A szerző hasonló tartalmú cikke megjelent a Harvard Business Review magyar kiadásának 2008 december – 2009 januári számában, „Mindennapi Kockázataink” címmel.
A különböző szervezeteknek számtalan veszteséget és költséget jelentő kockázattal kell szembenézniük működésük során, a természeti katasztrófák (földrengés, árvíz, hurrikán, stb.), mellett igen jelentős mértékben a hanyagságból vagy rosszhiszeműségből elkövetetett, ember által előidézett veszélyekkel is (csalás, informatikai rendszer feltörése, hanyag működtetés, szakértelem hiánya). A működési kockázatok elemzése az elmúlt években önálló kockázati területté nőtte ki magát, melynek kezelése kiemelten fontossá vált a pénzügyi szektor számára, illetve igen szorosan kapcsolódik a különböző jogszabályoknak való megfelelés területéhez. Jelen tanulmány célja kiemelten a működési kockázatok kezelésének speciális sajátosságainak vizsgálata a pénzügyi szektorban, illetve ezen szektor tapasztalatait is felhasználva speciális területként a folyamat alapú kockázatmenedzsment megközelítés bemutatása, mely szélesebb körben, bármilyen szervezet és folyamat esetében használható. Rövid tartalom Működési kockázatok fontossága: Néhány működési kockázatra visszavezethető, nagy veszteséget okozó eset bemutatása. Működési kockázatok értelmezése: Kockázatok sajátosságai, jellemzői. A kockázatkezelés kapcsolatai a belső ellenőrzés, informatika és a szabályozás területével. Működési kockázatok kezelésének kihívása a pénzügyi szektorban: A pénzintézetek számára előírt Basel-II rendszerből adódó feladatok és módszerek áttekintése Működési kockázatok folyamat alapú kezelése: A kockázatkezelés hatékony, jól kontrollálható módszerének bemutatása, példákkal, illetve a folyamatmenedzsment szerepének vizsgálatával.
TARTALOMJEGYZÉK A MŰKÖDÉSI KOCKÁZATOK FONTOSSÁGA .............................................................................................4 BARINGS BANK, 1995 ....................................................................................................................................................... 4 SOCIÉTÉ GÉNÉRALE, 2007 ............................................................................................................................................... 4 MÁV BIZTOSÍTÓ, 2008 ................................................................................................................................................... 5 KÖNYVELÉSI BOTRÁNYOK ................................................................................................................................................ 5 A MŰKÖDÉSI KOCKÁZATOK ÉRTELMEZÉSE ........................................................................................... 6 KOCKÁZATOK GYAKORISÁGA ÉS HATÁSA ......................................................................................................................... 6 MIT NYERHETÜNK A KOCKÁZATOKON? ........................................................................................................................... 7 SZABÁLYOZÁSI KERETEK .................................................................................................................................................. 8 KAPCSOLAT A BELSŐ ELLENŐRZÉS FELADATAIVAL ........................................................................................................... 8 KAPCSOLAT AZ INFORMATIKÁVAL ................................................................................................................................... 9 KAPCSOLAT AZ EGYES TERÜLETEK KÖZÖTT ...................................................................................................................... 9 MŰKÖDÉSI KOCKÁZATOK KEZELÉSÉNEK KIHÍVÁSAI A PÉNZÜGYI SZEKTORBAN ............................. 11 MŰKÖDÉSI KOCKÁZATOK FAJTÁI .....................................................................................................................................11 MŰKÖDÉSI KOCKÁZATI KATEGÓRIÁK KIALAKÍTÁSA ........................................................................................................ 13 A MŰKÖDÉSI KOCKÁZATOK ÉRTÉKELÉSÉNEK MÓDSZEREI ............................................................................................... 14 A FEJLETT MÉRÉSI MÓDSZER (AMA) SAJÁTOSSÁGAI ....................................................................................................... 14 Múltbéli kockázatokra építő megközelítések ........................................................................................................ 14 Jövőbeli kockázatok becslése .................................................................................................................................. 15 Megközelítések egységes kezelése .......................................................................................................................... 17 MŰKÖDÉSI KOCKÁZATOK FOLYAMAT ALAPÚ KEZELÉSE .................................................................... 18 KOCKÁZATOK AZONOSÍTÁSA ÉS ÉRTÉKELÉSE .................................................................................................................. 18 KOCKÁZATOK KEZELÉSE .................................................................................................................................................19 KOCKÁZATKEZELÉSI KÖLTSÉGEK ÉRTÉKELÉSE ................................................................................................................ 20 SZERVEZETI FOLYAMATOK ÁTGONDOLÁSA .................................................................................................................... 22 ÖSSZEFOGLALÁS ...................................................................................................................................... 23
A MŰKÖDÉSI KOCKÁZATOK FONTOSSÁGA A működési kockázatok kiemelt kezeléséhez jelentősen hozzájárultak az elmúlt majd két évtized vállalati és banki botrányai. Érdemes ezek közül néhányat részletesebben is megismerni, hiszen ezen esetek rámutatnak arra, hogy milyen veszélyt jelentenek a belső működés hiányosságai. Érdemes továbbá azt is vizsgálni, milyen egyéb tényezők járulnak még hozzá a működési kockázatmenedzsment területének előtérbe kerüléséhez.
elsődleges oka a kockázatkezelési rendszerek teljes használhatatlansága, illetve a megalapozott kockázatkezelési tevékenység hiánya volt. Kiemelendő hiányosságok voltak a működést tekintve:
Barings Bank, 1995
1995-ben szinte teljesen váratlan módon a Barings Bank egy fiatal kereskedője, Nick Leeson egymaga csődbe juttatta a nagymúltú bankházat1, egyszerre megjelenítve a piaci, pénzügyi és működési kockázatokból adódó lehetséges veszteségeket. A kockázatos pénzügyi műveletek mellett a tevékenységi kontroll hiánya, illetve a tudatos csalás is hozzájárult ahhoz, hogy a bank nevében 827 millió fontos veszteséget halmozzon fel. A bukásban jelentős része volt annak, hogy Leeson gyakorlatilag belső ellenőrzés nélkül hajthatta végre tevékenységét.
a végrehajtási és ellenőrzési funkciókat nem választották szét (így Leeson saját magát ellenőrizte) a mátrix alapú beszámolási rendszerben szétaprózva jelentek meg az információk, így szinte lehetetlen volt összeilleszteni a csalásra utaló jeleket nem volt világosan meghatározva a felügyeleti tevékenység a bankcsoporton belüli pénzáramlásoknak nem határozták meg sem az ellenőrzési mechanizmusát, sem az igénybevételi korlátait az 1994-ben végrehajtott belső audit eredményeit és ajánlásait nem vették időben figyelembe, és nem alakították át a bank működését
A bankot végül – még 1995-ben – az ING vette meg, szimbolikus 1 fontnyi összegért, és létrehozta az ING Barings bankot. Nick Leesont menekülés közben elkapták, és Szingapúrban 6 és fél évnyi börtönre ítélték. Jó magaviselettel 1999-ben szabadult2.
Annak érdekében, hogy felhalmozott veszteségeit eltakarja, meghamisította saját számláit, és a veszteségeit fedezni szükséges összegeket más számlákról vette el, illetve megakadályozta, hogy tevékenysége belekerüljön a londoni központnak küldött beszámolókba. A Barings Bankház 1994ben kezdte meg kockázatmenedzsment tevékenységének kiépítését, de kezdetben a szingapúri egysége – ahol a csalássorozat történt – még nem volt bevonva ezekbe a tevékenységekbe. Szingapúrban gyakorlatilag nem volt senki, aki ellenőrizhette volna Leeson tevékenységét, hiszen ő maga volt az a személy is, akinek ellenőriznie kellett volna a számlákat. Emiatt a nyilvánvaló belső működési probléma miatt sokan (köztük Leeson is) a Bankházat is hibáztatták a csőd miatt.
Société Générale, 2007 Szinte lemásolta a Barings Bank esetét egy francia bankár3. A Société Générale – mint minden pénzintézet – ismerte a Barings Bank esetét, és így tisztában volt a működési kockázatok fontosságával. De ugyanennyire tisztában volt ezzel Jerome Kerviel is, aki korábban épp a kockázatkezelési osztályon dolgozott, és így ismerhette az ellenőrzési szabályokat, illette ismerte azokat a lehetőségeket is, melyekkel ezek a szabályok kijátszhatóak.
A brit Board of Banking Supervision (bankfelügyelet) megállapítása szerint a csőd
2
Nevéhez az általa okozott csaláshoz kapcsolódóan két könyv, számtalan szakcikk kapcsolódik, és szabadulása után igen jól megél előadókörútjaiból, ahol elmeséli, hogyan is sikerült a csalást végrehajtania, illetve mit is kell tenni a hasonló csalások megelőzése érdekében.
1
Bank of England (1995) Board of Banking Supervision investigation into the failure of Barings, Bank of England, London Leeson, Nick (1999) Rogue Trader: How I Brought Down Barings Bank and Shook the Financial World, Little Brown and Company RBB (1995) Implications of the Barings Collapse for Bank Supervisors, Reserve Bank of Australia Bulletin, Reserve Bank of Australia
3
FSA (2008) Market Watch - Markets Division: Newsletter on Market Conduct and Transaction Reporting Issues, Issue No.25, March 2008, Financial Services Authority Vida László (2008) Árfolyameltolás – Megacsalás a Société Génétale-nál, megjelent: HVG, 2008. jan. 30.
4 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Kerviel 2005-től kezdődően kötött fiktív határidős ügyleteket, megtévesztve a belső ellenőrzési rendszert. Később azt állította, hogy nem ő az egyetlen alkalmazott, aki a saját szakállára (de nem feltétlenül a saját hasznára) dolgozik. Kerviel hamis kliensszámlákat felhasználva egymásra épülő határidős üzleteket kötött, az általa felépített pozícióit elrejtette, és úgy tűnik, hogy igazából maga a bank sem akarta nagyon megtalálni.
eseménye, a MÁV Általános Biztosító Egyesület esete4. 2008-ban a PSZÁF felügyeleti biztosokat küldött ki a biztosítóhoz, mivel egymilliárd forint értékű sikkasztás és pénzmosás ügyében indult nyomozás a biztosító vezetője és több társa ellen. A gyanú szerint a vezetők különböző megoldásokkal kivonták az összeget a biztosító kezeléséből, és azokat magánszámlán helyezték el. Az ügy másik oldala, hogy a pénzügyi nehézségek miatt a biztosítási állományra vonatkozóan az egyesület nem tudta a megfelelő mértékű tartalékot sem felmutatni.
A bank automatikus rendszerei többször is kiadták a riasztást, és ekkor Kerviel felettesei számon is kérték a történéseket (főleg, mivel túllépte az engedélyezett összegeket), de ilyenkor mindig sikerült hamis dokumentumokkal igazolnia, hogy ügyletei nem jelentenek kockázatot a bank számára. Ebbe beletartozott az a hamis portfólió is, mely elvileg fedezte a kockázatosabb ügyleteket. Az ügyészség hamisításért, hamisított okiratokkal való visszaélésért és informatikai adatok automatizált rendszerébe történő behatolásért indított eljárást.
Könyvelési botrányok A pénzügyi szektoron kívül valószínűleg az Enron esete volt az, amely igazán felkeltette a világ figyelmét5, illetve elindította a könyvelési botrányok felgöngyölítésének folyamatát. Az Enron bukását az okozta, hogy számtalan iparágba szállt be a haszon reményében, de befektetései nem térültek meg. Ez a probléma még a piaci kockázat kategóriájába tartozna, ha a cég vezetői nem hamisították volna meg a kimutatásokat és a könyvelést, ezáltal megtévesztve mind a piacot, mind a befektetőket, miközben a cég vezetői dollármilliókat vettek ki a vállalatból. A történet végén elkerülhetetlen volt a csőd, melynek értéke 31 milliárd dollárra rúgott.
Mik az eset tanulságai?
Az emberekhez köthető kockázatok nem mindig egyéni haszonszerzés céljából történnek. Kerviel annak ellenére nem a saját zsebére dolgozott, hogy fizetése ebben a szakmai körben nem volt kiemelkedő, csak egyszerűen szerette volna bebizonyítani, hogy kivételes képességű bróker. Az eset rávilágít arra, hogy hiába van tisztában egy bank a működési kockázatokkal, nem biztos, hogy mindent megtesz ezek kivédése érdekében. Sőt, az intézmények sok esetben tudatosan vállalnak bizonyos fokú kockázatot, mivel félnek, hogy a túlzott ellenőrzés és kontroll megöli a kezdeményező kedvet. Hiába használ egy intézmény informatikai rendszert a kockázatok felderítésére, ha ezeket hagyományos eszközökkel ki lehet játszani. Hogy fordulhat elő, hogy hamis okiratok fedezik az ügyleteket? Bár elvileg minden tranzakció az informatikai rendszereken keresztül folyik (és mindennek nyoma van), úgy tűnik még mindig nem elég erősek sem a szabályok, sem az ellenőrzés, sem pedig a támogató informatikai megoldások.
Az Enron botrányba belebukott a világ egyik legnagyobb könyvvizsgáló cége is, az Arthur Andersen, mivel a hanyag tevékenység mellett felmerült az a gyanú is, hogy tudatosan semmisítettek meg bizonyítékokat az ügyben, illetve nagy ügyfelei sorra mondták fel a szerződéseket. Az Enron-hoz hasonló eset történt Európában is: a könyvelési visszásságokra, és így a befektetők és tulajdonosok félrevezetésére talán a legnagyobb európai példa az olasz Parmalat esete (melyet európai Enron-ként is emlegetnek), ahol 2003 végén fedezték fel a 14 milliárd Euro értékű könyvelési csalást6. A problémák oka az 1990-es 4
HVG (2008) Egymilliárdos sikkasztási ügyben nyomoz a VPOP Őrizetbe vették a MÁV Biztosító vezetőit, megjelent: HVG, 2008.04.11. 5
CGV (2002) Az Enron-Andersen-ügy, megjelent: Cégvezetés, X. évfolyam 6. szám
MÁV Biztosító, 2008
6
A Parmalat botránnyal több hazai és nemzetközi cikk is foglalkozik, de jó összefoglaló olvasható: Betts, P. – Simonian, H. (2008) Parmalat scandal rumbles on amid subprime debris, Financial Times, July 2 2008, illetve Paweł Kaczorowski (2006) The Relationship Between, Internal Control and Fraud: What have we learned from Parmalat?, Studenckie Koło Naukowe Finansów
Hogy a működési kockázatok nem csak a bankokat, és nem csak a külföldi cégeket érinthetik, arra jó példa a közelmúlt hazai
5 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
évek végi expanzióra, felvásárlásokra vezethető vissza, melyeket a cég hitelekből finanszírozott.
De lehetne még említeni a Worldcom, a Xerox és még számtalan - nem kis vállalat – hasonló problémáit is. Ezek az esetek rámutatnak arra, hogy a vezetők manipulációi milyen károkat tudnak okozni, főleg akkor, ha az elvileg független könyvvizsgálók is összejátszanak velük, illetve a hitelező bankok szemet hunynak a problémák felett. Mindezen jelenségek hozzájárultak ahhoz, hogy a szabályozó testületek és a törvényhozók olyan új rendelkezéseket hozzanak, melyek erősítik a kontrollt a szervezeti tevékenységek felett, illetve rákényszerítik a szervezeteket, hogy mérjék fel és kezeljék saját működésükhöz kapcsolódó kockázataikat.
Mivel a befektetések veszteségesnek bizonyultak, Fausto Tonna, a pénzügyi vezető igyekezett ezeket a lyukakat elrejteni. A problémákat 2003-ban az új pénzügyi vezető fedezte fel, mely során kiderült, hogy a cég hitelállománya több mint kétszerese annak, amiről tudtak. A cég fizetésképtelenségét hosszú ideje az éves beszámolójának és banki kivonatainak meghamisításával takargatták. Később kiderült, hogy a Parmalat égisze alatt pénzügyi csalássorozat, pénzmosás, sőt sikkasztás is meghúzódott, miközben igyekeztek a cég vagyonát más vállalkozásokba kimenteni.
A MŰKÖDÉSI KOCKÁZATOK ÉRTELMEZÉSE A működési kockázati terület fontosságának erősödéséhez hozzájárultak a már bemutatott banki és más szervezetekben tapasztalható visszásságok, az általános kockázatok erősödése (terrorizmus, katasztrófák), illetve maga a globalizáció is azáltal, hogy egyre elterjedtebbé váltak a kiszervezett tevékenységek, illetve a szorosabbá váló kapcsolatok a különféle szervezetek között.
kockázatok az emberek, belső folyamatok, a rendszerek nem megfelelő, vagy hibás működése, illetve külső tényező által előidézett veszteségek kockázata”. Az auditori megközelítés inkább az ellenőrzési funkció irányából közelíti meg a működési kockázat fogalmát8: el kell fogadnunk, hogy minden üzleti tevékenység magában hordoz bizonyos kockázatokat, melyek kezelésére kontrollokat állítunk fel. Kontrollokat csak a kockázatoknak egy bizonyos körére érdemes megfogalmazni (költség-haszon elemzés alapján), illetve a kontrollok csak részben képesek lefedni az összes kockázatot, sőt a maguk a kontrollok sem minden esetben eredményesek. A működési kockázat magába foglalja mind a kontroll tevékenységekkel lefedhető, mind a le nem fedhető területeket.
Kockázat minden tevékenységünkhöz kapcsolódhat, illetve kapcsolódik. A kockázatot általában negatív értelmezési keretben, azaz valamilyen jövőbeli veszély, veszteség bekövetkezésére használjuk. Általánosabb értelemben a kockázat nem más, mint a jövő kiszámíthatatlansága, bizonytalansága (és ebben az értelmezésben pozitív kockázatról, azaz a nyereség lehetőségéről is beszélhetünk). Amennyiben elfogadjuk a negatív értelmezési keretet, úgy a kockázatok realizálódása veszteséget okoz, mely megjelenhet a minőség romlásában, a teljesítések idejének növekedésében, pótlólagos erőforrásigényként, mely akár áttételesen is, de minden esetben pénzbeli költséget jelent. A kockázatkezelés feladata így ezen veszteség megakadályozása, illetve mérséklése.
Kockázatok gyakorisága és hatása A kockázatok elemzése során vizsgálni kell a kockázatok realizálódásának gyakoriságát, illetve a kapcsolódó veszteség súlyosságát. Általában a ritka, és kis veszteséggel járó kockázatok esetében nem szükséges jelentős kockázatkezelési tevékenységeket folytatni, míg a másik véglet (nagy gyakoriságú és súlyos veszteséget okozó események) esetében az adott területen vagy
A működési kockázatok értelmezése elsősorban a pénzügyi szektorokban élvez kiemelt figyelmet a Basel II szempontrendszer alkalmazása miatt. A Bázeli Bizottság értelmezésében7 a „működési 7
Basel Committee on Banking Supervision (2004) Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Bank for International Settlements, Basel
8
Bhatia, Mohan (2002): Operational Risk Management – Emerging Frontiers for the Profession, in: Information Systems Control Journal, vol. 1. 2002, pp. 37-42.
6 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
jelentős beavatkozásra van szükség, vagy pedig mérlegelni kell az érintett tevékenységek feladását. A kockázatkezelési feladatok (1. ábra) ugyanakkor nagyobbrészt a nagy gyakoriságú, de kis veszteséget okozó, illetve ritka, de nagy veszteséget okozó szeletére koncentrálódnak. A nagy gyakoriságú kockázatok esetében viszonylag jól ismertek a kockázatok (mivel gyakoriak), így fel lehet tárni a kapcsolódó mélyebb összefüggéseket, és fel lehet készülni az ellenintézkedések megtételére. Nagyobb a kihívás a ritka, de nagy veszteséget okozó kockázatok esetében, mivel sokszor nem ismert, mire is kell egy szervezetnek felkészülnie, így sokszor a szakértőknek kell elképzelniük ezen szélsőséges eseteket. Ezek egy részére fel lehet készülni, és a váratlan eseményeket át lehet hárítani (biztosítás, alvállalkozó, kiszervezés), míg a nagyon ritka de nagyon nagy hatású kockázatok realizálódása komoly veszteségeket okozhat. Ezekre nehéz felkészülni, nehéz kivédeni, és az iparági tapasztalatok is inkább útmutató jellegűek, mivel az ilyen jellegű kockázatok jelentős része szervezetspecifikus, és egyedien kapcsolódik az egyes szervezetek működéséhez.
is érvényesül a csökkenő határhaszon elve, azaz a kockázat növelésével egy idő után már nem lehet pótlólagos hozamot biztosítani . Míg a piaci, üzleti, esetleg hitelezési kockázatok esetében megjelenik, addig a működési kockázatok esetében ezt az extra hozamot nehezebb értelmezni. Alapvetően a működésre fordított figyelem csökkenésétől elvárható, hogy csökkenjenek a működési költségeim is, de ezáltal nőnek a kockázataim, illetve az ezekből adódó veszteségeim is. Itt egy kényes egyensúlyi helyzetet kell megtalálni: a kockázatvállalásból adódó veszteségnél mindig nagyobb megtakarítást, bevételnövekedést kell elérni.
Mit nyerhetünk a kockázatokon? Bizonyos kockázattípusok esetében tapasztalható az a jelenség, mikor nagyobb kockázatvállalással nagyobb hozamot, eredményt, nagyobb megtérülést lehet elérni. A hozam így függ a szervezetek, vagy az egyének kockázatvállalási hajlandóságától. Általában a kockázatosabb befektetésektől nagyobb hozamot várhatunk el, de magasak a kockázatok is, tehát azzal is számolni kell, hogy akár nagymértékű veszteség is bekövetkezik.
Működési kockázatok esetében alapvetően a kockázatvállalási hajlandóság azt jelenti, hogy tudatosan nem választjuk valamilyen biztonsági intézkedés megtételét és így erőforrást takarítunk meg. Így míg más kockázatok alapvetően a bevételnövekedést motiválják, addig a működési kockázatok oldalán a kockázatok és a költségek összefüggése figyelhető meg.
Megjegyzendő, hogy a kockázatvállalás és a hozam között nem lineáris összefüggés van, azaz a kockázatvállalás növelésével nem lehet folyamatosan növelni a hozamot. Ebben az esetben
Amennyiben a kockázatok felmérésén túl a kockázatok mérséklésére is figyelmet fordít a
7 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Szabályozási keretek A működési kockázatok kezelésének értelmezése során fel kell tárni a kapcsolódó területek (szabályozási kérdések, belső ellenőrzés, informatika) jellemzőit is. A működési kockázatok felmérésének és kezelésének kialakulása a legkarakteresebben a pénzügyi szervezetekhez, elsősorban bankokhoz kötődik, ugyanakkor – ahogy a veszteségeket illusztráló példákból is kitűnik – nem csak ezen szervezetek sajátossága. A bemutatott példákhoz hasonló esetek arra ösztönözték a politikai és szakmai döntéshozókat, hogy különféle szabályozásokkal erősítsék meg a működési kockázatokhoz kapcsolódó szervezeti feladatokat és felelősséget (1. táblázat).
szervezet, további költségekkel kell szembesülni. A kockázat mérséklésére fordított költség csak abban az esetben éri meg a befektetést, ha a kockázat mérséklésével elérhető haszon nagyobb. A gyakorlatban meg kell találni azt a pontot, amikor a kockázatból várható veszteség és a kockázatmérséklés költségének együttes összege minimális.
A szabályozási elvárásoknak való megfelelés maga is kockázatot hordoz magában, mely beletartozik, de legalább is szoros kapcsolatban áll a működési kockázatokkal (szabályozási és reputációs kockázat). A különféle szabályozási elvárásoknak való megfelelés ugyanakkor külön működési területként jelenik meg, mivel a szabályozások összefüggései, összetettsége önmagában jelentős kihívás elé állítja a szervezeteket.
A kockázatok kezeléséhez szükséges a kockázatok egyértelmű azonosítása, így fel lehet készülni azok megelőzésére. Így a statisztikai alapú megközelítések, melyek a veszteségek eloszlását elemzik, előre jelezhetik a várható veszteséget, de nem képesek ezek megelőzésére. A felderítésre, azonosításra sokkal inkább a folyamat alapú, vagy szcenárió alapú megközelítések lehetnek alkalmasak, ahol nem csak az eredményt, hanem az okokat is fel lehet tárni. Ez a megközelítés különösen alkalmas lehet a ritka, de nagy hatású kockázatok azonosítására.
Kapcsolat a belső ellenőrzés feladataival A különféle külső szabályozásoknak való megfelelés mellett a vállalati belső elvárásoknak való megfelelőség vizsgálatát, és független ellenőrzését is ellátja a belső ellenőrzés. A belső ellenőrzés tevékenységeiben kiemelt szerepet kap a csalások felderítése, a szervezeti erőforrások (beleértve a fizikai és immateriális javakat is) védelme. A belső ellenőrzés feladata a beszámolók pontosságának biztosítása, valamint a működés felügyelete. Figyelembe véve a belső ellenőrzés ezen feladatait, jól látszik a szoros kapcsolat a működési kockázatmenedzsment területével, mely lehetővé teszi a szinergiák kinyerését.
A megfelelő értelmezés érdekében fontos lehet, hogy a kockázatok mellé a várható veszteségeket, pénzbeli értékeket is megállapítsuk, hiszen csak így nyer értelmet a kockázatok kezeléséből származó megtakarítás, vagy haszon.
8 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Szabályozás
Leírás
Basel II / Capital Requirement Directive (CRD)
A Basel II szabályozás a pénzintézetek számára határozza meg a tőkefedezet képzésének feltételeit a bankok hitelezési, piaci és működési kockázatát figyelembe véve, így biztosítva a bankok stabil működését. A szabályozás meghatározza a működéshez kapcsolódó felügyeleti, illetve nyilvánossági feltételeket is. A direktíva szabályozza a befektetési szolgáltatások működési kérdéseit, mely meghatározza egyben a működési folyamatokat is, beleértve az ügykezelés hatékonyságát, érdekkonfliktus kezelést, valamint a kereskedelem átláthatóságát és nyitottságát. Az amerikai törvény célja a könyvelési botrányok által megrendített bizalom helyreállítása volt, és előírja a könyvelési és beszámolási folyamatokra vonatkozó kontroll tevékenységeket, valamint szabályozza a nyilvánosságra hozandó adatok körét. Az EU 8. direktívájának 2005-ös kiegészítése a SOX európai megfelelője, elsősorban a pénzügyi-számviteli kockázatokra koncentrálva. A KonTraG egy 1998-ban született német szabályozás, mely előírja a vállalatok kockázatkezelési szabályozásának és gyakorlatának független auditálását a pénzügyi beszámolókra vonatkozóan. Ennek kiegészítése a 2002-es TransPuG, mely előírja a pénzügyi beszámolókhoz kapcsolódó nyilvánosságot. A különféle szabályozások elsősorban a pénzintézetek számára írnak elő kontroll folyamatokat az illegális pénzmozgások, illetve illegális szervezetek támogatásának kiszűrésére.
Markets in Financial Instruments Directive (MiFID)
Sarbanes-Oxley Act (SOX) EU 8. direktíva
Gesetz Zur Kontrolle Und Transparenz Im Unternehmensbereich (KonTraG) Transparenz- und Publizitätsgesetz (TransPuG)
Pénzmosás és terrorizmus elleni szabályozások USA: Financial AntiTerrorism Act of 2001 Ausztrália: The AntiMoney Laundering and Counter-Terrorism Financing Act 2006 (AML/CTF Act) EU: Third Anti-Money Laundering Directive (2005/60/EC) Magyarország: A pénzmosás megelőzéséről szóló 2003. évi XV. törvény
Mindezen okok miatt az informatikai infrastruktúra és szolgáltatások folyamatos működésének biztosítása évek óta kiemelkedő fontosságú, és ezen területre kiforrott módszertanok és iparági gyakorlatok állnak rendelkezésre (pl. CobIT, ITIL). Az informatikai terület tapasztalata a működési kockázatok kezelésében jó alap ezen kockázatok széles körű kezeléséhez.
Kapcsolat az egyes területek között Miközben a működési kockázatok kezelése egyre inkább önálló területként jelenik meg – és így pl. a Basel II szabályozás is önálló kockázati területként írja elő a kezelését – addig egy tanulmány9 ezen tendenciának az ellenkezőjére hívja fel a figyelmet: ne válasszuk el a működési kockázatokat más kockázatainktól, hiszen a működési kockázat minden más tevékenység, így kockázati terület szerves részét képezi. Így amikor informatikai kockázatról beszélünk, ennek jelentős része működési kockázatot (is) takar, vagy a szabályozási megfelelés (compliance) kockázata is magába foglalja a működési kockázatokat. A működési kockázatkezelés feladatrendszerét hiba lenne önálló területként kezelni, hiszen jelentős átfedéseket mutat nem csak a szabályozási megfelelőség, illetve a belső ellenőrzés területén túl más működési területekkel is. De ugyanígy hiba lenne a működési kockázatok kezelését ezen kiegészítő területek elvárásainak való megfelelésként egyszerűsíteni és ezeknek teljes mértékben alárendelni. Sőt, a tapasztalatok10 ugyanakkor azt mutatják, hogy a különféle szervezetek minden egyes szabályozási kihívásnak megfelelően egyedi, egymással nem összefüggő kockázatkezelési keretrendszert hoznak létre, miközben az egyes szabályozási elvárások igen sok átfedő elvárást fogalmaznak meg. Így például a Basel II, SOX vagy Mifid szabályozások elvárásait egységes formában kezelve megtakarítható egyes folyamatok, tevékenységek duplikálása.
Kapcsolat az informatikával A működési kockázatok kezelése kapcsán kiemelt szerepet kapott és kap az informatikai működés biztosítása, illetve az informatikai kockázatok kezelése. Mivel sok szervezet, de kiemelten a pénzintézetek és telekommunikációs cégek esetében az üzleti szolgáltatások igen erősen az informatikai megoldásokon alapulnak, ezért az informatikai problémák jelentős kieséseket és veszteségeket képesek okozni.
9
Triffit, G., Beach, C., Trout, P., Serbée, D., Peeters, T. (2008) Operational Risk Management – Embedding operational risk management: The real use test, PriceWaterhouseCoopers, Amsterdam 10
BT (2008) Unlocking Business Value from Effective Operational RIsk Management – A BT point of view, British Telecom, London
9 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
A szabályozásoknak való megfelelés ugyanakkor nem jelenti azt, hogy a szervezetek tudatosan ki is használják a működési kockázatok kezelésében rejlő lehetőségeket, inkább csak a szabályzó testületeknek való minimális megfelelésre törekszenek. Miközben a szabályozások sokszor megelégednek a kockázatok azonosításával, és az azokra adott minimális válaszokkal, addig a tudatos működési kockázatmenedzsment lehetővé teszi a kockázatokra való tudatos felkészülést (nem csak a pénzügyi tartalékképzést), a kockázatok megelőzését, elhárítását, illetve a kockázatok realizálódásakor az azokra adható hatékony válaszlépések előkészítését is.
A szervezeteket érintő kockázatokat egységes szemléletmód és keretrendszer szerint szükséges kezelni11, még akkor is, ha az egyes kockázati területeknek megvannak a maga sajátosságai. Ugyanakkor az egységes kezelés éppen a szinergiák kinyeréséhez járulhat hozzá. További előnyök elérése érdekében meg kell teremteni a szoros kapcsolatot a belső ellenőrzés, kockázatkezelés, illetve szabályozási elvárásoknak való megfelelés között.
Ilyen keretrendszerre tesz javaslatot az IT Governance Institute, melynek főbb elemei a következők (3. ábra):
Kockázati (kockázatkezelési) stratégia: Ennek keretében meghatározásra kerül, hogy a kockázatkezelési tevékenység során mely területekkel, milyen kockázatokkal kíván foglalkozni a szervezet (célok), ezek kezeléséhez milyen szabályok, eljárások és folyamatok tartoznak (eszközök). Szintén a stratégia szintjén kell meghatározni a szervezet kockázatokkal szembeni toleranciaszintjét.
Szervezeti struktúra: Annak meghatározása, hogy a kockázatkezelési stratégiában meghatározott célokat hogyan lehet támogatni a szervezetben megjelenő kockázatkezelési egységekkel, feladatkörökkel, illetve szerepekkel, illetve ezen szervezeti elemeknek mi a feladat és hatásköre. Beszámolók: Milyen tartalommal, milyen gyakorisággal, kinek a részére (szervezeti egységek, vezetők, tulajdonosok, stb.)? Kockázatkezelési elemei: A kockázatok felmérésének, monitorozásának, értékelésének, illetve ellenintézkedések meghozatalának folyamatai, beleértve a közös értelmezési keret (nyelv) kialakítását, illetve a kockázatkezelési tevékenység kapcsolódási pontjait is. Információtechnológiai megoldások: A kijelölt eljárásokat (melyek megfelelnek a stratégiai céloknak) milyen informatikai megoldásokkal szükséges, illetve lehet támogatni: kockázatok nyilvántartására szolgáló eszközök, modellező eszközök, statisztikai eszközök, automatizációs eszközök, stb.
11
Ding, C. (2006) Operational Risk Management: Three, Two, One… Liftoff?, Celent Boston
10 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
MŰKÖDÉSI
KOCKÁZATOK KEZELÉSÉNEK KIHÍVÁSAI A PÉNZÜGYI SZEKTORBAN A pénzügyi szektor mindig is élenjáró volt a működési kockázatok kezelésében, ugyanakkor ez a szektor a működési kockázatok kezelésének csak egy speciális – ámde kiemelkedő – területe. A pénzintézetek számára mérvadó Basel II ajánlásrendszer 2004-es publikálása, annak 20062007 folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak.
kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését. A szabályozás előírja, hogy a nem várható veszteségek 99,9%-ra vonatkozóan a pénzintézeteknek tőkefedezettel kell rendelkezniük, éppen ezért a tőkefedezet szempontjából a kockázatértékelés kerül középpontba.
Működési kockázatok fajtái A pénzintézetek működési kockázataihoz kapcsolódóan hét veszteségi kategóriát különít el a szabályozás13, melyekért együtt, vagy külön-külön felelőssé tehető a négy kockázati terület (emberek, folyamatok, technológia és külső tényezők):
A működési kockázatokból származó veszteség a bankok esetében átlagosan 4-5%-a a szervezet nettó árbevételének12. Ez a statisztika csak a nyilvánosságra hozott adatokon alapul, mely így alacsonyabb (akár jóval alacsonyabb), mint a valóságos értékek. Arról nem is beszélve, hogy ezek a kockázati események az azonnali veszteségen túl megjelennek a részvényárfolyamban is: a működési kockázatok felmerülése kihatással van egy vállalat reputációjára, jóhírére, így közvetett módon is okozhat veszteséget.
1. Belső csalás (emberek, technológia): A belső előírások megsértése, ahol legalább az egyik érintett fél a szervezet dolgozója. Beletartozik az eljárási szabályoktól való eltérés, jogkör bitorlás, belső lopás vagy csalás. Ilyenek lehetnek a felhatalmazás nélküli döntések vagy a bennfentes kereskedelem. Jó példa erre a már bemutatott csalás a Société Générale-nál. 2. Külső csalás (külső tényezők, technológia, folyamatok): Jogszabályok és törvények kijátszásával, külső fél által okozott veszteség. Beletartozik a számítógépes rendszerek kijátszása, a szervezeti folyamatok kijátszása, illetve a szervezet becsapása (pl. okirat hamisítás). Pl. lopás, rablás, számítógépfeltörés, illetéktelen hozzáférés megszerzése, bankkártya csalások.
A Basel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Basel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre.
Ehhez a területhez kapcsolódik a közelmúlt egy híre, amikor egy volt ügyvéd hamis bírósági ítéletekkel nyújtott be inkasszót gazdasági társaságok számláival szemben, és cégenként 8-9 millió forintot próbált megszerezni. Mivel korábban már voltak ilyen esetek, ezért a pénzintézetek nem fizették ki automatikusan a kívánt összeget, hanem ellenőrizték az ítéletek valóságtartalmát, így az elkövető lebukott.
Bár a Basel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési
13
Basel Committee on Banking Supervision (2004) Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Bank for International Settlements, Basel
12
Cindy Levy, Harmid Samandari, Antonio Simoes.(2006) Better operational-risk management for banks. The McKinsey Quarterly. August 2006.
11 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
3. Dolgozói tevékenység és munkahelyi biztonság (folyamatok, emberek): A munkakörülmények, illetve a foglalkoztatás szabályainak megsértése, munkahelyi balesetek, sérülések, nemi, faji vagy bármilyen jellegű diszkrimináció, az egyenlő bánásmód problémái, szexuális zaklatás. Pl. munkahelyi sérelemért kompenzáció fizetése, büntetés az előírások megsértéséért.
infrastruktúrát, sőt cégek adatait is megsemmisítette. Sok esetben ugyanakkor a biztonsági mentéseknek köszönhetően a működés néhány nap (vagy például a Deutsche Bank esetében 2 óra) elteltével már zavartalanul folyt. Miami-ban inkább a hurrikánok jelentenek veszélyt. A Banco Santander Central Hispano egy a világ tíz legnagyobb bankja közül. Miami központja nem csak turistalátványosság, hanem egyben a hurrikánok által veszélyeztetett területek egyik kiemelt helye. 2004-ben például a sorozatos hurrikánok 4-szer is leállásra kényszerítették a Miami-ban található adatközpontjukat. Ugyanakkor a veszélyhelyzetre felkészülve háttér szolgáltató-központot építettek ki New-York-ban, így a hurrikánveszély ellenére is tudtak foglalkozni ügyfeleikkel.
A közelmúltban Nagy-Britanniában a BNP Paribas bankot perelte be egy volt dolgozója, akit érvelése szerint szülési szabadsága után kilépésre kényszerítettek. A nemi diszkriminációs ügy tétje 1-2 millió font közötti kártérítési összeg. Az eset szerint Ms. Tofeji 2004 végén jelentette be, hogy szülni fog, és innentől kezdve a vezetőség nem bánt vele már megfelelően, sőt ennek tulajdonítja a 2004. évi jutalmának elmaradását is. A gyermek születése után (akit egyedül nevel) kénytelen volt meghosszabbítani szülési szabadságát, míg végül a hét négy napjára talált gondozási lehetőséget gyermekének. Ekkor szerette volna, hogy banki munkaidejét 4 napon végezhetsse el. A bank férfi vezetői ezt nem támogatták, az ötnapos munkahét mellett érveltek, de nem hivatalosan kilépésre biztatták14.
6. Rendszerek és üzleti tevékenységek megszakadása (technológia): Rendszer meghibásodásból származó üzletmenet megszakadás, alapvetően az informatikai rendszerek hibája: hardver, szoftver, telekommunikáció. Pl. számlavezető szerverek meghibásodása, ATM vezérlő adatbázis leállása. Sajnos a hírekben is gyakran hallható, ha egy bank ATM rendszere nem működik, melyet általában valamilyen központi szerver, alkalmazás vagy adatbázis hiba okoz. Nemrégiben a Barclays Bank volt kénytelen szembesülni ilyen problémával, mely fél Nagy Britanniát megbénította. A hírek szerint a problémát egy adatbázis szoftver frissítése okozta, bár a bank az esetet áramszünetre fogta. Az mindenesetre tény, hogy nem gondoskodtak megfelelően a kieső informatikai szolgáltatás kiváltásáról.
4. Ügyfelek, termékek és üzleti tevékenység (folyamatok): Az ügyfelek felé vállalt kötelezettségek nem szándékos (gondatlan) megszegése. Sokszor fogyasztóvédelmi vonatkozásai is vannak. Pl. hitelkártya limit túllépés véletlen engedélyezése, vállalt határidőből való kicsúszás, ügyfélnyilvántartás hiányosságai. 5. Fizikai eszközök sérülései (technológia): Eszközök, elsősorban az informatikai infrastruktúra sérülése és működésképtelensége. Természeti, vagy ember okozta katasztrófahelyzetek. Pl. szerverterem beázása áradás miatt, terrorcselekmény hatásai, építési tevékenység miatti sérülés.
7. Folyamatok irányítása, biztosítása és végrehajtása (folyamatok, technológia, emberek): Nyilvántartási tévedések, végrehajtási problémák. Pl. Hibás adatbevitel, könyvelés, külső adatszolgáltatás elmaradása, beszállítói kapcsolatok.
Sajnos napjainkban mind a természeti katasztrófák, mind a terrorista támadások élő veszélyt jelentenek, és nagyon sok cég fel is készül ilyen helyzetekre. A 2001-es World Trade Center elleni támadás az emberáldozatok mellett az informatikai
Természetesen egyes esetekben ezen veszteségi kategóriák áttételesen is jelentkezhetnek, több kockázati terület együttes fellépésével. Így akár a külső és a belső tényezők egyszerre jelentkezése nagyobb hatású veszteséget is előidézhet. Így például a Barings Bank esetében a Nick Leeson által végrehajtott belső csalás, illetve a külső piaci mozgások együttesen eredményezték a veszteséget, de a közelmúlt Société Générale ügyében is a csalás felderítésekor meghozott
14
Donkin, R: (2007) Change is here to stay and we need to adapt, Financial Times, 2007 május 31. A cikk felhívja a figyelmet arra, hogy a bemutatott példa nem egyedi eset, így például per indult a HBOS Bank ellen 11 millió font értékben is (mely a legnagyobb eddigi perértéket jelenti), és a beszámolók szerint Európában egyre gyakoribbá válnak a hasonló ügyek, mely a működési kockázatoknak egy jelentős szeletét érintheti, és új feladatok elé állítja az emberi erőforrás menedzsment osztályokat.
