A működésikockázat-kezelés tapasztalatai az MNB-ben Elmélet a gyakorlatban dr. Rajczy Péter, Temesvári Márta PRMIA Budapest 2005. december 7.
Működésikockázat-kezelés és a jegybank
stabilitás
kockázatkezelés költséghatékony kockázatmérséklés
tartalékképzés átfogó kép az intézményi kockázatokról
monitoring
cél: megalapozott kockázatkezelés, auditterv orientálása, tapasztalatszerzés
OpRisk unit
szisztematikus riportolás
biztonsági tartalék
rendszerszerű kockázatfelmérés keretek, modell meghatározása, felmérések végrehajtása
audit 2 2005.12.07.
dr.Rajczy Péter – Temesvári Márta
Definíció – alap: Basel II Működési kockázat – az emberek szándékosságából vagy hanyagságából, – a munkafolyamatok hibás lebonyolítási eljárásából, – rendszerek, lényeges erőforrások hibájából, kieséséből, – fizikai károsodást okozó külső eseményekből fakadó károk veszélye, beleértve a jogszabálysértésből adódó, de ide nem értve a stratégiai, illetve reputációs kárveszélyt (Pozitív kimenetel is lehet, de jelen rendszerünkben nem cél erre összpontosítani)
2005.12.07.
Jogi kockázat – nem elkülönült kockázat Reputáció (hírnév) = kockázatnak kitett érték dr. Rajczy Péter - Temesvári Márta
3
Kockázat – kezelés – felmérés összefüggései Működési kockázatok
kockázatok azonosítása
Emberekkel kapcsolatos kockázatok
Eljárásokkal kapcsolatos kockázatok
Külső eseményekkel kapcs. kock
Rendszerekkel kapcs kockázatok
Működési kockázati eseménytípusok
kockázatkezelés
Külső csalás
Belső csalás
Hibás lebonyolítási eljárások
Helytelen üzletvitel
Munkakörnyezeti károkozás
Eszközök fizikai károsodása /katasztrófa
felmérés
Rendszerek működésének hibájakiesése /üzemszünet
Kockázati események potenciális hatása Kár a kockázatnak kitett értékekben (anyagi javak, reputáció), illetve extra kiadás
Kockázatkezelés cél
eredménykritérium
alapvető kockázatkezelési eszközök (munkafolyamatra adaptálva tervezés + gyakorlat)
Megelőzés
„Hibamentesség”, biztonság
Kontroll, védelem
Kontroll, védelem
Kontroll
Kontroll
Kontroll, védelem
Védelem
Védelem
Kritikus helyzet kezelése
Kár enyhíthető, további kár megelőzhető*
Prompt intézkedés
Prompt intézkedés
Prompt intézkedés
Prompt intézkedés
Prompt intézkedés
Prompt intézkedés BCP
BCP, DRP
Megtérülés biztosítása
Kármegtérülés garantált
Biztosítás
Biztosítás
Kockázatfelmérés Megalapozott kockázatkezelés
Átfogó kép a kockázatokról
* pozitív végső kimenetel is lehet
- Keretek meghatározása/karbantarása - kockázati mátrix felépítése (munkafolyamat/kockázati esemény struktúra) - modell a kockázati értékek meghatározására (folyamat/kockázatkezelés minősítése kárbekövetkezési valószínűség meghatározása, lehetséges kár becslése, kockázati érték (KÉ) számítása, reputációs kár szintjének minősítése) - felmérési és értékelési eljárás megtervezése - Felmérések rendszeres végrehajtása 2005.12.07.
