Prezentacja: Zarządzanie obszarem ryzyka operacyjnego fundamentem bezpieczeństwa

NBS 2011/05

Z Aliną Wieloch przewodniczącą komitetu Zarządzania Obszarem Ryzyka Operacyjnego (ZORO) przy Związku Banków Polskich rozmawiał Maciej Małek.

Z Aliną Wieloch przewodniczącą komitetu Zarządzania Obszarem Ryzyka Operacyjnego (ZORO) przy Związku Banków Polskich rozmawiał Maciej Małek.

Co legło u podstaw powołania do życia systemu ZORO?

- Problem ryzyka i zarządzania nim jest tak stary jak ekonomia, z którą pozostaje nierozerwalnie związany. Z chwilą wejścia w życie Nowej Umowy Kapitałowej, pojawienia się Rekomendacji M i kolejnych dokumentów oraz publikacji, które edytowano na rynku polskim i europejskim, należało podjąć próbę zmierzenia się z problemem ryzyka operacyjnego i zarządzania nim w pełnym wymiarze. Do początku obecnej dekady ryzyko operacyjne pozostawało niedookreślone, bo brakowało precyzyjnej definicji. Wiedzieliśmy, czym jest ryzyko rynkowe i kredytowe. Ale kolejne incydenty pojawiające się w Europie, Japonii, Stanach Zjednoczonych i Hongkongu nauczyły nas, że takie pojęcia jak ryzyko rynkowe i kredytowe nie odpowiedzą nam na wszystkie pytania związane z przyczynami stale nasilających się zjawisk.

Czy ma Pani na myśli pytania na poziomie diagnozy?

- Sądzę, że tak. Ponieważ na ryzyko operacyjne wpływają czynniki zarówno wewnętrzne, jak i zewnętrzne, ludzie, systemy, procedury i procesy funkcjonujące w danej organizacji. To powody do poszukiwania źródeł zjawisk i lokalizowania miejsc, gdzie wystąpiły.

Pytamy zatem o przyczyny incydentów i zdarzeń?

- Doniesienia medialne z reguły docierają po fakcie i nie zawierają szczegółowych informacji o modus operandi zdarzenia czy wysokości poniesionej straty. Musimy nabyć umiejętności rozpoznawania wczesnych objawów zagrożeń i w porę diagnozować zachodzące procesy. Swoistym sygnałem o tym, co się dzieje na rynku, próbą podsumowania istniejącego stanu rzeczy i rodzajem mapy drogowej zmierzającej do zdiagnozowania i wyszczególnienia sposobów eliminacji niekorzystnych zjawisk w polskim sektorze bankowym była Rekomendacja M. Pytanie więc brzmi, jak zarządzamy ryzykiem operacyjnym i co do niego należy? Przywołana rekomendacja wskazała na konkretne elementy, dowodząc w sposób wyraźny, że konieczne jest prowadzenie zbioru dotyczącego zdarzeń ryzyka operacyjnego i analizowanie zjawisk mających miejsce na szerzej rozumianym rynku, tj. w instytucjach o podobnym profilu, np. u konkurencji.

Skąd uzyskiwać wiarygodne dane o występujących zagrożeniach?

- To problem o podstawowym znaczeniu, który legł u podstaw budowy istniejącego systemu. Enuncjacje prasowe i portale internetowe nie dają bowiem odpowiedzi na pytanie o rzeczywiste źródła i przyczyny opisanych zjawisk i zdarzeń. Nie mówiąc o faktycznych rozmiarach strat, przebiegu konkretnych procesów, wreszcie zagrożeniach dla naszej instytucji. Wydaje się kluczowa odpowiedź na pytanie, jakiego procesu, produktu, linii biznesowej sprawa dotyczyła.

Jaką to stwarza perspektywę dla budowania systemu, jakie wyzwania stawia przed autorami projektu?

- Obok wymienionych determinantów mamy również do czynienia z koniecznością pozyskania informacji służącej do budowy modeli na ryzyko operacyjne dla wyliczania wymogów kapitałowych. Możliwość prawidłowej, zgodnej z metodologią budowy modeli warunkowana jest posługiwaniem się informacją o zdarzeniach, szczególnie ważne dla celów modelowania zdarzenia z tzw. ogona rozkładu. Źródłem informacji jest rynek.

Czy zatem warunkiem budowy systemu był dostęp do niezbędnych danych, co z kolei wiązało się z koniecznością zapewnienia ochrony źródłom?

- Założeniem przy budowie bazy było zapewnienie odpersonalizowania i anonimowość systemu ZORO. Brak możliwości zidentyfikowania konkretnego podmiotu, którego dane zdarzenie na rynku dotyczyło. Istotą funkcjonowania bazy jest bowiem wiedza o zagrożeniach i możliwych skutkach dla kondycji, wizerunku i reputacji instytucji finansowej.

Jak to osiągnięto?

- Dla zapewnienia anonimowości została powołana zaufana strona trzecia. Jej udział sprawia, że administrator zawiadujący bazą nie może przypisać instytucji ani osób, które informację do bazy wprowadziły, do poszczególnych zdarzeń. Zarządzanie użytkownikami i nadawanie certyfikatów bezpieczeństwa odbywa się w innym miejscu niż weryfikowanie prawidłowości wypełnienia informacji w bazie danych i zarządzanie nią. Ważne jest również to, że uczestnikom systemu zapewniono możliwość komunikowania się w zakresie konkretnych zdarzeń. Istnieje bowiem możliwość zgłoszenia uwag o jakości danych zamieszczanych w poszczególnych rekordach. Przekazanie takiego komunikatu do adresata następuje za pośrednictwem administratora, co wyklucza możliwość bezpośredniej komunikacji samych zainteresowanych.

Od kiedy obowiązują takie zasady?

- Zasada anonimowości obowiązuje od samego początku istnienie bazy, a uczestnicy systemu przystępowali do niego w różnym czasie. Od początku jego funkcjonowania przyjęliśmy założenie, że od momentu przystąpienia do ZORO uczestnik przedstawia informację w trybie miesięcznym w odniesieniu do zdarzeń, które miały u niego miejsce. Jednocześnie dokonuje aktualizacji spraw wcześniej zgłoszonych przez siebie, by każda informacja była aktualna i rzetelna w danym momencie. Uczestnicy systemu zobligowali się do udostępniania informacji o charakterze historycznym pochodzącym z ich wewnętrznych baz danych. Zakres danych z przeszłości jest uzgadniany podczas podpisywania umowy. Ale zdarzyło się, że kilka podmiotów na rynku miało bazy wewnętrzne nieco "uboższe" i nie mogło przedstawić pełnych danych historycznych.

Czemu to ma służyć?

- W pierwszym rzędzie zapewnia to szerszą podstawę do analizy, niż ta, która jest bezpośrednim efektem momentu przystąpienia uczestnika do systemu. Tym samym wykonane analizy pozwalają bankom precyzyjnie oszacować ryzyka operacyjne na podstawie danych w ujęciu historycznym.

Na ile banki włączyły się w system?

- To proces, którego dynamika wykazuje tendencję wzrostową. Dane te ze swej istoty są poufne, niemniej w połowie sierpnia 2010 r. było 14 uczestników systemu ZORO.

Czy system wypełnia założenia i funkcje, które zdecydowały o jego stworzeniu, jak przyjęte procedury wpłynęły na koszt jego funkcjonowania?

- Przy podejmowaniu decyzji o sposobie tworzenia bazy systemu grupa robocza tworząca jego założenia musiała się zmierzyć z problemem pozyskania danych, przy jednoczesnym zapewnieniu anonimowości źródłom ich pochodzenia. To warunek swobodnego dzielenia się rzetelnymi informacjami o zdarzeniach mających miejsce w poszczególnych podmiotach. Oznaczało to konieczność oszacowania kosztów budowy takiego systemu. Zadanie nie miało, gdy idzie o bazy tworzone przy Związku Banków Polskich, precedensu. Było to pierwsze w polskich realiach przedsięwzięcie, które będąc otwarte dla uczestników rynku, gwarantowało dostęp do danych zewnętrznych z zachowaniem anonimowości.