12 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Vá lla la Ke ti p é re sk nzü gy La ed ek ko és és ss á ér Ke gi re kö ték sk es z íté La ed vet s ko elm ítő te ss ib ág an vék Fi ib ze en ki an té t ys s ki evé ég Pé i é k t nz s e evé en ys ls üg k zá en ég yi Va m ys gy szo ol ás ég on l it ke gált e a vé ze k lé tás si kö eny te vé zve ség tí ke ny tés sé e g
4. ábra: Működési kockázati kategóriák kialakítása a pénzügyi szervezeteknél
Üzleti kategóriák Veszteségkategóriák
Belső csalás Külső csalás
Ebben az esetben a veszteségek nyilvántartása, illetve az erre épülő számítások már meglehetősen bonyolulttá válnak, ezért elengedhetetlen a kockázatok nyomon követésére az informatikai megoldások használata.
További problémát jelent (ami egy pénzintézet szempontjából inkább örömteli dolog), hogy a kockázati események Emberek alacsony száma miatt kevés Folyamatok adat áll rendelkezésre. A Technológia Külső tényezők 7×8-as mátrix egyes osztályaiban már a néhány tucat esemény is kiemelkedő lehet, de sokszor egy-egy ilyen osztályba egyetlen esemény sem jut. Habár ez azt is jelentheti, hogy a pénzintézet viszonylag biztonságban van, kockázatkezelés szempontjából nem jelent elégséges alapadatot. A probléma kiküszöbölése érdekében érdemes egyes veszteség, vagy üzleti kategóriákat összevonni, így nagyobb kockázati osztályokat kialakítani. Megjegyzendő, hogy míg a veszteségkategóriák összevonása torzíthatja a veszteség-eloszlási elvárásainkat (és így a modellépítést), addig az üzletágankénti összevonás esetében az ilyen problémákkal kevésbé kell szembesülni16.
Dolgozói tevékenység és munkahelyi biztonság Ügyfelek, termékek és üzleti tevékenység
Osztályok
Fizikai eszközök sérülései Rendszerek és üzleti tevékenységek megszakadása Folyamatok irányítása, biztosítása és végrehajtása
lépések nem voltak éppen a legjobban időzítve, így növelték a veszteséget.
Működési kockázati kategóriák kialakítása Az egyes felmerült veszteségadatokat, illetve kockázatokat a működési kockázatokra vonatkozó hét veszteségkategória mellett a pénzügyi szervezetek nyolc lehetséges üzletága szerinti bontásában is előírja a szabályozást. Így összesen akár 56 csoportot is kialakíthatunk, bár a gyakorlatban célszerű ezen csoportok számát korlátozni. Ha nem csak becsülni, hanem kezelni is szándékozunk a kockázatokat, akkor szükséges a kockázatok okainak is a vizsgálata, ami a gyakorlatban azt jelenti, hogy minden egyes osztály (vagy legalább is vizsgálati kategória) esetében szükséges értelmezni a folyamatokban rejlő, emberi, technológiai, illetve a külső környezet kockázatait (4. ábra).
A statisztikai eszközök alkalmazása ellenére ugyanakkor a folyamat alapú kockázatértékelést sokkal inkább üzletágakhoz, mintsem veszteségkategóriákhoz lehet kötni. Ebben az esetben a folyamatokhoz feltárásával jobban elemezhetővé válnak a kockázatok okai, így nagyobb lehetőség nyílik azok kezelésére. Az összevonások során tehát már döntéshelyzetbe kerülünk a tekintetben, hogy a statisztikai alapú, a kockázatértékelésnek nagyobb lehetőségeket nyújtó megközelítést, vagy pedig a folyamat alapú, és így a kockázat kezelésének nagyobb teret adó megközelítést választjuk.
A gyakorlatban ez a megközelítés több kihívást is magában hordoz, melyek miatt a teljes csoportosítás nem működik: egyrészről az alap két dimenzió teljesen eltérő szemléletmódot hordoz magában, az egyik dimenzió az eseményeket, míg a másik dimenzió az adatgyűjtés helyét fedi le, melyek egybevetése jelentős problémákat vet fel15. Az is problémát jelenthet, hogy egy esemény akár több kategóriát (üzleti és veszteség) is érinthet.
A szabályozási elvárások miatt a pénzintézetek rövidtávon inkább a statisztikai alapú megközelítés 16
Gáll József–Nagy Gábor (2007) A működési kockázat veszteségeloszlás-alapú modellezése (Loss Distribution Approach – LDA), megjelent: Hitelintézeti szemle, VI. évfolyam, 4. szám, 386412. oldalak
15
Köszönöm Szauer Tamás a Raiffeisen International Basel II menedzserének segítő megjegyzéseit e témában.
13 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
irányába indultak el (kockázat értékelése), míg a tényleges kockázatkezelés inkább hosszabb távú gyakorlat lehet. A kategóriák kialakítása esetében legfontosabb annak szem előtt tartása (és ez nem csak a működési kockázatokra igaz), hogy a fejlett megközelítéseket csak akkor használjuk, ha biztosítható, hogy egy adott osztályban rendelkezésre fog állni a statisztikai elemzésekhez szükséges adatmennyiség.
hatóságok (nálunk a PSZÁF) ezt ellenőrizheti, sőt összevetheti más, hasonló pénzintézetek gyakorlatával. Az előírások lehetővé teszik - bizonyos feltételek teljesülése esetén - a megközelítések kevert alkalmazását is. Azaz egy pénzintézet számára nem kötelező minden területen pl. az AMA megközelítés alkalmazása. Annál is inkább, mivel a BIA, STA (ASA) megközelítések nem veszik figyelembe a tényleges kockázatokat, de az AMA megközelítés alkalmazása nem éri meg minden esetben a befektetést17.
A működési kockázatok értékelésének módszerei
Habár motiváció szempontjából az AMA megközelítés jelenti a legalaposabb kockázatfeltárást (és így az alacsonyabb tőkefedezet képzést), ezen módszer alkalmazása nagyobb munkabefektetést is jelent, ugyanakkor ezen megközelítéssel nem csak alacsonyabb a kötelező tőkefedezet, hanem a pénzintézetek saját kockázataikat is jobban megismerhetik és kezelhetik.
Az Uniós és a hazai pénzügyi szabályozás célja, hogy a pénzügyi szervezetek minél jobban feltérképezzék és becsüljék mind működési, mind egyéb kockázataikat. Habár lehetőség van háromféle tőkefedezet-képzési megközelítés használatára is, a szabályozás mégis arra motiválja a pénzintézeteket, hogy tárják fel várható kockázataikat, illetve az ezekre vonatkozó adatokat érthető és átlátható formában mutassák be. Ekkor ezen pénzintézeteket alacsonyabb tőkefedezeti kötelezettség terheli.
A fejlett mérési sajátosságai
Alapmutató módszer (Basic Indicator Approach - BIA): Legegyszerűbb felépítésű intézetek számára, a bank előző három évi átlagos éves bruttó jövedelmének fix százalékaként fejezhető ki. Standard módszer (Standardised Approach STA): Az egyes tevékenységeket nyolc terület alá kell besorolni, majd az egyes területekre kell meghatározni (bruttó jövedelem alapján) a szükséges tőkefedezetet, majd ezeket kell összesíteni. Alternatív standard módszer (Alternative Standardised Approach ASA): A STA megközelítés különleges válfaja az ASA, melyben bizonyos üzletágak esetében a bruttó jövedelem helyett a hitelezési tömeget veszik alapul. Fejlett mérési módszer (Advanced Measurement Approach AMA): A pénzintézetek az általuk meghatározott kockázatkezelési rendszer által meghatározott kockázatokra képeznek fedezetet.
módszer
(AMA)
Mivel teljes életciklusra kiterjedő kockázatmenedzsment csak a fejlett mérési módszer (AMA) módszer jellemzője, ezért a továbbiakban ennek lehetőségeit vizsgáljuk meg.
Múltbéli kockázatokra építő megközelítések A fejlett mérési módszer alapján történő kockázatértékelés egyik hangsúlyos irányvonala a múltbéli veszteségadatok elemzésére és aggregálására épít (top-down megközelítés). Ennek keretében vizsgáljuk az időegységre jutó veszteség értékét, illetve a veszteségeloszlást (súlyosság és gyakoriság). Ezt a megközelítést LDA (Loss Distribution Approach) néven ismerik18. Az összegyűjtött és elemzett veszteségadatokat statisztikai módszerekkel lehet vizsgálni
17
A kockázatkezelési rendszer részeként létre kell hozni a kockázatkezelési politikát, szabályzatokat, eljárásokat, egy működési kockázatkezelő szervezeti egységet illetve egy beszámolási rendszert. A tőkefedezet képzésére szolgáló modell felülvizsgálatát és hitelességét rendszeresen el kell végezni, illetve az elmúlt 5 év (kezdetben kifutó rendszerben 3 év) veszteségadatainak idősorát kell felhasználni.
Míg a BIA módszer alkalmazásának nincs különösebb feltétele, addig a szabályozás szerint a pénzintézeteknek azt a megközelítést kell alkalmaznia, mely leginkább megfelel működési és kockázatvállalási profiljának. Elvileg a felügyeleti
18
Gáll József–Nagy Gábor (2007) A működési kockázat veszteségeloszlás-alapú modellezése (Loss Distribution Approach – LDA), megjelent: Hitelintézeti szemle, VI. évfolyam, 4. szám, 386412. oldalak
14 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
(eloszlások azonosítása, paraméterek becslése, illeszkedésvizsgálat).
Ezekben az esetekben az intézmények felhasználhatják az iparágra vonatkozó külső adatokat is, melyeket megosztott adatbázisokban, a névtelenséget tiszteletben tartva gyűjtenek (pl. Magyarországon a HunOR adatbázis)19.
A megközelítés lehetővé teszi, hogy múltbéli kockázati eseményeket azonosítsunk, és ezek prognosztizált jövőbeli előfordulására felkészüljünk. Problémát az jelent, hogy míg a gyakori, de kis hatású kockázatok felmerülése viszonylag jól becsülhető, addig a ritka, de nagy hatású kockázatok igen rosszul becsülhetőek.
