System Informatyczny Zarządzania Ryzykiem Operacyjnym SIZaRO System Informatyczny Zarządzania Ryzykiem Operacyjnym Łódź, sierpień 2006
Ryzyko operacyjne Ryzyko operacyjne jest to ryzyko straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych
Klasyfikacja zdarzenia START Czy w wyniku zdarzenia Operacyjnego odnotowujemy zysk? Tak Zysk operacyjny Nie Czy zdarzenie operacyjne powoduje bezpośredni skutek Finansowy (trzeba zaksięgować stratę lub pomniejszyć kapitały)? Zdarzenia operacyjne bez starty Nie Tak Czy strata operacyjna jest stratą z pogranicza ryzyka Kredytowego? Tak Strata operacyjna wchodząca w koszt ryzyka kredytowego Nie STRATA OPERACYJNA Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Kraków 2006
Schemat systemu zarządzania ryzykiem operacyjnym STRUKTURA ORGANIZACYJNA RADA NADZORCZA Decyzje Raporty ZARZĄD Decyzje Raporty Komitet ds. ryzyka operacyjnego Decyzje Raporty Menedżer ds. ryzyka operacyjnego Korespondenci (historia strat) Osoby raportujące KRI (bieżący monitoring) Eksperci (ocena scenariuszy) METODY IDENTYFIKACJI, POMIARU I MONITOROWANIA RYZYKA Modele ilościowe straty wewnętrzne straty zewnętrzne Kluczowe wskaźniki ryzyka wskaźniki ryzyka portfel procesów - zmiany w strukturze organizacyjnej Metody jakościowe analiza scenariuszy mapy ryzyka Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Oficyna Ekonomiczna, Kraków 2006
Cel produktu Wypracowanie mechanizmu zarządzania ryzykiem operacyjnym w banku Dostarczenie odpowiednim organom informacji do identyfikacji, oceny profilu ryzyka, oceny skuteczności funkcjonowania wdrożonego systemu zarządzania Obliczenie wymogu kapitałowego z tytułu ryzyka Budowa i monitorowanie „map ryzyka” w oparciu o procesy zachodzące w banku
Funkcjonalność Identyfikacja ryzyka (strat) „Banki powinny gromadzić dane o stratach powstających wewnątrz banku oraz w miarę możliwości o stratach zewnętrznych.” * * Rekomendacja M Komisji Nadzoru Bankowego
Wybór kategorii ryzyka START Czy zdarzenie powodujące powstanie starty lub ograniczenie przychodów było następstwem decyzji strategicznej lub biznesowej? Tak Zdarzenie nie jest operacyjne Nie podlega raportowaniu Nie Czy mieliśmy do czynienia z działaniem lub zaniechaniem zamierzonym, które było niezgodne z prawem pracy lub przepisami BHP? Czy co najmniej jedna osoba firmy była zaangażowana w oszustwo Czy intencja defraudacji, ominięcia przepisów, złamania prawa lub procedur wewnętrznych została wykazana lub się ją zakłada? OSZUSTWO WEWNĘTRZNE Tak Tak Nie Nie Tak Nie Czy mieliśmy do czynienia z działaniem lub zaniechaniem niezamierzonym, które było niezgodne z prawem pracy lub przepisami BHP? Tak PRAKTYKA KADROWA I BEZPIECZEŃSTWO PRACY OSZUSTWO ZEWNĘTRZNE Nie
Wybór kategorii ryzyka cd. Czy mieliśmy do czynienia ze szkodami w zakresie aktywów rzeczowych lub nieruchomości? Tak Uszkodzenia aktywów Nie Czy doszło do awari technologi, teleinformatyki (hardware, software) przerwy lub zakłócenia w dostawie mediów? Tak Zakłócenie działalności i Błędy systemów Nie Czy miał miejsce nieświadomy błąd lub zaniedbanie w zakresie zobowiązań względem klienta, co spowodowało jego szkodę, lub też klient poniósł stratę spowodowana błędem w produkcie? Dokonywanie transakcji, dostawa oraz zarządzanie procesami Nie Tak Czy klient ucierpiał w wyniku błędu w dokumentacji, zarządzaniu rachunkiem lub realizacją transakcji? Tak Nie Klienci, produkty i działalność biznesowa Źródło: Basel Commite on Banking Supervision, QIS 2 – Operational Risk Loss Data, Bank for International Settlements, Basel 2001, s.17-18
Rejestracja zdarzenia
System Powiadamiania
Analiza i raportowanie „Efektywny sposób zbierania informacji o zdarzeniach generujących ryzyko powinien opierać się na systematycznym wyszukiwaniu i zbieraniu danych o przyczynach strat oraz informacji na temat ich wielkości, częstotliwości, dotkliwości etc.” * * Rekomendacja M Komisji Nadzoru Bankowego
Analiza i raportowanie zdarzeń z systemem SIZaRO
Analiza i raportowanie zdarzeń z systemem SIZaRO
Raportowanie „Banki powinny opracować system sprawozdawczości wewnętrznej w zakresie ryzyka operacyjnego umożliwiający ocenę ich narażenia na ryzyko operacyjne oraz skuteczne zarządzanie tym ryzykiem” * * Rekomendacja M Komisji Nadzoru Bankowego
Analiza i raportowanie zdarzeń z systemem SIZaRO
Analiza pojedynczego zdarzenia z poziomu Rejestr Zdarzeń
Analiza zdarzenia z poziomu Analizy Zdarzeń
Analiza zdarzenia z poziomu Analizy Zdarzeń
Historia edycji zdarzenia
Konfigurowanie przeglądów
Konfigurowanie przeglądów
Konfigurowanie przeglądów
Proste metody wyliczania wymogów kapitałowych Metoda wskaźnika bazowego (Basic Indicator Approach –BIA) Metoda standardowa (Standarised Approach – TSA)
Metoda wskaźnika bazowego
Metoda wskaźnika bazowego - prognoza
Metoda standardowa – kryteria kwalifikujące a) „Instytucje kredytowe posiadają dobrze udokumentowany system oceny ryzyka operacyjnego oraz zarządzania nim wraz z jasno określonym zakresem odpowiedzialności przypisanym temu systemowi. Określają one swój stopień narażenia na ryzyko operacyjne i prowadzą rejestr istotnych danych na temat ryzyka operacyjnego, w tym danych na temat istotnych strat. System ten podlega regularnemu, niezależnemu przeglądowi.” * * Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006
Kryteria kwalifikujące b) „System oceny ryzyka operacyjnego musi być ściśle związany z procesem zarządzania ryzykiem danej instytucji kredytowej. Wynik tej oceny musi stanowić integralną część procesu monitorowania i kontroli profilu ryzyka operacyjnego instytucji kredytowej.” * c) „Instytucje kredytowe wdrażają system sprawozdawczości zarządczej, w ramach którego sporządzane są sprawozdania na temat ryzyka operacyjnego na użytek odpowiednich komórek instytucji kredytowej. Instytucje kredytowe posiadają procedury podejmowania właściwych działań zgodnie z informacjami zawartymi w sprawozdaniach zarządczych.” * * Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006
Metoda standardowa - prognoza Uwaga! Ze względu na szerokość zestawienia prezentowany jest tylko jego fragment (pięć pierwszych linii biznesowych)
Metoda standardowa - pomiar
Identyfikacja i ocena ryzyka „Bank powinien posiadać udokumentowany proces: ocena wrażliwości banku na zidentyfikowane zagrożenia, badania ich możliwego wpływu na wynik z działalności oraz określenie możliwych zabezpieczeń.” * „Bank powinien identyfikować ryzyko właściwie dla wszystkich produktów, procesów, działań i systemów występujących w banku.” * * Rekomendacja M Komisji Nadzoru Bankowego
Definicja wskaźnika KRI (Key Risk Indicator)
Przykładowe wskaźniki KRI Wskaźniki niezależne Wskaźniki zależne LUDZIE Liczba pracowników Przeciętny staż pracy Liczba godzin poświeconych na szkolenia Liczba godzin nadliczbowych Liczba pracowników mających godziny nadliczbowe PROCESY Liczba nowych rachunków Liczba nowych klientów Liczba klientów Liczba rachunków Wartość aktywów oddanych do zarządzania Liczba oszukańczych transakcji Liczba niepoprawnie zrealizowanych transakcji (błędy przy wprowadzaniu danych) Liczba rachunków w wypadku których stwierdzono braki w dokumentacji Liczba zrealizowanych transakcji, w wypadku których stwierdzono braki w dokumentacji Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
Przykładowe wskaźniki KRI Wskaźniki niezależne Wskaźniki zależne SYSTEMY Wolumen transakcji Przeciętna wielkość transakcji Liczba terminali Czas niedostępności serwera Liczba złożonych zamówień na niestandardowe oprogramowanie Stopień wykorzystania wydajności serwera CZYNNIKI ZEWNĘTRZNE Liczba oszukańczych transakcji (zewnętrznych) Liczba nieautoryzowanych prób dostępu do systemu Liczba prób włamań do sytemu Liczba zrealizowanych nieautoryzowanych dostępów Liczba włamań do systemów Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
Generator Raportów Wykorzystując Generator Raportów użytkownik ma dostęp do wszystkich tabel i widoków bazy danych. Na tej podstawie konstruuje zestawy danych niezbędne do budowy wskaźników KRI oraz tworzenia raportów.
Generator Raportów
Sprawozdawczość obowiązkowa
Identyfikacja ryzyka System SIZaRO umożliwia budowę mapy ryzyka poprzez zdefiniowanie procesów zachodzących w banku i przyporządkowanie im poszczególnych kategorii ryzyka operacyjnego. „Mapa ryzyka umożliwia ujawnienie słabych punktów oraz nadanie priorytetu dalszym działaniom zarządczym.” * * Rekomendacja M Komisji Nadzoru Bankowego
Monitorowanie „Procesowi monitorowania powinien być poddany przebieg wszystkich ważnych procesów składających się na działalność bankową.” * „Monitorowanie powinno obejmować kluczowe źródła strat z tytułu ryzyka operacyjnego ( sygnały i parametry ostrzegawcze).” * „Monitorowanie ryzyka operacyjnego powinno być integralna częścią działalności bankowej.” * * Rekomendacja M Komisji Nadzoru Bankowego
Monitorowanie ryzyka operacyjnego w banku z wykorzystaniem analizy procesowej
Definicja procesu
Przykład analizy procesów
Graf procesu
Zarządzanie użytkownikami w systemie SIZaRO
Dziękujemy