Bank Rozrachunków Międzynarodowych rozpoczął konsultacje ws. ryzyk operacyjnych dla banków po COVID-19

Komentarze ekspertów / Prawo i regulacje

Bank Rozrachunków Międzynarodowych / BIS
Fot. stock.adobe.com / piter2121

Postępująca i dynamiczna cyfryzacja, częściowo wywołana pandemią COVID-19 pokazała, jak istotne w działalności instytucji regulowanych jest zapewnienie odpowiedniego poziomu bezpieczeństwa teleinformatycznego (ICT). Na ten aspekt wskazywała EBA w swoich komunikatach, a UKNF podkreślił, że będzie to jeden z kluczowych obszarów badanych w ramach BION. Dostrzegając powagę sytuacji, Bank Rozliczeń Międzynarodowych rozpoczął konsultacje w zakresie „Revisions to the principles for the sound management of operational risk”, które potrwają do 6 listopada. Przyjrzyjmy się temu, co proponuje nam Bazylea, przy czym wybrałem niektóre z zasad, a jest ich 12 ‒ pisze w swoim komentarzu Michał Nowakowski.

#MichałNowakowski: #BIS proponuje tutaj, aby wszelkie publiczne komunikaty w zakresie #OpRisk były przejrzyste, i by umożliwiały wszystkim zainteresowanym dokonanie oceny co do poziomu #RyzykoOperacyjne #Banki #COVID19 @FinregtechPL

Mamy tutaj oczywiście zapewnienie o zasadzie proporcjonalności, a więc przy wdrażaniu rozwiązań powinniśmy zawsze uwzględniać naturę, skalę czy profil ryzyka danej działalności i tak dostosowywać nasze rozwiązanie, aby były one do tego dopasowane.

Czym jest ryzyko operacyjne i jak wpływa na działalność banków?

Klasyczna definicja ryzyka operacyjnego (abstrahuję tutaj np. od wytycznych EBA w sprawie ryzyk operacyjnych) opisuje, że jest to ryzyko straty wynikające z niewłaściwego lub nieudanego działania wewnętrznych procesów, błędów ludzkich i systemowych, a także czynników zewnętrznych.

Można śmiało napisać, że ten rodzaj ryzyka jest immanentną częścią działalności bankowej, choć i szerzej – finansowej, bo tam gdzie pieniądze, tam i pokusa nadużycia (cyberbezpieczeństwo), ale i podatność na błędy w działaniu infrastruktury IT czy inne zagrożenia.

Dlatego też tak ważne jest zapewnienie, że ryzyko operacyjne jest odpowiednio zarządzane, czyli identyfikowane, minimalizowane lub eliminowane, a jego skutki – w razie wystąpienia – usuwane w myśl zasady „lesson learned”. Oczywiście mamy tutaj również etapy „pośrednie” – jak mierze poziomu ekspozycji na ryzyko czy prawdopodobieństwo wystąpienia.

BIS zwraca w swoim projekcie uwagę, że odpowiedzialność za to w dużej mierze bierze na siebie zarząd i rada nadzorcza. Tym bardziej, że mamy przecież coś takiego jak ryzyko reputacyjne.

Kto zarządza ryzykiem operacyjnym?

Co do zasady będzie to niezależna jednostka odpowiedzialna za zarządzanie ryzykiem operacyjnym. Zgodnie z naszym rozporządzeniem w sprawie m.in. kontroli wewnętrznej zarządzanie ryzykiem w działalności operacyjnej banku ‒ to pierwszy poziom (par. 3 ust. 2).

To na co wskazuje BIS to kilka zasad, które powinny być realizowane w banku w odniesieniu do każdego z poziomów (linii) kontroli wewnętrznej. Chodzi tutaj oczywiście o odpowiednie zasoby (budżet, pracownicy), przejrzystość organizacyjną, szkolenia czy współpracę (komunikacja) z pozostałymi poziomami. To w zasadzie nic nowego.

Znalazło to częściowo odzwierciedlenie w zasadzie 7, która nakazuje organom wykonawczym, aby te zapewniały należyte zasoby pozwalające na efektywną wymianę informacji pomiędzy wszystkimi liniami obrony, w tym w zakresie tzw. change management. Podobne wymagania stawia EBA w swoich wytycznych.