dr.Rajczy Péter – Temesvári Márta
4
Kockázati mátrix Pénzügyi kockázatok hitel, piaci, likviditási
Működési kockázatok emberek
külső események
eljárások
rendszerek
Üzleti kockázatok stratégiai, management
Munkafolyamatok sszesen
Belső csalás
Helytelen üzletvitel
Munkakörnyezeti károkozás
Eszközök fizikai károsodása (katasztrófák)
Rendszerek működésének hibája, kiesése (üzemszünet)
KÉ KÉ KÉ
KÉ
Prioritás (minősítés)
Külső csalás
Hibás lebonyolítási eljárások
összesen
Működési kockázati eseménytípusok
KÉ KÉ KÉ KÉ ∑
KÉ
∑
KÉ ∑
∑∑
Kockázati érték (KÉ) – adott munkafolyamatban, adott kockázati esemény következményeként valószínűsíthető éves kár A kockázati térkép a kockázati értékeket a munkafolyamat / kockázati esemény hálón megjelenítő kockázati mátrix - nem statikus, előre mutató 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
5
A kockázati mátrix struktúrája Kockázati esemény struktúra Működésikockázati eseménytípus(7), csoport(18), eseményfajta(42) (Bázel II után – leválogatás) Munkafolyamat-struktúra Funkció/üzletág/tevékenység/munkafolyamat (Bázel II után, támogató folyamatok külön, összesen jelenleg 104 folyamat) Munkafolyamat definiálásakor fontos az egységes értelmezés, teljeskörűség és átfedésmentesség Folyamatos karbantartás mellett keretet biztosít lényeges intézményi jellemzők (pl. külső/belső szabályozások, folyamatköltségek, emberi erőforrásra, felhasznált eszközökre, különféle kockázatok és BCP igények felmérésére vonatkozó adatok) egységes rendezettségű, a bank egészében elhelyezett megjelenítéséhez, mindezek monitoringjához, egyes tervezési feladatok megalapozásához is Szervezeti változásokra nem érzékeny
2005.12.07.
dr. Rajczy Péter - Temesvári Márta
6
Mit mérünk a működési kockázatok felmérésekor? Felmérés: kockázati események hatására a kockázatnak kitett értékeinket érintő károk valószínűsíthető mértékének, azaz a kockázati értékeknek a becslése munkafolyamatonként, ezen belül kockázati eseményfajtánként (MNB: kockázati kitettség mérése + reputációs kár szintjének minősítése) Kár - anyagi kár: a munkafolyamatok lebonyolítása során, a kockázatnak kitett értékekben elszenvedett, bankot sújtó pénzügyi veszteség, vagy a működéssel szükségszerűen együtt nem járó kiadás (megjelenési formája leírás, jogi költségek, bírságok, meg nem térült visszkereset, ügyfél- és egyéb kártérítés, tárgyi eszköz vesztesége/pótlása) – forintosítható
- reputációs (erkölcsi) kár: a negatív külső megítélés, a jegybank – pénzügyi intézményrendszer stabilitását is garantáló – megbízhatóságába vetett hit megingásának romboló hatása, melynek forrása alapvetően a működésünkkel az intézményen kívül okozott kár, vagy működésünkről kialakított kedvezőtlen kép – szintje minősíthető Kockázatnak kitett érték - a munkafolyamatok lebonyolítása során használt és kezelt értékek (forgalom, állomány, eszköz, bértömeg) – forintosítható - reputációnk, azaz erkölcsi tőkénk – kevéssé forintosítható 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
7
A felmérés módja kockázati értékek becslése minősített és számszerű adatokra épülő modellel: munkafolyamat-minősítés
kárbekövetkezési valószínűség
veszteségbecslés (a kitett értékhez viszonyítva)
lehetséges kár
+ kockázati esemény reputációra kifejtett hatásának minősítése
kockázati érték (Ft) reputációs kár szintje
kárbekövetkezési valószínűség - munkafolyamatonként meghatározott, minősítésekhez rendelt paramétereken keresztül számított adat (5 minősítő faktor „CEVIK”, módszer: self-assessment + audit korrekció) lehetséges kár - munkafolyamatokon belül kockázati eseményenként, éves szinten becsült káradat (bruttó kár: leírás, jogi költségek, stb., self-assessment, plafon a becsült kitett érték) Viszonyítási alapul a tényleges károk veszteségadatbázisban, a bázis kitett értékek / forgalom/tranzakciószám, állomány, eszköz, bértömeg / volumenadatbázisban gyűjtve (forrás: SAP, interjú; káradatok a mátrixba, volumenadatok a munkafolyamatokhoz rendezve) 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
8
Néhány felmérési eredmény • Becsült reputációs károk 2004 • Éves kockázati kitettség 2004 • Éves kockázati kitettség 2004 (3D oszlopdiagram) • Káreloszlás oszlopdiagram 2002 • Káreloszlás oszlopdiagram 2003
2005.12.07.
dr. Rajczy Péter - Temesvári Márta
9
Befektetési funkció
Általános banki funkció
Jegybanki funkció
Támogató és ellátó funkció
2005.12.07.
