Schemat systemu zarządzania ryzykiem operacyjnym
Download
Report
Transcript Schemat systemu zarządzania ryzykiem operacyjnym
SIZaRO
System Informatyczny Zarządzania
Ryzykiem Operacyjnym
Łódź, sierpień 2006
Ryzyko operacyjne
Ryzyko operacyjne jest to ryzyko straty
wynikającej z niedostosowania
lub zawodności wewnętrznych procesów,
ludzi i systemów technicznych
lub ze zdarzeń zewnętrznych
Klasyfikacja zdarzenia
START
Czy w wyniku zdarzenia
Operacyjnego odnotowujemy
zysk?
Tak
Zysk operacyjny
Nie
Czy zdarzenie operacyjne
powoduje bezpośredni skutek
Finansowy (trzeba zaksięgować
stratę lub pomniejszyć kapitały)?
Nie
Zdarzenia operacyjne
bez starty
Tak
Czy strata operacyjna jest
stratą z pogranicza ryzyka
Kredytowego?
Tak
Strata operacyjna
wchodząca w koszt
ryzyka kredytowego
Nie
STRATA
OPERACYJNA
Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Kraków 2006
Schemat systemu zarządzania ryzykiem operacyjnym
STRUKTURA ORGANIZACYJNA
RADA NADZORCZA
Raporty
Decyzje
ZARZĄD
Decyzje
Raporty
Komitet ds. ryzyka
operacyjnego
Raporty
Decyzje
Menedżer ds. ryzyka
operacyjnego
Korespondenci
(historia strat)
Osoby raportujące KRI
(bieżący monitoring)
Eksperci
(ocena scenariuszy)
METODY IDENTYFIKACJI, POMIARU I MONITOROWANIA RYZYKA
Modele ilościowe
-straty wewnętrzne
- straty zewnętrzne
Kluczowe wskaźniki ryzyka
-wskaźniki ryzyka
- portfel procesów
-- zmiany w strukturze organizacyjnej
Metody jakościowe
-analiza scenariuszy
- mapy ryzyka
Źródło: Paweł Matkowski, Zarządzanie ryzykiem operacyjnym, Oficyna Ekonomiczna, Kraków 2006
Cel produktu
Wypracowanie mechanizmu zarządzania ryzykiem
operacyjnym w banku
Dostarczenie odpowiednim organom informacji do
identyfikacji, oceny profilu ryzyka, oceny skuteczności
funkcjonowania wdrożonego systemu zarządzania
Obliczenie wymogu kapitałowego z tytułu ryzyka
Budowa i monitorowanie „map ryzyka” w oparciu
o procesy zachodzące w banku
Funkcjonalność
Identyfikacja ryzyka (strat)
„Banki powinny gromadzić dane o stratach
powstających wewnątrz banku oraz w miarę
możliwości o stratach zewnętrznych.” *
* Rekomendacja M Komisji Nadzoru Bankowego
Wybór kategorii ryzyka
START
Czy zdarzenie powodujące powstanie starty
Tak
lub ograniczenie przychodów było
następstwem decyzji strategicznej
lub biznesowej?
Zdarzenie nie jest operacyjne
Nie podlega raportowaniu
Nie
Czy intencja defraudacji, ominięcia
przepisów, złamania prawa lub
procedur wewnętrznych
została wykazana lub się ją zakłada?
Tak
Nie
Czy mieliśmy do czynienia z działaniem
lub zaniechaniem niezamierzonym, które
było niezgodne z prawem pracy
lub przepisami BHP?
Nie
Czy mieliśmy do czynienia z działaniem
Nie
lub zaniechaniem zamierzonym,
które było niezgodne z prawem pracy
lub przepisami BHP?
Tak
Tak
PRAKTYKA KADROWA I
BEZPIECZEŃSTWO PRACY
Czy co najmniej jedna Tak
OSZUSTWO
osoba firmy była
WEWNĘTRZNE
zaangażowana
w oszustwo
Nie
OSZUSTWO
ZEWNĘTRZNE
Wybór kategorii ryzyka cd.
Czy mieliśmy do czynienia ze
szkodami w zakresie aktywów
rzeczowych lub nieruchomości?
Tak
Uszkodzenia aktywów
Nie
Czy doszło do awari technologi,
teleinformatyki (hardware, software)
przerwy lub zakłócenia
w dostawie mediów?
Tak
Zakłócenie działalności i
Błędy systemów
Nie
Czy miał miejsce nieświadomy błąd
lub zaniedbanie w zakresie
Nie
zobowiązań względem klienta,
co spowodowało jego szkodę, lub też
klient poniósł stratę spowodowana
błędem w produkcie?
Dokonywanie transakcji,
dostawa oraz zarządzanie
procesami
Tak
Tak
Czy klient ucierpiał w wyniku
błędu w dokumentacji, zarządzaniu
rachunkiem lub realizacją transakcji?
Nie
Klienci, produkty i działalność
biznesowa
Źródło: Basel Commite on Banking Supervision, QIS 2 – Operational Risk Loss Data, Bank for International Settlements, Basel 2001, s.17-18
Rejestracja zdarzenia
System Powiadamiania
Analiza i raportowanie
„Efektywny sposób zbierania informacji
o zdarzeniach generujących ryzyko powinien
opierać się na systematycznym wyszukiwaniu
i zbieraniu danych o przyczynach strat oraz
informacji na temat ich wielkości, częstotliwości,
dotkliwości etc.” *
* Rekomendacja M Komisji Nadzoru Bankowego
Analiza i raportowanie zdarzeń z systemem
SIZaRO
Analiza i raportowanie zdarzeń z systemem
SIZaRO
Raportowanie
„Banki powinny opracować system
sprawozdawczości wewnętrznej w zakresie
ryzyka operacyjnego umożliwiający ocenę ich
narażenia na ryzyko operacyjne oraz skuteczne
zarządzanie tym ryzykiem” *
* Rekomendacja M Komisji Nadzoru Bankowego
Analiza i raportowanie zdarzeń z systemem
SIZaRO
Analiza pojedynczego zdarzenia z poziomu
Rejestr Zdarzeń
Analiza zdarzenia z poziomu Analizy Zdarzeń
Analiza zdarzenia z poziomu Analizy Zdarzeń
Historia edycji zdarzenia
Konfigurowanie przeglądów
Konfigurowanie przeglądów
Konfigurowanie przeglądów
Proste metody wyliczania wymogów
kapitałowych
Metoda wskaźnika bazowego
(Basic Indicator Approach –BIA)
Metoda standardowa
(Standarised Approach – TSA)
Metoda wskaźnika bazowego
Metoda wskaźnika bazowego - prognoza
Metoda standardowa – kryteria kwalifikujące
a) „Instytucje kredytowe posiadają dobrze udokumentowany
system oceny ryzyka operacyjnego oraz zarządzania nim wraz
z jasno określonym zakresem odpowiedzialności przypisanym
temu systemowi. Określają one swój stopień narażenia na
ryzyko operacyjne i prowadzą rejestr istotnych danych na temat
ryzyka operacyjnego, w tym danych na temat istotnych strat.
System ten podlega regularnemu, niezależnemu
przeglądowi.” *
* Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady
z dnia 14 czerwca 2006
Kryteria kwalifikujące
b) „System oceny ryzyka operacyjnego musi być ściśle związany
z procesem zarządzania ryzykiem danej instytucji kredytowej.
Wynik tej oceny musi stanowić integralną część procesu
monitorowania i kontroli profilu ryzyka operacyjnego instytucji
kredytowej.” *
c) „Instytucje kredytowe wdrażają system sprawozdawczości
zarządczej, w ramach którego sporządzane są sprawozdania na
temat ryzyka operacyjnego na użytek odpowiednich komórek
instytucji kredytowej. Instytucje kredytowe posiadają procedury
podejmowania właściwych działań zgodnie z informacjami
zawartymi w sprawozdaniach zarządczych.” *
* Dyrektywa 2006/48/WE Parlamentu Europejskiego i Rady
z dnia 14 czerwca 2006
Metoda standardowa - prognoza
Uwaga! Ze względu na szerokość zestawienia prezentowany jest tylko jego
fragment (pięć pierwszych linii biznesowych)
Metoda standardowa - pomiar
Identyfikacja i ocena ryzyka
„Bank powinien posiadać udokumentowany proces:
ocena wrażliwości banku na zidentyfikowane
zagrożenia, badania ich możliwego wpływu na wynik
z działalności oraz określenie możliwych
zabezpieczeń.” *
„Bank powinien identyfikować ryzyko właściwie dla
wszystkich produktów, procesów, działań i systemów
występujących w banku.” *
* Rekomendacja M Komisji Nadzoru Bankowego
Definicja wskaźnika KRI (Key Risk Indicator)
Przykładowe wskaźniki KRI
Wskaźniki niezależne
Liczba pracowników
Przeciętny staż pracy
Liczba godzin poświeconych na
szkolenia
Liczba godzin nadliczbowych
Liczba pracowników mających
godziny nadliczbowe
Liczba nowych rachunków
Liczba nowych klientów
Liczba klientów
Liczba rachunków
Wartość aktywów oddanych do
zarządzania
Liczba oszukańczych transakcji
Liczba niepoprawnie
zrealizowanych transakcji (błędy
przy wprowadzaniu danych)
Liczba rachunków w wypadku
których stwierdzono braki w
dokumentacji
Liczba zrealizowanych transakcji,
w wypadku których stwierdzono
braki w dokumentacji
LUDZIE
PROCESY
Wskaźniki zależne
Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
Przykładowe wskaźniki KRI
Wskaźniki niezależne
SYSTEMY
CZYNNIKI
ZEWNĘTRZNE
Wskaźniki zależne
Wolumen transakcji
Przeciętna wielkość transakcji
Liczba terminali
Czas niedostępności serwera
Liczba złożonych zamówień na
niestandardowe oprogramowanie
Stopień wykorzystania
wydajności serwera
Liczba oszukańczych transakcji
(zewnętrznych)
Liczba nieautoryzowanych prób
dostępu do systemu
Liczba prób włamań do sytemu
Liczba zrealizowanych
nieautoryzowanych dostępów
Liczba włamań do systemów
Opracowano na podstawie : Developing A KRI Program:Guidance For The Operational Risk manager, BITS Financial Services Roundtable 2004
Generator Raportów
Wykorzystując Generator Raportów użytkownik ma
dostęp do wszystkich tabel i widoków bazy danych. Na
tej podstawie konstruuje zestawy danych niezbędne do
budowy wskaźników KRI oraz tworzenia raportów.
Generator Raportów
Sprawozdawczość obowiązkowa
Identyfikacja ryzyka
System SIZaRO umożliwia budowę mapy ryzyka
poprzez zdefiniowanie procesów zachodzących
w banku i przyporządkowanie im poszczególnych
kategorii ryzyka operacyjnego.
„Mapa ryzyka umożliwia ujawnienie słabych punktów
oraz nadanie priorytetu dalszym działaniom
zarządczym.” *
* Rekomendacja M Komisji Nadzoru Bankowego
Monitorowanie
„Procesowi monitorowania powinien być poddany
przebieg wszystkich ważnych procesów składających
się na działalność bankową.” *
„Monitorowanie powinno obejmować kluczowe źródła
strat z tytułu ryzyka operacyjnego ( sygnały i parametry
ostrzegawcze).” *
„Monitorowanie ryzyka operacyjnego powinno być
integralna częścią działalności bankowej.” *
* Rekomendacja M Komisji Nadzoru Bankowego
Monitorowanie ryzyka operacyjnego w banku
z wykorzystaniem analizy procesowej
Definicja procesu
Przykład analizy procesów
Graf procesu
Zarządzanie użytkownikami w systemie
SIZaRO
Dziękujemy