Czytaj także: Prawo do błędu a regulacje. Transformacja cyfrowa w sektorze finansowym w praktyce

Zasady, zasady

Propozycja BIS zakłada, że przede wszystkim rada nadzorcza lub jej odpowiednik powinni odpowiadać za ustanowienie silnego systemu zarządzania ryzykiem i kultury, która następnie jest realizowana przez organy wykonawcze (podobnie we wspomnianym rozporządzeniu – par. 6).

Rada będzie też odpowiadać za nadzór nad realizacją całokształtu polityk i procedur w tym zakresie (zasada 1 i 3) przez organy wykonawcze (zasada 5) na wszystkich poziomach (produkty, działania czy procesy i systemy).

Rada, ale już wspólnie z zarządem, powinna stworzyć takie zasady i zachęty, aby działalność banku, czy może precyzyjniej ‒ zatrudnionych w nim osób, nie zagrażała w żaden sposób działalności banku. Może się to odbywać przede wszystkim poprzez treningi (w tym w zakresie etyki), ale nie zapominajmy, że kluczowe będzie też podejście top-down. W końcu przykład idzie z góry.

Musimy być zgodni!

W każdym calu. Zgodnie z zasadą 9 działalność banku (i jego organizacja) powinny być tak zaprojektowane, aby mógł on prowadzić swoją działalność operacyjną efektywnie i zgodnie z prawem i regulacjami. Mocny i efektywny system kontroli wewnętrznej będzie się więc składał z czterech elementów: oceny ryzyka, działalności kontrolnej, informacji i komunikacji oraz monitoringu.

Czytaj także: Jest konkretna propozycja unijnej regulacji dot. odpowiedzialności sztucznej inteligencji

No i mamy miejsce na RegTech

A to mnie zawsze cieszy. BIS wskazuje w projekcie, że procesy kontrolne powinny mieć zapewniony system weryfikowania zgodności z procedurami, regulacjami i prawem.

Bank pokusił się nawet o zaproponowanie przykładowej listy „policy compliance assessment”, która zawiera m.in. takie wymagania, jak regularne weryfikowanie progresu w zakresie realizacji założeń i odpowiednie weryfikowanie regulacyjnego compliance, ale także śledzenie wszelkich odstępstw i zgód warunkowych w zakresie braku pełnego compliance.

To szalenie ważne, a RegTech może tutaj zdecydowanie pomóc.

I tutaj krótki cytat: Effective use and sound implementation of technology can contribute to the control environment. For example, automated processes are less prone to error than manual processes. However, automated processes introduce risks that must be addressed through sound technology governance and infrastructure risk management programmes.

Ktoś ma jeszcze jakieś wątpliwości co do automatyzacji?

Czytaj także: Jakie bariery hamują wykorzystanie innowacyjnych rozwiązań RegTech?

ICT bardzo ważne

W zasadzie numer 10 mamy wyraźne wskazanie, że banki muszą zapewnić odpowiednio odporne systemy teleinformatyczne i to w sposób dostosowany do profilu ryzyka. Infrastruktura musi być testowana, ulepszana, a informacje o jej funkcjonowaniu muszą być w należyty sposób zabezpieczone i udostępniane.

Wszystko to powinno podlegać regularnemu przeglądowi rady, jak i zarządu. Częścią tego zadania jest też tzw. Business Continuity Process, czyli zapewnienie ciągłości działania.

Ujawniamy ryzyka (disclosures)

Zasada 12 zwróciła moją uwagę. BIS proponuje tutaj, aby wszelkie publiczne komunikaty w zakresie OpRisk były przejrzyste, i by umożliwiały wszystkim zainteresowanym dokonanie oceny co do poziomu ryzyka operacyjnego. Oczywiście z zachowaniem zdrowego rozsądku, czyli bez przekazywania np. unaddressed control vulnerabilities.

Bank wskazuje tutaj także, że w banku powinna być przyjęta polityka ujawniania przyjmowana i przeglądana przez organy wewnętrzne. Może ona zawierać m.in. takie informacje jak „to, co bank chce ujawnić w zakresie ryzyka operacyjnego”.

I na koniec rola nadzorcy. BIS oczywiście podkreśla, że regulatorzy powinny systematycznie dokonywać oceny systemu zarządzania ryzykiem.

Bank rekomenduje tutaj, aby ocenie podlegały wszystkie elementy wskazane w projektowanym dokumencie (dla grup kapitałowych – dodatkowo jak działa to na poziomie „skonsolidowanym”).

Michał Nowakowski
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
Źródło: FinregtechPl
Udostępnij artykuł: