MODALITATI DE EVALUARE A RISCULUI OPERATIONAL IN BANCILE COMERCIALE
IDENTIFICAREA SI ASUMAREA RISCULUI OPERATIONAL IN BANCILE COMERCIALE
Pentru a controla si limita riscurile, bancile in primul rand trebuie sa devina constiente de potentialul lor. Identificand sursele de risc permite bancilor sa ia masuri de prevenire si control asupra acestora. In etapa de identificare si asumare , bancile trebuie sa ia in considerare anumiti factori pentru a identifica profilul de risc si al activitatii cum ar fi:
Tipuri de clienti, activitati si produse;
Design-ul, implementare 232e48c a proceselor;
Cultura de risc si apetitul de risc al bancii;
Politica de personal;
Mediul de afaceri in care isi desfasoara activitatea.
Urmatoarele metode s-au dovedit a fi folositoare pentru aceasta etapa:
Inventarul riscurilor;
Baza de date cu pierderile inregistrate;
Analiza proceselor;
Analiza pe baza de scenarii;
Indicatorii de risc
Impreuna cu factorii externi, baza de date cu pierderile inregistrate si analiza pe
baza de scenarii formeaza baza pentru cunatificarea si modelarea riscului operational. Cuantificarea combinata cu managementul calitatii permite imbunatatirea controlului si monitorizarii. Controlul poate fi imbunatatit daca informatiile obtinute vor fi folosite pentru calcularea si alocarea capitalului pe activitatiile bancii.
Inventarul riscurilor
Aceasta metoda folosita pentru identificarea riscurilor ia forma unor
chestionare, workshop-uri sau interviuri pentru a deternmina cauzele principale ale aparitiei riscului, pentru a le inventaria si apoi pentru a le prioritiza. Portofoliul de risc poate fi suprins de exemplu sub forma grafica ca o harta a riscurilor sau o matrice a riscurilor. In functie de scopul definirii, inventarul riscurilor poate avea diferite orientari sau abordari:
Orientarea riscului;
Controlul orientarii;
Procesul orientarii;
Scopul orientarii.
In functie de abordare, inventarul se indreapta asupra unui component si
apoi de acolo celelalte compenente deriva din identificarea componentei principale. Workshop-urile organizate pentru identificarea riscului operationale au ca tinta principala evidentiare foarte clara a acestui tip de risc. Pentru acest pas de inventariere este foarte important sa se cunoasca procesele si sa fie evaluate in mod corect. Aceste workshop-uri se vor repeta ori de cate ori este nevoie, spre exemplu ori de cate ori banca lanseaza pe piata un nou produs.
Chestionarele structurate, care pot fi distribuite pe intranet-ul bancii, ofera
avantajul capturii rapide de informatii necesare, chiar si in cazul in care vorbim de o banca multinationala cu multe unitatii.
Baza de date cu pierderile inregistrate
Aceasta baza de date este folosita pentru captare si clasificarea pierderilor
inregistrate. Colectarea sistematica a acestor date formeaza baza pentru o analiza ulterioara a acestor date si ulterior pentru controlul riscului. Calitatea modelelor de control depinde foarte mult de calitatea si consistenta datelor captate in aceasta baza de date.
Studiile referitoare la impactul cantitativ efectuate in procesul care a dus la Basel II, ne-au aratat ca pierderiile sunt concentrate in jurul unor combinatii de evenimente si linii de activitati bancare. Baza de date pentru captarea acestor evenimente se poate prezenta ca o simpla lista in care se enumera tipurile de pierderi, suma inregistrtata, departamentul in care au avut loc aceste pierderi, data inregistrarii, data rezolvarii etc. Dar aceasta modalitate de lista isi arata limitele atunci cind este vorba de o organizatie mai mare, cand trebuie captate date de la diverse entitati . Ca urmare aceste banci mari folosesc baze de date pentru captarea evenimentelor de aceasta natura asignate pe departamente, urmand ca acestea sa fie apoi colectate la nivel de centrala. Datele inregistrate in aceasta baza pot fi cele pe care banca le considera necesare pentru a-si analiza activitatea sau sunt date care urmeaza un anumit standard propus de institutiile de control. Este foarte important sa nu existe inregistrari duplicat, sa existe proceduri bine definite de captare a acestor date.