Tevékenység Értékesítés Treasury Lakossági banki tevékenység Kereskedelmi banki tevékenység Ügyfeleknek végzett szolgáltatások Letéti szolgáltatás Bizományosi tevékenység Emisszió Monetáris politika Statisztika, monetáris politikai döntéselőkészítés, jelentések Jegybanki ellenőrzés Számvitel, pénzügy, kontrolling Belső gazdálkodás és működési szolgáltatások Bankbiztonság IT Emberi erőforrásgazdálkodás Jog, Igazgatás Kommunikáció Audit dr. Rajczy Péter - Temesvári Márta
0 2 3 2 2 0 0 2 3 2 3 0 4 1 3 2 2 2 0
külső csalás m unkakörnyezet helytelen üzletvitel eszk. fiz. kár. rendszerhibák helytelen lebonyolítás
Funkció
belső csalás
reputációs károk 2004
0 0 4 0 2 0 0 2 0 3 3 0 3 2 1 3 3 2 0
3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
0 3 3 3 3 0 0 3 4 3 3 0 3 3 0 0 3 4 3
3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
0 3 3 3 2 0 2 2 3 3 0 2 3 2 2 2 2 2 0
2 3 3 3 2 4 2 3 4 4 3 4 3 2 0 3 3 3 2 10
Befektetési funkció
Kereskedés és értékesítés Lakossági banki üzletág Kereskedelmi banki üzletág Általános banki funkció Fizetési forgalom Ügynöki szolgáltatások Emisszió Monetáris politika Jegybanki funkció Statisztika, monetáris politikai döntéselőkészítés, jelentések Jegybanki ellenőrzés Számvitel, pénzügy, kontrolling Belső gazdálkodás és működési szolgáltatások Bankbiztonság IT Támogató és ellátó funkció Emberi erőforrásgazdálkodás Jog, Igazgatás Kommunikáció Audit
2005.12.07.
120 000 0 99 000 220 000 800 0 4 400 1 200 0 0 2 150 0 0 4 5 0 11 0 0 360 15 1 0 470 63 18 0 14 1 18 66 0 0
dr. Rajczy Péter - Temesvári Márta
63 33 000 28 8 600 7 0 10 80 6 0 11 6 16 0 48 0 25 0 17 0 24 140 24 1 30 0 6 0 16 0 17 8 7 0
helytelen lebonyolítás
rendszer-hibák
eszközök fizikai károsodása
helytelen üzletvitel
munka-környezet
üzletág
külső csalás
funkció
belső csalás
Éves kockázati kitettség 2004 (eFt)
1 51 000 970 000 8 200 0 1 000 0 0 11 000 1 0 5 900 15 0 15 2 0 0 0 0 0 0 0 0 0 0 0 0 0 170 45 0 790 1 1 0 2 260 26 0 0 65 0 0 1 100 2 0 14 0 0 0 11
90
kockázati kitettségek (2004)
80 1 000 000
Befektetési funkció
70
900 000
Általános banki funkció Jegybanki funkció
800 000
Támogató és ellátó funkció
60
700 000 600 000 500 000
50 400 000 300 000
üzleti funkció
40 200 000 100 000
kockázattípus
1st Qtr 2005.12.07.
2nd Qtr
helytelen lebonyolítás
rendszer-hibák
eszközök fizikai károsodása
0
helytelen üzletvitel
10
munka-környezet
külső csalás
20
belső csalás
30
Támogató és ellátó funkció Jegybanki funkció Általános banki funkció Befektetési funkció
0
East West North
3rd Qtr
dr. Rajczy Péter - Temesvári Márta
4th Qtr 12
Káreloszlás 2002 35,00
30,00
gyakoriság
25,00
20,00
15,00
10,00
5,00
0,00 0-3k
2005.12.07.