A külső forrásból származó adatok elemzése jó kiindulópont a jövőbeli kockázatokra nagyobb hangsúlyt fektető módszerek – kockázati önértékelés, forgatókönyv-elemzés – számára, mivel lehetővé teszi, hogy ne csak múltbéli kockázatokra keressünk adatokat, hanem olyan kockázatokat is számba vegyünk, melyek még nem fordultak elő szervezetünk esetében.
A módszer alkalmazása során a kihívást az adatok azonosítása és gyűjtése jelenti, azaz annak vizsgálata, hogy ténylegesen kockázati esemény történt-e (egyáltalán mit tekintünk annak), ezeket hogyan rögzítjük, hogyan automatizáljuk, majd annak besorolása a működési kockázati kategóriák egyikébe. Szintén döntés kérdése, hogy milyen érték felett gyűjtjük a kockázati veszteségeseményeket, mivel bizonyos érték alatt nem éri meg a befektetett erőforrásokat az események rögzítése.
Az ilyen kockázatok felmérésére és kezelésére elsősorban a külső adatbázisokból származó adatokat (benchmark) szokták felhasználni. Külső adatok felhasználását az intézményeknek indokolnia kell, illetve a felhasználáshoz kapcsolódó megfontolásokat évente független szakértőnek kell értékelnie. A felhasználás és megbízhatóság kérdése azért is érdekes lehet, mivel több adatbázis is rendelkezésre áll a különböző kockázatokból adódó veszteségek gyűjtésére, és azok tartalma sokszor eltérést mutat. Így érdemes szűrni az adatokat azok relevanciája alapján, illetve vizsgálni azt, hogy a kockázati kategóriák, vagy üzletágak alatt ugyanazt értjük-e, mint az adatbázis üzemeltetői. Célszerű olyan külső adatokat használni, melyek követik a CRD (Capital Requirements Directive) 7×8-as mátrixot eredményező veszteség és üzletágstruktúráját.
A rendelkezésre álló adatok alapján történik meg az adatokra illeszkedő statisztikai eloszlásfüggvények, illetve azok paramétereinek megállapítása. Az eloszlási modellek megállapítása után érdemes a modellt bizonyos korrekciós tényezőkkel kiegészíteni (adatfelhasználási sajátosságok, infláció, növekedési becslések), majd az így kapott modellt lehet felhasználni a szükséges tőkefedezet meghatározása során. Sokszor problémát jelent, hogy nem áll rendelkezésre elégséges belső adat a múltbéli veszteségekre vonatkozóan (mely kockázatokat akár más módszerekkel – önértékelés, forgatókönyv-elemzés, folyamat alapú felmérés – már azonosításra kerültek). Gyakori tévhit, hogy azokkal az azonosított kockázatokkal nem kell foglalkozni egy szervezetnek, melyek a múltban még nem fordultak elő.
Jövőbeli kockázatok becslése A megközelítések célja, hogy – akár a múltbéli adatokra építve is – felmérjük az összes lehetséges kockázatot. A múltbéli adatokra építő módszerekhez képes ezen megközelítések előnye abban áll, hogy a felméréssel nem csak a kockázatok értéket tudhatjuk meg, hanem pontosan (illetve az előző módszerhez képest jóval pontosabban) meghatározhatjuk a kockázatok helyét, azok lehetséges okait, illetve feltárhatjuk azokat a kockázatokat is, melyekkel a szervezetnek még nem kellett szembesülnie. Ezen módszer keretei között a kockázati önértékelés, forgatókönyv-elemzés, folyamat alapú
Tipikusan a ritkán jelentkező, de nagy hatású kockázatok esetében hajlamosak a szervezetek arra, hogy ne foglalkozzanak a lehetséges kockázatokkal (itt hadd idézzem egy informatikai vezető mondását: „minden rendszerünk folyamatosan jól, és megbízhatóan működik, nincs szükségünk megelőző intézkedésekre a működés fenntartása érdekében”), és sokszor elpocsékolt pénznek értékelik a döntéshozók („beleöltük az időt és energiát, és mégsem jelentkezett a kockázat”). Ez a hozzáállás akár jelentős veszteségeket is okozhat, ha egy adott szervezet nem elemezte kellőképpen a lehetséges kockázatokat, illetve azok hatását.
19
Az egyes külső adatbázisokról, azok adattartalmáról és felhasználási lehetőségeikről, illetve a speciálisan magyar lehetőségekről ad áttekintést: Homolya Dániel, Szabolcs Gergely (2007) Működési kockázati adatkonzorciumok és alkalmazásuk HunOR: a hazai bankok lehetősége, Hitelintézeti szemle, VI. évf. 1. sz.
15 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
megközelítések és használata szerepel.
kockázati
mutatószámok
érdekében). Így például egy informatikai kockázatot valószínűleg a legjobban az informatikusok tudnak azonosítani, de a kapcsolódó veszteséget már az érintett üzletág(ak) tudják megfelelően megbecsülni.
A kockázati önértékelés és a forgatókönyv-elemzés nem tökéletes szinonimái egymásnak, mégis sokszor – nem meglepően - azonos értelemben, hasonló értelmezésben használják ezeket20.
A kockázatok azonosításának egyik lehetősége a szervezet folyamatainak feltérképezése, és az egyes tevékenységekhez kapcsolódó kockázatok azonosítása. Ez a megközelítés lehetővé teszi, hogy a közvetlenül kapcsolódó kockázatok könnyed azonosíthatóak legyenek, a folyamatokat mintegy sorvezetőként használva. Természetesen léteznek olyan működési kockázatok, melyek nem csak egy tevékenységhez, vagy folyamathoz köthetőek. A további kockázatok azonosításához a vizsgált területek szakértőivel és vezetőivel folytatott strukturált megbeszélések szükségesek.
A kockázati önértékelés (self risk assessment SRA) során az intézmény vezetői, dolgozói feltárják a lehetséges kockázati tényezőket, és megbecsülik ezek várható veszteségét. A forgatókönyv-elemzés lehet ennek egy speciális formája, mely során elsősorban a súlyos események hatásait igyekeznek meghatározni. A forgatókönyv-elemzés során meghatározzuk a lehetséges kockázatokat, azok összefüggéseit, majd felállítjuk a lehetséges forgatókönyveket: legtöbbször optimista, normál és pesszimista megközelítéseket. A háromféle lehetőség vizsgálatára azért van szükség, mivel a kockázatok értékelése eleve becslésen alapul, és maga is bizonytalanságot (kockázatot) hordoz. Így a különböző forgatókönyvek hivatottak az ebbéli bizonytalanságot tükrözni.
A folyamat alapú megközelítés hozzájárul a kockázatokra vonatkozó indikátorrendszer meghatározásához is. A folyamatokhoz, illetve az ott megjelenő kockázatokhoz kulcs kockázati indikátorokat (Key Risk Indicators – KRI) rendelhetünk, melyek változásával, illetve figyelembevételével becsülhetjük a kockázatokat21. Pl: ATM rablások, munkaerő fluktuáció aránya, ügyfélpanaszok száma, szolgáltatások rendelkezésre állása
A forgatókönyv-elemzések során ezek az események meghatározása mellett vizsgálják ezek okát (így megelőzhetőek), illetve lehetséges kimeneteleit (így kezelési lehetőségeket állapítanak meg. A forgatókönyvek elemzése segít feltárni a sebezhető területeket, és megbecsülni a kockázatok várható, illetve maximális értékét. Megjegyzendő, hogy a forgatókönyv-elemzés is egyfajta önértékelésnek tekinthető.
Ezen indikátorok mintegy füstérzékelőként működnek: jelzik a füstöt, de nem tudjuk, hogy ég az épület, vagy pedig csak odaégett a kenyér a pirítóban? Ennek kiderítése mindig külön vizsgálatot igényel, de „jobb félni, mint megijedni”. Mindenesetre akkor van csak lehetőségünk a kockázatok felmérésére és kezelésére, ha tisztában vagyunk az üzleti folyamatokkal és azok összefüggésrendszerével.
A forgatókönyv-elemzés során elterjedt elemzési segítség a hibafa elemzés (Fault Tree Analysis), mely során az egyes tevékenységek, szolgáltatások hátterét tárhatjuk fel: mivel a bevételek elsősorban bizonyos szolgáltatások végrehajtásából származnak, ezért ez a módszer segít az ezeket akadályozó kockázatok, veszélyeztetett elemek azonosításában.
Ebből következően egy adott indikátor többféle kockázatot is előre jelezhet, illetve az indikátorokat nem egyesével, hanem azok együttesének elemzésével szükséges értelmezni. Megjegyzendő, hogy a kulcs kockázati indikátorok előrejelző képessége (mely véges) nem biztos, hogy minden kockázatot megfelelően lefed. Ne ringassuk magunkat abba a hitbe, hogy az indikátorok kialakításával kezeltük is a
Ezekben az esetekben arra kell törekednünk, hogy mind a kockázatokat, mind a várható (és nem várható) veszteségeket azok állapítsák meg, akik leginkább érintettek. Ebből adódóan a kockázatok azonosítás, illetve azok értékelése nem feltétlenül kerül egyszerre megállapításra (bár lehet workshop-okat szervezni az együttes értelmezés
21
Jó összefoglalók segítik az értelmezést mind általános használhatóság tekintetében: Chen, M.C. (2006) The anatomy of Business Process-specific Key operational Risk Indicators, Continuity Central; illetve speciálisan a banki környezetekre vonatkozóan: Lamanda Gabriella (2007) Kulcs kockázati indikátorok és lehetséges alkalmazásuk, Hitelintézeti szemle, VI. évf. 4. sz.
20
A terület összefoglalásáról igen jó cikk olvasható a Hitelintézeti Szemlében: Hajnal Béla, Kállai Zoltán, Nagy Gábor (2007) Működési kockázati önértékelések veszteségeloszlás-alapú modellezése, Hitelintézeti szemle, VI. évf. 5. sz. 506-519. oldalak
16 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
kockázatokat: egyrészről a teljesség sok esetben kérdéses, másrészről a működés, és ezzel együtt a kockázatok is változhatnak. Ugyanakkor a kulcs kockázati indikátorok használata nagymértékben javíthatja a szervezetek kockázatkezelési lehetőségeit.
lehetőséget a kockázatok kezelésére, csökkentésére. Pedig a kockázatok csökkentésével nem a csak a működési hatékonyság javulna és a várható veszteség csökkenne, de végső soron a kötelető tőkefedezet képzés is csökkenne. Természetesen mindkét megközelítésnek megvannak a maga előnyei és hiányosságai, ezért logikusnak tűnne, hogy a két megközelítés kombinációját kelljen megvalósítani. Ugyanakkor éppen itt ragadható meg a különbség: míg a múltbéli adatokra épülő megközelítés viszonylag jól számolható és becsülhető (bár nem deríti fel az okokat), addig egy pontosabb és körültekintőbb jövőbeli eseményekre koncentráló megközelítés jelentősebb energiabefektetést és munkát igényelne. Amennyiben a folyamat alapú kockázatfelméréshez már konkrét modelleket, becsléseket (SBA) tudunk megfogalmazni, úgy kockázatfelmérésünk pontosabb lehet.