Jak zatem ustalano kryteria budowy tego pionierskiego w naszych warunkach rozwiązania?

- Brak było odpowiednika, który można by wprost przenieść i wdrożyć na naszym gruncie. Kwestia kosztów nie była decydująca, gdy chodziło o gromadzenie danych przydatnych do prowadzenia badań statystycznych, ale również do codziennego użytku, np. budowania scenariuszy, analizy ryzyk występujących na rynku, także w kontekście kosztów ubezpieczenia instytucji finansowej z zastosowaniem przeniesienia konkretnych ryzyk na rynek ubezpieczeniowy, na które możemy być narażeni. Nie chodzi przy tym wyłącznie o sekurytyzację aktywów, ale dajmy na to ubezpieczenie odpowiedzialności cywilnej, majątku banku czy polis typu BBB czy D&O, które można rozszerzyć o ryzyka, o których wiemy, że gdzieś na rynku już miały miejsce i się zmaterializowały w postaci zdarzenia.

Jak ocenić przydatność systemu dla prognozowania nowych, nierozpoznanych zagrożeń?

- Raporty uzyskiwane z bazy danych systemu ZORO są przydatne w obrębie procedur przygotowywania projektów, planowania zmian w ramach danej instytucji finansowej, w procesie samooceny ryzyka i kontroli. Informacje o zdarzeniach własnych i mających miejsce w sektorze sprawdzają się znakomicie w ramach zarządzania procesowego. Pozwala to przewidywać kierunki, w których powinniśmy prowadzić dalsze działania.

W obecnych warunkach zarządzanie ryzykiem dotyczy również zadań zlecanych w ramach outsourcingu podmiotom zewnętrznym...

- Jest rzeczą bezsporną, że niezależnie od tego, w jakiej formie będziemy realizowali naszą działalność, ciężar zapewnienia bezpieczeństwa podjętych zadań spoczywa na instytucji finansowej, bez względu na to, kto i w jakim zakresie jest outsourcerem.

Na ile systemy funkcjonujące w innych krajach podpowiadają rozwiązania?

- W odniesieniu do gospodarki jako całości, ale także w sektorze bankowym, udało nam się skutkiem okoliczności zewnętrznych pominąć pewne stadia rozwoju, dodajmy od razu, że z dobrym dla efektów owego rozwoju skutkiem. Korzystając z doświadczeń Amerykanów przeskoczyliśmy etap obrotu czekowego, które się nigdy u nas szeroko nie upowszechnił do obrotu bezgotówkowego, czyli "plastiku", tak dziś wszechobecnego w naszych portfelach. Podobnie było w odniesieniu do systemu ZORO. Dopracowaliśmy się własnego oryginalnego rozwiązania, gdzie gwarancja anonimowości stanowi o jego sile, eliminując bariery w dostępie do informacji. Co więcej opracowanie informacji dla potrzeb ZORO nie generuje dodatkowych skomplikowanych procedur po stronie uczestnika systemu, bo informacje są porównywalne do tych opracowywanych na użytek instytucji nadzorczych bądź spółek matek (mowa o ryzyku operacyjnym).

Co jeszcze decyduje o zaletach i przydatności systemu?

- Dobrowolny charakter przystąpienia do projektu. Koszty uczestnictwa w systemie i cena opłaconego abonamentu są niewspółmiernie niskie wobec korzyści wynikających z unikania zagrożeń, racjonalizowania wydatków na ubezpieczenia, poprawy reputacji, wizerunku, wreszcie wyników finansowych. W czasach, gdy każdą wydatkowaną złotówkę oglądamy dwa razy, nabiera to dodatkowego znaczenia.. To wartość dodana.

 

Udostpnij artyku: