Nõuded operatsiooniriski juhtimiseks Kaupo Kiisler finantsaudiitor 13.06.2005
Download
Report
Transcript Nõuded operatsiooniriski juhtimiseks Kaupo Kiisler finantsaudiitor 13.06.2005
Nõuded operatsiooniriski juhtimiseks
Kaupo Kiisler
finantsaudiitor
13.06.2005
Operatsioonirisk (OR) kui iseseisev riskivaldkond
• Areng riskivaldkonnaks
• Järelevalve(line) tegevus
Nõuded OR juhtimiseks (juhend)
• Eesmärk
• Sisu
2
Areng ja määratlemine
Kahjujuhtumid - avalikkuse tähelepanu, oluline
(majanduslik) mõju organisatsioonide tegevusele
Huvigruppide ootused - klientide, avalikkuse
tähelepanu kasv
Standardite tõus, toodete areng - konkurents ja
klientide ootused
3
Areng ja määratlemine / kahjujuhtumid
1991-BCCI; 1996-Maapank – tagamata
laenud, pettused, võltsitud raamatupidamine,
moonutatud aruandlus, seaduste eiramine,
rahapesu + nõrk järelevale
BCCI: http://www.erisk.com/Learning/CaseStudies.asp
EMP:www.eestipank.info/pub/et/majandus/finantskeskkond/finantspoliitika/emp/
4
Areng ja määratlemine / huvigrupid
Aktsionärid – ootused vara väärtuse kasvule, efektiivsus
Kliendid – tarbijakaitse, kohtuasjad / vaidlused,
konkurents
Avalikkus – juhtimise kvaliteet, juhtkonna vastutus
Järelevalve – normatiivse keskkonna areng, koostöö
Reitinguagentuurid, välisaudit – juhtimiskvaliteet
5
Areng ja määratlemine / standardid, areng
Toodete ja teenuste areng – dokumentatsioon
/kirjeldused, nn. sünteetilised tooted, hinnastamine,
kajastamine, kauplemine, riskide maandamine
Tehnoloogiline areng – tegevuste automatiseerimine, epanganduse areng
Kulude kokkuhoid / kapitali juhtimine – efektiivsus, eelarve
ja bilanss kui juhtimisvahendid
Väliste teenusepakkujate kasutamine – riskide
ülekandmine / ülekandumine
6
OR kui riskivaldkond
1991 kasutusel COSO-s üldmõistena
1990ndate keskpaik – levib finantssektoris kui
sünonüüm hirmutavale jääk-kategooriale e see, mis
jääb üle krediidi- ja tururiskist
1999 – juunis esimesed ettepanekud Basel II
raames
BIS:http://www.bis.org/publ/bcbsca.htm
http://europa.eu.int/comm/internal_market/insurance/docs/solvency/solvency2
-conference-report_en.pdf
7
Järelevalve tegevus
OR küsimustik pankadele 2000.a.
Ootused järelevalvele: soovituslikud juhised, metoodika
Riskipõhine järelevalve: tähelepanu riskijuhtimisele,
sisekontrollile, juhtimise infosüsteemile, siseauditile
“Konsulteeriv arutelu”
Rahapesu tõkestamine (juhend 2002.a.)
Infotehnoloogia (2000, juhend 2005.a.)
Nõuded operatsiooniriski juhtimiseks (juhend)
8
Nõuded operatsiooniriski juhtimiseks (juhend)
Alus: Baseli Komitee poolt 02 / 2003 välja antud dokument
“Sound Practices for the Management and Supervision of
Operational Risk”
http://www.bis.org/publ/bcbs96.htm
Anda järelevalve poolne nägemus OR sisust ja selle
juhtimisest
•
•
•
ühine arusaam
diskussiooni teke
jagatud vastutus – pakkuda klientidele kvaliteetset ja
jätkusuutlikku teenust / vastutus kolleegide ees
9
Juhendi eesmärk
Eesmärgiks on aidata kaasa:
• tegevuses
seerimisele
sisalduvate
ja
operatsiooniriskide
juhtimisele
vastavalt
identifit-
äritegevuse
ulatusele, keerukusele ja varasemale kogemusele
• võimele anda adekvaatne hinnang operatsiooniriskile
• operatsiooniriski
juhtimise
kahjusid
ennetavale
tegevusele
10
Juhendi rakendamine
Rakendamise ulatus sõltub:
• organisatsioonistruktuurist
• organisatsioonikultuurist
• tegevuse mahust ja ulatusest
• riskitasemest
• teenuste ja toodete õiguslikust ja riskijuhtimislikust
keerukusest, raamatupidamisnõuetest
Best practice? – enesega rahuolu, tegevuse võimalik
mõttetus
11
Juhendi sisu
Mõisted
OR juhtimine
• Juhtimise korraldamine
• Nõukogu ülesanded
• Juhatuse ülesanded
• Poliitika
• Identifitseerimine ja hindamine
• Jälgimine
• Kontrollimine ja maandamine
Välise teenusepakkuja kasutamine
Äritegevuse jätkuvuse tagamine
12
Mõisted
OR – analüüs tegevusest ja keskkonnast
Operatsioonirisk – risk saada kahju sisemiste
protsesside, inimeste tegevuse või süsteemide ebaadekvaatsusest või mittetoimimisest oodatud viisil või
välistest sündmustest. Mõiste sisaldab juriidilist riski,
kuid ei sisalda strateegilist, reputatsiooni ja
süsteemiriski
13
OR mõiste komponendid (1) Juhendi Lisa 1
Sisemised protsessid
•
tootearendus
•
müük ja klienditeenindus
•
dokumentatsioon ja lepingud
•
toodete hinnastamine
•
maksed ja arveldused
•
raportid ja aruanded
•
compliance
14
OR mõiste komponendid (2)
Inimeste tegevus
•
töötajate eksimused ja kuritarvitused
•
personali puudus
•
võtmetöötajate kaotamine
•
ebapädev töötajate värbamine ja koolitamine
•
tööseadusandluse rikkumine
15
OR mõiste komponendid (3)
Süsteemid
• (IT) vead, häired
• katkestused
• andmete sisu ja kvaliteet
• ebapiisav jõudlus ja ressurss
• ebapädev projektijuhtimine ja arendus
16
OR mõiste komponendid (4)
Välised sündmused
• pettused / vargused
• välised teenusepakkujad
• konkurents
• järelevalve tegevus (org. suhtes)
• makro- ja sotsiaalmajanduslikud sündmused
• infrastruktuuri häired, katastroofid
17
OR mõiste komponendid (5)
Juriidiline risk – risk, et õigustatud osapool ei saa
rakendada oma õigusi või oodata kohustuste täitmist,
kuna kohustatud osapool ei täida võetud kohustusi.
Briti omavalitsused Fulham ja Hammersmith –
intressiriski swapid / turusituatsioon ebasoodne /
kohtu otsusega lepingud õigustühised
http://www.ucc.ie/law/restitution/archive/englcases/interest.htm
klient – väärtpaberitehingud
ebasoodne / vaidlustas tehingud
/
turusituatsioon
18
OR mõiste komponendid (6)
Strateegiline risk – konkurents (nõudlus toodete / teenuste
järele, hinnastamine, sisendite / ressursi hind ja
kättesaadavus), tegevuskeskkond: poliitiline olukord,
maksupoliitika, järelevalve
http://www.iiss.org/
19
OR mõiste komponendid (7)
Reputatsiooni risk – sündmused, mis mõjutavad
huvitatud osapoolte arvamust ja hinnangut toodete /
teenuste, organisatsiooni või finantssüsteemi suhtes.
Alfa Bank – 07/2004 väär ja valeinformatsioon ajakirjanduses
/vahendite väljavool pangast; Arthur Andersen – Enron
Wharton SoB, HIG analüüs – ettevõtte väärtuse oluline /
tegelikku kahjusummat ületav kaotus
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=640061
20
OR mõiste komponendid (8)
Süsteemirisk – üksiku probleem kandub teistele,
süsteemile, keskkonnale
•
finantsasutuste tegevusele kehtestatud selged
ja piisavalt ranged reeglid
• reeglite ja nõuete täitmise kontroll
• turu iseregulatsioon
• turuosaliste vastutus
Turvaraamistik, kriisihaldus
http://www.eestipank.info/pub/et/majandus/finantskeskkond/keskpanga_roll/Turv
av6rgustik.html
21
Juhtimise korraldamine
Iseseisev riskivaldkond, osa üldisest riskijuhtimisest
Kahjud ei ole kohe nähtavad ja mõõdetavad
Protsess, mis eeldab kogu organisatsiooni ühtset
arusaama sisust ja olulisusest
Eeldab kõrget organisatsioonikultuuri ja positiivset
suhtumist sisekontrolli
22
Nõukogu ülesanded
Organisatsiooni, äritegevuse ja riskijuhtimise struktuuri põhialuste
kinnitamine
Sisekontrolli keskkonna kujundamine
OR poliitika kinnitamine
Vahendid: inimesed ja raha
Siseaudit, vajaduse ja rolli mõistmine, toetus
ARUSAAM JA TEADLIKKUS: MIKS, MIDA, kuidas
23
Juhatuse ülesanded
Organisatsioon – vastutus ja aruandlus
Paberid – kõigele ja kõigile, ratsionaalsus
Heast juhtimistavast lähtuvad rutiinid, sisekontrolli keskkonna
toimimine
Töötajad – oskavad ja tahavad, on teadlikud ja motiveeritud
ORGANISATSIOONI TEADLIKKUS JA TAHE: miks, MIDA, KUIDAS
24
OR poliitika
Annab sisustatud mõiste
Määratleb identifitseerimise, mõõtmise, jälgimise,
maandamise ja kontrolli sisu, meetodid
Määratleb olulised valdkonnad: füüsiline turvalisus, IT
käideldavus, andmekaitse, rahapesu tõkestamine...
Määratleb tegevused: tootearendus, teenusepakkuja
valimine...
25
Identifitseerimine ja hindamine Juhendi Lisa 2
OR toodetes, teenustes, protsessides, süsteemides
•
•
riskide kaardistamine
riskihindamine
OR kahjujuhtumid – millised kahjud, kui olulised, sagedus
•
•
•
•
•
•
•
sisene pettus
väline pettus
värbamispraktika
kliendid, tooted, äripraktika
varaline kahju
äritegevuse katkestus ja süsteemivead
tehingute teostamine, protsessi juhtimine
26
Jälgimine
Aitab tagada adekvaatset OR juhtimist: olemasoleva parendamine
Aruandlus, raportid, mis sisaldavad:
•
•
•
finantsinfot
regulatsioonidele vastavust
tegevuse ülevaateid
Siseaudit – raportite õigeaegsus, sisu, sisekontrollisüsteemi
toimimine, protseduuride piisavus
Välisaudiitor – raamatupidamisaruandluse adekvaatsus
Järelevalve – vastavus regulatsioonidele
27
Kontrollimine
Sisekontrollisüsteem – limiidid, neli silma, funktsioonide lahusus jms
Väheste vahenditega saab palju ära teha!
Füüsiline turvalisus
Andmekaitse
Rahapesu tõkestamine
IT talitluspidevus
Personalipoliitika
Tootearendus
Arendustegevused
Välised teenusepakkujad
Kindlustus ei asenda kontrolli
28
Välise teenusepakkuja kasutamine
Igapäevategevuse teostamiseks vajaliku tegevuse
teostamise volitamine kolmandale isikule
Ei tohi vähendada võimet täita kohustusi ja ei vabasta
vastutusest klientide, kolmandate isikute ja järelevalve ees
Osapoolte õigused ja kohustused peavad olema selgelt
määratletud, mõistetavad ja rakendatavad
29
Äritegevuse jätkuvuse tagamine
Valmisolek reageerida äritegevuse katkestustele,
võimaldades taastada võtmetegevused, süsteemid ja
protsessid kokkulepitud aja jooksul, säilitades samal ajal
kriitilised tegevused
Organisatsiooni ja inimeste reageering kriisile
Plaanid, koolitus, testimine
Andmete säilitamine ja kasutatavus
30