Az önértékelés, forgatókönyv-elemzés – bármilyen pontos is legyen – becslés eredménye. Éppen ezért szükséges a körültekintő alkalmazás, illetve az eredmények megbízhatóságának érdekében a független kockázatkezelő szakértők mellett akár a belső ellenőrzés bevonása is indokolt lehet. Az ellenőrzés történhet a meglévő tényadatokkal való összevetés segítségével is, de ezen adatok esetében eleve probléma a teljesség hiánya, illetve az, hogy nem veszik figyelembe az esetleges szervezeti, vagy környezeti változásokat. A becslések folyamán problémát jelenthet, ha a szakértők nem képesek becsülni: ismerik a kockázatokat, de nem tudják meghatározni azok várható veszteségét. Ilyenkor elfogadott külső adatokra, benchmarkok-ra támaszkodni, persze a szokásos fenntartásokkal. A kockázati önértékelés és forgatókönyv-elemzés a szervezetben a veszteségeloszlások mellett elsősorban a kockázatok okait segít feltárni a szervezetben. Sok esetben a veszteségeloszlás alapú megközelítések nem is igazán vezetnek eredményre, mivel sokszor nem áll elégséges múltbeli adat rendelkezésre.
Megközelítések egységes kezelése Az eloszlásokra alapuló modellek hasznos kiegészítői a folyamat alapú megközelítésnek, illetve az eloszlásokra alapuló megközelítéseket a feltárt kockázati lehetőséggel lehet kiegészíteni. Így a két megközelítés együttes használata lehet a legjobb (bár egyben a legkomplexebb) megoldás. Ezt a megközelítést a szakirodalom Hybrid Measurement Approach-nak (HMA) nevezi, és természetesen csak a fejlett mérési módszert alkalmazó bankok használhatják22. A becslésre, így a felügyeleti szervek számára is elegendő a nagyobbrészt LDA (Loss Distribution Approach) módszerre épülő kockázatkezelési modell alkalmazása, ugyanakkor ez a módszer még nem mutatja be a kockázati területeket, és nem ad 22
A többféle megközelítést egységesítésére példa: Armai Zsolt, Homolya Dániel, Kasnyik Klára, Kovács Ottó, Szabolcs Gergely (2007) Úton az AMA módszer bevezetéséig az Erste Bankban, Hitelintézeti szemle, VI. évf. 4. sz.
17 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
MŰKÖDÉSI KOCKÁZATOK FOLYAMAT ALAPÚ KEZELÉSE
Míg a területen élenjáró, sok tapasztalatot felhalmozó pénzintézetek esetében a működési kockázatmenedzsment feladatok elsődleges hajtóereje a tőkefedezet képzés, illetve a szabályozásoknak való megfelelés biztosítása, addig más szervezetek esetében maga a kockázatok elhárítására és mérséklésére irányuló tevékenység kerül a fókuszba. Habár a pénzintézetek számára is előírás annak hitelt érdemlő bizonyítása, hogy a kockázatok elhárítására és mérséklésére kellő figyelmet fordítanak, ezen intézmények által választott módszerek mégis inkább a felmérés és tőkefedezet képzési területekre koncentráltak eddig alapvetően a múltra vonatkozó információk felhasználásával23, így ezen a területen még további fejlesztésekre van szükség.
A folyamat alapú kockázatmenedzsment részeként a kockázatok azonosításán túl, a kockázatokhoz kapcsolódó kontroll folyamatokat és kontroll pontokat is meg lehet határozni, mely lehetőséget biztosít a kockázatok megelőzésére, elhárítására, illetve a veszteségek csökkentésére.
Kockázatok azonosítása és értékelése Ezen megközelítés keretében a folyamatok leképezése jelenti az első lépést. Ekkor az egyes tevékenységekhez, az azokat elvégző személyekhez, szervezeti egységekhez, illetve a támogatást jelentő informatikai rendszerekhez kapcsolódóan határozhatóak meg a lehetséges kockázatok. Ez a megközelítés lehetővé teszi, hogy egy szervezet kijelölt folyamataihoz kapcsolódóan teljes körű kockázatfelmérés kerüljön végrehajtásra.
Ráadásul a kockázatok azonosítása és kezelése során elsősorban a jól megfogható (hard) tényezőkre koncentrálnak, míg a puhább (soft) tényezőkkel nem foglalkoznak. Való igaz, hogy egy szervezeti kultúrával, vagy a dolgozói motivációval sokkal nehezebb megküzdeni, sőt hosszabb időbe is telik, mint mondjuk egy informatikai szerver funkcionalitását katasztrófa esetében kiváltó hátterét létrehozni. Ugyanakkor a puha tényezők azonosításával és fejlesztésével nem csak hosszabb távú (tartósabb), de nagyobb mértékű eredmény is érhető el.
Következő lépésben kerülhet sor a kockázatok mértékének azonosítására, azaz a kockázatban szereplő esemény felmerülési gyakoriságának, illetve az általa okozott veszteség súlyosságának meghatározására. Egy folyamat alapú megközelítés esetében lehetőség van a kockázatok részletes dokumentálására, illetve a kockázatok változásának folyamatos átvezetésére is. Megjegyzendő, hogy habár ezen módszer a működési kockázatok kezelését támogatja a legjobban, a folyamatmodellhez kapcsolódóan más kockázatok is nyilvántarthatóak.
A kockázatok azonosítása során tehát a tevékenységek minden elemére figyelmet kell fordítani, beleértve a végrehajtó személyeket is, mely sokszor maguk is előidézői a veszteségeknek. Például egy olyan szervezet esetében, ahol a dolgozókra nagy munkateher és nagy nyomás nehezedik, a túlhajszoltság miatt a dolgozók figyelmetlenebbé válnak és hajlamosabbak hibák elkövetésére. De lehet kockázati ok egy olyan szervezeti kultúra is, ahol az előírások, szabályok tisztelete nem érték.
Mivel a működési kockázatok igen sokféle helyen és jelleggel rendelkezhetnek, ezért az elemzés elvégzéséhez a következő modelltípusokat kell létrehozni:
A banki tapasztalatokat is figyelembe véve a következő módszerek alkalmazhatóak a működési kockázatok megfelelő feltárására és teljes életciklust lefedő kezelésére
kulcs kockázati mutatók (indikátorok) használata
önértékelés és forgatókönyv-elemzés folyamat alapú kockázatkezelés
23
Cindy Levy, Harmid Samandari, Antonio Simoes.(2006) Better operational-risk management for banks. The McKinsey Quarterly. August 2006.
Folyamatmodell: az egyes tevékenységek sorrendiségének, kapcsolódási pontjaink és egymásra hatásának modellezése. Technológiai modell: a folyamatok végrehajtása során felhasznált technológiai megoldások, kiemelten informatikai rendszerek számbavétele, azok egymással való kapcsolata. Szervezeti modell: szervezeti struktúra, hierarchiai viszonyok, szerepek, felelősségi és feladatkörök rögzítése. Kihívást jelent, hogy az
18 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
emberek (dolgozók) és szerepek között többtöbb típusú kapcsolat található, illetve a felelősségi körök egyértelmű kijelölése. Dokumentum-modell: a folyamatok végrehajtása során keletkező és felhasznált dokumentumok.
A kockázatokra vonatkozóan a következő főbb információkat érdemes nyilvántartani:
A felsorolt modellekhez egyaránt kapcsolhatóak kockázatok, azaz kockázat kapcsolódik egy tevékenység végrehajtásához, egy támogató rendszer működéséhez, egy dolgozóhoz (aki végrehajt egy feladatot), vagy akár egy papír alapú vagy elektronikus dokumentumhoz is. Az 5. ábra egy ilyen egyszerű általános igénylési folyamatra mutat példát, melyen rögzítésre kerültek a folyamatot végrehajtó szerepkörök, informatikai rendszerek, illetve dokumentumok, melyek mindegyikéhez kapcsolható kockázat.
A kockázat gazdája A kockázat típusa (működési, reputációs, stb.) A kockázat utolsó értékelése (értékelő, módszer, dátum, stb.) A kockázat áttekintési módjai (review) Minőségi és mennyiségi értékelés A veszteséget eredményező események száma gyakorisága
Kockázatok kezelése A kockázatfelmérés lehetővé teszi, hogy a megfelelő kockázatkezelési megoldásokat meg lehessen találni, melyek a következő területekre oszlanak:
19 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Kockázat csökkentése:
felmerülésének elkerülésére, illetve amennyiben a kockázat mégis bekövetkezik, úgy milyen ellenintézkedéseket lehet tenni a kár mérséklésére. Nyilvánvalóan a kockázatkezelés előfeltétele, hogy a kockázatok azonosításra kerüljenek.
Proaktív megközelítés: A kockázatcsökkentés egyik módja a bekövetkezési valószínűség csökkentése, mely tipikusan megelőző, többnyire védelmi megközelítések által kerül megvalósításra. Éppen ezért szükséges, hogy tisztában legyünk a várható kockázatokkal, hogy fel tudjunk rá készülni. Ennek leghatásosabb módja a folyamat alapú kockázatfelmérés. Reaktív megközelítés: Ebben az esetben nem a kockázat bekövetkezését, hanem egy esemény hatásának mérséklését állítják a középpontba, azaz azt vizsgálják, milyen intézkedések szükségesek, ha megtörténik egy esemény. Természetesen ennek is előfeltétele, hogy a kockázatok köréről valamilyen előzetes ismeretünk legyen. A teljes elkerülés általában olyan megközelítés, mely során a szervezet lemond egy kockázatosnak ítélt tevékenység folytatásáról. Ez nem tekinthető a szó szoros értelmében kockázatcsökkentési megközelítésnek. Tipikusan a nagy gyakoriságú és nagy kockázatú területek esetében ez az egyetlen lehetőség, mivel a kockázatkezelési megoldásokkal együtt sem valószínű, hogy megéri folytatni az adott tevékenységet.