3k-10k
10k-30k
30k-100k
100k-300k
kárérték
300k-1M
dr. Rajczy Péter - Temesvári Márta
1M-3M
3M-10M
10M-30M
13
Káreloszlás 2003 30,00
25,00
gyakoriság
20,00
15,00
10,00
5,00
0,00 0-3k
2005.12.07.
3k-10k
10k-30k
30k-100k
300k-1M kárérték
100k-300k
1M-3M
dr. Rajczy Péter - Temesvári Márta
3M-10M
10M-30M
30M-100M
14
Felmérési modell / kiindulási pontok •
Bázeli ajánlások, à la carte Az AMA módszer alapjait átvesszük (folyamatszemlélet, esemény-kategorizálás, stb), de nem kötelező számunkra a VaR, a konfidencia-szintek, a tőkekövetelmény számítása (nem felügyel a PSzÁF).
•
Kockázati érték számítása: CEVIK modell a számított és tényleges értékek összemérhetőek
•
Funkcionalitás elve: a munkafolyamatok minősítése – és a bennük levő kockázatok közötti függés feltételezése
2005.12.07.
dr. Rajczy Péter - Temesvári Márta
15
A felmérési modell elemei • Munkafolyamatokhoz kapcsolható kitett értékek felmérése • Folyamat minősítése logaritmikus valószínűségi skálán (modell-paraméterek) • Kulcskockázati jelzők (KRI) 5 kategóriája: CEVIK • Legnagyobb becsült kár kockázati eseményenként • KRI relevancia-analízis kockázati eseményenként 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
16
A működésikockázat-felmérés funkcionális “CEVIK” modellje modellparaméterek kezdeti értékei
folyamatminősítések C E V I K
Folyamatok javítása (kockázat- kezelés)
PEij
“valószínűségek” (PE)
volumenadatok (EI) és kárarányok (LGE)
KÉ=∑ijL ijPE ij
modellparaméterek korrigált értékei
lehetséges károk (L)
becsült kockázati értékek
elemzés, értékelés
Folyamatminősítő faktorok:
tényleges károk, incidensek
C = kontrolláltság E = emberi tényező V = változások hatása I = IT/infrastrukturális támogatottság K = készültség rendkívüli események megelőzésére, kezelésére
2005.12.07.
dr. Rajczy Péter - Temesvári Márta
17
Felmérési adatlap
2005.12.07.
dr. Rajczy Péter - Temesvári Márta
18
A felmérések tapasztalatai • Modell továbbfejlesztésének tapasztalatai: – kísérlet a CEVIK minősítések mögött levő KRI-k konkretizálására – káreloszlás-becslés kísérlete – Audit korrekció
• Adatgyűjtés: – káradatok gyűjtése (manuális, SAP) – időigényesség miatt kiváltandó
• Kommunikáció a szakterületekkel: – a rész és az egész problémája – mi az ő hasznuk az egészből? 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
19
Quo vadis? • „Betagolás a szervezetbe”: – működésikockázati stratégia kidolgozása – szabályozás előkészítése – jelentés az Audit Bizottságnak
• Tartalmi és formai fejlesztések: – felmérés módszertani fejlesztése: „testreszabás” és „áramvonalasítás” • nagy kockázatú folyamatok: KRI analízis, LDA alapú becslés • kis kockázatú folyamatok: egyszerűsített felülvizsgálat
– incidens-alapú káradatgyűjtés – intranetes alapú felmérési adatlapok bevezetése 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
20
Irodalom / Reference • MT 32 Baki László - Dr. Rajczy Péter Temesvári Márta: A működési kockázatok mérése és kezelése a Magyar Nemzeti Bankban http://www.mnb.hu/engine.aspx?page=mnbhu_muhelytanulmanyok &ContentID=6184
• OP 2004/32 László Baki - Dr Péter Rajczy Márta Temesvári : Assessing and Managing Operational Risks at the Magyar Nemzeti Bank http://english.mnb.hu/Engine.aspx?page=mnben_muhelytanulmany ok&ContentID=6453 https://e.bis.org/pls/portal/bis.ebis_main.main?p_siteid=194&p_corn erid=56957&p_edit=0 2005.12.07.
dr. Rajczy Péter - Temesvári Márta
21