Ma sa r yk o v a u n iv e rz ita Ekonomicko-správní fakulta Studijní obor: Finance
OPERAČNÍ RIZIKO KOMERČNÍ POJIŠŤOVNY Operational risk commercial insurance Diplomová práce
Vedoucí diplomové práce: Ing. František ŘEZÁČ, Ph.D.
Autor: Mgr. Věra KUBĚNOVÁ
Brno, duben 2011
Masarykova univerzita Ekonomicko-správní fakulta
Katedra financí Akademický rok 2010/2011
ZADÁNÍ DIPLOMOVÉ PRÁCE
Pro:
K U B Ě N O V Á Věra, Mgr.
Obor:
Finance
Název tématu:
OPERAČNÍ RIZIKO KOMERČNÍ POJIŠŤOVNY Operational risk commercial insurance
Zásady pro vypracování
Problémová oblast: Operační riziko komerční pojišťovny. Cíl práce: Analyzovat operační riziko komerční pojišťovny. Postup práce a použité metody: Vymezení operačního rizika jako součásti řízení rizik podle Solvency II. Popis potenciálních rizik vyplývajících ze selhání systémů nebo osob se zaměřením na selhání informačních systémů, selhání systému správy pojištění a systému procesu likvidace pojistných událostí. Porovnání způsobů řízení operačního rizika ve vybraných komerčních pojišťovnách. Predikce potenciálních vlivů na řešení operačního rizika managementem pojišťovny. Doporučení pro zlepšení procesu řízení rizik komerční pojišťovnou s důrazem na operační riziko. Použité metody: deskripce, analýza, komparace.
Rozsah grafických prací:
předpoklad cca 10 tabulek a grafů
Rozsah práce bez příloh:
60 – 70 stran
Seznam odborné literatury: JÍLEK, JOSEF. Finanční trhy. Vyd. 1. Praha: Grada, 1997. 527 s. ISBN 80-7169-453-3. ŘEZÁČ, FRANTIŠEK - OŠKRDALOVÁ, GABRIELA - ŘEZÁČ, MARTIN - ŠIKULOVÁ, MIROSLAVA - VALOUCH, PETR. Marketingové řízení komerční pojišťovny. 1. vyd. Brno: Masarykova univerzita, Tisk: BonnyPress, 2009. 210 s. ISBN 978-80-210-4799-0. KNOSOVÁ, BLANKA - KRAJÍČEK, JAN. Operační riziko v bankovním podnikání. In Evropské finanční systémy 2008. Brno: Ekonomicko-správní fakulta MU, 2008. od s. 254 259, 5 s. ISBN 978-80-210-4628-3. Risk management: řízení rizika ve firmě. Edited by Tony Merna - Faisal F. Al-Thani. Vyd. 1. Brno: Computer Press, 2007. xii, 194 s. ISBN 978-80-251-1547. Valová, Ivana. Řízení rizik v bankách a pojišťovnách. Portál: Derivat.sk, 2009. Finančné trhy, November 2009. ISSN 1336-5711. SMEJKAL, VLADIMÍR - RAIS, KAREL. Řízení rizik ve firmách a jiných organizacích. 3., rozš. a aktualiz. vyd. Praha: Grada, 2010. 354 s. ISBN 978-80-247-3051. ŘEZÁČ, FRANTIŠEK - ŘEZÁČ, MARTIN - ŠIKULOVÁ, MIROSLAVA. Řízení rizika v pojišťovně. In Vývojové trendy v poisťovníctve III. Zborník prác z medzinárodnej vedeckej konferencie. Senec: EU Bratislava, 2009. 10 s. ISBN 978-80-225-2754-5.
Vedoucí diplomové práce:
Ing. František Řezáč, Ph.D.
Datum zadání diplomové práce:
5. 3. 2010
Termín odevzdání diplomové práce a vložení do IS je uveden v platném harmonogramu akademického roku.
…………………………………… vedoucí katedry
V Brně dne 5. 3. 2010
………………………………………… děkan
J m én o a p ří j m en í au t o ra: Náz ev d i p l o m o v é p ráce: Náz ev p rác e v an gl i čt i n ě: Kat ed ra: Ved o u cí d i p l o m o v é p ráce: R o k o b h aj o b y:
Věra Kuběnová Operační riziko komerční pojišťovny Operational risk commercial insurence financí Ing. František Řezáč, Ph.D. 2011
Anotace Předmětem diplomové práce „Operační riziko komerční pojišťovny“ je detailní rozbor rizika ztráty vyplývající z nedostatečnosti nebo selhání vnitřních procesů, pracovníků a systémů nebo z vnějších událostí, kterému komerční pojišťovna čelí. První část je zaměřena na klasifikaci a kvantifikaci operačního rizika především v souvislosti s mezinárodním projektem Solvency II. Další část se věnuje konkrétním rizikům a jejich dopadům vyplývajícím ze selhání informačních systémů. Návrh jak efektivně zpracovávat data v pojišťovně s ohledem na operační riziko popisuje třetí kapitola. Ve čtvrté kapitole je popsán a porovnán přístup jednotlivých pojišťoven k operačnímu riziku. V poslední části je rozebrán proces řízení operačního rizika a jeho vybrané klíčové faktory. Na závěr je uveden očekávaný budoucí vývoj v oblasti operačního rizika a z něj plynoucí doporučení pro komerční pojišťovny.
Annotation The aim of the submitted thesis “Operational risk commercial insurance” is to analyze risk of loss arising from inadequate or failed internal processes, personnel or systems, or from external events that threatens commercial insurance. The first part is focused on classification and quantification of operational risk according to Solvency II. Next part is concentrated on particular risks arising from failure of information system. In the third part there is a proposal of effective data processing with respect to operational risk. The fourth part compares individual approach to operational risk for some insurance. The process of operational risk management and its key factors are analyzed in the last part. At the end there is introduced the expected future development in the field of operational risk and some related recommendations for commercial insurance.
Klíčová slova operační riziko, komerční pojišťovna, Solvency II, selhání informačních systémů, řízení operačního rizika, kvantifikace operačního rizika
Keywords operational risk, commercial insurance, Solvency II, failure of information system, operational risk management, operational risk quantification
Prohlášení Prohlašuji, že jsem diplomovou práci Operační riziko komerční pojišťovny vypracovala samostatně pod vedením Ing. Františka Řezáče, Ph.D. a uvedla v ní všechny použité literární a jiné odborné zdroje v souladu s právními předpisy, vnitřními předpisy Masarykovy univerzity a vnitřními akty řízení Masarykovy univerzity a Ekonomicko-správní fakulty MU.
V Brně dne 29. dubna 2011 vlastnoruční podpis autora
Poděkování Na tomto místě bych ráda poděkovala Ing. Františku Řezáčovi, Ph.D. za cenné připomínky, zajímavé náměty, vstřícný přístup a odborné rady, kterými přispěl k vypracování této diplomové práce.
OBSAH ÚVOD ..................................................................................................................................................................... 8 1
OPERAČNÍ RIZIKO .................................................................................................................................. 10 1.1 OPERAČNÍ RIZIKO V KOMERČNÍ POJIŠŤOVNĚ ........................................................................................... 11 1.1.1 Operační riziko dle Solvency II a jeho kategorizace...................................................................... 12 1.1.2 Souvislosti konceptu Solvency II a Basel II pro operační riziko .................................................... 13 1.2 KVANTIFIKACE OPERAČNÍHO RIZIKA ...................................................................................................... 15 1.2.1 Kvantifikace operačního rizika podle Solvency II.......................................................................... 15 1.2.2 Pokročilé metody kvantifikace operačního rizika .......................................................................... 18 1.2.2.1 1.2.2.2
1.3 2
Metoda Loss Distrubution Approach (LDA).............................................................................................. 18 Metoda Scorecard Approach (SA) ............................................................................................................. 19
LEGISLATIVNÍ POŽADAVKY PRO ŘÍZENÍ OPERAČNÍHO RIZIKA V KOMERČNÍ POJIŠŤOVNĚ ......................... 20
OPERAČNÍ RIZIKO A INFORMAČNÍ SYSTÉMY V KOMERČNÍ POJIŠŤOVNĚ ......................... 22 2.1 VZNIK POJISTNÉ SMLOUVY ..................................................................................................................... 22 2.2 SPRÁVA POJISTNÉ SMLOUVY ................................................................................................................... 24 2.2.1 Změny neovlivňující výši závazku pojišťovny ................................................................................. 24 2.2.2 Změny ovlivňující výši závazku pojišťovny..................................................................................... 27 2.2.3 Příklad selhání informačních systémů při redukci pojistné částky ................................................ 30 2.2.4 Předpis a platby pojistného............................................................................................................ 33 2.3 UKONČENÍ POJISTNÉ SMLOUVY A SOUVISEJÍCÍ DATOVÉ POHYBY ............................................................ 34 2.3.1 Pojistná událost a proces likvidace................................................................................................ 34 2.3.2 Ostatní zániky pojištění .................................................................................................................. 39
3
ZPRACOVÁNÍ DAT V KOMERČNÍ POJIŠŤOVNĚ ............................................................................. 41 3.1 3.2
4
TECHNICKÝ NÁHLED NA SOFTWARE SAS ............................................................................................... 43 MOŽNOSTI VYUŽITÍ SOFTWARU SAS ...................................................................................................... 45
PŘÍSTUP K OPERAČNÍMU RIZIKU V JEDNOTLIVÝCH POJIŠŤOVNÁCH ................................ 48 4.1 OPERAČNÍ RIZIKO V ČESKÉ POJIŠŤOVNĚ ................................................................................................. 48 4.1.1 Mezinárodní norma ISO pro řízení informační bezpečnosti .......................................................... 50 4.2 OPERAČNÍ RIZIKO V POJIŠŤOVNĚ KOOPERATIVA .................................................................................... 52 4.3 OPERAČNÍ RIZIKO V POJIŠŤOVNĚ ALLIANZ ............................................................................................. 53 4.4 OPERAČNÍ RIZIKO V ČSOB POJIŠŤOVNĚ ................................................................................................. 53 4.5 OPERAČNÍ RIZIKO V POJIŠŤOVNĚ ČESKÉ SPOŘITELNY ............................................................................ 53 4.6 OPERAČNÍ RIZIKO V KOMERČNÍ POJIŠŤOVNĚ .......................................................................................... 53 4.7 POROVNÁNÍ PŘÍSTUPU K OPERAČNÍMU RIZIKU V POJIŠŤOVNÁCH ............................................................ 54
5
ŘÍZENÍ OPERAČNÍCH RIZIK ................................................................................................................ 57 5.1 5.2 5.3 5.4 5.5
PROCES ŘÍZENÍ RIZIK .............................................................................................................................. 57 ŘÍZENÍ OPERAČNÍCH RIZIK SPJATÝCH S INFORMAČNÍMI SYSTÉMY .......................................................... 58 ORGANIZAČNÍ STRUKTURA A JEJÍ VLIV NA ŘÍZENÍ OPERAČNÍCH RIZIK .................................................... 59 ŘÍZENÍ DATOVÉ KVALITY ........................................................................................................................ 62 OČEKÁVANÝ VÝVOJ A DOPORUČENÍ PRO OBLAST ŘÍZENÍ OPERAČNÍCH RIZIK ......................................... 63
ZÁVĚR ................................................................................................................................................................. 66 SEZNAM POUŽITÉ LITERATURY ................................................................................................................ 68 SEZNAM OBRÁZKŮ ......................................................................................................................................... 68 SEZNAM TABULEK .......................................................................................................................................... 71 SEZNAM PŘÍLOH.............................................................................................................................................. 72
ÚVOD Riziko je přirozenou součástí každodenního života jedince, podniku, finanční instituce a samozřejmě i komerční pojišťovny. Snaha riziko eliminovat je proto očekávanou reakcí na příslušné hrozby každého racionálně uvažujícího a racionálně se chovajícího subjektu. Proto je snaha zabezpečit se proti riziku i jednou ze základních aktivit pojišťoven. V současné době se kvůli nejistotě na kapitálových trzích a kvůli dalším faktorům zvyšují požadavky na správné řízení rizik, a tak se tento obor dostává na výsluní zájmu. Neustálý růst počtu transakcí a požadavků na automatizaci a rychlost jejich vyřizování navyšují náklady plynoucí z rizik. K tomu rovněž přispívají i regulatorní opatření, která požadují vyšší úroveň kontroly a transparentnost rizik a zároveň přenáší zodpovědnost za řízení rizik na výkonné a správní orgány pojišťoven. Konkrétně se v diplomové práci budeme zabývat programem Solvency II, který by měl být implementován do české legislativy do 31.10.2012 a který klade vyšší důraz na řízení rizik než doposud platný standard Solvency I. Operační riziko, neboli riziko ztráty vyplývající z nedostatečnosti nebo selhání vnitřních procesů, pracovníků a systémů nebo z vnějších událostí, jak je definováno dále v diplomové práci, je zřejmě vůbec nejstarším rizikem, kterému společnost čelí. Ovšem co se týče procesu řízení rizik v pojišťovnách, jedná se o jednu z nejnovějších a patrně nejméně rozvinutých oblastí. Kvalitní a komplexní řízení operačního rizika může pojišťovně ušetřit a případně úplně eliminovat některé zbytečné ztráty vzniklé odstraňováním škod souvisejících s operačním rizikem. Na operační riziko a jeho řízení se více upnula pozornost v souvislosti s poslední celosvětovou finanční krizí. Obecně v časech ekonomických recesí a finančních krizí je vyšší riziko, že nastane ztráta způsobená událostí spadající do kategorie operačních rizik, jako je obchodní podvod, zpronevěra nebo předání nekorektních informací1. Například manažeři řídící aktiva mohou zmanipulovat zaznamenané výnosy a finanční výkazy, aby zamezili reportování o velkých ztrátách finančních institucí (příkladem může být případ Société Générale z ledna 20082). Navíc klienti, kteří zaznamenají podstatný úbytek svých výnosů kvůli ekonomické recesi, mohou žalovat finanční instituce za to, že od jejich poradců a aktiva řídících manažerů obdrželi nekorektní informace a rady včetně pochybení ve vyhodnocení vhodnosti produktů. Finanční krize přinesla ponaučení o operačních rizicích1. Za prvé se dá předpokládat, že expozice vůči operačnímu riziku v budoucnu poroste. Důvodem pro předpoklad je, že systémy, finanční produkty a řešení v oblasti informačních technologií jsou stále komplexnější a vzájemně více propojené. Právě poměrně rozšířené používání komplikovaných a netransparentních finančních produktů vyvinutých v posledním desetiletí bylo jednou z příčin vzniku finanční krize1. Pro řízení operačních rizik z toho vyplývá, že když narůstá komplexita a složitost produktů, měla by současně růst potřeba zaměření se na související operační rizika. Zanedbání tohoto úkolu top managementem může mít až fatální následky pro finanční instituci. 1
ROSE, Caspar. New challenges for operational risk after the financial crisis. Journal of Applied IT and Invest ment Management. Vol. 1, No. 1. Duben 2007, str. 27-30. [cit. 2011-04-14]. Dostupné na WWW:
. 2 podrobnější informace jsou dostupné na WWW: < http://www.scribd.com/doc/19607045/Societe-GeneraleExplanatory-Note-About-the-Exceptional-Fraud-January-2008>, [cit. 2011-04-14]. 8
Cílem diplomové je analyzovat operační riziko komerční pojišťovny. Práce se zabývá především operačním rizikem v komerčních pojišťovnách ve vztahu k projektu Solvency II. Jsou uvedeny různé druhy klasifikací operačního rizika v pojišťovnách a konkrétní příklady rizik z jednotlivých kategorií. V rámci operačního rizika se diplomová práce detailněji zabývá potenciálními riziky vyplývajícími ze selhání informačních systémů. Jsou uvedeny konkrétní případy rizik a možných dopadů souvisejících se selháním informačních systémů během života pojistné smlouvy, od jejího sjednání přes běžnou správu pojištění až po její ukončení pojistnou událostí nebo koncem pojištění, resp. dožití. V souvislosti s analýzou operačních rizik je dále zaměřena pozornost na možný přístup komerční pojišťovny k zaznamenávání a uchovávání svých dat v informačních systémech tak, aby byla úplná, dostupná a poskytovala věrohodnou informaci. Zajímavým prostředkem pro provádění analýzy operačního rizika v komerční pojišťovně je zjišťování, jak jednotlivé pojišťovny přistupují k operačnímu riziku v praxi. Na základě dostupných informací je provedeno porovnání přístupů ve vybraných komerčních pojišťovnách. Diplomová práce se v rámci analýzy operačního rizika komerční pojišťovny zaměří i na oblast řízení operačního rizika. Je popsán proces řízení operačního rizika a jeho klíčové parametry. Práce se snaží také nastínit očekávaný vývoj v této oblasti. V souvislosti s předpokládaným vývojem v pojišťovnictví jsou uvedena také doporučení pro efektivnější řešení procesu řízení operačních rizik. V diplomové práci je použita metoda deskripce při charakterizaci a kategorizaci operačního rizika a při uvedení a zdůvodnění předloženého návrhu způsobu zpracování dat v komerční pojišťovně. Metoda detailní analýzy slouží v této práci především k podrobnému výzkumu operačního rizika souvisejícího se selháním informačního systému v komerční pojišťovně a pro rozbor klíčových faktorů v procesu řízení operačního rizika v komerční pojišťovně. Dále je v diplomové práci využita metoda komparace v rámci porovnání přístupů k operačnímu riziku v jednotlivých pojišťovnách působících na českém pojistném trhu.
9
1 OPERAČNÍ RIZIKO Riziko je všeobecně chápáno jako nebezpečí vzniku škody, ztráty či nezdaru, tedy jako negativní jev3. Základní vlastnost spojovaná s rizikem je nejistota. Nevíme, zda jev způsobující škodu nastane. Při zkoumání a analyzování rizika se musíme zabývat především jeho identifikací a následně jeho kvantifikací, tj. s jakou pravděpodobností nepříznivá událost nastane a jak vysoká může být ztráta touto událostí zapříčiněná. Poté následuje proces řízení rizik, kdy se snažíme svou expozici vůči riziku minimalizovat pomocí různých prostředků za předpokladu optimalizace vynaložených nákladů. Pro pojišťovny, stejně jako pro ostatní finanční instituce, je základním kamenem jejich obchodní činnosti především důvěra klientů, zákazníků, neboť hospodaří s jejich finančními prostředky. Je to důvěra v solventnost pojišťovny, tedy podle zákona o pojišťovnictví4 důvěra ve schopnost pojišťovny zabezpečit vlastními zdroji trvalou splnitelnost závazků z pojišťovací činnosti. Tato očekávání jsou podpořena existujícími regulatorními pravidly pro pojistný trh a dohledem nad jejich dodržováním. Aby pojišťovna byla solventní, musí mít dostatečné vlastní zdroje, aby pokryla všechna nebezpečí ve výkyvech v požadavcích na kapitál, na určité hladině spolehlivosti, které by mohly její solventnost ohrozit. Tyto výkyvy v požadavcích na kapitál mohou mít různorodé příčiny. Podle těchto příčin rozlišujeme několik základních druhů rizik, kterým pojišťovny čelí. Vezmeme-li za vzor program Solvency II, o kterém se budeme zmiňovat ještě později podrobněji, pak lze rizika členit na5: upisovací riziko, což je riziko ztráty nebo nepříznivé změny hodnoty pojistných závazků v důsledku nepřiměřených předpokladů ohledně stanovení cen a rezerv, tržní riziko, kterým se rozumí riziko ztráty nebo nepříznivé změny ve finanční situaci vyplývající přímo nebo nepřímo z kolísání úrovně a volatility tržních cen aktiv, závazků a finančních nástrojů, úvěrové riziko, které odpovídá riziku ztráty nebo nepříznivé změny ve finanční situaci vyplývající z kolísání úvěrového ratingu emitentů cenných papírů, protistran a jakýchkoli dlužníků, jimž jsou pojišťovny vystaveny, v podobě selhaní protistrany nebo rizika kreditního rozpětí nebo koncentrace tržních rizik, operační riziko neboli riziko ztráty vyplývající z nedostatečnosti nebo selhání vnitřních procesů, pracovníků a systémů nebo z vnějších událostí, riziko likvidity, kterým je myšleno riziko, že pojišťovny nejsou schopny vypořádat své investice a další aktiva za účelem vyrovnání svých finančních závazků v okamžiku, kdy se stávají splatnými, riziko koncentrace, kterým se rozumí všechna vystavení rizikům s možnou ztrátou, která je dostatečně velká, aby ohrozila solventnost nebo finanční situaci pojišťoven. 3
SMEJKAL, Vladimír – RAIS, Karel. Řízení rizik. Grada Publishing a.s., 2003, 272 s., ISBN 80-247-0198-7., str. 66. 4 Zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů. 5 Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s., článek 13. 10
Obecně je možné zavést i hrubší rozdělení rizik, jimž pojišťovny čelí. Hrubší dělení má pouze dvě skupiny, a to rizika, která jsou stejná s riziky ohrožující každý podnikatelský subjekt a rizika specifická právě pro komerční pojišťovnu. Charakteristická rizika každého podnikatelského subjektu mohou být například riziko tržní, riziko likvidity nebo operační riziko, rizika specifická pro pojišťovnu jsou rizika vyplývající přímo z její pojišťovací činnosti, například upisovací riziko. Podíváme-li se na metodologii řízení rizik, tak mnoho rozdílů v pojišťovnách oproti jiným podnikatelským subjektům nenajdeme, pokud neuvažujeme specifická rizika spjatá s pojišťovací činností. Základem řízení rizik v pojišťovně je tří bodový systém: 1) identifikace rizik, 2) zhodnocení rizik, 3) opatření pro minimalizaci rizik. V této práci se zaměříme na operační riziko, někdy také nazývané provozní riziko, které je kvůli svým potenciálně značným dopadům na pojišťovnu jedním z velmi důležitých rizik, jimž komerční pojišťovna čelí.
1.1 Operační riziko v komerční pojišťovně Při definování operačního rizika v komerční pojišťovně budeme vycházet z mezinárodního konceptu regulace založené na řízení rizik, tzv. Solvency II. Tento koncept je založen na třech základních pilířích6:
Pilíř I se zabývá kvantitativními požadavky, kde stanovuje minimální kapitálový požadavek (MCR) a solventnostní kapitálový požadavek (SCR).
Pilíř II je zaměřen na kvalitativní požadavky a jeho základem jsou systém řízení rizik a vnitřní kontrola.
Pilíř III – tržní disciplína – má za cíl posílit předchozí dva pilíře a soustředí se na zveřejňování informací, harmonizaci účetních pravidel a porovnatelnost v přístupech k různým pojišťovnám.
Jelikož tento koncept vzniká ve spolupráci s účastníky daného odvětví, tj. pojišťovnictví, proběhlo v posledních šesti letech (2005-2010) pět dopadových studií7 (QIS = Quantitative Impact Study) organizovaných CEIOPS (Výbor evropských orgánů dohledu v pojišťovnictví a zaměstnaneckých penzích)8, které zkoumají dopady zavedení pravidel Solvency II na pojistný trh, resp. na solventnost komerčních pojišťoven. Podle technické specifikace k poslední dopadové studii QIS 59, která proběhla v roce 2010, se solventnostní kapitálový požadavek skládá ze základního solventnostního kapitálového požadavku, kapitálového požadavku pro operační riziko a úprav o odložené daně a efekt absorpce rizika technickými rezervami v případě ztráty. 6
Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. 7 Více o dopadových studiích viz https://www.ceiops.eu/consultations/qis/index.html. 8 Od 1.1.2011 je CEIOPS nahrazen Evropským orgánem pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), viz https://eiopa.europa.eu/. 9 Evropská komise. QIS5 Technical Specifications. 2010, 330 s. 11
Do základního solventnostního kapitálového požadavku jsou zahrnuty kapitálové požadavky pro tržní riziko, riziko defaultu protistrany, rizika životního, neživotního a zdravotního pojištění a riziko nehmotného majetku plynoucí ze změny hodnoty nehmotného majetku v důsledku tržních rizik nebo vnitřních rizik. Tyto kapitálové požadavky jsou ještě dále podrobněji členěny, viz Technická specifikace ke QIS510. Právě jedinečný charakter operačního rizika a jeho obtížná kvantifikovatelnost vyžaduje speciální přístup k výpočtu kapitálového požadavku, který je následně k základnímu solventnostnímu kapitálovému požadavku přičten.
1.1.1 Operační riziko dle Solvency II a jeho kategorizace Podle konceptu Solvency II10 je operační riziko definováno jako riziko ztráty plynoucí z nedostatečnosti nebo selhání vnitřních procesů, lidského faktoru (zaměstnanců), systémů nebo riziko ztráty vlivem vnějších skutečností. Operační riziko by mělo rovněž zahrnovat právní riziko. Naopak reputační riziko a rizika plynoucí ze strategických rozhodnutí jsou podle Solvency II z operačního rizika vyloučena. Dělení operačního rizika není jednoznačné. V souladu s uvedenou definicí operačního rizika můžeme rozčlenit operační rizika například do následujících okruhů: a) Podvodná jednání všeho druhu – do tohoto okruhu spadají krádeže včetně přesměrování bezhotovostních plateb, falšování pojistných smluv a dalších dokumentů, pojistné podvody jako uzavírání fiktivních smluv, nadhodnocování škod či vyplácení neoprávněných plnění, krádeže a zneužití interních dat o klientech, zneužívání firemních zdrojů, spolupráce zaměstnanců s konkurencí, útoky hackerů. b) Neúmyslná lidská selhání – okruh zahrnuje obecně chyby zaměstnanců nebo externích partnerů, neúmyslné ztráty dat, selhání dodavatele služeb apod. c) Výpadky ohrožující provoz – příkladem rizika z tohoto okruhu může být přerušení dodávek elektřiny, vody, kolaps budovy, selhání softwaru, hardwaru, sítí, výpadek call centra, výpadek provozu v důsledku povodní, epidemií a dalších vnějších událostí, ale třeba i neexistence postupů pro mimořádné situace. d) Rizika v řízení společnosti – v tomto okruhu je obsažena přílišná závislost na jednotlivcích a ztráta klíčových zaměstnanců, hromadné odchody agentů, nevhodně nastavené odměňování, špatně popsané nebo nedodržované procesy a chybějící kontrola. e) Rizika týkající se produktů a klientů – do tohoto okruhu bychom mohli zařadit chybně zpracované marketingové studie, plány pojistných produktů, neúmyslné garance v pojistných smlouvách, konkurence mezi vlastními produkty, chyby v matematických modelech, necitlivé zacházení s klienty, získávání neperspektivních klientů. f) Právní rizika – pro tento okruh mohou být příkladem účasti pojišťovny v soudních sporech, nesplnění právních povinností a postih ze strany orgánů státu nebo změny v legislativě, na které pojišťovna nestihne včas zareagovat. 10
Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. 12
Jiné členění operačního rizika je uvedeno v Jílek, J.11: i)
Transakční riziko, kterým se rozumí riziko ztráty z chybného provádění operací, chyby plynoucí ze složitosti produktů a neschopnosti současných systémů tyto složité produkty spravovat, chyby v zaúčtování a vypořádání obchodů, nezáměrné poskytnutí či přijetí komodit a neadekvátní právní dokumentace.
ii)
Riziko operačního řízení, což je riziko ztráty z chyb v řízení činnosti front, middle a back office. Příkladem mohou být neidentifikovatelné obchody nad limit, neautorizované obchodování jednotlivými obchodníky, podvodná činnost vztahující se k obchodování a zpracování včetně chybného zaúčtování a padělání, praní špinavých peněz, neautorizovaný přístup k interním systémům a modelům, závislost na omezeném počtu zaměstnanců a nedostatek kontroly při zpracování obchodů.
iii)
Riziko systémů neboli riziko ztráty v důsledku chyb v interních systémech zahrnuje chyby softwaru, chyby matematických modelů, nesprávné a opožděné podávání informací vedení, chyby v podpůrných systémech a v přenosu dat.
Úplné vymezení vyjmenováním všech rizik spadajících do operačního rizika není možné, neboť s neustálým rozvojem technologií a se změnami a inovacemi v dosavadních zaběhlých procesech vzniká prostor pro výskyt dosud nepozorovaných operačních rizik. Právě vzhledem k neustálému vývoji v oblasti operačních rizik, vzhledem k hrozícím vysokým ztrátám v důsledku těchto rizik a současně vzhledem k nedostatku dat pro kvalitní modelace operačního rizika je tomuto riziku v současné době věnována značná pozornost pojišťoven a jejich regulátorů.
1.1.2 Souvislosti konceptu Solvency II a Basel II pro operační riziko V souvislosti s konceptem Solvency II je potřebné zmínit i koncept Basel II, který je realizací integrace principů regulace založené na řízení rizik pro oblast bankovnictví. Program Basel II je o pár let starší než Solvency II a mnohé principy z něj Solvency II přebírá. V obou konceptech bylo při tvorbě regulatorních norem umožněno odborné veřejnosti z bank, potažmo z pojišťoven, podílet se na jejich přípravě a připomínkovat je dříve než došlo k finálnímu schválení Evropským parlamentem12. Definice operačního rizika podle vyhlášky č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry, která implementuje pravidla konceptu Basel II do české legislativy, je obdobná jako v konceptu Solvency II. Její znění je následující13: Operačním rizikem se rozumí riziko ztráty vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty vlivem vnějších skutečností, včetně rizika právního.
11
JÍLEK, Josef. Finanční trhy. 1. vyd. , Grada Publishing a.s., 1997, 528 s., ISBN 80-7169-453-3. Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. 13 Vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry ve znění pozdějších předpisů. 12
13
V Basel II jsou povoleny k výpočtu kapitálového požadavku pro operační riziko 3 metody14. Nejjednodušší z nich je metoda BIA = Basic Indicator Approach14, neboli metoda základního ukazatele, kterou lze vyjádřit vzorcem: n
K BIA =
∑ GI i =1
n
i
⋅α ,
1-1
kde K BIA je výše kapitálového požadavku pro operační riziko vypočtená metodou BIA, GI je roční kladný hrubý příjem, n je počet roků z posledních tří let, kdy byl roční hrubý příjem kladný, a α je pevně stanovená konstanta rovnající se 15%. Druhá přípustná metoda TSA = The Standardised Approach14, neboli metoda standardizovaná, dělí činnost bank do osmi linií podnikání. Tím je dosaženo efektivnějšího řízení operačních rizik než u předchozí metody. Vzorec pro výpočet kapitálového požadavku má následující podobu:
8 ∑ GI ji ⋅ β j ;0 max ∑ i =1 j =1 , = 3 3
K TSA
1-2
kde K TSA je výše kapitálového požadavku pro operační riziko vypočtená metodou TSA, GI ji je roční hrubý příjem v i-tém roce pro j-tou linii podnikání a β j je pevně stanovené procento pro j-tou linii podnikání (v rozmezí 11% – 20%). Poslední a nejvíce sofistikovanou metodou je AMA = Advanced Measurement Approaches14, neboli pokročilá metoda měření, pro kterou postup výpočtu není explicitně stanoven. Banka ovšem musí dohledovému orgánu dokázat, že splňuje kvantitativní požadavky, tj. vychází z pětileté řady údajů o ztrátách, které člení podle linií podnikání jako v metodě AMA a navíc podle typu událostí, které ztrátu způsobily, a kvalitativní požadavky. Kategorizace operačního rizika, resp. událostí způsobující ztráty, je v metodě AMA14 vymezena následovně: a) interní podvody = ztráty v důsledku záměrných podvodných jednání, majetkové zpronevěry, obcházení zákonů a předpisů společnosti, jestliže je zapojen nejméně jeden interní účastník; b) externí podvody = ztráty v důsledku záměrných podvodných jednání, majetkové zpronevěry a obcházení zákonů a předpisů společnosti třetí stranou; c) pracovní postupy a bezpečnost práce = ztráty vznikající v důsledku činů, které jsou v rozporu s pracovními, zdravotními či bezpečnostními zákony a dohodami, platby za újmy na zdraví nebo odškodnění za diskriminaci na pracovišti;
14
Banka pro mezinárodní platby. International Convergence of Capital Measurement and Capital Standards. 2006, 347 s., ISBN 92-9131-720-9. 14
d) klienti, produkty a obchodní praktiky = ztráty z neúmyslného zanedbání nebo nedbalého plnění profesních povinností zaměstnanců a z následných kompenzací klientů, ztráty způsobené nevhodnou konstrukcí produktů; e) škody na hmotném majetku = ztráty vzniklé zničením nebo poškozením hmotného majetku přírodními katastrofami a obdobnými událostmi; f) narušení obchodní činnosti a selhání systémů = ztráty z přerušení podnikání a ze selhání hardwaru, softwaru či přenosu informací; g) provádění transakcí, dodávky, procesní řízení = ztráty ze selhání procesů. Toto členění lze použít i pro pojišťovny a představuje tak další možnou variantu kategorizace operačního rizika v komerčním pojišťovnictví.
1.2 Kvantifikace operačního rizika Na rozdíl od konceptu Basel II pro banky, který umožňuje 3 výše uvedené typy výpočtu kapitálového požadavku pro operační riziko od základního BIS až po sofistikovaný přístup AMA, v Solvency II je uvažován pouze jeden přístup k výpočtu požadovaného kapitálu pro operační riziko15.
1.2.1 Kvantifikace operačního rizika podle Solvency II Výpočet kapitálového požadavku pro operační riziko je koncipován tak, aby zahrnoval všechna operační rizika, která nejsou explicitně obsažena v požadavcích na kapitál pro ostatní rizika15. Při výpočtu se kvůli zamezení zacyklení výpočtů kapitálových požadavků pro jednotlivá rizika vychází z technických rezerv nezahrnujících rizikovou marži. Pro lepší představu, jak kapitálový požadavek pro operační riziko přispívá k celkovému solventnostnímu kapitálovému požadavku komerční pojišťovny podle Solvency II, uvedeme schéma jednotlivých rizik vstupujících do výpočtu na Obrázku 1. Před samotným postupem výpočtu kapitálového požadavku pro operační riziko popíšeme jednotlivé parametry vstupující do výpočtu podle technické specifikace k páté dopadové studii15: pEarnlife
… zasloužené pojistné za dvanáct měsíců, které bezprostředně předchází posledním dvanácti měsícům, ze smluv životního pojištění včetně pojistného postoupeného zajistiteli;
pEarn life −ul … zasloužené pojistné za dvanáct měsíců, které bezprostředně předchází posledním dvanácti měsícům, ze smluv životního pojištění, kde je nositelem investičního rizika pojistník, včetně pojistného postoupeného zajistiteli;
15
Evropská komise. QIS5 Technical Specifications. 2010, 330 s. 15
Schéma rizik vstupujících do výpočtu solventnostního kapitálového požadavku
Solventnostní kapitálový požadavek
Úprava o efekt absorpce rizika technickými rezervami a odloženými daněmi
Kapitálový požadavek k tržnímu riziku
Základní solventnostní kapitálový požadavek
Kapitálový požadavek k riziku selhání protistrany
Kapitálový požadavek k pojistným rizikům životního pojištění
Kapitálový požadavek k operačnímu riziku
Kapitálový požadavek k pojistným rizikům neživotního pojištění
Kapitálový požadavek k pojistným rizikům pojištění zdraví
Kapitálový požadavek k riziku z nehmotných aktiv
Obrázek 1 Zjednodušené schéma rizik vstupujících do výpočtu solventnostního kapitálového požadavku. (Zdroj: Evropská komise. QIS5 Technical Specifications. 2010, 330 s., upraveno autorkou)
Earnlife
… zasloužené pojistné za posledních dvanáct měsíců ze smluv životního pojištění včetně pojistného postoupeného zajistiteli;
Earnlife −ul
… zasloužené pojistné za posledních dvanáct měsíců ze smluv životního pojištění, kde je nositelem investičního rizika pojistník, včetně pojistného postoupeného zajistiteli;
Earn non −life … zasloužené pojistné za posledních dvanáct měsíců ze smluv neživotního pojištění, včetně pojistného postoupeného zajistiteli;
TPlife
… technické rezervy ke krytí pojistných závazků ze smluv životního pojištění v hrubé výši, tj. neodečítá se ta část rezerv, na jejíž tvorbě se podílí zajistitel;
TPlife −ul
… technické rezervy ke krytí pojistných závazků ze smluv životního pojištění, kde je nositelem investičního rizika pojistník, v hrubé výši;
TPnon −life
… technické rezervy ke krytí pojistných závazků ze smluv neživotního pojištění bez těch technických rezerv, které kryjí závazky z pojistných smluv podobné závazkům ze smluv životního pojištění, ale včetně technických rezerv pro renty;
16
Exp ul
… roční náklady vzniklé během posledních dvanácti měsíců spjaté s životním pojištěním, kde je nositelem investičního rizika pojistník;
BSCR
… základní solventnostní kapitálový požadavek (= Basic Solvency Capital Requirement).
Zatímco solventnostní kapitálový požadavek je prostým součtem tří podřízených položek (viz Obrázek 1), základní solventnostní kapitálový požadavek při výpočtu zahrnuje i korelaci mezi jednotlivými riziky. Koeficienty korelace jsou pevně nastaveny technickou specifikací16. Do výše kapitálového požadavku pro operační riziko je zahrnuta buď vypočítaná hodnota ze zaslouženého pojistného, nebo hodnota odvozená z výše technických rezerv kryjících závazky z pojištění. Do výpočtu vstupuje právě ta hodnota, která je vyšší16. Pro smlouvy životního pojištění, kde je nositelem investičního rizika pojistník, se při výpočtu kapitálového požadavku pro operační riziko přihlíží k částce ročních nákladů spjatých s těmito smlouvami16. Kapitálový požadavek pro operační riziko příslušející pojistným smlouvám jiným než těm, kde je nositelem investiční riziko pojistník, nemůže být vyšší než 30% ze základního solventnostního kapitálového požadavku16. Výpočet celkového kapitálového požadavku pro operační rizika pak můžeme popsat následujícím vzorcem: SCROp = min (0,3 ⋅ BSCR; max(Op premiums ; Op provisions )) + 0,25 ⋅ Exp ul ,
1-3
kde složka týkající se zaslouženého pojistného je vyjádřena jako Op prremiums = 0,04 ⋅ (Earnlife − Earnlife −ul ) + 0,03 ⋅ Earnnon −life +
+ max (0,04 ⋅ (Earn life −1,1 ⋅ pEarnlife − (Earnlife −ul − 1,1 ⋅ pEarnlife −ul ));0 ) +
+ max (0,03 ⋅ Earn non −life − 1,1 ⋅ pEarn non −life ;0 )
1-4
a složka zohledňující výši technických rezerv je vypočtena podle vzorce Op provisions = 0,045 ⋅ max (TPlife − TPlife −ul ;0 ) + 0,03 ⋅ max (TPnon −life ;0 ).
1-5
Podle směrnice17 je kapitálový požadavek pro operační riziko kalibrován tak, aby bylo zajištěno zahrnutí všech kvantifikovatelných rizik, jimž je pojišťovna vystavena. Vztahuje se na stávající smlouvy a na nové smlouvy, které budou podle očekávání uzavřeny v následujících dvanácti měsících. U stávajících smluv kryje požadavek jen neočekávané ztráty. Solventnostní kapitálový požadavek odpovídá hodnotě v riziku primárního kapitálu pojišťovny na hladině spolehlivosti 99,5% v časovém horizontu jednoho roku17. 16
Evropská komise. QIS5 Technical Specifications. 2010, 330 s. Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s., str. 252. 17
17
V Solvency II je rovněž uvažováno použití interních modelů pojišťovny k modelování kapitálového požadavku pro operační riziko18. Před jeho použitím by model musel být schválen dohledovým orgánem, tj. musí splňovat kvalitativní a kvantitativní požadavky a musí být prokázáno, že výstupy z něj jsou konzistentní s výstupy ze základního modelu a že tedy riziko nepodceňuje. Použitím interního modelu může pojišťovna lépe vystihnout svou expozici vůči riziku, neboť tento model je přizpůsoben struktuře podnikání pojišťovny a zohledňuje lépe její specifická rizika a umožňuje zohlednit rovněž efekt činnosti řízení rizik pojišťovnou.
1.2.2 Pokročilé metody kvantifikace operačního rizika Pokročilé metody kvantifikace operačního rizika vychází ze statistických modelů. Lze v nich využít členění činností pojišťovny do příslušných linií podnikání podle jejich rizikového profilu. Použitelnost těchto metod se odvíjí především od dostupnosti a kvality vstupních dat. Uvedeme zde příklad dvou modelů, které by mohly být pro kvantifikaci využity19. 1.2.2.1 Metoda Loss Distrubution Approach (LDA) Metoda LDA19 je založena na modelaci rozložení ztrát pomocí jejich distribuční funkce. Modelace rozdělení ztrát vychází z historických údajů o frekvenci výskytu operačních ztrát a jejich dopadu resp. výši. Vzhledem k charakteru operačních rizik, tj. vzhledem k jejich dynamickému vývoji souvisejícímu např. s rozvojem informačních technologií, je nutné do modelace rozložení ztrát zahrnout i externí data pro významné ztráty, které se prozatím v dané pojišťovně nevyskytly. Na základě těchto dat je odvozena distribuční funkce rozdělení ztrát a to buď přímo pomocí Monte Carlo simulací v případech, kdy máme k dispozici menší množství dat o ztrátách, nebo nepřímo použitím vhodných pravděpodobnostních rozdělení. Pro rozdělení výší ztrát lze použít logaritmicko-normální rozdělení, Weibullovo rozdělení, Gamma rozdělení nebo zobecněné Paretovo rozdělení20. Důležité je vybrat takové rozdělení, které odpovídajícím způsobem pro danou pojišťovnu modeluje i pravděpodobnost vzniku velkých až extrémních ztrát. Je rovněž možné použít jiné rozdělení pro ztráty v obvyklé výši a pro ztráty extrémní. Pro rozdělení počtu škod lze použít Poissonovo nebo negativně binomické rozdělení. Výsledné složené rozdělení pak modeluje pravděpodobnostní rozložení celkové ztráty. Při konstrukci distribuční funkce je nutné vzít v úvahu i zajištění rizik (kontrolní systém, pojištění apod.). Každé kategorii rizika odpovídá právě jedna distribuční funkce. Kapitálovým požadavkem je potom potencionální ztráta na úrovni 99,9% kvantilu na úrovni celé pojišťovny19.
18
European Insurance and Occupational Pensions Authority. From Regulation to Supervision, EIOPA’s Solvency II Medium Term Work Plan (2011-2014). 2011, 22 s. nebo Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. článek 112 a 113. 19 Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. 20 Poznámky ze Semináře z aktuárských věd na Matematicko-fyzikální fakultě UK v Praze vedeného Dr. Lucií Mazurovou dne 8.10.2010 na téma Modelování operačního rizika. 18
1.2.2.2 Metoda Scorecard Approach (SA) Metoda SA21 kromě historických dat bere v úvahu i tzv. klíčové rizikové indikátory (KRI). Tyto klíčové rizikové indikátory popisují faktory a události, které mají potenciál způsobit ztrátu nebo ohrozit realizaci zisků. Klíčové rizikové indikátory jsou pak pravidelně vyhodnocovány a sledovány v oddělení risk managementu pojišťovny. Sleduje se především pravděpodobnost výskytu rizika a možný dopad rizika. Pomocí indikátorů jsou tak sestavovány mapy rizik včetně jejich kvantifikace. Příkladem takové mapy může být tzv. Heat Map, kde je významnost rizika odstupňována pomocí barevné škály, viz Obrázek 2.
Pravděpodobnost výskytu rizika
Mapa rizik v metodě SA
Možný dopad rizika
Obrázek 2 Heat Map jako příklad zobrazení mapy rizik v metodě SA. (Zdroj: vytvořeno autorkou pro ilustraci metody SA)
Žlutá oblast v mapě na Obrázku 2 představuje rizika s nízkou pravděpodobností výskytu a s malým dopadem, obecně se jedná o rizika, která pojišťovnu příliš neohrožují. Oranžová oblast znamená buď rizika s vysokou pravděpodobností výskytu a malým dopadem, to znamená události, ke kterým často dochází a je třeba je pravidelně monitorovat, aby ztráty z nich nezačaly být významné, nebo rizika s nízkou pravděpodobností výskytu a velkým dopadem. To je například epidemie chřipky mezi zaměstnanci, teroristický útok na budovu pojišťovny, tedy události málo pravděpodobné, ale představující vážné ohrožení pojišťovny a je nutné mít pro ně připraveny krizové plány. Čím blíže červené oblasti riziko na mapě leží, tím nutnější je přijmout proti němu účinná opatření. Aplikace kvantitativních modelů (LDA) je omezena dostupností historických dat, zatímco kvalitativní metody (SA) jsou spíše náročné metodologicky a procesní implementací. Obecně
21
Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. 19
interní modely mají za cíl obrátit pozornost na podstatu a zdroje operačních rizik a tím podpořit jejich řízení22.
1.3 Legislativní požadavky pro řízení operačního rizika v komerční pojišťovně Podle směrnice Evropského parlamentu a Rady 2009/138/ES23 článku 44 pojišťovny a zajišťovny musí mít účinný systém řízení rizik zahrnující strategie, procesy a postupy hlášení nezbytné pro průběžné zjišťování, měření, sledování, řízení a hlášení rizik, jimž jsou nebo by mohly být vystaveny, a jejich vzájemných závislostí. Systém řízení rizik musí být účinný a vhodně začleněn do organizační struktury pojišťovny a musí být brán na zřetel osobami, které pojišťovny řídí, případně zastávají jiné klíčové funkce. Podle směrnice24 se systém řízení rizik vztahuje na ta rizika, která jsou zahrnuta do výpočtu solventnostního kapitálového požadavku (viz Obrázek 1) i na ta, která do něj zahrnuta nejsou nebo jsou zahrnuta jen částečně. Minimální rozsah, na nějž se systém řízení rizik vztahuje, je směrnicí24 rozčleněn do následujících oblastí: a) b) c) d) e) f)
upisování pojištění a tvorba technických rezerv, řízení aktiv a závazků, investice, zejména deriváty a podobné závazky, řízení rizika likvidity a rizika koncentrace, řízení operačních rizik, zajištění a další techniky snižování rizik.
Pro tyto oblasti musí mít pojišťovny písemnou koncepci vztahující se k řízení rizik, vnitřní kontrole, vnitřnímu auditu a případně externímu zajištění služeb nebo činností. Pokud pojišťovna používá částečný nebo úplný interní model schválený orgánem dohledu, pak se funkce řízení rizik vztahuje i na další oblasti: navržení a provedení interního modelu, testování a ověření platnosti interního modelu, vedení dokumentace k internímu modelu a jeho veškerým změnám, analyzování chování interního modelu a vypracovávání o něm souhrnných zpráv, informování správního, řídícího nebo kontrolního orgánu o chování interního modelu, uvádět oblasti, v nichž je zapotřebí zlepšení, a podávání uvedenému orgánu nejnovějších informací o úsilí zlepšit dříve zjištěné slabé stránky. Dále každá pojišťovna v souladu se směrnicí24 provádí jako součást svého systému řízení rizik vlastní posouzení rizik a solventnosti. Toto posouzení je nedílnou součástí obchodní strategie a neustále se zohledňuje ve strategických rozhodnutích pojišťovny. 22
Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. 23 Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. 24 Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s., články 41-48. 20
Podle směrnice25 pojišťovny zavedou účinný systém vnitřní kontroly, který zahrnuje především správní a účetní postupy, rámec vnitřní kontroly, vhodné mechanismy ohlašování na všech úrovních pojišťovny a funkci zajišťování shody s předpisy (tzv. compliance). Pojišťovny zřídí také účinnou funkci vnitřního auditu, která je objektivní a nezávislá na provozních funkcích a hodnotí, zda jsou systémy vnitřní kontroly a další prvky řídícího a kontrolního systému vhodné a efektivní. Kromě toho řídící a kontrolní systém vyžaduje25, aby všechny osoby, které skutečně řídí pojišťovnu nebo mají jiné klíčové funkce, byly: 1) způsobilé, tj. aby měly odpovídající odbornou kvalifikaci, znalosti a zkušenosti pro řádné a obezřetné řízení, 2) bezúhonné, tj. aby měly dobrou pověst a byly čestné. Směrnicí25 se rovněž zřizuje pojistně-matematická funkce, která koordinuje výpočet technických rezerv, zajišťuje přiměřenost používaných metodik a podkladových modelů a předpokladů pro výpočet technických rezerv, posuzuje dostatečnost a kvalitu údajů používaných při výpočtu technických rezerv, provádí srovnání nejlepších odhadů a skutečností, informuje správní, řídící nebo kontrolní orgán o spolehlivosti a adekvátnosti výpočtu technických rezerv, vyjadřuje názor na celkovou koncepci upisování a na adekvátnost zajistných ujednání a přispívá k účinnému provádění systému řízení rizik, zejména pokud jde o konstrukci rizikových modelů, které jsou podkladem výpočtu solventnostního a minimálního kapitálového požadavku.
25
Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s., články 41-48. 21
2 OPERAČNÍ RIZIKO A INFORMAČNÍ SYSTÉMY V KOMERČNÍ POJIŠŤOVNĚ Jedno z nejvýznamnějších operačních rizik komerční pojišťovny souvisí s jejími informačními systémy a doprovodnými procesy. Tyto systémy hrají klíčovou roli při sjednání nových pojistných smluv a jejich zavedení do systému, při správě pojistných smluv během doby jejich trvání a rovněž při likvidaci pojistných událostí. Správnost datových záznamů a souvisejících procesů zpracování dat je pak obzvláště důležitá pro smlouvy životního pojištění, neboť jsou sjednávány až s několika desítkami let dlouhou pojistnou dobou a dopady případných chyb se mohou v čase kumulovat a nebezpečně zvyšovat. Nekorektnost dat a datových toků může pojišťovnu poškodit ve vztahu k jejím klientům, pokud například chybně vyčíslí klientovi nároky při pojistné události v důsledku poškozených datových podkladů nebo pokud při zavedení smlouvy do systému je klientovi vypočteno na základě chybných procesů na straně pojišťovny vyšší pojistné apod. Pojišťovně tak při odškodňování klienta a opravě dat či procesů vznikají nepředpokládané výdaje, ztráty. Přesnost dat v informačních systémech a souvisejících procesů není důležitá jen pro vztah s klientem, ale i pro rozhodování, plánování a obchodní strategii pojišťovny, kterou stanovuje a realizuje na základě různých analýz založených na datech o svém pojistném kmeni, novém obchodu, pojistných událostech a dalších ukazatelích. Nepřesnosti v datových pokladech pak mohou vést k chybnému úsudku, v jehož důsledku může vzniknout komerční pojišťovně ztráta. V současné době je kladen velký důraz na matematické modelování, obzvláště pak budoucích peněžních toků vyplývajících z pojistných smluv (pojistné, plnění, opce a garance) a s jejich pomocí vyhodnocování tzv. best estimate závazků vyplývajících z pojistných smluv, a to jak v konceptu Solvency II, tak v nových mezinárodních účetních standardech IFRS 4 Fáze II (více viz souhrnný materiál Ernst & Young26). Pro tyto nově vznikající přístupy je velmi významná datová kvalita, aby výsledné vykazované hodnoty vypovídaly o skutečném stavu komerční pojišťovny. V opačném případě by pojišťovně hrozila nejen ztráta dobré pověsti a důvěry akcionářů, ale v budoucnu i sankce od příslušného dohledového orgánu v rámci konsolidovaných výkazů. Podívejme se nyní konkrétně na možné chyby a nepřesnosti v informačních systémech, které by mohly vzniknout a následně způsobit pojišťovně ztrátu, při sjednání pojistných smluv a při správě pojistných smluv.