A folyamat alapú kockázatfelmérés biztosítja a kockázatok felmérésének teljességét, és ezáltal a különböző kockázati kategóriák azonosítását is. Ezen megközelítés mellett látható, hogy a kisebb kockázatú események összességében milyen veszteséget jelentenek. Mint látható, a tárolt adatok köre lehetőséget biztosít arra, hogy a kockázatokra épülő összesítési és mutatószám rendszereket alakítsunk ki, és ezáltal lehetővé téve a kockázatok folyamatos felügyeletét. A kockázatok azonosítása lehetővé teszi a kapcsolódó (lehetséges és megvalósuló) kontroll tevékenységek meghatározását. A kontroll tevékenység maga lehet egy egyszeri tevékenység, vagy egy teljes kontroll folyamatcsoport, mely akár több kockázathoz is kapcsolódik. A 6. ábra – egy másik jelölésrendszer használatával – a korábbi egyszerű igénylési folyamathoz kapcsolódó kontroll tevékenységeket mutatja, és jól illusztrálja, hogy magukhoz a kontroll tevékenységekhez is kapcsolódhat kockázat (gondoljunk a Société Générale, vagy a Barings Bank esetére, ahol a kontroll tevékenységeket kijátszották a banki alkalmazottak).
Kockázat megosztása: A kockázat megosztása során a bekövetkezés által okozott károk mérséklésére törekszik. Ennek egyik logikus módja a biztosítók bevonása (amelyek saját kockázatuk csökkentése érdekében elvárják a szervezetektől a kockázatmérséklési tevékenységet), illetve a kockázatos tevékenységek kiszervezése, alvállalkozók számára történő átadása (melyek a szolgáltatási díjba ugyan beépítik a kockázatok kezelését, de esetleg nagyobb speciális szakértelemmel rendelkeznek, kiszámítható költségekkel szemben megbízhatóságot biztosítanak).
Az egyes kontroll tevékenységek esetében a következő információk határozhatóak meg:
Kontroll típusa (preventív, reaktív) Kontroll kategóriája (pl. audit, jelszó, stb) Eredményesség Manuális / automatikus jelleg
A kontrollok alkalmazása esetében törekedni kell arra, hogy ezen ellenőrzések megelőző, mintsem reagáló jellegűek legyenek, illetve lehetőségek szerint a kontrollok legyenek automatikusak, azaz a legkevesebb teret adjuk az emberi tényezőnek. Ez utóbbi elvárás megköveteli, hogy az egyes folyamatokat aktív ellenőrzést biztosító folyamatmenedzsment megoldás (pl. workflow rendszer) támogassa.
Kockázat vállalása: A kockázatnak ezt a részét egy szervezet tudatosan vállalja. Ezt nevezzük maradékkockázatnak. Vagy azért, mert ebben az esetben nincs már mód arra, hogy a kockázatok bekövetkezését, vagy hatásuk mértékét egy szervezet hatékonyan csökkentse (pl. költséghaszon összevetés során lemond a csökkentésről), vagy pedig azért, mert a kockázatok mértéke az elviselhetőség határán belül van. A kockázatkezelés során meghatározandó, hogy milyen megelőző lépések szükségesek a kockázat
20 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
kockázatból adódó veszteség költségét, úgy nem éri meg a megelőző tevékenységek végrehajtása.
Kockázatkezelési költségek értékelése
Mivel ellenintézkedések, vagy kontroll folyamatok nem csak egyes egyedi kockázatokhoz, hanem kockázatok csoportjához is tartozhatnak, ezért a kockázatkezelési költségeket is érdemes hasonló logika mellett csoportosítva értékelni. Összességében azt az optimális pontot kell megtalálni, ahol a kockázatkezelési költségek,
A kockázatok azonosítása és nagyságuk meghatározása teszi lehetővé annak meghatározását, hogy mely kockázatok kezelésére érdemes erőfeszítéseket tenni: amennyiben a kockázatkezelés költsége meghaladja a
21 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
valamint a kockázatokból eredő veszteségek együttes értéke minimális. Ennek a döntésnek ugyanakkor előfeltétele az, hogy a kockázatok, és azok jellemzői már előzőleg – a folyamatokhoz kapcsolódóan – felmérésre kerüljenek, illetve a lehetséges kezelési eljárások azonosítottak legyenek.
határozzunk meg, melyek több kockázathoz, kockázatcsoporthoz is kapcsolódnak. Ezen tevékenység vérhajtásakor érdemes a folyamatmenedzsment általános alapelveit is figyelembe venni, és a kockázat alapú szemlélet mellett a folyamatok átalakításakor figyelembe lehet venni az időbeli átfutásra, költségekre és minőségre vonatkozó lehetőségeket is. Ez ugyanakkor jelentősen megnöveli a folyamatfejlesztés végrehajtásának komplexitását és időbeli lefutását is. Ezen a ponton kapcsolódik egymáshoz és mutat jelentős átfedést egymással a folyamat alapú kockázatmenedzsment, illetve a kockázat alapú folyamatmenedzsment koncepciója. Ebből adódóan a folyamat alapú kockázatmenedzsment megjelenhet különálló tevékenységként, de lehet egy szélesebb körű folyamatfejlesztési projekt része is, erőteljesen megjelenítve a kockázati tényező fontosságát az optimalizáció során.
Szervezeti folyamatok átgondolása A kockázatok kezelésének egyik eszköze maguknak a folyamatoknak az átszervezése és kockázatokhoz kapcsoló optimalizálása. Ezzel a módszerrel már maguk a kockázatok is eltűntethetőek a folyamatokból, illetve a kockázatok a működés logikájából adódóan mérsékelhetőek. A folyamatok kockázati szempontú optimalizálása lehetővé teszi azt is, hogy átfogó jellegű kontroll folyamatokat
22 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
ÖSSZEFOGLALÁS Mint látható, egy folyamatokra épülő működési kockázatokat kezelő rendszer kiépítése koránt sem egyszerű folyamat. A folyamat alapú kockázatkezelés megvalósítása ugyanakkor elképzelhetetlen a megfelelő támogatást jelentő informatikai megoldások nélkül: a folyamatok nagy száma, azok bonyolultsága, illetve így a kapcsolódó lehetséges kockázatok nagy száma átláthatatlan lenne a megfelelő eszközök segítsége nélkül. A támogató eszközök felhasználása ugyanakkor egyszerűsíti, áttekinthetővé és kontrollálhatóvá teszi mind a szervezeti folyamatokat, mind pedig a kapcsolódó kockázatokat és kontroll tevékenységeket.
kérdésekből adódó kockázatokat, és a kapcsolódó kockázatmenedzsment feladatokat. Itt kiemelten gondolhatunk az Euro-SOX néven említett EU direktívára24, melynek széles körű elterjedése már 2-3 éven belül várható, és a szervezetek széles körére vonatkozik. Az ilyen jellegű szabályozásoknak való megfelelés megköveteli a folyamat alapú kockázatmenedzsment és kontroll tevékenységek létrehozását, mely egyben lehetőséget biztosít olyan folyamatmenedzsment nyújtotta lehetőségek szélesebb körű kihasználására is, mint a folyamatoptimalizálás, teljesítménymenedzsment, folyamatkontroll, vagy költségmenedzsment.
A banki működési kockázatkezelési gyakorlat jó alapot és tapasztalatot biztosít arra vonatkozólag, hogy milyen eszközrendszert lehet a kockázatkezelés szolgálatába állítani, illetve hogyan lehet értékelni a kockázatokat. Ezen tapasztalatok szélesebb körű felhasználása hasznos lehet minden szervezet számára, ahol fontos a kockázatok tudatos felmérése és kezelése.
Ezen feladatok megvalósítása ugyanakkor komplex, idő és költségigényes feladat, mely megvalósíthatatlan hatékony informatikai támogatást jelentő eszközök nélkül. Egy elemzés25 szerint a kockázatkezelési feladatok jelentős többletfeladatot jelentenek a szervezetek informatikai területének, mely várhatóan költségvetésük 15%-át fogják erre a kérdésre fordítani. Másik oldalról ezen feladatok végrehajtásának elmulasztása akár 10%-os hatékonyságvesztést is eredményezhet.
Látható ugyanakkor, hogy a kockázatok felmérése és értékelése – mely ugyan fontos tevékenység – nem elégséges a kockázatok kezeléséhez, hanem szükséges a kockázatok okainak feltárása, valamint a hozzájuk kapcsolódó lehetséges ellenintézkedések megtétele. Míg mind a felmérésre, mind pedig az értékelésre több megközelítés is lehetséges, addig a bemutatott folyamat alapú kockázatkezelési megközelítés az, mely biztosítani tudja a kockázatok szisztematikus felmérését, értékelését, valamint áttekinthető jellegű kontroll tevékenységek egységes kezelését.
Az újabb szabályozási elvárásoknak való megfelelést a szervezetek gyakran projektszerűen hajtják végre, ugyanakkor a kockázatmenedzsment tevékenység már folyamatos, napi feladatként kerül megvalósításra, és lehetőség szerint az informatikai segítségével minél nagyobb mértékben automatizálni. Sajnos kevéssé automatizálható, de hasonlóan fontos feladatok a szabályozási környezet változásainak folyamatos elemzése, és a működési gyakorlatban való megjelenítése.
Sem a folyamat alapú, sem pedig más megközelítésű kockázatkezelési megközelítések nem teljesek ugyanakkor a módszert kontextusba helyező kockázati stratégia, kockázatkezelési szervezeti megoldások, beszámolási rendszerek és informatikai támogatás nélkül. A szinergiák kinyerése, illetve az átfedések megállapítása érdekében a működési kockázatkezelési tevékenységet minden szervezet esetében érdemes a szabályozási kérdésekkel (compliance), a belső ellenőrzéssel, illetve a vállalatirányítási megközelítésekkel együttesen, közös értelmezési keretben kezelni.
A folyamat alapú kockázatelemzés jó alapot biztosít mind a változó kockázatok folyamatos figyelemmel kísérésére, mind pedig a változó szabályozási elvárásoknak való megfelelés ellenőrzésére is. Figyelembe véve a folyamatmenedzsmentre épülő kontrollálhatósági és átláthatósági előnyöket is érdemes a szervezeteknek kialakítani a saját folyamatmodelljeiket. 24
A szabályozási területek fejlődésével egyre több szervezetnek kell figyelembe venni a szabályozási
EU 2006/46/EC direktíva
25
Csajtai Kornél (2008) Az IT működés „megfelelőségi” problémái, Gartner Group, Infohajó 2008. augusztus 27.
23 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
Illustration: G & A Scholiers, Belgium
24 Dr. Fehér Péter (2009.01.12.) A működési kockázatok kezelésének lehetőségei
