1 System Informatyczny Zarządzania Ryzykiem OperacyjnymSIZaRO System Informatyczny Zarządzania Ryzykiem Operacyjnym Łódź, sierpień 2006
2 Ryzyko operacyjne Ryzyko operacyjne jest to ryzyko straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych
3 Klasyfikacja zdarzeniaSTART Czy w wyniku zdarzenia Operacyjnego odnotowujemy zysk? Tak Zysk operacyjny Nie Czy zdarzenie operacyjne powoduje bezpośredni skutek Finansowy (trzeba zaksięgować stratę lub pomniejszyć kapitały)? Zdarzenia operacyjne bez starty Nie Tak Czy strata operacyjna jest stratą z pogranicza ryzyka Kredytowego? Tak Strata operacyjna wchodząca w koszt ryzyka kredytowego Nie STRATA OPERACYJNA Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Kraków 2006
4 Schemat systemu zarządzania ryzykiem operacyjnymSTRUKTURA ORGANIZACYJNA RADA NADZORCZA Decyzje Raporty ZARZĄD Decyzje Raporty Komitet ds. ryzyka operacyjnego Decyzje Raporty Menedżer ds. ryzyka operacyjnego Korespondenci (historia strat) Osoby raportujące KRI (bieżący monitoring) Eksperci (ocena scenariuszy) METODY IDENTYFIKACJI, POMIARU I MONITOROWANIA RYZYKA Modele ilościowe straty wewnętrzne straty zewnętrzne Kluczowe wskaźniki ryzyka wskaźniki ryzyka portfel procesów - zmiany w strukturze organizacyjnej Metody jakościowe analiza scenariuszy mapy ryzyka Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Oficyna Ekonomiczna, Kraków 2006
5 Cel produktu Wypracowanie mechanizmu zarządzania ryzykiem operacyjnym w banku Dostarczenie odpowiednim organom informacji do identyfikacji, oceny profilu ryzyka, oceny skuteczności funkcjonowania wdrożonego systemu zarządzania Obliczenie wymogu kapitałowego z tytułu ryzyka Budowa i monitorowanie „map ryzyka” w oparciu o procesy zachodzące w banku
6 Funkcjonalność Identyfikacja ryzyka (strat) „Banki powinny gromadzić dane o stratach powstających wewnątrz banku oraz w miarę możliwości o stratach zewnętrznych.” * * Rekomendacja M Komisji Nadzoru Bankowego
7 Wybór kategorii ryzykaSTART Czy zdarzenie powodujące powstanie starty lub ograniczenie przychodów było następstwem decyzji strategicznej lub biznesowej? Tak Zdarzenie nie jest operacyjne Nie podlega raportowaniu Nie Czy mieliśmy do czynienia z działaniem lub zaniechaniem zamierzonym, które było niezgodne z prawem pracy lub przepisami BHP? Czy co najmniej jedna osoba firmy była zaangażowana w oszustwo Czy intencja defraudacji, ominięcia przepisów, złamania prawa lub procedur wewnętrznych została wykazana lub się ją zakłada? OSZUSTWO WEWNĘTRZNE Tak Tak Nie Nie Tak Nie Czy mieliśmy do czynienia z działaniem lub zaniechaniem niezamierzonym, które było niezgodne z prawem pracy lub przepisami BHP? Tak PRAKTYKA KADROWA I BEZPIECZEŃSTWO PRACY OSZUSTWO ZEWNĘTRZNE Nie
8 Wybór kategorii ryzyka cd.Czy mieliśmy do czynienia ze szkodami w zakresie aktywów rzeczowych lub nieruchomości? Tak Uszkodzenia aktywów Nie Czy doszło do awari technologi, teleinformatyki (hardware, software) przerwy lub zakłócenia w dostawie mediów? Tak Zakłócenie działalności i Błędy systemów Nie Czy miał miejsce nieświadomy błąd lub zaniedbanie w zakresie zobowiązań względem klienta, co spowodowało jego szkodę, lub też klient poniósł stratę spowodowana błędem w produkcie? Dokonywanie transakcji, dostawa oraz zarządzanie procesami Nie Tak Czy klient ucierpiał w wyniku błędu w dokumentacji, zarządzaniu rachunkiem lub realizacją transakcji? Tak Nie Klienci, produkty i działalność biznesowa Źródło: Basel Commite on Banking Supervision, QIS 2 – Operational Risk Loss Data, Bank for International Settlements, Basel 2001, s.17-18
9 Rejestracja zdarzenia
10 System Powiadamiania
11
12
13
14 Analiza i raportowanie„Efektywny sposób zbierania informacji o zdarzeniach generujących ryzyko powinien opierać się na systematycznym wyszukiwaniu i zbieraniu danych o przyczynach strat oraz informacji na temat ich wielkości, częstotliwości, dotkliwości etc.” * * Rekomendacja M Komisji Nadzoru Bankowego
15 Analiza i raportowanie zdarzeń z systemem SIZaRO
16 Analiza i raportowanie zdarzeń z systemem SIZaRO
17 Raportowanie „Banki powinny opracować system sprawozdawczości wewnętrznej w zakresie ryzyka operacyjnego umożliwiający ocenę ich narażenia na ryzyko operacyjne oraz skuteczne zarządzanie tym ryzykiem” * * Rekomendacja M Komisji Nadzoru Bankowego
18 Analiza i raportowanie zdarzeń z systemem SIZaRO
19 Analiza pojedynczego zdarzenia z poziomu Rejestr Zdarzeń
20 Analiza zdarzenia z poziomu Analizy Zdarzeń
21 Analiza zdarzenia z poziomu Analizy Zdarzeń
22 Historia edycji zdarzenia
23 Konfigurowanie przeglądów
