Documente online.
Zona de administrare documente. Fisierele tale
Am uitat parola x Creaza cont nou
 HomeExploreaza
upload
Upload




MODALITATI DE EVALUARE A RISCULUI OPERATIONAL IN BANCILE COMERCIALE

Finante


MODALITATI DE EVALUARE A RISCULUI OPERATIONAL IN BANCILE COMERCIALE

IDENTIFICAREA SI ASUMAREA RISCULUI OPERATIONAL IN BANCILE COMERCIALE



Pentru a controla si limita riscurile, bancile in primul rand trebuie sa devina constiente de potentialul lor. Identificand sursele de risc permite bancilor sa ia masuri de prevenire si control asupra acestora. In etapa de identificare si asumare , bancile trebuie sa ia in considerare anumiti factori pentru a identifica profilul de risc si al activitatii cum ar fi:

Tipuri de clienti, activitati si produse;

Design-ul, implementare 232e48c a proceselor;

Cultura de risc si apetitul de risc al bancii;

Politica de personal;

Mediul de afaceri in care isi desfasoara activitatea.

Urmatoarele metode s-au dovedit a fi folositoare pentru aceasta etapa:

Inventarul riscurilor;

Baza de date cu pierderile inregistrate;

Analiza proceselor;

Analiza pe baza de scenarii;

Indicatorii de risc

Impreuna cu factorii externi, baza de date cu pierderile inregistrate si analiza pe

baza de scenarii formeaza baza pentru cunatificarea si modelarea riscului operational. Cuantificarea combinata cu managementul calitatii permite imbunatatirea controlului si monitorizarii. Controlul poate fi imbunatatit daca informatiile obtinute vor fi folosite pentru calcularea si alocarea capitalului pe activitatiile bancii.

Inventarul riscurilor

Aceasta metoda folosita pentru identificarea riscurilor ia forma unor

chestionare, workshop-uri sau interviuri pentru a deternmina cauzele principale ale aparitiei riscului, pentru a le inventaria si apoi pentru a le prioritiza. Portofoliul de risc poate fi suprins de exemplu sub forma grafica ca o harta a riscurilor sau o matrice a riscurilor. In functie de scopul definirii, inventarul riscurilor poate avea diferite orientari sau abordari:

Orientarea riscului;

Controlul orientarii;

Procesul orientarii;

Scopul orientarii.

In functie de abordare, inventarul se indreapta asupra unui component si

apoi de acolo celelalte compenente deriva din identificarea componentei principale. Workshop-urile organizate pentru identificarea riscului operationale au ca tinta principala evidentiare foarte clara a acestui tip de risc. Pentru acest pas de inventariere este foarte important sa se cunoasca procesele si sa fie evaluate in mod corect. Aceste workshop-uri se vor repeta ori de cate ori este nevoie, spre exemplu ori de cate ori banca lanseaza pe piata un nou produs.

Chestionarele structurate, care pot fi distribuite pe intranet-ul bancii, ofera

avantajul capturii rapide de informatii necesare, chiar si in cazul in care vorbim de o banca multinationala cu multe unitatii.

Baza de date cu pierderile inregistrate

Aceasta baza de date este folosita pentru captare si clasificarea pierderilor

inregistrate. Colectarea sistematica a acestor date formeaza baza pentru o analiza ulterioara a acestor date si ulterior pentru controlul riscului. Calitatea modelelor de control depinde foarte mult de calitatea si consistenta datelor captate in aceasta baza de date.

Studiile referitoare la impactul cantitativ efectuate in procesul care a dus la Basel II, ne-au aratat ca pierderiile sunt concentrate in jurul unor combinatii de evenimente si linii de activitati bancare. Baza de date pentru captarea acestor evenimente se poate prezenta ca o simpla lista in care se enumera tipurile de pierderi, suma inregistrtata, departamentul in care au avut loc aceste pierderi, data inregistrarii, data rezolvarii etc. Dar aceasta modalitate de lista isi arata limitele atunci cind este vorba de o organizatie mai mare, cand trebuie captate date de la diverse entitati . Ca urmare aceste banci mari folosesc baze de date pentru captarea evenimentelor de aceasta natura asignate pe departamente, urmand ca acestea sa fie apoi colectate la nivel de centrala. Datele inregistrate in aceasta baza pot fi cele pe care banca le considera necesare pentru a-si analiza activitatea sau sunt date care urmeaza un anumit standard propus de institutiile de control. Este foarte important sa nu existe inregistrari duplicat, sa existe proceduri bine definite de captare a acestor date.