Analiza proceselor
Identificarea proceselor in intreaga organizatie este foarte importanta pentru a
aloca pierderile pe procese si a determina riscul la nivel de proces. Este recomandat sa se identifice pentru inceput procesele care sunt expuse la maxim riscului operational si apoi sa se execute o prioritizare a lor. Analiza proceselor este o procedura care necesita mult efort si multa munca, este nevoie ca aceste procese sa fie revizuite la intervale scurte de timp deoarece bancile lanseaza produse si servicii intr-un ritm ametitor. Analiza proceselor este o metoda indispensabila pentru managementul riscului operational pentru ca procesele de business reprezinta sursa principala a numeroaselor pierderi operationale.
Analiza pe baza de scenarii
Acest pas este obligatoriu pentru abordarea avansata, si are ca scop identificarea
posibilelor riscuri cu impact foarte mare dar care pana in momentul de fata nu au aparut in banca. Fata de baza de date pentru captarea evenimentelor trecute, aceasta metoda pune accentul pe riscurile operationale viitoare. Exista o stransa legatura intre analiza pe baza de scenarii si stress test-urile pentru ca pe baza datelor obtinute din aceaste scenarii se poate trece la aceste teste.
Aceste scenarii pot fi definite, de exemplu, in intreaga organizatie cu factori de risc care vor fi relevanti pentru fiecare divizie, departament in parte. Obiectivele analizei pe baza de scenarii are aspecte cantitative si calitative:
Aspecte cantitative:
o Datele folosite pentru calcularea riscului de capital;
o Baza pentru folosirea stress testelor
Aspecte calitative:
o Identificarea slabiciunilor bancii;
o Idei pentru optimizarea proceselor;
o Identificarea riscurilor in faze primare
Analizele pe baza de scenarii folosesc abordarile „top-down” sau „bottom-up”. In
abordarea „top-down”, managerii identifica posibilele evenimente de pierderi operationale din activitatiile de zi de zi ale bancii. Abordarea „bottom-up” poate incepe cu o analiza detaliata a proceselor, asumarea riscului si asignarea probabilitatii si severitatea pierderii pentru posibile evenimente. Marile banci folosesc abordarea „top-down”.
Un exemplu de scenariu, este cel de mai jos, Figura.5, „scenario funnel” (scenariul palnie), care ne arata intinderea scenariilor si spectrul de situatii de conceput in viitor care se intind sub influenta incidentelor si a interventiei asupra lor de-a lungul timpului.
Fig.5 Posibila turnura pe care o poate lua un incident ca urmare a interventiei asupra lui - autorul
Indicatorii de risc (Key risk indicators)
Acesti indicatori trimit informatii referitoare la riscul unei viitoare potentiale
pierderi, identifica ariile cu riscuri relevante si masurile indicate pentru controlul riscului. Acesti indicatori pot fi folositi pentru a intervenii pe diferite linii de activitate in functie de trend, si pot fi folositi de exemplu pe diferite culori in care sa arate starea la un anumit moment referitoare la un anumit eveniment. Exemple de indicatori de risc:
Rata de fluctuatie a personalului;
Orele suplimentare;
Numarul si durata caderilor de sistem;
Frecventa reclamatiilor;
Numarul de conturi introduse gresit in aplicatie
In plus fata de acesti indicatori de risc, mai sunt mentionati si urmatorii indicatori:
Indicatori de control (Key Control Indicators)
Indicatori de performanta (Key Performance Indicators)
Indicatori de management (Key Management Indicators)
MASURAREA SI CONTROLUL RISCULUI OPERATIONAL IN BANCILE COMERCIALE
In acest capitol voi incerca o analiza a riscurilor operationale provenite din infrastructura, informatica, procese, angajati si evenimente externe cat si masurile generale si cele specfice pentru fiecare categorie in parte.
Riscurile provenite din infrastructura
Cum riscurile provenite din infrastructura sunt foarte variate si depind de specificul fiecarei banci in parte in continuare voi prezenta cele mai importante dintre ele si care sunt comune majoritatii institutiilor bancare.
