Zarządzanie ryzykiem: IT na straży wielkiego kapitału

Arkadiusz Braumberger

Komitet Bazylejski określa ryzyko operacyjne jako: „Ryzyko wystąpienia strat, które wynikają z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych.”

Komitet uznaje, że ryzyko operacyjne jest pojęciem, które ma wiele znaczeń. Zatem do celów wewnętrznych banki mają prawo przyjęcia własnej definicji ryzyka operacyjnego pod warunkiem, że uwzględnione są w nich minimalne elementy definicji bazylejskiej.

Definicje ujęte w Bazylei II nie obejmują ryzyka strategicznego, wynikającego z podjęcia nieudanej decyzji biznesowej. Inne warunki ryzyka postrzegane są jako potencjalne konsekwencje ryzyka operacyjnego. Na przykład ryzyko reputacji (szkoda organizacji polegająca na jej utracie) może powstać w związku z operacyjnymi niepowodzeniami, jak również w wyniku innych wydarzeń.

Oficjalna lista zdarzeń zdefiniowanych przez standard Bazylea II:

• Oszustwa wewnętrzne – sprzeniewierzenie aktywów, uchylanie się od płacenia podatków.
• Oszustwa zewnętrzne – kradzież informacji, szkoda ze strony osób trzecich, fałszerstwo.
• Zatrudnienie oraz bezpieczeństwo w miejscu pracy – dyskryminacja pracowników, odszkodowania, bezpieczeństwo i higiena pracy.
• Klienci, produkty i praktyki biznesowe – manipulacja rynku.
• Szkody w aktywach rzeczowych – klęski żywiołowe, terroryzm, wandalizm.
• Zakłócenie działalności gospodarczej i błędy systemów – narzędzia wywołujące zakłócenia, awarie oprogramowania, awarie sprzętu.
• Wykonanie transakcji, dostawa i zarządzanie procesami operacyjnymi – wprowadzanie błędów, błędy księgowe, zaniedbania skutkujące utratą aktywów klienta.

Czekając na trzęsienie ziemi

Od połowy lat 90. ub. wieku zagrożenia rynkowe i kredytowe są przedmiotem wielu dyskusji i badań. W ich wyniku instytucje finansowe dokonały znaczących postępów w zakresie identyfikacji, pomiaru i zarządzania obu tych form ryzyka. Globalizacja i liberalizacja rynków finansowych w połączeniu ze wzrostem złożoności finansowych technologii znacznie zwiększyły stopień komplikacji działalności banków. To wyjaśnia wzrastające zainteresowanie banków i nadzorców identyfikacją i pomiarem ryzyka operacyjnego. Atak terrorystyczny na World Trade Center i Pentagon 11 września 2001 r., straty Societe Generale, Barings, AIB czy Narodowego Banku Australii podkreślają fakt, że zakres zarządzania ryzykiem daleko wykracza poza rynek i ryzyko kredytowe.

Lista rodzajów zagrożeń, z jakimi borykają się dziś banki, obejmuje oszustwa, awarie systemu, terroryzm i pracownicze roszczenia o odszkodowania. Są one zaliczane zazwyczaj do ryzyka operacyjnego. Jego identyfikacja i pomiar jest prawdziwym i wyzwaniem, w szczególności od czasu decyzji Bazylejskiego Komitetu Nadzoru Bankowego (BCBS) o uwzględnieniu kapitału z tytułu tego ryzyka w Nowej umowie kapitałowej.

Bazylea II i wiele różnych organów nadzorczych poszczególnych krajów przewidziało środki ostrożności przy zarządzaniu ryzykiem operacyjnym przez banki. W celu uzupeł...