1 Ryzyko operacyjne Dr Jacek Tomaszewski
2 Ryzyko operacyjne Ryzyko operacyjne jest rodzajem ryzyka związanego z realizacją swoich funkcji przez przedsiębiorstwo. Jest to szerokie pojęcie obejmujące między innymi ryzyko nadużyć finansowych, ryzyko prawne, fizyczne lub zagrożenia dla środowiska.
3 Ryzyko operacyjne – definicja tradycyjna (negatywna) Ryzyko operacyjne to ryzyko obejmujące pozostałe rodzaje ryzyka, tzn. te, które nie wchodzą w zakres ryzyka kredytowego i rynkowego.
4 Ryzyko operacyjne w Nowej Umowie Kapitałowej Ryzyko operacyjne – wg Nowej Bazylejskiej Umowy Kapitałowej jest to możliwość poniesienia strat na skutek stosowania niewystarczających lub wadliwych systemów, niepoprawnych procedur i metod działania, błędów popełnianych przez człowieka, awarii technicznych oraz zdarzeń zewnętrznych; Źródłem ryzyka operacyjnego może być też strategia przedsiębiorstwa (np. Innowacje produktowe). Ryzyko operacyjne wiąże się z ryzykiem technicznym.
5 Ryzyko operacyjne – inne definicje Bank of America : Ryzyko operacyjne to zmienność zysków spowodowana przez realizację operacji, procesy, ludzi, technologie, prawo, regulacje, reputację firmy i zdarzenia zewnętrzne. British Bankers Association: Ryzyko bezpośrednich i pośrednich strat wynikających z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub z przyczyn zewnętrznych. Federal Reserve Bank of New York: Ryzyko operacyjne to ryzyko związane ze wszystkimi czynnikami ryzyka, które mają wpływ na zmienność struktury kosztów firmy, nie zaś na strukturę przychodów.
6 Ryzyko operacyjne - definicja Ryzyko operacyjne to możliwość straty wynikająca z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych.
7 Czy rozumiemy co to jest ryzyko operacyjne? Sierpień 2011 – PGNiG kupuje Vattenfall Heat Poland (elektrociepłownie Siekierki, Żerań, Pruszków oraz ciepłownie Wola i Kawęczyn) Z uzasadnienia Zarządu: Inwestycja w energetyce umożliwi redukcję ryzyka operacyjnego dzięki negatywnej korelacji z cenami gazu (?). Dodatkowo wierzymy, że transakcja zrównoważy naszą ekspozycję na ryzyko poprzez zwiększenie zaangażowania w regulowane obszary działalności.
8 Specyfika ryzyka operacyjnego Ryzyko negatywne. Dodatnia zależność wielkości ryzyka i złożoności organizacji, stosowanych systemów, produktów i usług. Dwoisty charakter strat: – Wysoka częstotliwość – mały wpływ na wynik – Niska częstotliwość – duży wpływ na wynik
9 Rozkład strat w ryzyku operacyjnym Prawdopodobieństwo wystąpienia straty Dotkliwość straty Strata oczekiwana (EL) Strata nieoczekiwana (UL) Strata katastroficzna
10 Ryzyko operacyjne a inne ryzyka Ryzyko operacyjne ma związek z ryzykiem reputacji oraz ryzykiem prawnym. Pamiętać należy także, że jak wynika z badań, klient zadowolony poleci bank lub inną instytucję najwyżej 2-3 osobom, ale niezadowolony poskarży się już kilkunastu do kilkudziesięciu, a więc opinia instytucji (banku) zostanie nadszarpnięta.
11 Przykład związków ryzyka operacyjnego i ryzyka kredytowego Niewłaściwe algorytmy i metody oceny zdolności kredytowej. Zawarcie umowy kredytowej na podstawie fałszywych dokumentów tożsamości, deklaracji podatkowych, zaświadczeń.
12 Ryzyko operacyjne a systemy zarządzania innym ryzykami Stosowanie bardziej zaawansowanych narzędzi zarządzania ryzykiem rynkowym czy kredytowym może powodować wzrost ryzyka operacyjnego (niedostateczna wiedza pracowników na temat narzędzi zarządzania ryzykiem etc.).