Analiza proceselor

Identificarea proceselor in intreaga organizatie este foarte importanta pentru a

aloca pierderile pe procese si a determina riscul la nivel de proces. Este recomandat sa se identifice pentru inceput procesele care sunt expuse la maxim riscului operational si apoi sa se execute o prioritizare a lor.  Analiza proceselor este o procedura care necesita mult efort si multa munca, este nevoie ca aceste procese sa fie revizuite la intervale scurte de timp deoarece bancile lanseaza produse si servicii intr-un ritm ametitor. Analiza proceselor este o metoda indispensabila pentru managementul riscului operational pentru ca procesele de business reprezinta sursa principala a numeroaselor pierderi operationale.

Analiza pe baza de scenarii

Acest pas este obligatoriu pentru abordarea avansata, si are ca scop identificarea

posibilelor riscuri cu impact foarte mare dar care pana in momentul de fata nu au aparut in banca. Fata de baza de date pentru captarea evenimentelor trecute, aceasta metoda pune accentul pe riscurile operationale viitoare. Exista o stransa legatura intre analiza pe baza de scenarii si stress test-urile pentru ca pe baza datelor obtinute din aceaste scenarii se poate trece la aceste teste.

Aceste scenarii pot fi definite, de exemplu, in intreaga organizatie cu factori de risc care vor fi relevanti pentru fiecare divizie, departament in parte. Obiectivele analizei pe baza de scenarii are aspecte cantitative si calitative:

Aspecte cantitative:

o       Datele folosite pentru calcularea riscului de capital;

o       Baza pentru folosirea stress testelor

Aspecte calitative:

o       Identificarea slabiciunilor bancii;

o       Idei pentru optimizarea proceselor;

o       Identificarea riscurilor in faze primare

Analizele pe baza de scenarii folosesc abordarile „top-down” sau „bottom-up”. In

abordarea „top-down”, managerii identifica posibilele evenimente de pierderi operationale din activitatiile de zi de zi ale bancii. Abordarea „bottom-up” poate incepe cu o analiza detaliata a proceselor, asumarea riscului si asignarea probabilitatii si severitatea pierderii pentru posibile evenimente. Marile banci folosesc abordarea „top-down”.

Un exemplu de scenariu, este cel de mai jos, Figura.5, „scenario funnel” (scenariul palnie), care ne arata intinderea scenariilor si spectrul de situatii de conceput in viitor care se intind sub influenta incidentelor si a interventiei asupra lor de-a lungul timpului.

Fig.5 Posibila turnura pe care o poate lua un incident ca urmare a interventiei asupra lui - autorul

Indicatorii de risc (Key risk indicators)

Acesti indicatori trimit informatii referitoare la riscul unei viitoare potentiale

pierderi, identifica ariile cu riscuri relevante si masurile indicate pentru controlul riscului. Acesti indicatori pot fi folositi pentru a intervenii pe diferite linii de activitate in functie de trend, si pot fi folositi de exemplu pe diferite culori in care sa arate starea la un anumit moment referitoare la un anumit eveniment. Exemple de indicatori de risc:

Rata de fluctuatie a personalului;

Orele suplimentare;

Numarul si durata caderilor de sistem;

Frecventa reclamatiilor;

Numarul de conturi introduse gresit in aplicatie

In plus fata de acesti indicatori de risc, mai sunt mentionati si urmatorii indicatori:

Indicatori de control (Key Control Indicators)

Indicatori de performanta (Key Performance Indicators)

Indicatori de management (Key Management Indicators)

MASURAREA SI CONTROLUL RISCULUI OPERATIONAL IN BANCILE COMERCIALE

In acest capitol voi incerca o analiza a riscurilor operationale provenite din infrastructura, informatica, procese, angajati si evenimente externe cat si masurile generale si cele specfice pentru fiecare categorie in parte.

Riscurile provenite din infrastructura

Cum riscurile provenite din infrastructura sunt foarte variate si depind de specificul fiecarei banci in parte in continuare voi prezenta cele mai importante dintre ele si care sunt comune majoritatii institutiilor bancare.

Riscurile provenit din accesul neautorizat este unul dintre cele mai

raspandite si ne referim aici la accesul atat in cladire cat si in incercarea de a obtine acces la datele din aplicatiile bancii.

Caderea energiei in cladirea bancii duce la lipsa de comunicatie a

echipamentelor si are un impact negativ major asupra derularii activitatii bancii mai ales in cazurile in care aceasta persista;

Probleme legate de serviciile de telecomunicatie. Aceasta problema a

afecteaza in primul rand acele departamente care folosesc aceste servicii pentru derularea activitatii zilnice, de exemplu departamentele de Dealing, Trezorerie;

Din informatiile prezentate mai sus putem spune ca analiza riscurilor si a amenintarilor est punctul de inceput pentru toate masurile de control asupra riscurilor aparute. Un set de masuri pentru aceste riscuri legate de infrastructura trebuie sa raspunda la urmatorul set de intrebari:

Cum sunt responsabilitatiile atribuite in banca? Daca, competentele sunt

dispersate, masurile de control trebuie sa cuprinda toate ariile, iar timpul de procesare creste foarte mult;

Exista proceduri clare pentru mentinerea si innoirea infrastructurii? Acest

lucru este deosebit de important pentru infrastructura de securitate pentru a se asigura pe de-o parte ca ce exista nu reprezinta un risc, iar riscurile noi pot fi prinse din timp;

Exista resurse si acces la informatie disponibil? Pe langa livrarea

materialelor necesare desfasurarii activitatii, banca trebuie sa se asigure ca personalul cheie are acces la training adecvat pentru probleme care pot aparea in urma unor evenimente neplacute (incediu, cutremur etc);

Datorita dependentei numeroaselor procese IT care trebuie sa sustina activitatea bancara in continuare voi prezenta un set de masuri necesar pentru a raspunde cu succes problemelor aparute:

Masurile pentru continuare a activitatii (Business Continuity Plan) se

asigura ca in momentul in care sistemul IT devine nefunctional banca poate fi trecuta pe un sistem de rezerva sau pe unul temporar. In acest scop au fost recomandate cateva variante posibile[2]:

o       Sistemele de backup sunt folosite doar cand este necesar: este cea mai simpla dar si cea mai inceata varianta;

o       Serverele lucreaza impreuna (cluster group) astfel incat in momentul in care unul dintre ele devine inoperabil celelalte preiau activitatea.

Recuperare in caz de dezastru (Disaster recovery) se refera la faptul de a

mentine operatiunile critice pentru banca sa poata fi procesate in cazul in care are loc un dezastru natural. In functie de volumul si complexitatea activitatii de business a bancii si a sistemelor IT folosite, cateva solutii sunt posibile cum ar fi:

o       Contracte cu un furnizor extern pentru livrarea de echipamente

in cazul unui eveniment este cea mai simpla solutie, dar trebuie sa se asigure de faptul ca procedura de transfer de date este foarte bine pusa la punct si poate fi transferata fara riscuri pe un sistem de backup. Mai mult de atat aceasta procedura este consumatoare de timp in cazuri de urgenta si trebuie luat in calcul acest inconvenient in momentul in care se alege aceasta metoda. Aceasta solutie este considerata sursa de risc provenit din outsourcing.

o       Folosirea mediului de test al bancii ca si solutie de backup este

o alternativa in cazul in care aceste medii au capacitatea necesara, aceste medii de test oricum funtioneaza pe servere separate. Este o metoda foarte rar folosita, deoarece la fiecare sfarsit de zi banca este nevoita sa-si salveze datele de pe fiecare sistem;

o       Stabilirea unui centru de backup al bancii – este solutia cea mai

scumpa dar si cea mai folosita si cea mai sigura. Pe langa faptul ca este un centru de bakup folosit in situatii de criza, acesta este un centru in care se poate lucra in paralel astfel incat in momentul in care unul din ele devine indisponibil activtatea se poate continua in celalalt centru.