2.1 Vznik pojistné smlouvy Při vzniku pojistné smlouvy pojišťovna sbírá a zavádí do systému identifikační údaje pojistníka a pojištěného a jejich kontaktní údaje, data potřebná k uzavření smlouvy a k výpočtu pojistného jako je pojistná doba, počátek pojištění, frekvence a způsob placení pojistného, v neživotním pojištění také hodnota pojišťovaného objektu a zabezpečení pojišťovaného objektu proti vzniku škodní události, v životním pojištění pak například věk,
26
Ernst & Young. IFRS 4 Phase II and Solvency II, Bridging the gap. 2010, 8 s. [cit. 2011-01-18]. Dostupné na WWW: 22
pohlaví, zdravotní stav, případně další vyžadované informace pro oceňování a pojistná částka pro zvolená rizika, která jsou předmětem pojištění. Možné nekorektnosti pak mohou vzniknout při samotném ručním či automatizovaném zavádění uvedených údajů do informačních systémů. Klíčové hodnoty by tedy měly být prověřovány. Jedná se třeba o prověření rodného čísla klienta jako jednoznačného identifikačního klíče, to znamená, prověření zda se jedná o rodné číslo skutečně jedinečné v rámci pojistného kmene a zda je zadáno korektně. Korektnost se dá posoudit na základě délky rodného čísla a přípustnosti jednotlivých číslic na určitých pozicích v rodném čísle27. Prvních šest čísel je částí data narození dané osoby, kdy první dvojčíslí je posledním dvojčíslím roku narození, druhé dvojčíslí je měsícem narození případně doplněné o úvodní nulu nebo s přičtením dané hodnoty pro rozlišení pohlaví a třetí dvojčíslí je dnem narození opět případně doplněné o úvodní nulu. Následuje trojice nebo čtveřice číslic v závislosti na tom, zda se jedná o sobu narozenou do roku 1953 nebo od roku 1954. Další návody pro ověření správnosti rodného čísla jsou uvedeny např. na internetových stránkách Informační Systémy Veřejné Správy27,28. Jedinečnost lze pak prověřit kontrolou, zda se již v databázi aktuálně i dříve pojištěných osob a pojistníků nenachází jiná osoba se stejným rodným číslem. Při zadávání nové smlouvy bez úplných vstupních údajů nebo se zjistitelnými nekorektnostmi by měl informační systém upozornit zadavatele na tuto skutečnost. Smlouvu je potřeba i přesto evidovat, neboť z ní již vyplývá právní vztah mezi klientem a pojišťovnou a tedy související práva a povinnosti vyplývající z pojistné smlouvy. Každá smlouva by měla mít jednoznačný identifikační klíč, aby nemohlo při zpracování a při dalších úkonech spjatých s událostmi na smlouvě během doby jejího trvání dojít k záměně jednotlivých smluv. Ošetřeno by mělo být také riziko vzniku duplicitních pojistných smluv, které by uměle navyšovaly velikost pojistného kmene, zkreslovaly by informace o skutečně uzavřeném novém obchodu a mohly by zapříčinit neadekvátní rozhodnutí vedení pojišťovny o budoucí obchodní strategii. Neméně důležitá z hlediska operačního rizika je správnost dat v informačním systému o sjednaných pojistných částkách. Výše pojistné částky může ovlivnit například přístup k oceňování příslušného rizika, kdy pro smlouvy s vyššími pojistnými částkami jsou vyžadovány v případě životního pojištění podrobnější informace o zdravotním stavu pojištěného, v případě neživotního pojištění detailní informace o zábranách proti škodní události. V důsledku předání chybných dat do systému nebo nekorektní změny dat samotným systémem pak může dojít k chybnému nacenění pojišťovnou postupovaného rizika. Pojistná částka je důležitým faktorem také pro zajištění, kdy mohou smlouvy spadat například pod obligatorní zajistný program od určité výše pojistné částky nebo od určité výše možného pojistného plnění. Zde je vhodné pro smlouvy životního pojištění zohlednit také případná předpojištění, aby expozice vůči riziku za jednu pojištěnou osobu nebyla příliš velká. K tomu je opět potřeba mít dostupná kvalitní data v informačních systémech, aby se dříve vzniklá 27
LORENC, Miroslav. ISDP - Rodné číslo jako datový prvek (1.díl). 2007. [cit. 2011-02-04]. Dostupné na WWW: . 28 LORENC, Miroslav. ISDP - Rodné číslo jako datový prvek (2.díl). 2007. [cit. 2011-02-04]. Dostupné na WWW: . 23
pojištění klienta dala snadno vyhledat a zamezilo se tak ztrátám primárně způsobeným nekorektností uchovávaných dat v informačních systémech. Jak bylo výše uvedeno, při vzniku pojistné smlouvy, ale i při dalším spravování smlouvy a výplatách pojistných plnění, sbírá pojišťovna o klientovi velké množství dat. Z tohoto důvodu je podle zákona o pojišťovnictví29 pojišťovna povinna řídit se rovněž zákonem upravujícím ochranu osobních údajů podle § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 439/2004 Sb. Z toho vyplývají další požadavky na informační systémy a to především z hlediska přístupnosti zaznamenávaných a uchovávaných údajů o klientech různým osobám zpracovávajícím data.
2.2 Správa pojistné smlouvy V průběhu doby trvání pojistné smlouvy může, je-li to pojišťovnou povoleno všeobecnými či doplňkovými pojistnými podmínkami pro daný pojistný produkt, docházet k různým pohybům a změnám v parametrech pojistné smlouvy. Zmíníme nyní některé vybrané změny a příklady toho, jaké dopady by mohly mít případné nepřesnosti způsobené chybným zpracováním těchto změn, potažmo selhání informačních systémů. Přípustné změny v existujícím pojištění můžeme v zásadě rozdělit do dvou kategorií. Za prvé jsou to změny, které ovlivní výši závazku pojišťovny vyplývajícího z pojistné smlouvy, a za druhé jsou to ty změny, které výši závazku pojišťovny neovlivní. Dále je možné změny na pojistné smlouvě rozdělit na změny týkající se klienta a dalších osob, pojistného, pojištěných rizik, pojistné doby, vlastností pojištění a správy pojistné smlouvy (viz Obrázek 3). Změny na smlouvě uvedené v textu práce a také na schématu jejich dělení zobrazeném na Obrázku 3 jsou převážně převzaty z pojistných podmínek České pojišťovny30 a z pojistných podmínek pojišťovna Kooperativa31 a doplněny autorkou. Inspirací byl rovněž zákon o pojistné smlouvě32.
2.2.1 Změny neovlivňující výši závazku pojišťovny Změny neovlivňující výši závazku pojišťovny vůči klientovi vyplývajícího z pojistné smlouvy jsou změny údajů, které nesouvisí přímo s pojistně-technickými parametry smlouvy. Jsou to změny informací o klientovi, které nemají vliv například na výši pojistného plnění nebo na dobu trvání pojištění. Mezi takové změny patří například změna kontaktních údajů klienta (adresy, telefonního čísla, případně e-mailové adresy). Pokud nastane chyba ve zpracování údajů při změně kontaktních údajů klienta, může to vést k tomu, že pojišťovna nebude schopna klienta kontaktovat například při upomínání zaplacení pojistného. Tím pádem může dojít až k zániku pojištění nebo k redukci pojištění, aniž by to bylo úmyslným záměrem klienta a pojišťovna přichází o zisk z budoucího pojistného.
29
Zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů. Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 31 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 32 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. 30
24
Schéma dělení změn parametrů pojistné smlouvy Obrázek 3 Příklad schématu dělení změn na pojistné smlouvě. (Zdroj: vytvořeno autorkou, inspirováno pojistnými podmínkami České pojišťovny a pojišťovny Kooperativa) 25
Přesné kontaktní údaje jsou pro pojišťovnu velmi důležité, pokud chce na klienta zaměřit svou adresnou marketingovou kampaň. Pokud má pojišťovna v tomto případě chybně vedené kontaktní údaje, pak nejen že vynaložila zbytečné náklady na oslovení klienta, ale rovněž přichází o možnost s klientem uzavřít pojistnou smlouvu v této kampani. Pojišťovna může vést o klientovi další doplňkové záznamy, které jí pomáhají při různých kmenových analýzách, jež provádí za účelem efektivního cílení svých marketingových akcí, a je proto podstatná jejich správnost a aktuálnost. Mezi takové doplňkové informace patří například údaj o vzdělání klienta, stavu klienta, zaměstnání apod. Při nesprávných doplňkových údajích o klientech může dojít na jejich základě k chybnému vyhodnocení dat a následnému neefektivnímu rozhodnutí o obchodní strategii. Další změnou, která neovlivňuje hodnotu závazku pojišťovny vůči klientovi, je změna oprávněné nebo obmyšlené osoby. Oprávněnou osobou se podle zákona o pojistné smlouvě33 myslí osoba, které v důsledku pojistné události vznikne právo na pojistné plnění. Obmyšlená osoba je podle téhož zákona33 definována jako osoba určená pojistníkem v pojistné smlouvě, které vznikne právo na pojistné plnění v případě smrti pojištěného. Chybou v datech při změně této osoby mohou vzniknout pojišťovně další dodatečné výdaje, při ověřování oprávnění nároků oprávněné resp. obmyšlené osoby domáhající se svých nároků. Co se týká pojistného, tak mezi změny bez dopadu na výši závazku pojišťovny vůči klientovi můžeme zařadit změnu frekvence placení pojistného a změnu formy placení pojistného. Tyto změny mohou ovlivnit výši pojistného, například pokud pojišťovna poskytuje slevy pro určitou frekvenci nebo formu placení pojistného, které upřednostňuje a takto je zvýhodňuje. Obvykle pojišťovny poskytují slevu34 za nižší frekvenci placení pojistného, tzn. za roční, pololetní nebo čtvrtletní frekvence, a za bezhotovostní formu placení pojistného, tzn. trvalým příkazem, souhlasem s inkasem, příkazem k úhradě nebo prostřednictvím platby SIPO (= Soustředěné inkaso plateb obyvatelstva). Pokud pojišťovna nemá správné údaje o placení, zejména o frekvenci placení, očekává platby v jiných časových okamžicích a v jiných výších. Může pak například klienta upomínat o zaplacení pojistného předčasně, a tak si zvyšovat zbytečně výdaje na související administrativní procesy. Ze skupiny změny údajů vlastností pojištění zmiňme indexaci/dynamizaci pojištění. Jedná se v podstatě o současné navyšování pojistného a pojistné částky v závislosti na vývoji inflace. Podle všeobecných pojistných podmínek pro pojištění osob pojišťovny Kooperativa35 se dynamizací rozumí upravení výše pojistného a jemu odpovídající výše pojistných částek k výročnímu dni počátku pojištění v závislosti na vývoji míry inflace vyhlášené příslušným orgánem státní správy. Podle doplňkových pojistných podmínek pro životní pojištění nabízené Českou pojišťovnou36 je indexace navýšení pojistného o procento z pojistného stanovené pojistitelem s ohledem na index růstu spotřebitelských cen publikovaný Českým statistickým úřadem a růst nominálních mezd publikovaný Českým statistickým úřadem za minulý rok. Pojistné částky se zvyšují podle pojistně technických zásad pojistitele. 33
Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. ověřeno kalkulací pojistného pro různá pojištění na webových stránkách České pojišťovny (www.cpoj.cz), pojišťovny Kooperativa (www.koop.cz) a Direct pojišťovny (www.direct.cz) 35 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 36 Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 34
26
Pojistník má možnost požádat o zrušení indexace/dynamizace, pokud je pojistnou smlouvou sjednána. Pokud je tato změna v datech chybně zaznamenána, opět to znamená pro pojišťovnu zbytečné náklady v případě, že bude chtít pojistníkovi pojistné a pojistné částky navyšovat, a hrozí i riziko, že pojišťovna udělá nekorektní rozhodnutí vzhledem k analýzám nad chybně vedenými údaji o indexaci/dynamizaci na pojistných smlouvách. Samotné provedení indexace/dynamizace na smlouvě pak znamená i změnu výše závazku pojišťovny. Vinkulace, další z vlastností pojištění, jejíž změna nemá vliv na výši závazku pojišťovny, znamená omezení možnosti disponovat s pojistným plněním, potažmo při předčasném zrušení pojištění s výplatou odkupného. Podle doplňkových pojistných podmínek pro životní pojištění nabízené Českou pojišťovnou37 pojištěný sjednáním vinkulace v pojistné smlouvě souhlasí s tím, že případné pojistné plnění bude vyplaceno přednostně třetí osobě, v jejíž prospěch bylo plnění vinkulováno a která je zástavním věřitelem pojistníka, pokud ovšem tato osoba nedá souhlas k vyplacení plnění oprávněné osobě podle pojistné smlouvy. Zrušení vinkulace ve smlouvě lze provést pouze se souhlasem osoby, v jejíž prospěch bylo pojistné plnění vinkulováno, jak je uvedeno ve všeobecných pojistných podmínkách pro pojištění osob pojišťovny Kooperativa38. Opět je důležité v datech uchovávat správné informace o případné vinkulaci a osobách, v jejichž prospěch je plnění vinkulováno, jinak existuje možnost, že by pojišťovna poskytla plnění nesprávné osobě a mohla by jí tak vzniknout ztráta z poskytnutí nárokovaných náhrad poškozené osobě nebo z případných soudních sporů. Pojistník jako daňový poplatník může vyžadovat od pojišťovny zasílání potvrzení o zaplaceném pojistném na soukromé životní pojištění. Pokud se změna požadavku na zasílání daňového potvrzení zobrazí v datech příslušných dané smlouvě chybně, vzniká pojišťovně například ztráta z nadbytečné administrativy. Údaje o obchodníkovi, který smlouvu sjednal a dále poskytuje klientovi servis související se správou pojištění, jsou významné zvláště pro výplatu provizí. Při nesprávném přiřazení vyplácených obchodních provizí pochopitelně vznikají pojišťovně ztráty související s nápravou záměn ve výplatách či případně ztráty z hrozících soudních sporů. Údaj o způsobu vzniku pojistné smlouvy slouží především pro analýzy a reporting obchodu a nesouvisí s výší závazku pojišťovny vyplývajícího z pojistné smlouvy. Vznikem může být například sepsání nové pojistné smlouvy nebo přepracování starší či dožívající pojistné smlouvy. Nekorektnost údajů může vést ke ztrátám z chybných vyhodnocení výsledků analýz a následného plánování a rozhodování o obchodní strategii.
2.2.2 Změny ovlivňující výši závazku pojišťovny Změny ovlivňující výši závazku pojišťovny vůči klientovi vyplývajícího z pojistné smlouvy jsou obecně všechny změny pojistně-technických parametrů pojistné smlouvy. Při těchto změnách dochází k přepočtu pojistného, pojistné částky nebo ke změně pojistné doby. Opět postupně projdeme jednotlivé změny podle schématu na Obrázku 3 a uvedeme možné související dopady případných nekorektností v údajích vedených komerční pojišťovnou. Zdrojem uvedených změn jsou doplňkové pojistné podmínky pro životní pojištění nabízené 37
Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 38 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 27
Českou pojišťovnou39 a všeobecné pojistné podmínky pro pojištění osob pojišťovny Kooperativa40. Zvýšení pojistné částky se provádí na žádost pojistníka. Tuto změnu doprovází rovněž zvýšení pojistného. Pokud změnu pojišťovna zachytí ve svých datech chybně, může se to projevit v nesprávně vykazované výši pojistného závazku v technických rezervách a při pojistné události pak pojišťovně mohou chybět prostředky na výplatu pojistného plnění. Kdyby tato chyba postihla větší množství smluv, může dojít až k nesolventnosti pojišťovny. Oproti tomu snížení pojistné částky může požadovat pojistník nebo ho provádí za určitých okolností sama pojišťovna. Snížení pojistné částky nemusí nutně souviset se změnou výše pojistného. Snížení pojistné částky a zachování původní výše pojistného může nastat například v investičním životním pojištění, kdy pojistník ušetřené rizikové pojistné za nižší pojistnou částku alokuje do pojišťovnou nabízených investičních fondů v rámci investičního životního pojištění. Nesprávné zachycení této změny v datech může vést k chybné alokaci pojistného, nadbytečnému strhávání rizikového pojistného a vyplacení nesprávné částky při dožití pojistné smlouvy nebo při jiné pojistné události. V souvislosti s nápravou opět vznikají dodatečné náklady resp. ztráty z operačního rizika. Pojišťovna provádí snížení pojistné částky v životním pojištění při neplacení pojistného pojistníkem nebo při placení pojistného v nedostatečné výši na pokrytí všech rizik. Podrobněji se této problematice budeme věnovat později. Pojistník může rovněž provést dodatečné sjednání nebo zrušení volitelných pojištění, tím pádem se mění rozsah pojistného krytí vzhledem k nové expozici vůči připojišťovaným nebo odpojišťovaným rizikům. S touto změnou se mění rovněž výše pojistného, zvyšuje se pro připojišťované riziko a snižuje se pro riziko odpojištěné. V případě životního investičního pojištění může být na žádost pojistníka přebytečné pojistné při odpojištění rizik alokováno do investičních fondů spjatých s pojištěním. Pojistné částky v životním pojištění se týká i následující změna ovlivňující výši závazku pojišťovny a to je redukce pojistné částky. Podle zákona o pojistné smlouvě41 bylo-li za soukromé pojištění zaplaceno běžné pojistné za dobu stanovenou v pojistné smlouvě, a pokud nebylo po uplynutí této doby další běžné pojistné zaplaceno ve stanovené lhůtě, mění se takové soukromé pojištění na pojištění se sníženou pojistnou částkou (redukce pojistné částky) nebo na snížený roční důchod, a to bez povinnosti platit běžné pojistné. K redukci pojistné částky nebo ke snížení ročního důchodu dojde prvního dne po uplynutí lhůty, jejímž uplynutím by jinak soukromé pojištění zaniklo pro neplacení pojistného. Pojištění pro případ smrti, které bylo sjednáno na přesně stanovenou dobu za běžné pojistné, zaniká pro neplacení pojistného bez nároku na redukci pojistné částky nebo snížení ročního důchodu. Jaké možné dopady může mít selhání informačních systémů při redukci pojistné částky na výši nové redukované pojistné částky, ukážeme na jedné konkrétní modelové smlouvě kapitálového životního pojištění v následující kapitole 2.2.3 Příklad selhání informačních systémů při redukci pojistné částky.
39
Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 40 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 41 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. 28
Během pojistné doby může na smlouvě investičního životního pojištění dojít na základě žádosti klienta k převodu podílových jednotek mezi jednotlivými fondy nabízenými pojišťovnou42. Pokud jsou převáděny jednotky mezi fondy s garantovaným výnosem a fondy, kde je nositelem investičního rizika pojistník, má tato změna dopad do výše závazku pojišťovny. Za ovlivnění výše závazku by se dalo považovat i stržení poplatku pojišťovnou za provedení požadované změny převodu podílových jednotek, viz například poplatky pro investiční životní pojištění České pojišťovny43, ačkoliv se nejedná přímo o změnu pojistnětechnických parametrů. Při nekorektním provedení převodu se může stát například to, že pojistník má investováno v jiných fondech, které se nezhodnocují stejnou měrou jako fondy požadované, nebo že místo garantovaného zhodnocení pojistník stále postupuje investiční riziko. Navíc podle zvláštních pojistných podmínek pro investiční životní pojištění nabízené pojišťovnou Kooperativa44 má být přesun hodnoty podílových jednotek mezi jednotlivými fondy proveden podle prodejních cen platných v jednotlivých fondech nejpozději ke dni, kdy pojistitel žádost pojistníka o přesun zpracuje ve svém informačním systému, pokud by tedy došlo k chybnému zaznamenání data nebo platných cen ve směru poškozujícím pojištěného, měl by pojistitel tuto ztrátu uhradit. Zvýšení nebo snížení pojistného pochopitelně také ovlivňuje výši závazku pojišťovny vůči klientovi. Se zvýšením pojistného roste závazek pojišťovny, pojišťovna tvoří vyšší technické rezervy a v případě vzniku pojistné události jsou vypláceny vyšší plnění a naopak při snížení pojistného jsou tvořeny nižší technické rezervy a při vzniku pojistné události jsou plněny nižší částky. Chyby v datech o pojistném mají tedy přímý dopad na přiměřenou tvorbu rezerv a výši pojistných plnění. Pojistník může podle doplňkových pojistných podmínek pro životní pojištění nabízené Českou pojišťovnou42 také požádat o přerušení placení pojistného, a to v případě, že je pojistné zaplaceno za dva roky. Pojišťovna má právo žádost o přerušení placení odmítnout. Pokud by pojišťovna odsouhlasení takové žádosti nesprávně promítala do svých dat, očekávala by i nadále platby pojistného a upomínala by pojistníka, případně by na smlouvě mohla být provedena neoprávněná redukce pojistné částky či doby. Pojistného se týká i následující změna ovlivňující výši závazku pojišťovny a tou je pro životní pojištění mimořádný vklad nebo mimořádný výběr. Obě tyto operace mají dopad do výše výplaty pojistného plnění ať už při dožití nebo při smrti pojištěného. Kdyby došlo k nesprávnému zaznamenání dat o mimořádných vkladech a výběrech na smlouvě, hrozí pojišťovně riziko nepostačitelnosti technických rezerv, následně chybná výše vypláceného pojistného plnění a opět vznik nákladů na nápravu tohoto stavu. Vzhledem k tomu, že podle zvláštních pojistných podmínek pro investiční životní pojištění nabízené pojišťovnou Kooperativa44 má pojistitel právo použít mimořádné pojistné na úhradu dlužného běžného pojistného, mohlo by dojít ke ztrátě pojišťovny, pokud by zaznamenala ve svých datech mimořádný vklad ve větší výši, než byla skutečná výše mimořádného vkladu, nebo pokud by nezaznamenala do svých dat mimořádný výběr v jeho úplné výši. Pro investiční životní pojištění může dojít také ke změně alokačního poměru pro budoucí pojistné, neboli ke změně procentuálního poměru, podle kterého se umisťuje zaplacené 42
Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 43 Česká pojišťovna a.s. Přehled poplatků od 1.1.2011. [cit. 2011-02-11]. Dostupné na WWW: . 44 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 29
pojistné45. Pojistník může požádat o změnu alokačních poměrů běžného i mimořádného pojistného a tato změna je účinná ode dne uvedeného pojistníkem v žádosti o provedení změny, nejdříve však od nejbližší splatnosti nezaplaceného pojistného. Pojistitel má právo na poplatek za provedení změny alokačního poměru podle platného Přehledu poplatků46. Při nekorektním provedení změny alokačního poměru v záznamech pojišťovny hrozí riziko, že pojistník bude mít budoucí pojistné alokované v jiných fondech, než odpovídá žádanému novému alokačnímu poměru, a že tyto fondy se nebudou zhodnocovat stejnou měrou jako fondy požadované. Pro pojišťovnu z toho opět vyplývá, že by musela případné vzniklé ztráty pojistníkovi kompenzovat. Ke změně pojistné doby může dojít podle zvláštních pojistných podmínek pro investiční životní pojištění nabízené pojišťovnou Kooperativa47, když se pojistník a pojistitel dohodnou na prodloužení pojistné doby. Tato dohoda je možná maximálně jednou za dobu trvání pojištění. Podle doplňkových pojistných podmínek pro životní pojištění nabízené Českou pojišťovnou45 se změna pojistné doby uskuteční současně s jinou změnou pojištění ovlivňující délku pojistné doby. Nesprávné zaznamenání nové pojistné doby může vést k nepřesnostem v následujících výpočtech pojistného, technických rezerv apod. Z těchto chyb mohou pojišťovně vznikat ztráty. Poslední uvedenou změnou pojištění na Obrázku 3 je redukce pojistné doby. V zákoně o pojistné smlouvě48 §57 je uvedeno, že v případě, kdy redukovaná pojistná částka nebo snížený roční důchod jsou menší než limity sjednané v pojistné smlouvě, dochází ke zkrácení doby pojištění (redukce pojistné doby), jejímž uplynutím soukromé pojištění zaniká, nebylo-li dohodnuto jinak. K redukci pojistné doby dojde prvního dne po uplynutí lhůty, jejímž uplynutím by jinak soukromé pojištění zaniklo pro neplacení pojistného. Chybné datové zpracování redukce pojistné doby ovlivňuje nejen výši technických rezerv, ale také délku zbývající doby pojištění a pojišťovna ponese případné dodatečné náklady spjaté s touto chybou, jako například nepřiměřeně zvýšené správní náklady.
2.2.3 Příklad selhání informačních systémů při redukci pojistné částky Nyní si ukážeme modelový příklad toho, jaké mohou být dopady selhání informačních systémů při redukci pojistné částky na výši nové redukované pojistné částky. Definujeme konkrétní modelovou smlouvu kapitálového životního pojištění. Mějme smlouvu životního pojištění, která je sjednána pro případ smrti nebo dožití se konce pojistné doby s pojistnou částkou 1 000 000 Kč. Pojištěnou osobou je muž, jemuž bylo při vstupu do pojištění 40 let. Pojistná doba je 10 let a sjednaná doba placení běžného ročního pojistného je rovna pojistné době. Po 5ti letech pravidelného placení předepsaného běžného pojistného přestal pojištěný pojistné splácet a v informačních systémech pojišťovny byla na smlouvě provedena redukce pojistné částky. Spočítáme nyní, v jaké správné výši měla redukovaná pojistná částka být vypočtena a jak ji mohou ovlivnit různé chyby ve vstupních
45
Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . 46 Česká pojišťovna a.s. Přehled poplatků od 1.1.2011. [cit. 2011-02-11]. Dostupné na WWW: . 47 Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . 48 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. 30
parametrech výpočtu. Pro jednoduchost se budeme pohybovat pouze v netto hodnotách a počáteční, správní a inkasní náklady pomineme. Definujme další nutné předpoklady pro výpočet: úroková míra i=2,5%, za úmrtnostní tabulky použijeme populační úmrtnostní tabulky publikované Českým statistickým úřadem za rok 2009 pro muže (viz Příloha A). Běžně placené roční pojistné vypočtené pomocí komutačních čísel odvozených z použitých úmrtnostních tabulek (viz Příloha B) vychází ve výši:
BP =
M x − M x+n + Dx+n ⋅ PČ = 88 290 Kč, N x − N x+n
2-1
kde x = 40 a n = 10 . Výše rezervy na konci pátého roku pojištění je podle komutačních čísel z Přílohy B rovna: kV x
=
M x+k − M x+n + Dx+n N − N x+n ⋅ PČ − x + k ⋅ BP = 467 069 Kč, D x+k D x+ k
2-2
pro x = 40 , n = 10 a k = 5 . Pro účely výpočtu pojistné částky po redukci je výše rezervy v době předčasného ukončení placení pojistného pojistníkem použita jako jednorázové pojistné. Proto správná výše pojistné částky po redukci pro smrt nebo dožití se konce pojistné doby vychází za použití komutačních čísel z Přílohy B:
PČ _ R = k V x ⋅
M x+k
Dx+k = 527 974 Kč, − M x+n + D x+n
2-3
kde opět x = 40 , n = 10 a k = 5 . Nyní budeme předpokládat, že při zpracování redukce nastala v informačních systémech chyba v absolutní velikosti ∆ : 1) v rezervě kV x , pak redukovaná pojistná částka je při zachování správných výší parametrů x = 40 , k = 5 , n = 10 postižena chybou ve výši:
εV = ∆ ⋅
M x+k
Dx+k = ∆ ⋅ 1,13 , − M x+n + Dx+n
2-4
2) v parametru k , pak redukovaná pojistná částka s chybou, za předpokladu ∆ f 0 , ∆ ≤ ω − x − k , lze vyjádřit jako:
PČ _ Rk = k V x ⋅
M x+k +∆
D x+k +∆ = k Vx ⋅ − M x+n + Dx+n
D x+k ⋅ v ∆ ⋅∆ p x+k ∆ −1
. 2-5
M x+k − M x+n + Dx+n − ∑ C x+k + j j =0
Při zachování správných výší parametrů x = 40 , n = 10 , 5V x = 467 069 je chyba ve výši redukované pojistné částky ε k v závislosti na velikosti ∆ vyčíslena v Tabulka 1, a to jak v absolutní, tak v procentní výši. 31
Výše chyby v redukované pojistné částce
εk ∆
v Kč
εn v%
v Kč
εx v%
v Kč
v%
561 906 106% -278 591 -53% 422 0,1% -30 437 799 83% -245 063 -46% 370 0,1% -25 328 655 62% -207 078 -39% 371 0,1% -20 231 299 44% -164 082 -31% 346 0,1% -15 144 813 27% -115 516 -22% 297 0,1% -10 68 123 13% -60 905 -12% 191 0,0% -5 0 0% 0 0% 0 0% 0 -60 905 -12% 66 833 13% -369 -0,1% 5 -116 292 -22% 138 142 26% -939 -0,2% 10 -168 133 -32% 211 069 40% -1 767 -0,3% 15 -218 718 -41% 281 107 53% -2 884 -0,5% 20 -269 492 -51% 343 235 65% -4 304 -0,8% 25 -322 067 -61% 392 375 74% -6 592 -1,2% 30 Tabulka 1 Výše chyby ve výpočtu redukované pojistné částky pro různé odchylky ve vstupních parametrech. (Zdroj: vytvořeno autorkou pomocí vlastní kalkulace)
3) v parametru n , potom redukovaná pojistná částka s chybou je vypočtena vzorcem:
PČ _ Rn = k V x ⋅ = k Vx ⋅
Dx+k M x+k − M x+ n+∆ + D x+n+∆ Dx+k
= ∆ −1
,
2-6
M x+k − M x+ n + D x+n ⋅ v ⋅ ∆ p x+n + ∑ C x+ n+ j ∆
j =0
kde ∆ f 0 a ∆ ≤ ω − x − n . Při zachování správných výší parametrů x = 40 , k = 5 , 5V x = 467 069 je chyba ve výši redukované pojistné částky ε n v závislosti na velikosti ∆ vyčíslena v Tabulce 1, a to jak v absolutní, tak v procentní výši. 4) v parametru x . Chyba v parametru x je v podstatě kombinací chyb parametrů k a n , které působí protichůdně (viz Obrázek 4), a tudíž má chyba v parametru x nejmenší dopad do výpočtu redukované pojistné částky:
PČ _ R x = k V x ⋅
M x+k +∆
D x+k +∆ , − M x+n+∆ + D x+n+ ∆
2-7
kde ∆ f 0 a ∆ ≤ ω − x − n . Při zachování správných výší parametrů n = 10 , k = 5 , 5V x = 467 069 je chyba ve výši redukované pojistné částky ε x v závislosti na velikosti ∆ vyčíslena v Tabulce 1, a to jak v absolutní, tak v procentní výši.
32
Závislost redukované pojistné částky na chybách v parametrech k, n, x 120%
Chyba redukované PČ v %
100% 80% 60% 40%
εk εk
20%
εεnn
0% -20%
εx εx -30 -25 -20 -15 -10 -5
0
5
10 15 20 25 30
-40% -60% -80%
∆ (chyba v parametru)
Obrázek 4 Graf závislosti procentuální odchylky redukované pojistné částky a chyb ve vstupních parametrech. (Zdroj: vytvořenou autorkou pomocí vlastní kalkulace)
2.2.4 Předpis a platby pojistného Jako poslední část kapitoly o operačních rizicích selhání informačních systémů souvisejících se správou pojistné smlouvy je nutné uvést významné riziko, které se ale netýká změny na pojistné smlouvě. Jedná se o předpisy a platby pojistného, jejich správné zaznamenání v systémech a v účetnictví z hlediska výše, splatnosti a spárování. Významné riziko z nesprávného zpracování příslušných údajů vyplývá hlavně z četnosti těchto operací a jejich velkého množství. Primární systém, případně jiný dodatečný informační systém v pojišťovně, generuje údaje o předepsaném pojistném pro jednotlivé klienty. Předepsanému pojistnému by měly odpovídat příchozí platby pojistného, ovšem ne vždy tyto operace probíhají ve stejném časovém okamžiku, například když se klient zpozdí s placením. S tím potom souvisí obzvláště riziko správného spárování předpisu a příchozí platby. Pokud by v informačním systému k tomuto spárování nedošlo, pojišťovna by mohla považovat pojistné za nezaplacené a pojistníka neoprávněně upomínat. Tím by došlo nejen ke ztrátám ze zbytečně zaslaných upomínek k platbě pojistného pojistníkovi, ale zajisté také k poškození dobré pověsti pojišťovny, což by mohlo oslabit její pozici v budoucí obchodní činnosti. Důležité jsou i výše a datum splatnosti pojistného. Výše pojistného je podstatná z hlediska rizika pojistného, což je riziko toho, že předepsané pojistné pro homogenní skupinu pojistných smluv není dostatečně vysoké na pokrytí rizik vyplývajících z této skupiny smluv. Pokud by přes správný výpočet výše pojistného byla předepisována pojistníkovi menší částka kvůli nedostatkům v informačních systémech, potom hrozí pojišťovně závažné ztráty z nepostačitelnosti vyinkasovaného pojistného.
33
Datum splatnosti je významné především pro upomínací proces. Pokud pojišťovna zjistí, že pojistník neplatí pojistné a dluh dosahuje určité v upomínacím procesu předem definované výše, začne pojistníka upomínat. Předem definovaná výše dluhu pro zahájení upomínacího procesu zaručuje, že vymáhaný dluh bude v takové výši, aby se jeho vymáhání pojišťovně vyplatilo a aby zbytečně nezvyšovala své náklady kvůli příliš malým dlužným částkám. Upomínky mohou mít různou podobu od e-mailových zpráv a SMS zpráv až po písemnou formu a doporučeně zaslanou upomínku. V případě, že by pojišťovna vedla ve svých údajích v informačních systémech chybné datum splatnosti, mohlo by dojít například k tomu, že by pojistníka upomínala ještě před skutečným datem splatnosti pojistného, čímž by opět zbytečně zvyšovala své náklady v předčasném upomínacím procesu a navíc by poškodila své jméno u pojistníka a mohla by si způsobit ztráty do budoucna.
2.3 Ukončení pojistné smlouvy a související datové pohyby V této kapitole se budeme věnovat především likvidaci pojistných událostí a souvisejícími procesy v informačních systémech, ze kterých plyne operační riziko jejich selhání. Uvedeme ovšem i jiná možná ukončení pojistné vztahu mezi pojišťovnou a pojistníkem a související operační riziko informačních systémů.
2.3.1 Pojistná událost a proces likvidace Pokud nastane pojistná událost, je podle zákona o pojistné smlouvě49 pojistník povinen bez zbytečného odkladu pojistiteli oznámit, že nastala pojistná událost, podat pravdivé vysvětlení o vzniku a rozsahu následků této události, předložit k tomu potřebné doklady a postupovat způsobem dohodnutým v pojistné smlouvě. Není-li pojistník současně pojištěným, má tuto povinnost pojištěný, je-li pojistnou událostí smrt pojištěného, má tuto povinnost oprávněná osoba. Následně je v pojišťovně zahájen proces likvidace, s kterým úzce souvisí souběžné procesy v informačních systémech. Cílem tohoto procesu je určit výši škody a poskytnout pojištěnému nebo poškozenému přiměřené pojistné plnění50. Výstupem z procesu likvidace může být ale také zamítnutí požadavku na poskytnutí pojistného plnění, a to v případě, že je požadavek vyhodnocen jako neoprávněný, například spadá do oblasti výluk z pojištění uvedených v pojistných podmínkách nebo pokud byla pojistná událost způsobena úmyslným jednáním pojištěného. Výše nároku na pojistné plnění a jeho oprávněnost se odvíjí50 od druhu a rozsahu pojištění, pojistné částky či pojistné hodnoty, výše spoluúčasti, běhu času, důvodů pro snížení nebo odmítnutí plnění pojistitelem nebo jiných skutečností. Obecně můžeme samotný proces likvidace podle F. Řezáče50 rozdělit do několika kroků. Pro různé typy pojištění a rizik pak mohou nastat v jednotlivých krocích procesu rozličné odlišnosti. K jednotlivým krokům procesu likvidace přiřadíme i možný datový pohyb v informačních systémech. Samotné schéma procesu likvidace v informačních systémech je graficky znázorněno na Obrázku 5.
49
Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 136.
50
34
Schéma procesu likvidace pojistné události
Oznámení pojistné události
Registrace pojistné události
Identifikace předmětu pojištění a ověření pojistného krytí
Stanovení rozsahu povinnosti pojistitele poskytnout pojistné plnění
Revize
Výplata pojistného plnění
Archivace spisů
Obrázek 5 Schéma procesu likvidace podle F. Řezáče. (Zdroj: vytvořeno autorkou podle F. Řezáče51)
1) Oznámení pojistné události Prvním krokem je přijetí oznámení pojistné události. Ohlášení pojistné události klient provádí obvykle pomocí některé z následujících variant: a) telefonicky – prostřednictvím kontaktního centra, klientského servisu či zákaznické linky podle pojišťovny, b) elektronicky (on-line) – na webových stránkách dané pojišťovny, c) faxem nebo e-mailem – vyplněním příslušného formuláře a jeho odesláním prostřednictvím faxu nebo e-mailové komunikace do pojišťovny, d) písemně – vyplněním příslušného formuláře a jeho následným zasláním nebo osobním doručením na pobočku pojišťovny, případně vyplněním formuláře přímo na pobočce, e) pomocí mobilní aplikace – jedná se o nový způsob hlášení pojistné události v povinném ručení a havarijním pojištění, které od března 2011 zavedla Česká pojišťovna. Tento způsob oznámení pojistné události využívá moderních technologií jako je možnost okamžité fotodokumentace a vyhledání polohy nehody pomocí GPS. Oznámení pojistné události může být provedeno i v zastoupení pojišťovacím makléřem nebo jiným zástupcem, pokud je klientem řádně písemně zmocněn51. Z hlediska zavedení pojistné události do informačních systémů pojišťovny jsou nezbytné údaje, ze kterých lze jednoznačně určit osobu pojištěného a pojistnou smlouvu jako jsou jméno a příjmení klienta, obchodní název, číslo pojistné smlouvy, rodné číslo klienta, registrační značka vozidla, VIN (identifikační číslo vozidla), adresa apod. Podle F. Řezáče51 by mělo oznámení pojistné události dále obsahovat informace o osobě poškozeného, pokud je známa např. při odpovědnostním pojištění, dále jaká byla příčina vzniku pojistné události a datum, čas a místo vzniku škody a také informaci o rozsahu vzniklé škody. Při absenci nebo nepřesnosti některého z potřebných údajů pověřený pracovník likvidace zajišťuje jejich doplnění nebo zpřesnění.
51
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 136-137. 35
Písemnou dokumentaci pojistné události a písemnou komunikaci s klientem lze buďto uchovávat v jejich listinné podobě, ovšem pro lepší přístupnost dokumentů a kvůli potřebě jejich dlouhodobého uchovávání je elektronická podoba uchovávání dokumentů efektivnější. Jsou tři možnosti jejího elektronického zaznamenání a to v primárním systému přímo u informací o pojistné smlouvě, jíž se pojistná událost týká, nebo v systému pro likvidaci pojistných událostí spolu s informacemi o příslušné pojistné události nebo může existovat vedlejší informační systém určený právě k uchovávání listinné dokumentace převedené do elektronické podoby. 2) Registrace pojistné události Informace, které pojišťovna získá během oznámení pojistné události, jsou zaznamenány do systému. Každé takové registrované pojistné události systém přiřazuje jednoznačný identifikační klíč. Pojistná událost by měla být v systému registrována souvztažně k pojistné smlouvě a odpovídajícímu pojistnému riziku podle charakteru škody. Klient je následně informován o identifikačním údaji (klíči), pod kterým je pojistná událost registrována. V návaznosti na získané informace během oznámení pojistné události dochází ke sběru detailních informací podle typu produktu, škody, okolností pojistné události apod. Pokud chybí informace pro navázání škodní události na pojistnou smlouvu, je nezbytné kontaktovat pojistníka a doplnit potřebné údaje52. Datu registrace škodní události odpovídá den, kdy pověřený pracovník zadal první informace o škodní události do systému a kdy byla tato události registrována pod nově přiřazeným jednoznačným identifikačním klíčem. Průběžně dochází rovněž k informování klienta o shrnutí oznámení a registrace pojistné události, o potřebných dokumentech k likvidaci pojistné události a o dalších krocích v procesu likvidace. 3) Identifikace předmětu pojištění a ověření pojistného krytí Pověřený pracovník procesu likvidace prověřuje platnost a rozsah pojištění52, tj. probíhá ověření pojistného krytí, případně tento proces může po zadání potřebných informací systém vykonávat automaticky. Dochází ke kontrole, zda je pojistná smlouva aktivní a zda jsou pojištěna rizika, vůči kterým je pojistná událost hlášena. Dále likvidátor prověřuje, zda je na smlouvě sjednáno fakultativní zajištění a rovněž údaje o stavu placení pojistného. Podle F. Řezáče52 likvidátor informuje příslušné oddělení správy pojištění v průběhu likvidace škodní události o všech zjištěných nedostatcích na pojistné smlouvě, jako jsou nesrovnalosti v pojistných částkách a spoluúčastech, špatný technický stav pojištěného předmětu, nedostatky v zabezpečení a ochraně pojištěného předmětu nebo změny, které nastaly v průběhu trvání pojištění. Podle získaný informací by mělo v systému dojít k vytvoření technické rezervy RBNS (rezerva na pojistná plnění pro škody nahlášené, nezlikvidované, reported but not settled) pro tuto škodní událost. Prvotní výše rezervy je obvykle nastavována podle předchozích zkušeností s typově shodnými pojistnými událostmi. Výše rezervy je následně aktualizována oprávněnými pracovníky podle vývoje a nově zjištěných okolností v procesu likvidace dané pojistné události.
52
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str.137. 36
4) Stanovení rozsahu povinnosti pojistitele poskytnout pojistné plnění Pro majetkové a odpovědnostní škody je třeba zjistit rozsah škody53. Tu zajistí pověřený pracovník například prohlídkou na místě vzniku škodní události. Informace o výsledcích prohlídky včetně případné fotodokumentace zaznamená do informačního systému. Dále navrhne způsob odstranění následků škodní události. Na základě získaných informací vypočte výši vzniklé škody a stanoví výši pojistného plnění. Pro škody z pojištění osob je třeba zajistit provedení lékařské prohlídky pojištěného, je-li požadována, a posoudit výsledky v lékařské zprávě53. Podle zákona o pojistné smlouvě54 oprávněná osoba nemá právo na pojistné plnění, jestliže pojistnou událost způsobila úmyslně sama nebo z jejího podnětu jiná osoba, s výjimkou případů stanovených v tomto nebo zvláštním zákoně. Pro úrazové pojištění podle téhož zákona55 má pojistitel právo odmítnout poskytnutí pojistného plnění, došlo-li k úrazu pojištěného v souvislosti s jednáním, pro které byl uznán vinným z úmyslného trestného činu, nebo kterým si úmyslně poškodil zdraví. Dále má pojistitel právo snížit pojistné plnění až na jednu polovinu, došlo-li k úrazu následkem požití alkoholu nebo aplikací návykových látek nebo přípravků obsahujících návykové látky pojištěným, měl-li však takový úraz za následek smrt pojištěného, sníží pojistitel plnění jen tehdy, jestliže k tomuto úrazu došlo v souvislosti s jednáním pojištěného, jímž jinému způsobil těžkou újmu na zdraví nebo smrt. Dále zákon o pojistné smlouvě56 říká, že pojišťovna může plnění z pojistné smlouvy odmítnout, jestliže příčinou pojistné události byla skutečnost, o které se dozvěděla až po vzniku pojistné události a kterou nemohla zjistit při sjednávání pojištění nebo jeho změně v důsledku úmyslně nebo z nedbalosti nepravdivě nebo neúplně zodpovězených písemných dotazů, a jestliže by při znalosti této skutečnosti v době uzavření pojistné smlouvy tuto smlouvu neuzavřela, nebo ji uzavřela za jiných podmínek. Pojišťovna může plnění z pojistné smlouvy odmítnout také v případě, že oprávněná osoba uvedla při uplatňování práva na plnění z pojištění vědomě nepravdivé nebo hrubě zkreslené údaje týkající se rozsahu pojistné události nebo podstatné údaje týkající se této události zamlčela. Dnem doručení oznámení o odmítnutí pojistného plnění pojištění zaniká. 5) Revize Následujícím krokem v procesu likvidace je revize53. Jedná se o kontrolu správnosti výpočtů pojistných plnění a prověření správnosti a dostatečnosti všech potřebných dokumentů určených klientovi případně zajistiteli. Provedení kontroly potvrzuje pověřený revidující pracovník podpisem s datem kontroly ve spisu pojistné události, tj. provedením záznamu o uskutečněné revizi v příslušném informačním systému pro danou pojistnou událost. 6) Výplata pojistného plnění Po schválení všech náležitostí pojistného plnění revizí je provedena výplata pojistného plnění. Dokumentace týkající se řešení pojistné události včetně informace o výši pojistného plnění k výplatě je zaslána klientovi případně i zajistiteli a příslušná technická rezerva RBNS je v informačním systému rozpuštěna. V případě odmítnutí vyplacení pojistného plnění není výplata provedena, ale opět dojde k rozpuštění rezervy RBNS.
53
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 137-138. 54 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §14. 55 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §61. 56 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §24. 37
Výplata pojistného plnění pojistníkovi může mít podobu vyplacené částky v hotovosti, bankovního převodu poukázané částky, zaslání poskytnuté částky poštou nebo předání šeku v odpovídající výši. Možné je také přímé uhrazení nákladů na opravu škod organizaci, která opravu provedla57. V některých případech existuje i možnost uhrazení pojistného plnění třetí osobě, která je zástavním věřitelem pojistníka, jak již bylo zmíněno výše v kapitole 2.2.1 Změny neovlivňující výši závazku pojišťovny při výkladu o vinkulaci. Realizace výplaty pojistného plnění nastává při konečném vyřízení pojistné události tak57, že pověřený pracovník provede natypování likvidační zprávy do příslušného informačního systému. Dále natypuje i poukaz resp. příkaz k úhradě škody a v případě snížení plnění uvede jednotlivé důvody pro snížení s přiřazenými procenty snížení. Samostatným typem poukazu jsou vyplaceny náklady za znalecké posudky a srážková nebo zálohová daň. Každý poukaz s potřebnými detailními informacemi, jako je výše poukazu, datum výplaty, přiřazení k pojistné události, identifikace příslušné pojistné smlouvy a klienta, je zaznamenán v informačních systémech. 7) Archivace vyřazených spisů pojistných událostí Posledním krokem v procesu likvidace pojistné události je podle F. Řezáče57 archivace vyřazených spisů pojistných událostí. Zde je třeba zmínit dnešní trend převodu a archivace spisů do elektronické podoby kvůli lepší dostupnosti, kdy lze získat přístup ke spisu on-line v rámci interní komunikace v pojišťovně po získání potřebného povolení od oddělení pro bezpečnost informačních systémů, úspoře prostor, které by jinak archivy pro listinné spisy zabíraly, a rovněž zmíním i ekologickou stránku věci, kdy lze formuláře vyplňovat elektronicky a v této podobě je lze i uchovávat a nedochází tak k nadměrné a zbytečné spotřebě papíru. V praxi může nastat i situace znovuotevření pojistné události, pokud bylo obnoveno jednání o likvidaci pojistné události, jež byla kvalifikována jako vyřízená57. V takovém případě nedochází k opětovné registraci pojistné události, ale pokračuje se v likvidačních zápisech přiřazených k původnímu záznamu o škodní události v informačních systémech s týmž identifikačním klíčem. To znamená, že dojde k znovuotevření pojistné události včetně tvorby rezervy na pojistné plnění.
Další údaje, které zpracovávají informační systémy v souvislosti s procesem likvidace pojistné události, jsou účetní záznamy o pohybu rezerv na pojistné plnění nastavených na očekávaná pojistná plnění od počáteční tvorby rezervy přes její zvyšování resp. snižování v závislosti na nově zjištěných informací v procesu likvidace. Rovněž je třeba zaznamenávat informace o nákladech souvisejících s likvidací pojistné události. Nezbytnou informací, kterou by měly informační systémy také zaznamenávat, jsou pohledávky plynoucí z likvidace pojistné události, ať už se jedná o vratky z přeplacení při poskytnutí pojistného plnění nebo pojišťovnou vymáhané postihy, pokud pojišťovna uplatňuje právo na náhradu škody podle různých právních předpisů nebo podle pojistných podmínek, například neproškolení nebo chybějící ochranné pomůcky apod.
57
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str 138. 38
2.3.2 Ostatní zániky pojištění Jiným způsobem ukončení pojistného vztahu je podle zákona o pojistné smlouvě58 například uplynutí doby, kdy pojištění zaniká uplynutím pojistné doby. U soukromého pojištění sjednaného na dobu určitou lze v pojistné smlouvě dohodnout, že uplynutím doby, na kterou bylo soukromé pojištění sjednáno, soukromé pojištění nezaniká, pokud pojistitel nebo pojistník nejméně 6 týdnů před uplynutím pojistné doby nesdělí druhé straně, že na dalším trvání soukromého pojištění nemá zájem. Pokud soukromé pojištění nezanikne, prodlužuje se za stejných podmínek o stejnou dobu, na kterou bylo sjednáno, nebylo-li v pojistné smlouvě dohodnuto jinak. Bylo-li v datech informačního sytému zaznamenáno chybné datum uplynutí pojistné doby, mohlo by dojít z pohledu pojišťovny k nežádoucímu prodloužení pojištění se shodnými parametry jako původně sjednané pojištění ale při například rostoucích rizicích či cenách. Další způsobem zániku pojištění je zánik pro neplacení. Podle zákona o pojistné smlouvě59 pojištění zaniká dnem následujícím po marném uplynutí lhůty stanovené pojistitelem v upomínce k zaplacení pojistného nebo jeho části, doručené pojistníkovi. Lhůta nesmí být kratší než 1 měsíc a lze ji před jejím uplynutím dohodou prodloužit. Upomínka pojistitele musí obsahovat upozornění na zánik soukromého pojištění v případě nezaplacení dlužného pojistného. Operační riziko informačních systémů související s tímto způsobem ukončení pojištění může být například chybné spárování plateb pojistného, kdy pojišťovna zasílá neoprávněné upomínky o platbu ve skutečnosti zaplaceného pojistného, případně může i pojištění neodůvodněně zrušit. Pokud by pak nastala pojistná událost, má pojistník právo na pojistné plnění. Pojistný vztah může být ukončen dohodou podle zákona o pojistné smlouvě60. Pojišťovna a pojistník se mohou na zániku soukromého pojištění dohodnout. V této dohodě musí být určen okamžik zániku soukromého pojištění a dohodnut způsob vzájemného vyrovnání závazků. Při špatném promítnutí dohody o ukončení pojištění do dat by mohla pojišťovna mylně pokládat smlouvu za stále platnou a mohla by marně očekávat budoucí peněžní toky plynoucí z pojistné smlouvy. Další z možností ukončení pojištění je podle zákona o pojistné smlouvě61 výpověď. Běžně placené neživotní pojištění zaniká výpovědí pojišťovny nebo pojistníka ke konci pojistného období. Výpověď musí být doručena alespoň 6 týdnů před uplynutím pojistného období, jinak je neplatná. Vypovědět pojištění lze rovněž do dvou měsíců ode dne uzavření pojistné smlouvy. Dnem doručení výpovědi počíná běžet osmidenní výpovědní lhůta, jejímž uplynutím soukromé pojištění zaniká. Pojišťovna nebo pojistník mohou pojištění vypovědět neživotní pojištění do tří měsíců ode dne doručení oznámení vzniku pojistné události. Dnem doručení výpovědi počíná běžet výpovědní lhůta 1 měsíce, jejímž uplynutím pojištění zaniká. Poslední možností podání výpovědi je do jednoho měsíce ode dne doručení sdělení o převodu pojistného kmene nebo ode dne zveřejnění oznámení odnětí povolení k provozování pojišťovací činnosti pojišťovny. Dnem doručení výpovědi opět začíná běžet osmidenní výpovědní lhůta, jejímž uplynutím soukromé pojištění zaniká. 58
Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §19. Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §20. 60 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §21. 61 Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §22. 59
39
S procesem podání výpovědi je znovu spjato množství datových pohybů v informačních systémech, jejichž případné nekorektnosti mohou způsobit pojišťovně ztráty. Především jde o správné zaznamenání toho, že tato událost na smlouvě nastala a že pojišťovna nemůže počítat s budoucími zisky plynoucími z této smlouvy. Zánik pojištění nastává podle zákona o pojistné smlouvě62 také tehdy, zodpoví-li pojistník nebo pojištěný při sjednávání nebo změně pojistné smlouvy úmyslně nebo z nedbalosti nepravdivě nebo neúplně písemné dotazy pojistitele týkající se sjednávaného pojištění. Pojišťovna má pak právo do dvou měsíců od zjištění této skutečnosti od pojistné smlouvy odstoupit, jestliže by při pravdivém a úplném zodpovězení dotazů pojistnou smlouvu neuzavřela. Stejné právo má i pojistník, nezodpověděla-li pojišťovna jeho dotazy pravdivě a úplně. Odstoupením od pojistné smlouvy se smlouva od počátku ruší62. Pojišťovna je povinna nejpozději do 30 dnů ode dne odstoupení od pojistné smlouvy vrátit zaplacené pojistné očištěné od již poskytnutého pojistného plnění a v případě odstoupení pojišťovny i nákladů spojených se vznikem a správou pojištění. Pojistník nebo pojištěný, který není současně pojistníkem, popřípadě obmyšlený, je ve stejné lhůtě povinen vrátit pojišťovně částku vyplaceného pojistného plnění, která přesahuje výši zaplaceného pojistného. Z hlediska rizik souvisejících s informačními systémy jde o správné určení výše zaplaceného pojistného, případného vyplaceného pojistného plnění a korektní zaznamenání nákladů spojených se vznikem a správou pojištění. Rovněž je třeba pojistnou smlouvu vyřadit z kmene aktivních pojistných smluv, aby neovlivňovala výstupy z analýz a modelů a jejich prostřednictvím plánování a rozhodovací procesy v pojišťovně. Do dat zaznamenávaných v informačních systémech je nezbytné správně promítnout i případné jiné možné zániky pojistných smluv jako jsou zánik dnem, kdy zaniklo pojistné riziko nebo pojištěná věc nebo jiná majetková hodnota, nebo dnem, kdy došlo ke smrti pojištěné fyzické osoby nebo zániku pojištěné právnické osoby bez právního nástupce, viz zákon o pojistné smlouvě63. Chybné zaznamenání zániků může opět vést k ovlivnění výstupů z matematických modelů a analýz a jejich prostřednictvím ke ztrátám z učiněných rozhodnutí zakládajících se na nekorektních datech.
Obecně pro všechny uvedené potenciální chyby v datech platí, že pokud nastane chyba na statisticky nevýznamném vzorku smluv, dopady by neměly pojišťovnu zásadně ohrožovat. Vzhledem k tomu, že chyby způsobené informačními systémy ale nemají charakter náhodných výskytů, jedná se spíše o systematické chyby, neměly by být jako takové podceňovány.
62 63
Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §23. Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů., §25. 40
3 ZPRACOVÁNÍ DAT V KOMERČNÍ POJIŠŤOVNĚ Zpracování dat tak, aby s nimi bylo možno dále pracovat, analyzovat je a využívat korektní výstupy z analýz v rozhodovacích procesech při řízení pojišťovny, je z hlediska operačního rizika pro pojišťovnu nelehkým úkolem, obzvláště v případě pojišťoven s objemným pojistným kmenem. Pojišťovny potřebují uchovávat obrovské množství informací a to v takové kvalitě a takovým způsobem, aby nad nimi mohly být prováděny složité výpočty a analýzy nutné pro výkaznictví, řízení a splnění všech legislativních požadavků vyplývajících především ze zákona o pojišťovnictví64. Jedním z možných přístupů ke zpracování dat o smlouvách je využití softwaru SAS. Pomocí tohoto softwaru lze poměrně snadno provádět různé kontroly nad daty a zabránit tak ztrátám z chyb v podkladových datech a tudíž ztrátám vznikajících ze zpracování chybných dat. Jako doporučení pro výběr a použití právě tohoto softwaru může sloužit seznam společností a institucí nejen z oblasti pojišťovnictví, které software aktivně využívají a které podle povahy své činnosti zajisté potřebují s minimální chybovostí zpracovávat velké množství dat. V České republice mezi tyto společnosti a instituce podle internetových stránek SAS Institute, ČR s.r.o. 65 patří například:
Česká pojišťovna a.s., Kooperativa pojišťovna, a.s., Vienna Insurance Group, Česká podnikatelská pojišťovna, a.s., Vienna Insurance Group, DIRECT Pojišťovna, a.s.
a dále Biopharm, Výzkumný ústav biofarmacie a veterinárních léčiv, a.s., CETELEM ČR, a.s., Česká spořitelna, a.s., Český statistický úřad, ČEZ, a. s., ČSOB Leasing, a.s., Dun & Bradstreet, spol. s r.o., Energetický regulační úřad, Entomologický ústav Biologického centra AV ČR, GE Money Bank, a.s., Komerční banka, a.s., Opavia - LU, s.r.o., Raiffeisenbank a.s., Siemens IT Solutions and Services, s.r.o., T-Mobile Czech Republic a.s., UniCredit Bank Czech Republic, a.s., Ústav informatiky AV ČR, v. v. i., Ústav zemědělské ekonomiky a informací, Výzkumný ústav bezpečnosti práce, v.v.i., Výzkumný ústav vodohospodářský T. G. Masaryka, Výzkumný ústav živočišné výroby, v.v.i. Ve světě mezi významné uživatele softwaru SAS z oblasti pojišťovnictví patří mimo jiné66: AEGON, Allianz Portugal, AMB Generali, AXA Insurance, Chartis, Chubb Group of Insurance Companies, Codan Group, Coface, Eurovida, Farmers Insurance Group, FCCI Insurance Group, Generali Group, Health Care Service Corporation, Insurance Services Malaysia, Malaysia Deposit Insurance Corporation, Max New York Life, Mutual & Federal, New Zealand Automobile Association, Phoenix Group, Standard Life, Suncorp-Metway, Swinton, Tapiola Group, Topdanmark, Winterthur. K uchování a zpřístupnění dat pro zpracování se obvykle využívá platformy datového skladu. Do datového skladu se informace obvykle dostávají z primárního systému nebo i z více primárních systémů, které slouží ke konkrétním operacím spjatým se zaváděním nových smluv, správy zavedených smluv a likvidací pojistných událostí na konkrétních smlouvách, 64
Zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů. Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-03-15]. Dostupné na WWW: . 66 Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-03-15]. Dostupné na WWW: . 65
41
ale neumožňují data souhrnně reportovat či analyzovat. K tomu právě slouží zmíněný datový sklad, kde jsou data uchovávána v takové formě, která umožňuje provádět efektivní a korektní zpracování, výpočty a analýzy na základě vlastních kritérií nad agregovanými i detailními údaji o celém kmeni nebo o vybrané části portfolia pojistných smluv, klientů nebo pojistných událostí. Příkladem toho, jak mohou být jednotlivé systémy provázány a spojeny s datovým skladem, je diagram na Obrázku 6. Zde je pro ilustraci předpokládána poměrně jednoduchá struktura systémů, kde zavádění smluv neprobíhá přes žádné další podpůrné aplikace, ale nové smlouvy jsou obchodníkem zastupujícím pojišťovnu zaváděny přímo do primárního systému životního resp. neživotního pojištění. V těchto systémech je dále evidován veškerý pohyb související s existencí smlouvy, jako jsou například změny pojistně-technických a ostatních parametrů pojistných smluv. Je-li pojišťovně nahlášen vznik pojistné události, je příslušným pracovníkem pojišťovny zavedena informace o této pojistné události opět do odvětví odpovídajícího primárního systému k příslušné pojistné smlouvě. Tento primární systém dále pošle potřebné údaje pro likvidaci do systému určeného pro likvidaci pojistných událostí, se kterým poté pracuje likvidátor přiřazený dané pojistné události. Stejně tak systém pro likvidaci pojistných událostí posílá zpětnou informaci do primárních systémů o proběhnuté likvidaci pojistné události. Příklad provázání primárních zdrojových systémů a datového skladu
Obrázek 6 Možné provázání primárních zdrojových systémů a datového skladu. (Zdroj: vytvořenou autorkou)
Jednotlivé primární systémy a systém pro likvidaci pojistných událostí jsou napojeny na datový sklad, do kterého v pravidelných intervalech posílají předem vydefinovaná data v zadaných formátech. Tato data mohou být pro další účely pojišťovnou zpracovávány právě zmíněným softwarem SAS.
42
3.1 Technický náhled na software SAS SAS System se skládá z několika součástí67. Základem je takzvaný Base SAS neboli základní SAS, na něj navazují další komponenty jako je například Data Access and Management (zpřístupnění a řízení dat), User Interfaces (uživatelské rozhraní), Application Development (vývojová aplikace), Web Enablement (webové rozhraní), Business Solutions (obchodní řešení), Visualization and Discovery (vizualizace a zpřístupnění), Analytical (analytická komponenta) a Reporting and Graphics (reportování a grafika). Funkcionalita SAS je vystavěna okolo čtyř hlavních úloh řízení dat společných pro jakoukoliv aplikaci68: přístup k datům – vyvolání požadovaných dat, řízení dat – přetvoření dat do požadované formy, datová analýza – sumarizace, výběr nebo jiná transformace vstupních dat do smysluplné a užitečné informace, prezentace dat – komunikace výstupních informací takovým způsobem, který jasně vyjadřuje jejich význam. Vytváření informací z dat je proces zajištění a dodání smysluplné informace. Pokud bychom tento proces rozdělili do dvou částí, pak zhruba z 80% se jedná o proces spjatý s daty jako je zpřístupnění, transformace, řízení, ukládání a opětovné vyvolávání dat a zbylých 20% připadá na analýzu zpracovaných dat68. Pokud bychom proces znázornili graficky, má podobu několika relací, viz Obrázek 7. Jednotlivé kroky procesu vytváření informace z dat
Obrázek 7 Schéma procesu vytváření informace z dat. (Zdroj: BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9.) 67
BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9., str. 3. 68 BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9., str. 4. 43
Výhodou používání SAS System je to69, že díky své vnitřní architektuře umožňuje uživateli spouštět ty samé aplikace ve všech jeho operačních prostředích a dovoluje kooperativní běh programů. Design SAS Systemu se dá nazvat MultiEngine Architekturou. Vstupní data mohou mít rozličnou podobu (Teradata, SYBASE, Microsoft Excel, ORACLE, dBase, SAP, DB2). SAS program je posloupnost kroků, které uživatel postupně nechává software provádět (viz Obrázek 8). Struktura SAS programu zobrazena pomocí posloupnosti jednotlivých kroků
Zdrojová data DATA Step
SAS Data Set
PROC Step
Report
SAS Data Set Obrázek 8 Struktura SAS programu v jednotlivých krocích. (Zdroj: BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9.)
DATA stepy jsou typicky používány k vytvoření SAS data setů, což je speciální forma dat v softwaru SAS69. Standardní využití PROC stepů neboli procedur, je zpracování vytvořených SAS data setů, to znamená, vygenerování reportů a grafů, editování dat nebo třídění dat. Spouštění SAS programu může probíhat následujícími způsoby69: pomocí dialogových oken (SAS windowing environment), viz Příloha C, řízením pomocí menu (SAS Enterprise Guide, SAS/ASSIST, SAS/AF nebo SAS/EIS software), SAS Enterprise Guide viz Příloha D, dávkovým režimem, neinteraktivním způsobem (použitím editoru k uložení kódu programu v souboru a následným identifikováním souboru při spuštění SASu). Předností je rozdělení výstupu z běhu SAS programu do dvou hlavních částí69: 1) SAS log, který obsahuje informace o běhu SAS programu, včetně jakýchkoliv varování a chybových zpráv, 69
BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9. 44
2) SAS output, který obsahuje reporty generované procedurami a DATA stepy.
3.2 Možnosti využití softwaru SAS Funkčnost a přehlednost SAS Systemu umožňuje jeho širokou aplikaci na data zaznamenávaná pojišťovnou. V posledních letech se pojišťovny nacházejí v obtížnějších situacích než dříve, neboť i jejich podnikání je ovlivňováno aktuální ekonomickou situací a tudíž čelí zmenšování svých investičních portfolií v důsledku vrtkavosti trhu, rostoucím nákladům na pojistná plnění zapříčiněná nepředvídatelnými jak přírodními, tak lidskou rukou zaviněnými katastrofami a výsledné snižující se ziskovosti, která sebou přináší potřebu vyšší kapitálové návratnosti70. Aby se s těmito událostmi pojišťovny úspěšně vypořádaly, potřebují shromažďovat velké množství dat, která jsou uložena ve funkčních, geografických, odvětvových kanálech a úložištích systémů v rámci celé pojišťovny a následně z těchto dat vytvořit informace, díky kterým bude možné provádět efektivní, strategická obchodní rozhodnutí, což software SAS umožňuje70. Konkrétně pro pojišťovnictví poskytuje software SAS sadu integrovaných řešení70, což je soubor flexibilních, rozšiřitelných řešení obsahující přednastavené datové a analytické modely stejně tak jako efektivní procesy a techniky, které zrychlí jak implementaci, tak výsledky. Sada SAS řešení pro pojišťovny70 obsahuje řešení pro:
Claims Prediction (Odhad požadavků na pojistná plnění),
Cross-Sell/Up-Sell (Křížový a navyšovací prodej),
Customer Retention(Udržení zákazníka),
Customer Segmentation (Segmentace zákazníků),
Healthcare Solution (Zdravotní péče),
Marketing Automation (Automatizace marketingu),
Performance Management (Řízení výkonnosti),
Risk Management (Řízení rizik),
Web Analytics Service (Analytické služby pro web).
Cílem aplikace těchto řešení je řídit rizika, zvyšovat profitabilitu zákazníků, zvýšit produktivitu pojišťovny a uspořádat, sledovat a měřit výkonnost a plnění70. Podrobněji se podívejme na možnost řízení rizik pomocí SAS Systému. Ten nabízí kolekci řešení pro podporu úspěšného řízení všech relevantních typů rizik70. Pojišťovnám poskytuje 70
Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-11]. Dostupné na WWW: . 45
konsistentní, koherentní přístup k řízení rizik v rámci celé organizace. Z oblasti péče o zákazníka nabízí řešení pro odhad požadavků pro pojišťovnictví a pomáhá tak určit riziko požadavků pojících se ke stávajícím a budoucím možným klientům. Řešení pro řízení financí zase zvyšuje transparentnost a jasnost finančních informací pojišťovny a pomáhá pojišťovně vyrovnat se s neustálými změnami finančních opatření a požadovaných hlášení a redukovat případné nedostatky zjištěné při auditu70. Co se týče řízení operačních rizik, tak poměrně častým problémem v pojišťovnách je, že jednotlivé složky si udržují a zpracovávají svá vlastní data, analýzy a předpoklady pro řízení rizik a často vzájemně nekonzistentně71. SAS reflektuje vzrůstající potřebu finančních institucí, potažmo pojišťoven, mít možnost odborně a vědecky měřit a řídit operační rizika a to nejen pro účely regulatorních opatření, ale také kvůli přijímání rozumných obchodních rozhodnutí. Za předpokladu, že lze riziko statisticky modelovat (jak tomu v praxi u tržních a kreditních rizik je) bylo na SAS Intelligence Platformě vytvořeno řešení pro řízení operačních rizik SAS OpRisk Management. Jedná se o end-to-end řešení, které zahrnuje následující klíčové komponenty71: 1) SAS® OpRisk Monitor Web-based je aplikace, která sbírá, řídí, sleduje a reportuje informace o případech operačních ztrát, ukazatelích klíčových rizik, mapy oceňování rizik control-assessment scores. 2) SAS® OpRisk VaR je propracovaná, uživatelsky příjemná analytika VaR (hodnota v rizicích) umožňující spojovat, mapovat, testovat, upravovat, směrovat a plánovat data operačních ztrát dle individuálních potřeb. To je dovršeno plně transparentními, intuitivními následnými procesy. 3) SAS® OpRisk Global Data je komplexní databáze dat externích ztrát, která obohatí statistické příklady pro modelování, dokumentaci o více jak 10 000 veřejně reportovaných případů operačních ztrát ve výši 1 milionů dolarů nebo více. Tyto komponenty poskytují finančním institucím nástroje potřebné k pohodlnému měření a řízení provozních rizik pomocí nejosvědčenějších praktik a v souladu s regulatorními předpisy71. SAS OpRisk Management spolu s přístupy používanými v největších poradenských firmách uživatelům umožňuje:
Vybudovat funkční systém k podchycení rizikových faktorů a vztahů.
Hodnotit vystavení se rizikům a jejich dopad v rámci celé organizace.
Optimalizovat kapitálové rezervy zlepšením prostředí vnitřní kontroly.
Integrovat databáze externích ztrát do interní databáze.
Sdílet inteligenci přes scorecarding, avíza a dle požadavků tvořených reportů.
Plné zobrazení zdrojů a logiky stojící za reportovanými výsledky.
71
Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-11]. Dostupné na WWW: . 46
Soulad s národními a mezinárodními regulatorními opatřeními.
Pomocí data managementu, analytiky, regulatorního reportingu a možností odhalování rizik SAS® OpRisk Management pomáhá optimalizovat alokaci kapitálu a mírnit rizika ve všech částech pojišťovny72.
72
Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-11]. Dostupné na WWW: . 47
4 PŘÍSTUP K OPERAČNÍMU RIZIKU V JEDNOTLIVÝCH POJIŠŤOVNÁCH V této kapitole budeme vycházet z výročních zpráv největších komerčních pojišťoven působících na českém pojistném trhu a porovnáme jejich přístup k operačnímu riziku. Velikost nebo významnost pojišťovny je obvykle měřena objemem předepsaného pojistného a ten byl podle České asociace pojišťoven v roce 201073 největší pro Českou pojišťovnu, dále pojišťovnu Kooperativa, pojišťovnu Allianz a tak dále, viz Tabulka 2. 10 největších pojišťoven působících na českém trhu dle objemu předepsaného pojistného za rok 2010 Pořadí 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Pojišťovna Česká pojišťovna Kooperativa pojišťovna Allianz pojišťovna ČSOB Pojišťovna Pojišťovna České spořitelny Komerční pojišťovna Generali Pojišťovna Česká podnikatelská pojišťovna ING Životní pojišťovna N.V. UNIQA pojišťovna
Předepsané pojisné Podíl z celkového (tis. Kč) předepsaného pojistného (%) 38 399 459 30 894 705 10 651 217 10 235 126 9 202 722 8 981 639 8 946 565 6 371 840 5 972 499 4 971 504
25,4% 20,4% 7,0% 6,8% 6,1% 5,9% 5,9% 4,2% 4,0% 3,3%
Tabulka 2 Přehled deseti největších pojišťoven působících na českém trhu dle objemu předepsaného pojistného za rok 2010. (Zdroj: zpracováno autorkou na základě dat z České asociace pojišťoven za rok 201073.)
