występującą stratą operacyjną oraz rejestrowania sygnałów ostrzegawczych i wzajemnych powiązań występujących zdarzeń skutkujących stratą tworząc bazy danych o stratach operacyjnych,

- opracowania i wdrożenia odpowiednich, całościowych procedur zarządzania ryzykiem operacyjnym, jako podstawowego elementu odpowiedniego zarządzania ryzykiem operacyjnym oraz zapobiegania stratom operacyjnym,

- opracowania i wdrożenia zintegrowanego systemu regularnego raportowania niezbędnych informacji dla kierownictwa wspierającego system zarządzania odpowiedni do ponoszonego ryzyka,

- właściwie funkcjonującej kontroli wewnętrznej, obejmującej ściśle określony podział: obowiązków i odpowiedzialności, linii podległości i zakresu uprawnień, kontrolującej prawidłowość procesów zarządzania ryzykiem operacyjnym, adekwatność prowadzonej w banku polityki oraz zgodność procedur i instrukcji ze standardami etyki i profesjonalizmu, komórki kontroli wewnętrznej z natury nie powinny wypełniać funkcji zarządzania ryzykiem,

- zabezpieczania się przed ryzykiem operacyjnym, poprzez rozbudowywanie własnych systemów prewencji, tworzenie planów awaryjnych, procedur oraz limitów operacyjnych zapewniających zachowanie ciągłości działania; ubezpieczenie od ewentualnych strat powinno być jednym z istotnych, ale nie najważniejszym elementem takiego systemu.

W związku z powyższym proszę, aby banki podjęły prace zmierzające do poprawy sposobu zarządzania ryzykiem operacyjnym i wdrożenia powyżej opisanych dobrych praktyk w tym zakresie. Uprzejmie proszę o przesłanie informacji o stanie tych prac do końca bieżącego roku.

Niezależnie od powyższego, Generalny Inspektorat Nadzoru Bankowego podjął działania zmierzające do przygotowania rekomendacji dotyczącej zarządzania ryzykiem operacyjnym, która zostanie wydana w I półroczu 2004 r. Powinna być ona pomocna w zwiększeniu świadomości ryzyka operacyjnego w systemie bankowym. Będzie ona przedstawiać zbiór dobrych praktyk w zakresie zarządzania tym rodzajem ryzyka. Jednakże wypracowanie odpowiedniej strategii zarządzania ryzykiem operacyjnym w bankach już teraz, umożliwi lepsze przygotowanie do wypełnienia wymogów Dyrektywy CAD III w zakresie ryzyka operacyjnego oraz wdrożenie bardziej zaawansowanych metod kalkulacji wymogu kapitałowego.