Bank i Klient: Nowe wymagania, nowe rozwiązania, nowe wyzwania

Joanna Tylińska

Była to już II edycja konferencji ZBP poświęconych tematyce ryzyka operacyjnego, patronat nad nią objęły Narodowy Bank Polski i Komisja Nadzoru Finansowego. W trzech sesjach kompleksowo ujęto zagadnienia mające obecnie wpływ na prawidłowe zarządzanie ryzykiem operacyjnym w bankach: nowe wymogi regulacyjne wynikające ze zmienionych rekomendacji D i M, wnioski i wyzwania dla banków wynikające z inspekcji na miejscu i sprawozdawczości BION, zarządzanie ryzykiem nowych produktów oraz ewolucja metod zaawansowanych zarządzania tym rodzajem ryzyka

Ryzyko operacyjne, zgodnie z uchwałą KNF 76/2010 o wymogach kapitałowych, to możliwość wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych, obejmując również ryzyko prawne. Tak rozległy zakres zjawisk, jakie obejmuje, stawia go na drugim miejscu po ryzyku kredytowym, na jakie narażony jest bank w trakcie prowadzenia swojej działalności. Dlatego tak ważne jest odpowiednie zarządzanie ryzykiem operacyjnym, jako integralnym elementem zarządzania bankiem i uwzględnianie w działalności biznesowej informacji pozyskanych w procesie zarządzania tym ryzykiem, w celu samodoskonalenia organizacji, bowiem błędy w procesie zarządzania przekładać się mogą w efekcie na ryzyko utraty reputacji na skutek zdarzeń ryzyka operacyjnego.

Spojrzenie nadzorcy

Z tego powodu bardzo cenne dla sektora bankowego było przedstawione na konferencji spojrzenie nadzorcy, jako zewnętrznego kontrolera i audytora na proces zarządzania ryzykiem operacyjnym w bankach oraz omówienie zarówno zaobserwowanych w trakcie inspekcji jak i na podstawie sprawozdawczości BION uchybień i wyzwań jakie stają obecnie przed bankami, aby usprawnić proces zarządzania ryzykiem operacyjnym. Wyodrębnionych zostało siedem obszarów, w których identyfikowane są przez nadzór problemy. Należą do nich: zarządzanie ryzykiem operacyjnym, zarządzanie tożsamością i dostępem, monitorowanie systemów informatycznych, wydajność i ciągłość działania środowiska IT, bezpieczeństwo usługi i ochrona danych, strategia rozwoju IT i zarządzanie zmianą, outsourcing i usługodawcy zewnętrzni.

W wyniku badań inspekcyjnych zwrócono uwagę na niedociągnięcia występujące w trzech elementach procesu zarządzania ryzykiem operacyjnym: identyfikacji, monitoringu i koordynacji działań. Skuteczność zarządzania to umiejętność uczenia się na błędach, poprzez odpowiednią analizę zjawisk w postaci: identyfikacji zdarzeń, ich przyczyn oraz skutków i wykorzystanie tych informacji w taki sposób, aby utrzymać ryzyko na poziomie akceptowalnym dla organizacji. Proces ten czasami nie funkcjonuje w bankach prawidłowo. Na etapie identyfikacji, ryzyko w bankach powinno być badane zarówno w trakcie funkcjonowania jak i planowania procesów. Zaobserwowano natomiast, iż zdarza się w bankach brak analizy ryzyka operacyjnego dotyczącego kluczowych procesów – krytycznych z punktu widzenia ciągłości działania instytucji i dla realizacji strategii banku (tj. funkcjonowania departamentu skarbu, zarządzania płynnością, funkcjonowanie dealing room, zarządzanie gotówką). Brak również analiz ryzyka operacyjnego w nowych produktach, procesach i systemach, co przekładać się może na niewłaściwe ich wdrożenie i narażenie się na straty operacyjne w przyszłości.

Kolejny problem stanowi w bankach brak aktualnych i wiarygodnych danych, które są niezbędne dla prawidłowego podejmowania decyzji zarządczych. Banki zgodnie z pkt 7.6 nowej Rekomendacji M powinny gromadzić historyczne dane o zdarzeniach operacyjnych wewnątrz organizacji i w miarę możliwości o podmiotach funkcjonujących w otoczeniu banku. Tymczasem w sytuacji gdy nie posiadamy precyzyjnej i jednoznacznej definicji zdarzenia operacyjnego, nie ma ...