Sursa neintrerupta de furnizare a energiei (Uninterruptible power supply

UPS) este deasemenea folosita in cazul in care alimentare cu energie cade. Acestea trebuie sa fie folosite inclusiv la computerele utilizatorilor ( daca nu este posibil la absolut toti utilizatorii trebuie sa fie la un numar cat mai mare din diferite compartimente ale bancii);

Salvarea periodica a datelor este de o importanta majora deoarece o parte

foarte mare din activitatea bancara se bazeaza pe aceste date datorita cresterii rapide a tehnologiei. De aceea trebuie luate masuri de siguranta pentru a evita pierderea datelor prin planificarea acestor salvari.

Riscurile provenite din infrastructura pot fi controlate prin asigurarea echipamentelor, dar exista si asigurari cu specific cum ar fi asigurarea in caz de intrerupere a activitatii. In acest caz trebuie prezentate pierderile inregistrate pentru a primi despagubirea.

Riscurile informatice

Activitatea informatica are un rol din ce in ce mai mare asupra activitatii bancii, ajuta la procesarea tranzactiilor, dar este si o importanta sursa de risc operational. Diferenta majora intre riscurile prezentate anterior si cele informatice este ca aici ne referim la ceva intangibil, cum ar fi software-ul, iar riscurile sunt urmatoarele:

Calitatea inadecvata a soft-ului folosit. Acest caz nu se refera doar la soft-

urile personalizate pentru anumite banci ci si la cele care sunt implementate standard dar datorita unor probleme duc la pierderi mari. Cele mai serioase probleme nu sunt doar cele care duc la pierderea datelor din sistem ci cele care duc la caderea completa a aplicatiei si cauzeaza pierderi mari pana cand sistemul va fi functional din nou.

Securitatea IT se manifesta prin accesul neautorizat la sistemul bancii de

catre terti, de catre personalul bancii sau virusii informatici ca urmare a a utilizarii resurselor informatice a bancii in scopuri personale.

Fig.6 Aspecte ale riscului informatic – prelucrare autor

Toate riscurile pot sa creasca dramatic in importanta datorita deficientelor in politica de securitate a bancii respective. De exemplu administrarea neglijenta a parolelor sau a drepturilor duce la apartia unor probleme serioase. Situatia riscurilor din domeniul IT devine si mai serioasa cand managementul bancii externalizeaza acest serviciu, iar aceste riscuri sunt specifice domeniului IT:

riscul provenit din partea provider-ului de solutii informatice poate lua

proportii majore datorita dependentei IT de numeroase procese care au fos externalizate. Daca provider-ul extern nu-si mai poate desfasura activitatea duce la inoperabilitatea sistemului si incapacitatea bancii de a-si mai desfasura activitatea;

riscul juridic provine din neclaritatile contractuale cu partea externa in

care nu sunt specificate foarte clar indatoririle pe care trebuie sa le aiba fiecare parte, mai ales care sunt timpii minimi de raspuns cand este vorba de inoperabilitatea sistemului, procentajul de disponibilitate a aplicatiei pe timpul de lucru a bancii, mentenanta si suportul oferit;

odata cu aplicatia livrata banca trebuie sa se asigure de tot suportul

furnizorului extern pentru a beneficia de training privind folosirea aplicatiei. De obicei in contractele cu furnizorii de soft se mentioneza deschiderea unei cutii de valorii in care se tin codurile sursa ale aplicatiei furnizate iar in cazul in care firma frunizoare dispare de pe piata toate drepturile de folosire aplicatiei revin cumparatorului;

3 Procesele de business

Cand se studiaza riscul rezultat din procesele de business, primul pas este sa facem o distinctie intre cazurile in care riscul nu se datoreaza dezvoltarii proceselor respective ci a persoanelor care folosesc aceste procese. Astfel exista procese cu greseli la nivel de design incumba un grad ridicat de risc operational. Aceste cazuri se regasesc in acele domenii in care aceste procese au fost construite fara o procedura definita in prealabil.Aceasta problema poate imbraca diverse forme:

procese fara o definire clara, de exemplu a fost pierdut foarte mult timp la documentatia lui;

procese care au nu au mai fost revizuite si exista diferente majore intre ele si ce se lucreaza in practica;

cazuri extreme in care documentatia pentru procese lipseste cu desavarsire.