13 Proces zarządzania ryzykiem operacyjnym Identyfikacja ryzyka. Pomiar ryzyka. Kontrola (mitygacja) ryzyka. Monitoring zarządzania ryzykiem.
14 Identyfikacja ryzyka operacyjnego– c.d Identyfikacja ryzyka operacyjnego uwzględnia czynniki wewnętrzne i zewnętrzne: Czynniki wewnętrzne: struktura organizacyjna firmy, specyfika jego działalności, użytkowane systemy informatyczne, specyfika klientów firmy, skargi od klientów, jakość kadr, zmiany organizacyjne oraz rotacja kadr, jakość, kompletność, aktualność i przestrzeganie procedur wewnętrznych. Czynników zewnętrzne (czynniki stanowiące otoczenie działania firmy): polityczne, prawne, demograficzne, konkurencja, postęp technologiczny, zachowania rynków finansowych, podmioty zewnętrzne z którymi firma współpracuje – które mogą wpływać negatywnie na realizację celów firmy.
15 Czynniki ryzyka operacyjnego Procesy - straty powstałe w wyniku błędów w przyjętych procedurach, bądź braku wymaganych procedur. Ludzie - straty spowodowane przez obecnych lub byłych pracowników. Systemy - straty spowodowane przez awarie systemów lub technologii. Zdarzenia zewnętrzne - straty spowodowane działaniem sił naturalnych lub będące rezultatem działania strony trzeciej.
16 Udział kategorii ryzyka w ryzyku operacyjnym (badanie The Risk Management Association)
17 Identyfikacja ryzyka – zdarzenia operacyjne Istotną częścią procesu zarządzania ryzykiem operacyjnym jest podanie definicji zdarzenia operacyjnego. Przez zdarzenie operacyjne rozumiemy każde zdarzenie, które jest materializacją ryzyka operacyjnego. Zakłada się, że zdarzenie takie wystąpiło w określonym czasie i pociągnęło za sobą określone konsekwencje finansowe, które mogą być związane z: – poniesieniem przez firmę kosztów, uzyskaniem przychodów z tytułu wystąpienia zdarzenia operacyjnego, – wypłatą odszkodowań, – wypłatą kar (np. kary za praktyki monopolistyczne), – otrzymaniem odszkodowania z tytułu zdarzenia operacyjnego, – utratą lub uzyskaniem korzyści, – utworzeniem rezerwy na zobowiązania, – utratą aktywów lub koniecznością dokonania odpisów aktualizujących ich wartość.
18 Kategorie zdarzeń operacyjnych Oszustwa wewnętrzne - sprzeniewierzenie aktywów, uchylanie się od płacenia podatków, Oszustwa zewnętrzne - kradzież informacji, szkoda ze strony osób trzecich, fałszerstwo, Zatrudnienie oraz bezpieczeństwo w miejscu pracy – dyskryminacja pracowników, odszkodowania, bezpieczeństwo i higiena pracy, Klienci, produkty i praktyki biznesowe - manipulacja rynku, Szkody w aktywach rzeczowych – klęski żywiołowe, terroryzm, wandalizm, Zakłócenie działalności gospodarczej i błędy systemów - narzędzia wywołujące zakłócenia, awarie oprogramowania, awarie sprzętu, Wykonanie transakcji, dostawa i zarządzanie procesami operacyjnymi - wprowadzanie błędów, błędy księgowe, zaniedbania skutkujące utratą aktywów klienta.
19 Identyfikacja ryzyka operacyjnego – Asseco Poland S.A. Ryzyko utraty zaufania odbiorców Ryzyko niewłaściwego oszacowania prac projektowych Ryzyko zawarcia kontraktu z niewłaściwym odbiorcą Ryzyko związane z umowami licencyjnymi Ryzyko związane z niemożnością dokonania efektywnej integracji przejmowanych podmiotów oraz osiągnięcia zamierzonego zwrotu z poszczególnych akwizycji lub inwestycji Ryzyko związane z niewystarczającą ochroną ubezpieczeniową Ryzyko związane z możliwością utraty kluczowych pracowników Ryzyko ciągłości działania Ryzyko wycieku danych Ryzyko majątkowe Ryzyko praktyki kadrowej
20 Metody pomiaru ryzyka operacyjnego Podejście top-down – punktem wyjścia są cele organizacji. Polega na określaniu prawdopodobieństwa i wielkości potencjalnych strat oraz identyfikacji zagrożeń, które mogą uniemożliwiać realizację celów organizacji. Podejście bottom-up – koncentruje się na źródłach ryzyka. Źródła te odnoszą się do zależności między działaniami ludzi, technologii i procedur w organizacji, a określonymi zdarzeniami wewnętrznymi i zewnętrznymi. Instytucja zostaje podzielona według obszarów działalności. Następnie na każdym z obszarów jest mierzone ryzyko, które na koniec jest sumowane dla całej instytucji.
21 Metody top-down PodejścieSposób pomiaru ryzyka operacyjnego Podejście wskaźnikoweZakłada się, że poziom ryzyka operacyjnego jest proporcjonalny do wybranego wskaźnika (np. wyniku brutto). Założony procent wartości wskaźnika jest miarą ryzyka operacyjnego. Podejście CAPMZakłada się, że wszystkie ryzyka są mierzone w oparciu o model CAPM, następnie ryzyka rynkowe i kredytowe są mierzone osobno i odejmowane od łącznej miary ryzyka zmierzonej w oparciu o CAPM Analiza zmiennościZmienność przychodów traktowana jest jako ryzyko. Zmienność przychodów nie związana z ryzykiem rynkowym jest traktowana jako ryzyko operacyjne.
22 Metody bottom-up PodejścieSposób pomiaru ryzyka operacyjnego Podejście statystyczneMaksymalny poziom straty mierzony w oparciu o zaistniałe zdarzenia z własną częstością występowania i wielkością strat przy użyciu symulacji Monte Carlo. Analiza scenariuszyAnaliza konsekwencji realizacji niepomyślnych scenariuszy. Podejście czynnikoweCzynniki związane z stratą operacyjną, takie jak wielkość transakcji, współczynnik błędów są identyfikowane i uwzględniane w analizach korelacji. Sieci bayesowskiePrzyczyny i skutki zdarzeń są modelowane za pomocą graficznych modeli probabilistycznych.
23 OpVaR – Wartość narażona na ryzyko operacyjne Zastosowanie metodologii VaR do wyznaczania skali ryzyka operacyjnego i wymogów kapitałowych na pokrycie ryzyka. Kluczowym problemem jest niedostatek danych o wysokości strat spowodowanych czynnikami ryzyka operacyjnego.
24 Źródła danych o czynnikach ryzyka operacyjnego Dane ilościowe: – Dane wewnętrzne – bazy danych o ponoszonych przez instytucje stratach wywołanych czynnikami ryzyka operacyjnego. – Dane zewnętrzne – straty w innych organizacjach (bazy danych konsorcjalne, informacje publikowane). Dane jakościowe: – Analizy scenariuszowe Samoocena kontroli ryzyka (RCSA – risk control self-assesment). – Kluczowe wskaźniki ryzyka (Key Risk Indicators) - dostępne dla danej organizacji miary ilościowe, których wysokość zgodnie z założeniem pośrednio odzwierciedla poziom ryzyka w tej organizacji (np. odsetek nieobecnych pracowników, liczba awarii sprzętu komputerowego w określonym czasie, rotacja kadr w instytucji, liczba skarg klientów).
25 Samoocena kontroli ryzyka Metoda dokonywania samooceny działań przez pracowników w trakcie spotkań, warsztatów bądź z zastosowaniem arkuszy samooceny. Cel – identyfikacja zagrożeń i oszacowanie skali problemu.
26 Kluczowe wskaźniki ryzyka Kluczowe wskaźniki ryzyka (Key Risk Indicators) - dostępne dla danej organizacji miary ilościowe, których wysokość zgodnie z założeniem pośrednio odzwierciedla poziom ryzyka w tej organizacji (np. odsetek nieobecnych pracowników, liczba awarii sprzętu komputerowego w określonym czasie, rotacja kadr w instytucji, liczba skarg klientów). KRI informują o problemach w ujęciu ogólnym, bez wskazywania konkretnych źródeł problemu. Przedsiębiorstwo powinno ustalić poziom sygnałów ostrzegawczych, dzięki którym można ocenić, czy wartość danego wskaźnika mieści się w akceptowalnych granicach. Przekroczenie poziomu granicznego jest sygnałem do podjęcia działań interwencyjnych.
27 Metody pomiaru ryzyka operacyjnego – Bank Millennium S.A. W celu identyfikacji, analizy i oceny ryzyka operacyjnego stosowane są następujące narzędzia: – zbieranie informacji o stratach, – monitorowanie kluczowych wskaźników ryzyka, – samoocena ryzyka operacyjnego.
28 Kontrola ryzyka operacyjnego: Kontrola ryzyka operacyjnego obejmuje działania mające na celu ograniczenie skali ryzyka lub jego skutków. Podstawowe typy narzędzi kontroli ryzyka operacyjnego: Działania organizacyjno-proceduralne mające na celu ograniczenie ryzyka. Alokacja kapitału. Transfer ryzyka.
29 Działania organizacyjno-proceduralne Kontrole wewnętrzna, Plan utrzymania ciągłości działania, Plany awaryjne, Usprawnienia procesów, Wykorzystanie technologii, Szkolenia kadr.
30 Podział zadań jako sposób zarządzania ryzykiem operacyjnym Zawieranie transakcji Ocena ryzyka transakcji i podejmowanie decyzji (limity/kompetencje) Księgowanie transakcji Kontrola transakcji
31 Alokacja kapitału Metoda lansowana w sektorze finansowym (Nowa Umowa Kapitałowa, Kapitał Regulacyjny). Krytyka podejścia kapitałowego (wysokie koszty szacowania kapitału regulacyjnego, zastosowanie wyłącznie do celów regulacyjnych).
32 Transfer ryzyka Transfer działalności generującej ryzyko: – Outsourcing Transfer odpowiedzialności za skutki ryzyka: – Tradycyjne polisy ubezpieczeniowe, – Alternatywne techniki transferu ryzyka (ART. – Alternative Risk Transfer).
33 Alternatywne techniki transferu ryzyka Segmenty ART: Alternatywne instytucje transferu ryzyka (risk transfer through alternative carriers), Alternatywne instrumenty transferu ryzyka (risk transfer through alternative products).
34 Alternatywne instytucje transferu ryzyka Systemy ubezpieczeń wzajemnych (mutual self-insurance pools, risk retention groups). Finite (re)insurance. Captive insurance.
35 Finite insurance Umowa ubezpieczeniowa, w której ubezpieczony transferuje na ubezpieczyciela odpowiedzialność za skutki zdarzenia, w zamian za zapłatę jednorazowej kwoty stanowiącej wartość bieżącą szacowanych kosztów pokrycia kosztów zdarzenia. – Możliwość zawarcia umowy ex-post, – Efekt wartości pieniądza w czasie, – Efekt księgowy.
36 Captive insurance Captive Insurance jest firmą ubezpieczeniową należącą do jednego podmiotu gospodarczego, grupy zawodowej lub grupy firm powiązanych. Nazwa Captive Insurance jest używana dla specyficznych zakładów ubezpieczeń, których głównym celem działalności jest zabezpieczenie ryzyk nieubezpieczalnych na rynku tradycyjnym oraz właścicielom captive'u. Na świecie istnieje około 5.000 captivów, z których najwięcej działa w krajach, które oferują bardzo elastyczne zasady działania firm ubezpieczeniowych i szczególne udogodnienia podatkowe. Najwięcej firm captive insurance jest zarejestrowanch w takich państwach jak Bermudy (958), Kajmany (765), amerykański stan Vermont (567), Guernsey (368), Luksemburg (262) oraz Barbados (256) (stan na rok 2011). Polskie firmy z własnym captive insurance: PKN Orlen, KGHM, Poczta Polska.
37 Alternatywne instrumenty transferu ryzyka Instrumenty pochodne: – CAT Futures, – CAT Options, – OR Swaps, Produkty strukturyzowane: – Catastrophe Equity Put (CAT-E-Put), – Contingency Surplus Notes (CSN), Produkty sekurytyzacji: – CAT bonds.
38 CAT-E-PUT Produkt ochrony przed ryzykiem katastroficznym Opcja sprzedaży nabywana przez podmiot poszukujący ochrony przed ryzykiem (wystawca – najczęściej bank lub bank inwestycyjny) W przypadku wystąpienia strat o charakterze katastroficznym nabywca może wykonać opcję, która uprawnia go do wyemitowania i sprzedania wystawcy opcji swoich nowych papierów wartościowych (akcji, obligacji zamiennych) po z góry określonej cenie. Opcja zapewnia więc możliwość pozyskania kapitału na pokrycie strat katastroficznych.
39 Contingent Surplus Notes (CSN) Papiery dłużne umożliwiające finansowanie strat katastroficznych Mechanizm kreacji CSN – Ubezpieczający tworzy trust, który nabywa bezpieczne papiery wartościowe (skarbowe) finansując zakup z emisji papierów dłużnych sprzedawanych inwestorom. Oprocentowanie tych obligacji to oprocentowanie papierów bezpiecznych + premia finansowana przez ubezpieczającego, – W przypadku zajścia zdarzenia katastroficznego ubezpieczający się ma prawo zamiany bezpiecznych papierów w truście na swoje dłużne papiery podporządkowane (CSN).
40 Zarządzanie ryzykiem operacyjnym Funkcja kontroli ryzyka operacyjnego może być realizowana w oparciu o podejście procesowe. Kierownicy komórek organizacyjnych, w ramach których dokonuje się oceny ryzyka, odpowiedzialni są za wyodrębnienie i zdefiniowanie procesów biznesowych jak i za wyznaczenie właścicieli tych procesów w danej komórce.
41 Monitoring zarządzania ryzykiem Rola kontroli wewnętrznej i audytu wewnętrznego. Komunikacja z otoczeniem w zakresie informacji o ryzyku operacyjnym.
42 Kontrola wewnętrzna a audyt wewnętrzny Kontrola wewnętrzna - system działań podejmowanych przez kierownictwo, władze lub inne podmioty w celu poprawy zarządzania ryzykiem i zwiększenia prawdopodobieństwa zrealizowania ustalonych celów i zadań. Audyt wewnętrzny - działalność niezależna, obiektywnie zapewniająca i doradcza, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. System niezależnego monitorowania, weryfikacji i oceny skuteczności procesów zarządzania ryzykiem, kontroli i ładu korporacyjnego.
43 Zadania kontroli wewnętrznej Sprawdzanie poprawność dokumentacji i jej zgodności z procesem zarządzania ryzykiem, Organizacja komórki zarządzania ryzykiem, Badanie zgodności procesów i pomiaru ryzyka, Badanie poprawność modeli wyceny, Informowania kierownictwa o ryzyku, jakości źródeł danych, poprawności przyjętych założeń odnośnie korelacji i zmienności, dokładności stosowanych modeli pomiaru.
44 Zadania audytu wewnętrznego Audyt wewnętrzny powinien zajmować się badaniem i oceną : struktury organizacyjnej, poziomu jakości działania komórek organizacyjnych, ekonomicznej efektywności realizowanych i planowanych przez przedsiębiorstwo kierunków działań, zgodności postępowania pracowników z obowiązującymi przepisami i procedurami przedsiębiorstwa, wszelkich prób zagarnięcia mienia przedsiębiorstwa lub działań na jego szkodę, poziomu zabezpieczenia systemu informatyczno-komputerowego.
45 Zadania audytu w zakresie ryzyka operacyjnego Obok tradycyjnych funkcji, audyt wewnętrzny ma spełniać nowe funkcje : – przegląd całościowych systemów zarządzania ryzykiem: – integracja miar zarządzania ryzykiem z codziennym zarządzaniem ryzykiem, – zatwierdzanie każdej zmiany w procesie zarządzania ryzykiem, – sprawdzanie dokładności i kompletność danych służących do zarządzania ryzykiem, – sprawdzanie spójności, terminowości i rzetelności źródeł danych wykorzystywanych w modelach wewnętrznych oraz dokładności i poprawności danych dotyczących samych modeli.
46 Przykład – typologia ryzyka operacyjnego w przedsiębiorstwie energetycznym Klasa ryzykaŹródło ryzykaTyp zdarzenia operacyjnego PrzykładTechnika zabezpieczenia Częstotliwość i dotkliwość LudzieWewnętrzneDziałania nieuprawnione Niedobór wykwalifikowanego personelu Rogue trading Wysoka rotacja personelu Częściowe ubezpieczenie Niska LudzieZewnętrznePrzestępczośćKradzieżeCzęściowe ubezpieczenie Niska SystemyWewnętrzneRyzyko modeluBłędy modelu / metodologii Audyt wewnętrzny Podnoszenie jakości modeli i personelu Wysoka SystemyZewnętrzneRyzyko technologiczneAwarie systemów telekomunikacyjnych Blackout Plany awaryjne, ubezpieczenie Średnia ProcesyWewnętrzneRyzyko transakcyjneBłędy w wykonaniu operacji Błędy w rozliczeniach transakcji Błędy w dokumentacji Poprawa jakości procesów Niska Straty w aktywachWewnętrzneRyzyko aktywów rzeczowych Nieoczekiwane wyłączenie urządzeń Awarie Częściowe ubezpieczenie Plany awaryjne Wysoka Straty w aktywachZewnętrzneRyzyko aktywów rzeczowych Uszkodzenie lub nieodwracalne zniszczenie aktywów (katastrofa żywiołowa) Ubezpieczenie Średnia
47 Zarządzanie ryzykiem operacyjnym - Eurocash S.A. Celem Grupy jest zarządzanie ryzykiem operacyjnym w taki sposób, aby równoważyć unikanie strat finansowych i uszczerbku reputacji z ogólną efektywnością ponoszonych kosztów, unikając przy tym procedur kontrolnych ograniczających inicjatywę i kreatywność. Podstawowa odpowiedzialność za rozwój i wdrażanie kontroli dotyczących ryzyka operacyjnego jest przypisana Zarządowi Jednostki Dominującej. Wykonywanie obowiązków w tym zakresie jest wspomagane przez rozwój ogólnych standardów zarządzania ryzykiem operacyjnym, które obejmują: wymagania dotyczące odpowiedniego podziału obowiązków, w tym wykonywania niezależnej autoryzacji transakcji wymagania co do uzgadniania i monitorowania transakcji przestrzeganie wymogów prawa i innych regulacji dokumentowanie kontroli i procedur wymogi co do okresowej oceny ryzyk operacyjnych, które wystąpiły, jak też co do oceny odpowiedniości istniejących kontroli i procedur nakierowanych na zidentyfikowane ryzyko wymogi dotyczące raportowania o poniesionych stratach operacyjnych oraz proponowanych środkach zaradczych opracowywanie planów awaryjnych szkolenia i rozwój zawodowy standardy etyczne i biznesowe minimalizowanie ryzyka, w tym poprzez ubezpieczanie, jeśli jest to efektywne
48 Zarządzanie ryzykiem operacyjnym – Alior Bank S.A. Cele modelu zarządzania ryzykiem: – Zapewnienie i utrzymanie zgodności działania banku z wymogami prawnymi, – wspieranie bezpieczeństwa depozytów klientów i kapitału oraz stabilności wyniku finansowego banku; – utrzymywanie ryzyka operacyjnego na akceptowalnym i uzasadnionym biznesowo poziomie, monitorowanie tego poziomu; – usprawnianie procedur i procesów bankowych w celu redukcji ryzyka operacyjnego; – zwiększenie satysfakcji klientów i pozycji konkurencyjnej Banku; – obniżenie wymogów kapitałowych z tytułu ryzyka operacyjnego. Jednostki odpowiedzialne: – Zarząd na poziomie strategicznym, ze wsparciem Komitetu Ryzyka Operacyjnego – Departament Zarządzania Operacjami – w zakresie bieżącego monitorowania ryzyka oraz rozwoju metodyk jego kontroli Pomiar i monitorowanie ryzyka – Ewidencja zdarzeń, incydentów i strat operacyjnych – Metoda Kluczowych Wskaźników Ryzyka Wyróżnione techniki zarządzania ryzykiem – Zarządzanie ciągłością działania – Zaprzestanie działalności, której towarzyszy ekspozycja na ryzyko – Ubezpieczenie zidentyfikowanego ryzyka operacyjnego
49 Literatura uzupełniająca Matkowski Paweł, Zarządzanie ryzykiem operacyjnym, Wolters Kluwer Polska, 2006. Staniec Iwona, Zawiła-Niedźwiecki Janusz red., Zarządzanie ryzykiem operacyjnym, Wydawnictwo C.H. Beck, 2008. Orzeł Jacek, Zarządzanie ryzykiem operacyjnym za pomocą instrumentów pochodnych, Wydawnictwo naukowe PWN, 2012.