Riscurile provenit din accesul neautorizat este unul dintre cele mai
raspandite si ne referim aici la accesul atat in cladire cat si in incercarea de a obtine acces la datele din aplicatiile bancii.
Caderea energiei in cladirea bancii duce la lipsa de comunicatie a
echipamentelor si are un impact negativ major asupra derularii activitatii bancii mai ales in cazurile in care aceasta persista;
Probleme legate de serviciile de telecomunicatie. Aceasta problema a
afecteaza in primul rand acele departamente care folosesc aceste servicii pentru derularea activitatii zilnice, de exemplu departamentele de Dealing, Trezorerie;
Din informatiile prezentate mai sus putem spune ca analiza riscurilor si a amenintarilor est punctul de inceput pentru toate masurile de control asupra riscurilor aparute. Un set de masuri pentru aceste riscuri legate de infrastructura trebuie sa raspunda la urmatorul set de intrebari:
Cum sunt responsabilitatiile atribuite in banca? Daca, competentele sunt
dispersate, masurile de control trebuie sa cuprinda toate ariile, iar timpul de procesare creste foarte mult;
Exista proceduri clare pentru mentinerea si innoirea infrastructurii? Acest
lucru este deosebit de important pentru infrastructura de securitate pentru a se asigura pe de-o parte ca ce exista nu reprezinta un risc, iar riscurile noi pot fi prinse din timp;
Exista resurse si acces la informatie disponibil? Pe langa livrarea
materialelor necesare desfasurarii activitatii, banca trebuie sa se asigure ca personalul cheie are acces la training adecvat pentru probleme care pot aparea in urma unor evenimente neplacute (incediu, cutremur etc);
Datorita dependentei numeroaselor procese IT care trebuie sa sustina activitatea bancara in continuare voi prezenta un set de masuri necesar pentru a raspunde cu succes problemelor aparute:
Masurile pentru continuare a activitatii (Business Continuity Plan) se
asigura ca in momentul in care sistemul IT devine nefunctional banca poate fi trecuta pe un sistem de rezerva sau pe unul temporar. In acest scop au fost recomandate cateva variante posibile[2]:
o Sistemele de backup sunt folosite doar cand este necesar: este cea mai simpla dar si cea mai inceata varianta;
o Serverele lucreaza impreuna (cluster group) astfel incat in momentul in care unul dintre ele devine inoperabil celelalte preiau activitatea.
Recuperare in caz de dezastru (Disaster recovery) se refera la faptul de a
mentine operatiunile critice pentru banca sa poata fi procesate in cazul in care are loc un dezastru natural. In functie de volumul si complexitatea activitatii de business a bancii si a sistemelor IT folosite, cateva solutii sunt posibile cum ar fi:
o Contracte cu un furnizor extern pentru livrarea de echipamente
in cazul unui eveniment este cea mai simpla solutie, dar trebuie sa se asigure de faptul ca procedura de transfer de date este foarte bine pusa la punct si poate fi transferata fara riscuri pe un sistem de backup. Mai mult de atat aceasta procedura este consumatoare de timp in cazuri de urgenta si trebuie luat in calcul acest inconvenient in momentul in care se alege aceasta metoda. Aceasta solutie este considerata sursa de risc provenit din outsourcing.
o Folosirea mediului de test al bancii ca si solutie de backup este
o alternativa in cazul in care aceste medii au capacitatea necesara, aceste medii de test oricum funtioneaza pe servere separate. Este o metoda foarte rar folosita, deoarece la fiecare sfarsit de zi banca este nevoita sa-si salveze datele de pe fiecare sistem;
o Stabilirea unui centru de backup al bancii – este solutia cea mai
scumpa dar si cea mai folosita si cea mai sigura. Pe langa faptul ca este un centru de bakup folosit in situatii de criza, acesta este un centru in care se poate lucra in paralel astfel incat in momentul in care unul din ele devine indisponibil activtatea se poate continua in celalalt centru.
