RISCUL - s3-eu-west-1.amazonaws.com
Transcript of RISCUL - s3-eu-west-1.amazonaws.com
2
Riscul operațional riscul de pierdere care rezultă fie din utilizarea unor procese, persoane sau sisteme interne inadecvate sau care nu și-au îndeplinit funcția în mod corespunzător, fie din evenimente externe, și care include riscul juridic.
Riscul operațional face parte din categoria riscurilor semnificative pentru bancă.
Definiție
3
Risc de model
Risc juridic
Risc de conformitate
Riscul privind spălarea banilor și finanțarea
terorismului
Risc aferent activităților externalizate
Risc aferent tehnologiei
informației și comunicațiilor
(TIC) și de securitate
Risc de fraudă
Risc de personal
Risc asociat sitemului electronic banking
Risc de conduită
RISCUL
OPERAȚIONAL
Risc de pierdere generat de amenzi, penalități şi sancţiuni de care
Banca este pasibilă în caz de neaplicare sau aplicare defectuoasă a
dispoziţiilor legale sau contractuale sau generat de stabilirea
necorespunzătoare a drepturilor și obligațiilor contractuale ale Băncii
și/sau ale contrapartidei sale.
Risc actual sau viitor de afectare negativă a
profiturilor, fondurilor proprii și lichidității, care
poate conduce la pierderi financiare semnificative
sau care poate afecta reputaţia Băncii, ca urmare a
încălcării sau neconformării cu cadrul legal şi de
reglementare, cu acordurile, practicile recomandate
sau standardele etice aplicabile activităților sale.
Pierdere posibilă pe care Banca ar putea să o înregistreze ca urmare a unor decizii bazate în
principal pe rezultatele modelelor interne, din cauza unor erori în dezvoltarea,
implementarea sau utilizarea acestora.
Risc de pierdere generat de încălcarea confidențialității, pierderea integrității sistemelor și a
datelor, caracterul necorespunzător sau indisponibilitatea sistemelor și a datelor sau
incapacitatea de a schimba tehnologia informației (IT) într-o perioadă de timp rezonabilă și
la costuri rezonabile, atunci când cerințele de mediu sau de afaceri se schimbă.
Categoriiderisc incluse în aria riscului operațional
Risc existent sau potențial de pierderi asociat prestării
necorespunzătoare a serviciilor financiare, inclusiv a cazurilor
de abatere disciplinară cu intenție sau din neglijență.
Risc ce se poate materializa în pierderi operaționale sau venituri
nerealizate și subsecvent în potențiale daune repuaționale pentru
Bancă din cauza operațiunilor sale curente sau viitoare efectuate
de terți în numele acesteia.
Risc de pierdere generat de probabilitatea implicării
Băncii în activități privind spălarea banilor și
finanțarea terorismului.
Risc de pierdere rezultat din acțiuni precum cele
comise cu intenția de fraudă, confiscarea frauduloasă
de bunuri sau eludarea reglementărilor, a legislației
sau a politicii Băncii.
Risc generat de relaţiile cu angajaţii Băncii,
și care presupune asigurarea condiţiilor
necesare pentru reducerea fluctuaţiei şi
retenţia personalului.
Risc generat de angajarea Băncii în
activităţi de tipul electronic banking,
respectiv de utilizarea unui sistem
neperformant care nu permite oferirea
unor produse şi servicii în condiţii optime
de securitate şi la standarde de calitate
adecvate
4
Nevoia implementării cadrului de management al riscului operațional
În practică s-a observat
că numeroase surse de
risc sistemic au fost
generate sau cel puțin
propagate de
vulnerabilități în sfera
operațională.
Pe măsură ce activitatea
băncilor devine mai
complexă, probabilitatea
incidenței evenimentelor
de risc operațional crește
exponențial.
Cerințe de reglementare
• Locale – Regulamentul BNR nr. 5/2013
• Regionale – Regulamentul Parlamentului
European și al Consiliului nr 575/2013
Cerințe de business
• Profitabilitate
• Reputație (clienți, public, experți)
5
Etape în administrarea riscului operațional
1. Identificarea evenimentelor
generatoare de risc
operațional:
Reale - evenimente de pierdere
care s-au produs efectiv
(pierderi directe/reale pentru
bancă, dar și pierderi
colaterale, derivate din profitul
nerealizat)
Potențiale - evenimente care pot
conduce la pierderi financiare
directe/reale.