24 Konfigurowanie przeglądów
25 Konfigurowanie przeglądów
26 Proste metody wyliczania wymogów kapitałowychMetoda wskaźnika bazowego (Basic Indicator Approach –BIA) Metoda standardowa (Standarised Approach – TSA)
27 Metoda wskaźnika bazowego
28 Metoda wskaźnika bazowego - prognoza
29 Metoda standardowa – kryteria kwalifikującea) „Instytucje kredytowe posiadają dobrze udokumentowany system oceny ryzyka operacyjnego oraz zarządzania nim wraz z jasno określonym zakresem odpowiedzialności przypisanym temu systemowi. Określają one swój stopień narażenia na ryzyko operacyjne i prowadzą rejestr istotnych danych na temat ryzyka operacyjnego, w tym danych na temat istotnych strat. System ten podlega regularnemu, niezależnemu przeglądowi.” * * Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006
30 Kryteria kwalifikująceb) „System oceny ryzyka operacyjnego musi być ściśle związany z procesem zarządzania ryzykiem danej instytucji kredytowej. Wynik tej oceny musi stanowić integralną część procesu monitorowania i kontroli profilu ryzyka operacyjnego instytucji kredytowej.” * c) „Instytucje kredytowe wdrażają system sprawozdawczości zarządczej, w ramach którego sporządzane są sprawozdania na temat ryzyka operacyjnego na użytek odpowiednich komórek instytucji kredytowej. Instytucje kredytowe posiadają procedury podejmowania właściwych działań zgodnie z informacjami zawartymi w sprawozdaniach zarządczych.” * * Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006
31 Metoda standardowa - prognozaUwaga! Ze względu na szerokość zestawienia prezentowany jest tylko jego fragment (pięć pierwszych linii biznesowych)
32 Metoda standardowa - pomiar
33 Identyfikacja i ocena ryzyka„Bank powinien posiadać udokumentowany proces: ocena wrażliwości banku na zidentyfikowane zagrożenia, badania ich możliwego wpływu na wynik z działalności oraz określenie możliwych zabezpieczeń.” * „Bank powinien identyfikować ryzyko właściwie dla wszystkich produktów, procesów, działań i systemów występujących w banku.” * * Rekomendacja M Komisji Nadzoru Bankowego
34 Definicja wskaźnika KRI (Key Risk Indicator)
35 Przykładowe wskaźniki KRIWskaźniki niezależne Wskaźniki zależne LUDZIE Liczba pracowników Przeciętny staż pracy Liczba godzin poświeconych na szkolenia Liczba godzin nadliczbowych Liczba pracowników mających godziny nadliczbowe PROCESY Liczba nowych rachunków Liczba nowych klientów Liczba klientów Liczba rachunków Wartość aktywów oddanych do zarządzania Liczba oszukańczych transakcji Liczba niepoprawnie zrealizowanych transakcji (błędy przy wprowadzaniu danych) Liczba rachunków w wypadku których stwierdzono braki w dokumentacji Liczba zrealizowanych transakcji, w wypadku których stwierdzono braki w dokumentacji Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
36 Przykładowe wskaźniki KRIWskaźniki niezależne Wskaźniki zależne SYSTEMY Wolumen transakcji Przeciętna wielkość transakcji Liczba terminali Czas niedostępności serwera Liczba złożonych zamówień na niestandardowe oprogramowanie Stopień wykorzystania wydajności serwera CZYNNIKI ZEWNĘTRZNE Liczba oszukańczych transakcji (zewnętrznych) Liczba nieautoryzowanych prób dostępu do systemu Liczba prób włamań do sytemu Liczba zrealizowanych nieautoryzowanych dostępów Liczba włamań do systemów Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
37 Generator Raportów Wykorzystując Generator Raportów użytkownik ma dostęp do wszystkich tabel i widoków bazy danych. Na tej podstawie konstruuje zestawy danych niezbędne do budowy wskaźników KRI oraz tworzenia raportów.
38 Generator Raportów
39
40 Sprawozdawczość obowiązkowa
41 Identyfikacja ryzyka System SIZaRO umożliwia budowę mapy ryzyka poprzez zdefiniowanie procesów zachodzących w banku i przyporządkowanie im poszczególnych kategorii ryzyka operacyjnego. „Mapa ryzyka umożliwia ujawnienie słabych punktów oraz nadanie priorytetu dalszym działaniom zarządczym.” * * Rekomendacja M Komisji Nadzoru Bankowego
42 Monitorowanie „Procesowi monitorowania powinien być poddany przebieg wszystkich ważnych procesów składających się na działalność bankową.” * „Monitorowanie powinno obejmować kluczowe źródła strat z tytułu ryzyka operacyjnego ( sygnały i parametry ostrzegawcze).” * „Monitorowanie ryzyka operacyjnego powinno być integralna częścią działalności bankowej.” * * Rekomendacja M Komisji Nadzoru Bankowego
43 Monitorowanie ryzyka operacyjnego w banku z wykorzystaniem analizy procesowej
44 Definicja procesu
45 Przykład analizy procesów
46 Graf procesu
47
48 Zarządzanie użytkownikami w systemie SIZaRO
49
50
51 Dziękujemy