Sursa neintrerupta de furnizare a energiei (Uninterruptible power supply
UPS) este deasemenea folosita in cazul in care alimentare cu energie cade. Acestea trebuie sa fie folosite inclusiv la computerele utilizatorilor ( daca nu este posibil la absolut toti utilizatorii trebuie sa fie la un numar cat mai mare din diferite compartimente ale bancii);
Salvarea periodica a datelor este de o importanta majora deoarece o parte
foarte mare din activitatea bancara se bazeaza pe aceste date datorita cresterii rapide a tehnologiei. De aceea trebuie luate masuri de siguranta pentru a evita pierderea datelor prin planificarea acestor salvari.
Riscurile provenite din infrastructura pot fi controlate prin asigurarea echipamentelor, dar exista si asigurari cu specific cum ar fi asigurarea in caz de intrerupere a activitatii. In acest caz trebuie prezentate pierderile inregistrate pentru a primi despagubirea.
Riscurile informatice
Activitatea informatica are un rol din ce in ce mai mare asupra activitatii bancii, ajuta la procesarea tranzactiilor, dar este si o importanta sursa de risc operational. Diferenta majora intre riscurile prezentate anterior si cele informatice este ca aici ne referim la ceva intangibil, cum ar fi software-ul, iar riscurile sunt urmatoarele:
Calitatea inadecvata a soft-ului folosit. Acest caz nu se refera doar la soft-
urile personalizate pentru anumite banci ci si la cele care sunt implementate standard dar datorita unor probleme duc la pierderi mari. Cele mai serioase probleme nu sunt doar cele care duc la pierderea datelor din sistem ci cele care duc la caderea completa a aplicatiei si cauzeaza pierderi mari pana cand sistemul va fi functional din nou.
Securitatea IT se manifesta prin accesul neautorizat la sistemul bancii de
catre terti, de catre personalul bancii sau virusii informatici ca urmare a a utilizarii resurselor informatice a bancii in scopuri personale.
Fig.6 Aspecte ale riscului informatic – prelucrare autor
Toate riscurile pot sa creasca dramatic in importanta datorita deficientelor in politica de securitate a bancii respective. De exemplu administrarea neglijenta a parolelor sau a drepturilor duce la apartia unor probleme serioase. Situatia riscurilor din domeniul IT devine si mai serioasa cand managementul bancii externalizeaza acest serviciu, iar aceste riscuri sunt specifice domeniului IT:
riscul provenit din partea provider-ului de solutii informatice poate lua
proportii majore datorita dependentei IT de numeroase procese care au fos externalizate. Daca provider-ul extern nu-si mai poate desfasura activitatea duce la inoperabilitatea sistemului si incapacitatea bancii de a-si mai desfasura activitatea;
riscul juridic provine din neclaritatile contractuale cu partea externa in
care nu sunt specificate foarte clar indatoririle pe care trebuie sa le aiba fiecare parte, mai ales care sunt timpii minimi de raspuns cand este vorba de inoperabilitatea sistemului, procentajul de disponibilitate a aplicatiei pe timpul de lucru a bancii, mentenanta si suportul oferit;
odata cu aplicatia livrata banca trebuie sa se asigure de tot suportul
furnizorului extern pentru a beneficia de training privind folosirea aplicatiei. De obicei in contractele cu furnizorii de soft se mentioneza deschiderea unei cutii de valorii in care se tin codurile sursa ale aplicatiei furnizate iar in cazul in care firma frunizoare dispare de pe piata toate drepturile de folosire aplicatiei revin cumparatorului;
3 Procesele de business
Cand se studiaza riscul rezultat din procesele de business, primul pas este sa facem o distinctie intre cazurile in care riscul nu se datoreaza dezvoltarii proceselor respective ci a persoanelor care folosesc aceste procese. Astfel exista procese cu greseli la nivel de design incumba un grad ridicat de risc operational. Aceste cazuri se regasesc in acele domenii in care aceste procese au fost construite fara o procedura definita in prealabil.Aceasta problema poate imbraca diverse forme:
procese fara o definire clara, de exemplu a fost pierdut foarte mult timp la documentatia lui;
procese care au nu au mai fost revizuite si exista diferente majore intre ele si ce se lucreaza in practica;
cazuri extreme in care documentatia pentru procese lipseste cu desavarsire.