2. Măsurarea și evaluarea
riscurilor operaționale:
• Colectarea informațiilor
referitoare la pierderile deja
identificate;
• Procesul de autoevaluare a
riscurilor în ceea ce priveşte
evaluarea riscurilor potenţiale. 3. Analiza și monitorizarea
riscurilor operaționale:
Unităţile Organizaţionale sunt
responsabile cu raportarea
evenimentelor de risc
operaţional, iar
Departamentul Risc
Operaţional şi de Piaţă
analizează riscurile
operaţionale, evaluează
evenimentele de pierdere și le
înregistrează în baza de date
de risc operațional.
4. Controlul și diminuarea
riscurilor operaționale:
• Tehnici de diminuare, transfer
și control;
• Indicatori cheie de risc
operațional;
• Planuri de reluare a activității
și pentru situații neprevăzute.
6
Categorii de risc operațional
1. Frauda internă: pierderi rezultate din
acțiuni comise cu intenția de fraudare,
însușire frauduloasă de bunuri sau de eludare
a reglementărilor, legislației sau politicii
instituției, în care este implicată cel puțin o
persoană din interiorul băncii.
2. Frauda externă: pierderi rezultate din
acțiuni de genul celor comise cu intenția de
fraudare, de însușire frauduloasă de bunuri sau
de eludare a legislației, comise de un terț.
Exemple:
• Furt, înșelăciune;
• Mită;
• Tranzacții neautorizate;
• Încălcarea cu intenție a
reglementărilor interne
Exemple:
• Furt de informații;
• Tâlhărie;
• Instrumente de plată
contrafăcute;
• Atac informatic.
7
Categorii de risc operațional
3. Practici de angajare şi siguranţa la locul de muncă: pierderi rezultate din acțiuni contrare
dispozițiilor legislației și convențiilor în materie de ocupare a forței de muncă, sănătate și siguranță
la locul de muncă, din plata de daune pentru vătămări corporale sau din evenimente de discriminare
sau de încălcare a principiilor diversității.
Exemple:
• Despăgubiri legate de accidentarea persoanelor;
• Pierderea unor angajați/număr insuficient al acestora;
• Încălcarea legilor privind munca, protecția muncii etc.
8
Categorii de risc operațional
4. Pagube asupra activelor corporale: pierderi
rezultate din distrugerea sau deteriorarea activelor
corporale în urma catastrofelor naturale sau a altor
evenimente.
Exemplu:
• Deterioarea unor instrumente datorită unor calamități
naturale sau lte cauze (cutremure, incendii, inundații,
vandalism, terorism).
5. Întreruperea activității și funcționarea neadecvată a
sistemelor: pierderi rezultate din întreruperi ale activității
sau funcționarea neadecvată a sistemelor.
Exemple:
• Erori hardware/software
• Probleme de telecomunicații
• Erori de produse în cursul dezvoltării și implementării sistemelor
• Defecțiunile sistemelor suport / Nefuncționarea sistemelor
9
Categorii de risc operațional
6. Clienți, produse și practici comerciale: pierderi rezultate din
încălcarea neintenționată sau din neglijență a obligațiilor profesionale
față de clienți (inclusiv cele privind încrederea/ siguranța și cele privind
adecvarea serviciilor) sau din natura sau caracteristicile unui produs.Exemple:
• Încălcarea angajamentelor față de clienți din neglijență sau nepăsare sau pierderile datorate
unor erori de proiectare sau erori cauzate de natura produsului;
• Abuzul cu privire la informații confidențiale despre clienți;
• Practici comerciale necorespunzătoare.
7. Executarea, livrarea şi gestiunea proceselor: pierderi datorate
procesării neadecvate a tranzacțiilor sau gestiunii necorespunzătoare a
proceselor, din relațiile cu partenerii de afaceri și cu furnizorii.