In toate aceste cazuri, exista un risc de crestere a frecventei erorilor, in special cand noi angajati sunt asignati pe aceste procese si nu exista o documentatie adecvata iar acest lucru face ca acest proces sa devina unul dificil. Cele mai bune metode de control a acestor riscuri ar putea fi urmatoarele:

control paralel – dupa fiecare faza testata dintr-un proces trebuie

verificat rezultatul;

control aleatoriu – control al rezultatului la diferite momente ale

derularii procesului;

consistenta datelor – verificarea consistentei datelor in urma derularii

unui anumit proces.

4 Riscul de personal

Riscul acesta include toate domeniile de activitate ale bancii in care factorul uman isi pune amprenta, si reprezinta sursa principala de risc. Actiunile persoanelor care nu sunt angajate in banca respectiva sunt considerate influente externe, iar ele vor fi considerate surse de risc operational extern (vezi subcap.5). Numai acele actiuni in urma carora se detecteaza o greseala sau o actiune deliberata a unei persoane angajate care duce la aparitia unui eveniment produs de o persoana externa vor fi luate in calcul in acest subcapitol.

Fig.7 Aspecte legate de riscul de personal –prelucrare autor

Riscurile principale din aceasta categorie dupa cum se disting din Fig.7 sunt:

riscurile datorate actelor criminale ale angajatiilor, acte comise cu

intentia pentru un castig personal si/sau sa cauzeze erori. Cele mai importante acte criminale sunt: deturnare de fonduri, frauda, coruptie, manipularea sistemelor IT, furt de date;

erorile se datoreaza lipsei de training, necunosterii aplicatiei sau pur si

simpla din rea vointa;

riscul cauzat din insuficienta resurselor umane se datoreaza faptului

supraincarcarii personalului existent si se mai poate datora dezvoltarii activitatii fara a mai aduce personal sau a reducerii costurilor;

riscul de management chiar daca este la fel ca si cel pentru orice

angajat este tratat separat deoarece impactul pe care il are este mult mai mare.

O metoda de control foarte folosita este aceea a culturii organizationale, ceea ce inseamna o metoda constructiva de a corecta erorile aparute. O cultura organizationala poate reduce riscul de fraude deliberate doar daca principiile de etica in afaceri nu sunt doar scris ci si puse in practica. Alte componente mai sunt metodele de control care au ca scop detectarea timpurie a erorilor si includ:

stabilirea unor pasi de control si aprobare in procesele de business;

documentatie pentru diferite actiuni sau tranzactii pentru a putea fi

vizualizate pe viitor (de exemplu log-uri in care sa se inregistreze modificari diferite din sistem);

metode legate de cultura orgnizationala, segregarea functiilor pentru a

preveni cazurile in care o persoana se supervizeaza pe ea insasi.

5 Evenimente externe

Aceste riscuri se refera la pagube cauzate de elementele naturii sau elemente de vandalism. Aceste riscuri chiar daca au o probabilitate minora de a aparea sun totusi luate in calcul. Ca metode de control si contracarare a acestor tipuri de riscuri avem:

cunoasterea clientelei;

solutii IT de control;

servicii de securitate.

Fig.8 Formele riscului juridic – prelucrare autor

Din toate riscurile enumerate mai sus la sfarsit deriva riscul juridic (Fig.8) o

forma de risc care nu este bine definita de Comitetul de la Basel ci doar enumerata si prezentata ca un efect al riscului operational.

Acest risc provine din urmatoarele:

contracte incomplete si clauze neclare;

neindeplinirea obiectivelor contractuale de catre furnizorul extern;

In concluzie pentru un control eficient si o acoperire cat mai buna in fata riscului

operational bancile trebuie sa-si defineasca procesele, contractele in mod cat mai eficient sa nu existe lacune in documentatii, o politica de personal cat mai eficienta, iar in ceea ce priveste departamentul de informatica sa investeasca si sa-si mentina infrastructura si aplicatiile la un nivel cat mai ridicat.



Acesti doi pasi sunt adesea combinati deoarece in practica metodele folosite sunt relevante pentru amandoi

Verstaen, Business Continuity, 2003


Document Info


Accesari: 3209
Apreciat: hand-up

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site


in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare




Copyright © Contact (SCRIGROUP Int. 2024 )