In toate aceste cazuri, exista un risc de crestere a frecventei erorilor, in special cand noi angajati sunt asignati pe aceste procese si nu exista o documentatie adecvata iar acest lucru face ca acest proces sa devina unul dificil. Cele mai bune metode de control a acestor riscuri ar putea fi urmatoarele:
control paralel – dupa fiecare faza testata dintr-un proces trebuie
verificat rezultatul;
control aleatoriu – control al rezultatului la diferite momente ale
derularii procesului;
consistenta datelor – verificarea consistentei datelor in urma derularii
unui anumit proces.
4 Riscul de personal
Riscul acesta include toate domeniile de activitate ale bancii in care factorul uman isi pune amprenta, si reprezinta sursa principala de risc. Actiunile persoanelor care nu sunt angajate in banca respectiva sunt considerate influente externe, iar ele vor fi considerate surse de risc operational extern (vezi subcap.5). Numai acele actiuni in urma carora se detecteaza o greseala sau o actiune deliberata a unei persoane angajate care duce la aparitia unui eveniment produs de o persoana externa vor fi luate in calcul in acest subcapitol.
Fig.7 Aspecte legate de riscul de personal –prelucrare autor
Riscurile principale din aceasta categorie dupa cum se disting din Fig.7 sunt:
riscurile datorate actelor criminale ale angajatiilor, acte comise cu
intentia pentru un castig personal si/sau sa cauzeze erori. Cele mai importante acte criminale sunt: deturnare de fonduri, frauda, coruptie, manipularea sistemelor IT, furt de date;
erorile se datoreaza lipsei de training, necunosterii aplicatiei sau pur si
simpla din rea vointa;
riscul cauzat din insuficienta resurselor umane se datoreaza faptului
supraincarcarii personalului existent si se mai poate datora dezvoltarii activitatii fara a mai aduce personal sau a reducerii costurilor;
riscul de management chiar daca este la fel ca si cel pentru orice
angajat este tratat separat deoarece impactul pe care il are este mult mai mare.
O metoda de control foarte folosita este aceea a culturii organizationale, ceea ce inseamna o metoda constructiva de a corecta erorile aparute. O cultura organizationala poate reduce riscul de fraude deliberate doar daca principiile de etica in afaceri nu sunt doar scris ci si puse in practica. Alte componente mai sunt metodele de control care au ca scop detectarea timpurie a erorilor si includ:
stabilirea unor pasi de control si aprobare in procesele de business;
documentatie pentru diferite actiuni sau tranzactii pentru a putea fi
vizualizate pe viitor (de exemplu log-uri in care sa se inregistreze modificari diferite din sistem);
metode legate de cultura orgnizationala, segregarea functiilor pentru a
preveni cazurile in care o persoana se supervizeaza pe ea insasi.
5 Evenimente externe
Aceste riscuri se refera la pagube cauzate de elementele naturii sau elemente de vandalism. Aceste riscuri chiar daca au o probabilitate minora de a aparea sun totusi luate in calcul. Ca metode de control si contracarare a acestor tipuri de riscuri avem:
cunoasterea clientelei;
solutii IT de control;
servicii de securitate.
Fig.8 Formele riscului juridic – prelucrare autor
Din toate riscurile enumerate mai sus la sfarsit deriva riscul juridic (Fig.8) o
forma de risc care nu este bine definita de Comitetul de la Basel ci doar enumerata si prezentata ca un efect al riscului operational.
Acest risc provine din urmatoarele:
contracte incomplete si clauze neclare;
neindeplinirea obiectivelor contractuale de catre furnizorul extern;
In concluzie pentru un control eficient si o acoperire cat mai buna in fata riscului
operational bancile trebuie sa-si defineasca procesele, contractele in mod cat mai eficient sa nu existe lacune in documentatii, o politica de personal cat mai eficienta, iar in ceea ce priveste departamentul de informatica sa investeasca si sa-si mentina infrastructura si aplicatiile la un nivel cat mai ridicat.
|