Exemple:
• Erori de înregistrare și de gestiune a proceselor, erori la introducerea de date
• Plăți și deconturi eronate
• Erori în administrarea garanțiilor
• Documentație juridică incompletă
• Erori datorate externalizării proceselor, execuție eronată de către furnizori/parteneri
10
Roluri și responsabilități
Procesul de analiză a riscului operaţional este descentralizat, identificarea şi
gestionarea riscurilor operaţionale fiind responsabilitatea unităţilor afectate în cazul
apariţiei riscului operaţional.
Fiecare Unitate Organizaţională este responsabilă cu gestionarea şi colectarea
periodică a datelor cu privire la pierderile din risc operaţional. Informaţiile colectate
trebuie trimise către Departamentul Risc Operaţional şi de Piaţă.
În plus, următoarele comitete și Unități Organizaționale au responsabilități în
gestionarea riscului operațional:
• Consiliul de Supraveghere
• Comitetul de Administrare a Riscurilor
• Directoratul
• Comitetul Operativ de Risc
• Direcția Administrarea Riscurilor – Departamentul Risc Operațional și de Piață
• Proprietarii de proces
• Departamentul Securitate IT
• Directorii de Direcții/Sucursale sau Șefii de Departamente/Agenții
11
AUTOEVALUARE RISCURI
INDICATORI CHEIE DE RISC (KRI)
ANALIZĂ SCENARII
Instrumente de management al riscului operațional
COLECTARE PIERDERI
12
1. Colectarea evenimentelor de pierdere - proces
Colectare Raportare Înregistrare Monitorizare
• Fiecare Unitate Organizaționalăcolectează datele privind pierderile: evenimente cu frecvență ridicată și pierderi nesemnificative sau evenimente cu frecvență rară și pierderi substanțiale.
• Unităţile Organizaţionale raportează lunar, în primele 3 zile lucrătoare, evenimentele identificate pe parcursul lunii precedente către Departamentul Risc Operațional și de Piață.
• Departamentul Risc Operațional și de Piață verifică evenimentele raportate și le înregistrează în aplicația de risc operațional (SAS OpRisk), pregătind raportări specifice pentru Comitetul Operativ de Risc, Directorat, Comitetul de Administrare a Riscurilor și Consiliul de Supraveghere.
• Toate evenimentele de risc operațional aflate în curs de soluționaresunt monitorizate trimestrial de către Departamentul Risc Operațional și de Piață și actualizate în aplicația de risc operațional potrivit statusului raportat de Unitățile Organizaționale responsabile.
13
1. Colectarea evenimentelor de pierdere – tipuri de evenimente
Evenimente de risc operațional
Pierdereefectivă
Eveniment cu impact semnificativ
Pierdere estimată
Near miss
Acel eveniment de risc operațional cu o
pierdere asociată (reală sau potențială) mai
mare de 600,000 EUR.
Unitatea Organizațională va raporta către
Departamentul Risc Operațional și de Piață
un astfel de eveniment imediat după
apariția / descoperirea acestuia și
stabilirea pierderii asociate respectivului
eveniment, dar nu mai târziu de ziua
lucrătoare următoare, ora 14.00, astfel
încât să fie posibilă raportarea acestuia către
BNR – Direcția Supraveghere în termenul
legal (următoarea zi lucrătoare după
apariție).
Evenimente de pierdere evitate
în ultimul moment, în cazul
cărora nu s-a înregistrat nicio
pierdere reală (dar într-un caz
mai puţin favorabil al apariţiei
evenimentelor, s-ar fi putut
înregistra pierderi – ex: oprirea
sistemelor contabile în afara
orelor de program).
Prag de colectare: 20,000
EUR.
Pierderi directe - decurg direct
din evenimentul de risc
operațional;
Pierderi indirecte - costuri
asociate pierderilor directe
generate de înregistrarea
evenimentelor de risc
operațional.
Prag de colectare: 100 EUR.
Evenimentul s-a produs, dar
suma pierderii ce urmează a fi
înregistrată nu se cunoaşte încă
(nu se cunoaşte de către persoana
care face înregistrarea
evenimentului în momentul
respectiv sau nu a fost stabilită
pană la momentul repectiv).
14
Toate unitățile organizaționale / teritoriale
CINE?
Lunar, până în a 3-a zi lucrătoare
CÂND?
Către Departamentul Risc Operațional și de Piață
UNDE?
Evenimentele de risc operațional identificate în luna anterioară
CE?
Potrivit Normei Interne privind administrarea riscului operațional
DE CE?
Completare Anexa 1 și transmiterepe e-mail
CUM?
1. Colectarea evenimentelor de pierderi – raportare
Identificare eveniment
•Data raportării
•Data producerii
•Data rezolvării
•Data identificării
•Unitatea care raportează
•Unitățile afectate
Eveniment
•Categorie (nivel 1-3) conform Taxonomie
•Linia de activitate
•Descriere (clară, detaliată, completă)
•Cauza
•Clienți implicați
•Produse implicate
•Riscuri asociate
Pierdere
•Pierdere potențială estimată
•Pierdere directă (reală)
•Valuta pierderii
•Motivul pierderii
•Modalități de recuperare
•Sumă recuperată
•Data recuperării
•Conturi contabile afectate
Status
•Măsuri
•Status eveniment
•Status legal
Elemente obligatorii pentru raportarea evenimentelor (conform Anexei 1):
15
2. Autoevaluarea riscurilor
Permite identificarea și evaluarea riscurilor potenţiale care ar putea afecta activităţile/ procesele bancare, efectuată de către proprietarii de proces/ deţinătorii de risc (Directorii/Șefii Unităților Organizaționale).
Se realizează anual de către Unitățile Organizaționale, la nivel de proces, împreună cu Departamentul de Risc Operațional și de Piață.
Responsabilitatea proprietarilor de proces este coordonarea identificării, măsurării, monitorizării şi gestionării riscurilor potenţiale care pot apărea în cadrul proceselor pe care le gestionează, precum şi asigurarea comunicării între organizaţii în cazul în care procesele afectează mai multe Unităţi Organizaţionale.
Evenimentele de pierdere şi riscurile potenţiale sunt clasificate în baza Taxonomiei riscurilor operaţionale.
În baza informaţiilor colectate din formularele de autoevaluare, Departamentul Risc Operaţional şi de Piaţăinterpretează şi evaluează evenimentele de risc potenţial detectate recent şi ulterior decide cu privire laextinderea Taxonomiei specifice OTP în cadrul competenţelor proprii.
Departamentul Risc Operațional și de Piață întocmește un raport centralizat în baza formularelor deautoevaluare primite de la Unitățile Organizaționale și îl prezintă Comitetului Operativ de Risc,Directoratului, Comitetului de Administrare a Riscurilor și Consiliului de Supraveghere.
16
2. Autoevaluarea riscurilor - proces
Identificarea activităților vulnerabile din perspectiva riscului
operațional
Maparea riscurilor operaţionale pe baza
activităților identificate
Identificarea şi descrierea controalelor
existente
Evaluarea riscurilor operaţionale:
probabilitatea/ frecvenţa apariţiei şi
impactul pierderii
Îmbunătățirea controalelor existente sau, dacă este cazul,
implementarea de noi controale
Probabilitatea unui anumit risc este definită pe o scală
stabilită în funcție de frecvența cu care apare evenimentul
respectiv.
Frecvenţa
estimatăFrecvenţa apariţiei
Regulat De mai multe ori pe săptamână
Probabil IÎn fiecare săptămână până la fiecare a 4-a
săptămână
Probabil II În fiecare lună până la fiecare a 6-a lună
Improbabil I Semi-anual până la fiecare an
Improbabil II În fiecare an până la fiecare 10 ani
Rar La fiecare 10 ani până la 100 de ani
Aproape
imposibilMai rar decât la fiecare 100 de ani
Impactul unui anumit risc este evaluat pe o scală bazată pe
valoarea pierderii potențiale susținute de apariția
evenimentului.
Pierderea estimată Pierdere (EUR)
Nesemnificativă I 0 – 10
Nesemnificativă II 11 – 100
Scazută 101 – 400
Medie 401 – 2,000
Semnificativă 2,001 – 15,000
Ridicată 15,001 – 150,000
Foarte ridicată 150,001 – 750,000
Extrem de ridicată 750,001 – 1,500,000
Catastrofică > 1,500,000
17
2. Autoevaluarea riscurilor – evaluarea controalelor
Tip control
Preventiv: măsuri luate înaintea apariției unei pierderi.
Detectiv: pentru a localiza problemele cât mai curând posibil, după ce acestea au avut loc.
Corectiv: conceput pentru a reduce impactul negativ al unui eveniment și pentru a preveni apariția unor evenimente similare.
Independență control
Independent: toate elementele procesului de control sunt efectuate de persoane/sisteme diferite.
Independent în cadrul unității: persoane responsabile pentru control sunt diferite de cele care efectuează operațiunile în cauză, dar elementele controlului sunt efectuate în cadrul aceleiași unități.
Dependent: Persoanele responsabile pentru control sunt aceleași care efectueză activitatea operațională în cauză.
Automatizare control
Automat: toate elementele procesului de control sunt susținute de sisteme automatizate sau IT.
Suport IT și manual: unele faze ale procesului de control sunt susținute de sisteme automatizate sau IT, luarea deciziilor se realizează prin asistență umană directă.
Manual: nicio fază a controlului nu este susținută de sisteme automatizate sau IT.
Grad de acoperire control
Acoperire totală: O parte semnificativă a riscului este acoperită de control (evenimente de pierdere nefiltrate < 5%)
Acoperire parțială: evenimente de pierdere nefiltrate < 20%
Risc rezidual ridicat: evenimente nefiltrate de control - 20-50%
Nu acoperă: O parte semnificativă a riscului nu este acoperită de controale (nu există controale)
18
3. Indicatorii cheie de risc (KRI)
Caracteristici:
• indicatorii sunt strâns corelați cu apariția unor evenimente de risc operațional;
• au ca scop monitorizarea riscurilor, diminuarea și prevenirea factorilor de risc;
• măsoară expunerile cele mai importante și monitorizaeză riscurile cele mai importante;
• funcționează ca semnele de avertizare, având limite stabilite pentru nivel normal, semnal
de avertizare (nivel de semnal) și nivel critic;
• în cazul în care nivelul intern de semnal este atins în 3 perioade consecutive sau nivelele
critice sunt atinse, sau în situaţii de criză, se va analiza dacă Banca se confruntă cu o situaţie
de risc operaţional ridicat, iar conducerea Băncii va lua măsuri de diminuare, în funcţie de
nivelul expunerii la risc, precum şi în funcţie de obiectivele şi toleranţa la risc stabilite prin
Strategia de Risc.
•Trimestrial se prezintă către Comitetul Operativ de Risc şi Directorat un raport referitor la
indicatorii care înregistrează nivel critic, care va conține: prezentarea indicatorilor cheie
care înregistreaza un nivel critic, formularea de propuneri de remediere, fixarea de
responsabili și termene, monitorizarea implementării măsurilor stabilite.
Perioada de
observare
Valori ale
Indicatorilor
cheie de risc
(KRI)Nivel critic
Intervenție
Semnal de
avertizare (nivel de
semnal)
Unitățile Organizaționale
responsabile transmit lunar,
până pe data de 10 a lunii în
curs, sau atunci când este
necesar, rapoarte către
Departamentul Risc
Operaţional şi de Piaţă cu
privire la nivelul indicatorilor.
19
4. Analiza de scenarii
Formă specială de evaluare a riscurilor care prevede evaluări transparente făcute de către specialişti pentru acele evenimente cu frecvenţă scazută de apariţie, dar cu un impact ridicat.
Este legată de autoevaluarea riscurilor și reflectă schimbările din mediul de afaceri.
Ajută la identificarea zonelor vulnerabile și la estimarea valorii maxime aşteptate a riscurilor și face posibilă elaborarea de planuri de acțiune adecvate și eficiente.
Se realizează anual şi asigură acoperirea tuturor datelor privind pierderile interne din baza de date istorică.
Unităţile Organizaţionale aparținând diverselor linii de activitate sunt implicate activ în dezvoltarea de scenarii de criză.
Gravitatea scenariilor este definită pe intervale - specialiștii determină cu ce frecvență un anumit nivel de gravitate a scenariului se încadrează întru-un anumit interval de impact al pierderii.
Definirea scenariilor
potențiale în baza informațiilor disponibile
Selectarea scenariilor
pentru evaluare
Evaluare scenarii
(workshop)
20
4. Analiza de scenarii
Benzi de severitate (EUR)
85,000 – 500,000
500,001 – 1,250,000
1,250,001 – 2,750,000
2,750,001 – 6,000,000
6,000,001 – 17,500,000Acoperire taxonomie
Fraudă externă
Fraudă internă
Pagube asupra
activelor corporale
Întreruperea activităţii şi funcţionarea neadecvată a
sistemelor
Practici de angajare şi
siguranţă la locul de muncă
Clienţi, produse si practici comerciale
Executarea, livrarea şi gestiunea proceselor
•Riscul activelor
de date și de
atac informatic;
•Alte
evenimente de
fraudă
•Tranzacții
neautorizate;
•Alte
evenimente de
fraudă
•Riscul de schimbări climatice;
•Război și atac terorist.
•Riscul activelor de
date;
•Întreruperea sistemelor
de plăți și decontări;
•Defecțiuni în sistemul
bancar intern și alte
erori;
•Rețeaua ATM/POS
nefuncțională.
•Deficit excesiv
de angajați
•Pierderea de
persoane cheie
•Modificări nefavorabile în mediul juridic
•Riscul de conduită
și practici
necorespunzătoare
de piață
•Retrageri substanțiale
din depozite
•Întreruperea
utilităților
•Executarea și
gestionarea garanțiilor
21
Măsuri de diminuare a riscurilor
TEHNICI DE TRANSFER / REDUCERE A RISCULUI
OPERAȚIONAL
Evitarea riscului
Transferul riscului
Conservarea riscului
Asumarea riscului Diminuarea riscului
Prevenirea pierderii
Diminuarea pierderii
Ar trebui aplicată
dacă un risc specific
apare adesea şi
cauzează distrugeri
majore.
Se poate realiza
prin încheierea
de poliţe de
asigurare sau
prin constituirea
provizioanelor. Riscurile nu pot fi
transferate/evitate sau
pierderea maximă aşteptată
este nesemnificativă şi
probabilitatea de apariţie
este ridicată. Riscul este
monitorizat, dar nu este
redus.
Se fac încercări pentru a influența
probabilitatea de apariție a
evenimentelor de risc operațional.
Banca se pregăteşte în avans
pentru apariţia riscurilor şi face
toate eforturile rezonabile pentru a
avea capacitatea de a reacţiona
rapid şi eficient (BCP, DRP).
22
Măsuri de diminuare a riscurilor
Colectarea datelor de pierdere
Formularea măsurilor de diminuare/prevenire a riscurilor de către Unitățile Organizaționale esteobligatorie pentru pierderile individuale mai mari de 20,000 EUR, respectiv 100,000 EUR încazul evenimentelor de tip Near Miss.
În vederea executării şi monitorizării măsurilor formulate, trebuie specificate în mod clar persoaneleresponsabile şi termenele limită pentru fiecare măsură.
Autoevaluarea riscurilor
Întocmirea şi monitorizarea măsurilor de diminuare a riscurilor este obligatorie în cazul proceselorbancare cu risc ridicat sau a evenimentelor identificate în cursul autoevaluării anuale a riscurilor,care au o pierdere aşteptată mai mare de 100,000 EUR.
Planul de acțiune stabilit va fi monitorizat trimestrial.
Indicatori cheie de risc
Imediat ce indicatorul depăşeşte nivelul de avertizare/semnal în 3 perioade consecutive sau depăşeştenivelul critic, trebuie luate măsurile corespunzatoare.
Analiza scenariilor
Comitetul Operativ de Risc poate decide suplimentarea capitalului economic pentru riscul operaționalcalculat în cadrul procesului intern de evaluare a adecvării capitalului la riscuri, pe baza evaluăriirezultatelor analizei de scenarii.