4.1 Operační riziko v České pojišťovně Operační riziko je podle Výroční zprávy pojišťovny za rok 200974 definováno konzistentně s konceptem Solvency II jako riziko potenciální ztráty včetně ztrát z ušlých příležitostí, vznikajících na základě chybějících nebo nedostatečných interních procesů, lidských zdrojů a systémů nebo z jiných příčin, které mohou vznikat jak v důsledku vnitřních, tak vnějších událostí. Česká pojišťovna je součástí Skupiny Generali (Assicurazioni Generali) a stejně tak je součástí jejího strukturovaného systému řízení rizik74. Systém řízení rizik má za cíl identifikovat, vyhodnotit a monitorovat nejvýznamnější rizika, kterým Skupina Generali a také Česká pojišťovna čelí. Nástroje řízení rizik jsou aplikovány ve všech společnostech Skupiny Generali pro zajištění efektivnosti systému řízení rizik a alokace kapitálu v rámci skupiny. Jejich hlavním cílem je udržet identifikovaná rizika pod stanovenou úrovní,
73
Česká asociace pojišťoven. Statistické údaje 2010. Praha 2011. [cit. 2011-04-02]. Dostupné na WWW: . 74 Česká pojišťovna. Výroční zpráva 2009. Praha 2010, 252 s. [cit. 2011-04-06] Dostupné na WWW: . 48
optimalizovat alokaci disponibilního kapitálu a zvyšovat výkonnost při současném zohlednění rizik. Systém řízení rizik je založen na třech základních pilířích75: 1) proces měření rizik, zaměřený na vyhodnocování solventnosti České pojišťovny, 2) proces správy rizik, zaměřený na stanovení a kontrolu manažerských rozhodnutí ve vztahu k relevantním rizikům, 3) kultura řízení rizik, zaměřená na růst tvorby hodnoty. Rovněž struktura zodpovědností v systému řízení rizik je pro Českou pojišťovnu tří úrovňová75: 1) Assicurazioni Generali (Skupina Generali) – stanovuje pro každou zemi cíle v oblasti solventnosti, výsledků a míry akceptovaného rizika, navíc definuje politiku řízení rizik pomocí souboru směrnic týkajících se hlavních rizik. Generali Group vyvinula koncept integrovaného řízení rizik ke sjednocení metodologie, řízení a kontroly a reportingu všech společností ve Skupině Generali. 2) Generali PPF Holding (Skupina GPH) – definuje strategie a cíle pro každou společnost se zohledněním místních specifik a předpisů. Dále poskytuje podporu při implementaci a kontroluje výsledky. Zodpovědnost za řízení rizik a rozhodování v této oblasti je delegována na GPH Chief Risk Officer (CRO) tak, aby bylo dosaženo řešení zohledňujícího specifické charakteristiky lokálních rizik a změn v lokálních předpisech pro každou společnost a při zachování rámce definovaného směrnicemi Skupiny Generali. GPH CRO nese též zodpovědnost za výkonnostní cíle v příslušné oblasti. 3) Společnost (Česká pojišťovna) – definuje své strategie a cíle v rámci politik a směrnic GPH. Řízení rizik zahrnuje správu a řízení České pojišťovny a operační a kontrolní uspořádání s definovanými úrovněmi zodpovědnosti s cílem zabezpečit v každém okamžiku adekvátní, komplexní systém řízení rizik. Mezi hlavní nástroje pro měření rizik v České pojišťovně patří výpočet ekonomického kapitálu75. Ekonomický kapitál představuje míru rizika, která odpovídá takovému množství kapitálu, jež zabezpečí, že v horizontu jednoho roku bude tržní hodnota aktiv vyšší než tržní hodnota závazků – při hladině spolehlivosti na úrovni cílového ratingu. Česká pojišťovna stanovila několik principů pro operační rizika, která jsou nedílnou součástí soustavného procesu probíhajícího na úrovni Skupiny Generali75: a) principy a základní požadavky na zacházení se specifickými rizikovými zdroji, definovanými na úrovni Skupiny Generali; b) kritéria pro měření operačního rizika. Navíc je ustavena celosvětová pracovní skupina, která má za úkol definovat společnou metodologii Skupiny Generali na identifikování, měření a monitorování operačních rizik; c) společné metodologie a principy pro řízení činnosti vnitřního auditu tak, aby byly identifikovány nejdůležitější procesy k auditování. Proces řízení operačních rizik je podle Výroční zprávy 200975 založen především na analýze těchto rizik a navržení úprav pracovních postupů a procesů s cílem maximální eliminace událostí nesoucích ztrátu z titulu operačních rizik, tj. ztrátu způsobenou jinými riziky, než je 75
Česká pojišťovna. Výroční zpráva 2009. Praha 2010, 252 s. [cit. 2011-04-06] Dostupné na WWW: . 49
riziko tržní a úvěrové. Pracovní postupy upravující investiční činnost a řízení rizika tvoří součást závazných vnitřních předpisů a pravidel České pojišťovny. Rizika v České pojišťovně jsou monitorována i třetími stranami například dohledem nad pojišťovnami nebo externími ratingovými agenturami76. Co se týká operačních systémů a řízení bezpečnosti informačních technologií vychází organizace systému informačních technologií v České pojišťovně76 z rozdělení pravomocí na útvar bezpečnosti informačních technologií a vlastní provoz informačních technologií a vývoj informačních technologií. Pravidla stanovená Českou pojišťovnou v oblasti řízení rizik informačních technologií a informační bezpečnosti vycházejí z pravidel a doporučení obsažených ve standardu ISO/IEC 17799:2000 Informační technologie – Soubor pravidel pro řízení informační bezpečnosti.
4.1.1 Mezinárodní norma ISO pro řízení informační bezpečnosti Podíváme se nyní na tento mezinárodně uznávaný standard nejlepších a osvědčených postupů v informační bezpečnosti ISO/IEC 17799:2000 podrobněji, neboť poskytuje jakýsi návod v podobě souboru pravidel a norem, pomocí kterého se snaží omezovat operační riziko vyplývající z používání informačních technologií a to z hlediska řízení informační bezpečnosti77. Tato norma je jednou z klíčových norem pro zavádění a certifikaci systémů řízení organizace (tj. kvalita, prostředí, informace)78. Předmětem certifikace je zavedený a dokumentovaný systém řízení bezpečnosti informací v organizaci. Prakticky to znamená, že pokrývá všechny aspekty získávání, zpracovávání a ukládání informací prostřednictvím informačních systémů a technologií organizace. Norma ISO/IEC 17799:2000 byla přijata v prosinci roku 200077. V červnu 2005 byla aktualizována mezinárodní normou ISO/IEC 17799:2005. V červenci 2007 pak došlo k přejmenování ISO/IEC 17799:2005 na ISO/IEC 27002:2005, ale obsahově jsou obě normy totožné. V roce 2011 je plánována revize standardu. Norma je relevantní pro všechny typy organizací, které zacházejí s daty, tedy i pro pojišťovny. Obsahem normy je strukturovaná množina navrhovaných kontrol zaměřených na rizika informační bezpečnosti zahrnující především aspekty důvěrnosti, úplnosti a dostupnosti dat77. Organizace akceptující normu musí vyhodnotit svá vlastní rizika informační bezpečnosti a použít pro ně vhodné a přiměřené kontroly podle standardu. Norma obsahuje 39 cílů řízení, které zahrnují specifikaci funkčních požadavků na architekturu řízení kontrol informační bezpečnosti v organizaci77. Ve standardu jsou navrženy stovky opatření pro řízení informační bezpečnosti, které by společnosti mohly vzít v úvahu při splňování vytyčených cílů řízení informační bezpečnosti77. Každý uživatel standardu by měl sám vybrat a implementovat ty kontroly, které jsou pro něj nejvíce vhodné vzhledem k výsledku vyhodnocení svých specifických rizik. Standardem není 76
Česká pojišťovna. Výroční zpráva 2009. Praha 2010, 252 s. [cit. 2011-04-06] Dostupné na WWW: . 77 Webové stránky společnosti IsecT Ltd. [cit. 2011-04-08]. Dostupné na WWW: 78 Webové stránky Certifikace systémů řízení. [cit. 2011-04-08]. Dostupné na WWW: . 50
striktně požadováno provádění všech uvedených kontrol, nicméně tento fakt následně stěžuje rozhodování, zda daná společnost normu splňuje či nikoliv79. Náčrt jednotlivých sekcí standardu a jejich dělení na podrobnější okruhy shrnuje následující diagram (Obrázek 9). Členění normy ISO/IEC 27002:2005 do jednotlivých oblastí zásad informační bezpečnosti
Obrázek 9 Jednotlivé sekce standardu ISO/IEC 27002:2005 a jejich dělení na podrobnější okruhy. (Zdroj: Webové stránky společnosti IsecT Ltd. [cit. 2011-04-08]. Dostupné na WWW: .)
Zastavme se u šestého bodu, Organizace, ve kterém norma vyžaduje návrh a implementaci vhodné struktury vedení informační bezpečnosti. Vyšší vedení společnosti by mělo vydat příslušná nařízení a vyjádřit jim podporu například prostřednictvím vyhlášení interní politiky informační bezpečnosti79. V té by měly být přesně stanoveny role a odpovědnosti jednotlivých subjektů v rámci informační bezpečnosti. Důraz by měl být kladen také na kooperaci a koordinaci aktivit zúčastněných subjektů. Informační bezpečnost by měla být revidována nezávislými subjekty a měla by být resistentní vůči novým produktům a službám
79
Webové stránky společnosti IsecT Ltd. [cit. 2011-04-08]. Dostupné na WWW: . 51
třetí strany. Riziko informační bezpečnosti vyplívající z jednání se zákazníky nebo z kontraktů se třetí stranou by mělo být rovněž vyhodnoceno a zmírněno79. Norma se dotýká i všech souvisejících informačních prostředků a součástí, ať už jde o hardware, software, data, systémovou dokumentaci nebo paměťová media80. Zavádí také klasifikaci zaměstnanců podle jejich pracovní potřeby užívání informačních technologií a souvisejících oprávnění. K omezení rizik je důležité vést dokumentaci ke všem informačním procedurám a plánovací a schvalovací proces využití kapacit informačních technologií. Nezbytná je samozřejmě i antivirová a jiná ochrana informačních technologií a ochrana informačních sítí80. Nakládání s dokumenty, s počítačovými médii obsahujícími data nebo systémovými informacemi by mělo být zaznamenáváno a kontrolováno, zda splňuje daná pravidla80. Rovněž pro výměnu informací musí být stanovena pravidla, včetně kontroly jejich dodržování. Informační systémy se neustále rozvíjí, přetvářejí a modernizují, aby splňovaly současné požadavky na ně kladené, proto je třeba i pro tyto procesy mít stanoveny postupy, které jsou kontrolovatelné. Nutností je i nastavit pravidla postupu pro případ, že by nastaly problémy a chyby v zavedených procesech a datech80. Poslední sekce standardu80 se zabývá shodou normy se zákonnými požadavky, jako jsou autorská práva, ochrana dat, ochrana finančních údajů a dalších nezbytných záznamů, pravidla pro uchovávání dat apod. Dále se zabývá shodou normy s požadavky auditu, aby kvůli splňování auditních požadavků nemuselo docházet k porušování zavedených pravidel informační bezpečnosti.
4.2 Operační riziko v pojišťovně Kooperativa Podle Výroční zprávy pojišťovny Kooperativa81 jsou finanční pozice a provozní výsledek pojišťovny ovlivněny řadou klíčových rizik, obzvláště pak pojistným rizikem, finančním rizikem, rizikem nesplnění regulačních opatření a operačním rizikem, kterým pojišťovna čelí pomocí nastavených vnitřních procedur a postupů. Operační rizika81 jsou dána charakterem podnikání, včetně rizika přímých a nepřímých ztrát plynoucích z neadekvátních vnitřních a vnějších procesů, zaměstnanců a systémů nebo z vnějších událostí. Každé z těchto rizik může nepříznivě ovlivnit hospodářský výsledek pojišťovny. Z charakteru podnikání vyplývá velký počet komplexních transakcí, které je třeba provést nebo zpracovat pro četné a diverzifikované produkty81. Nad těmito procesy a příslušnými systémy existují adekvátní kontroly pro řízení existujících operačních rizik. Kontrolní procedury a systémy ustavené pojišťovnou však mohou poskytnout pouze rozumně vysokou a nikoliv absolutní jistotu, že nedošlo nebo nedojde k významné chybě nebo ztrátám82.
80
Webové stránky společnosti IsecT Ltd. [cit. 2011-04-08]. Dostupné na WWW: . 81 Pojišťovna Kooperativa. Výroční zpráva 2009. Praha 2010, 108 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.koop.cz/data/files/file_255_GENERAL.pdf>. 82 Pojišťovna Kooperativa. Výroční zpráva 2008. Praha 2009, 124 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.koop.cz/data/files/file_93_GENERAL.pdf>. 52
4.3 Operační riziko v pojišťovně Allianz Ve Výroční zprávě pojišťovny Allianz83přímá zmínka o operačních rizicích a jejich řízení nefiguruje. Podle zprávy proběhla v pojišťovně v roce 2009 změna procesů hlášení pojistné události a dále byla plánována další modernizace softwarových nástrojů. Po celkovém dokončení renovace má mít Allianz pojišťovna k dispozici moderní nástroje pro řízení procesů. Do oblasti operačních rizik můžeme zařadit i informaci o pokračující spolupráci s interním auditem na vylepšování řízení prevence a odhalování pojistných podvodů83. Úsek likvidace pojistných událostí osob svou činností v této oblasti dokázal za rok 2009 uchránit prostředky ve výši cca 11 miliónů Kč.
4.4 Operační riziko v ČSOB pojišťovně Pro ČSOB pojišťovnu je výskyt informací o operačním riziku ve Výroční zprávě minimální. Za jedinou zmínku se dá považovat pouze informace, že na pojišťovnu nejsou ke dni sestavení účetní závěrky za rok 2009 podány žádné žaloby, které by představovaly vážnější riziko84. Žaloby by případně mohly souviset se selháním procesů, systémů nebo zaměstnanců pojišťovny.
4.5 Operační riziko v Pojišťovně České spořitelny Ve Výroční zprávě Pojišťovny České spořitelny85 je v nefinanční části uvedeno, že růst jejího pojistného kmene v posledních letech je pro ni zavazující ve smyslu dlouhodobého poskytování kvalitní péče klientům, rozvoje komunikace s klienty a vytvoření podmínek a systému dlouhodobého inovativního procesu současného portfolia pojistných smluv. Pro zajištění dlouhodobé stability pojišťovny je vytyčen další střednědobý úkol, a to dokončení procesu spojeného s posilováním řízení uvnitř pojišťovny v souladu s pravidly přístupu k rizikům, kterým může být pojišťovna vystavena působením jak vnitřního, tak i vnějšího prostředí. Nedílnou součástí tohoto procesu je zajištění požadavků a procesů spojených s implementací požadavků vyplývajících z připravovaného přechodu na koncept Solvency II85.
4.6 Operační riziko v Komerční pojišťovně Podle Výroční zprávy Komerční pojišťovny86 byla v roce 2009 migrována nejprve dominantní skupina pojistných smluv a následně zbylé pojistky do IT aplikace AIA, nástroje pro správu pojistných smluv. Tím došlo k završení několikaletého projektu implementace této klíčové aplikace pro správu pojistných smluv.
83
Pojišťtovna Allianz. Výroční zpráva 2009. Praha 2010, 123 s. [cit. 2011-04-11]. Dostupné na WWW: . 84 ČSOB pojišťovna. Výroční zpráva 2009. Pardubice 2010, 64 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.csobpoj.cz/cs/o-spolecnosti/Documents/VZ_2009_cz_version.pdf> 85 Pojišťovna České spořitelny. Výroční zpráva 2009. Pardubice 2010, 50 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.pojistovnacs.cz/o-nas/vyrocni-zpravy/PDF/VZ-2009-cz.pdf>. 86 Komerční pojišťovna. Výroční zpráva 2009. Praha 2010, 31 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.kb-pojistovna.cz/file/cs/vyrocni-zprava/KP-vyrocni-zprava-2009.pdf?v01>. 53
V průběhu roku bylo spuštěno několik projektů s cílem zlepšit kvalitu služeb pro klienty či zvýšit komfort a efektivitu interních procesů87. Projekt centralizace likvidací pojistných událostí v jednotném systému má za cíl zajistit automatizaci procesů všech produktových skupin. Ve spolupráci s Komerční bankou byla současně zprovozněna nová platforma výměny dat pro aktualizaci údajů v systémech obou subjektů. Taktéž byl ukončen první projekt s využitím metodiky Six Sigma zaměřený na zefektivnění procesu párování plateb pojistného. Ve výroční zprávě87 se tedy přímo operační riziko nezmiňuje, nicméně uváděny jsou informace o probíhajících nebo již uskutečněných projektech, které by měly zlepšovat interní datové procesy a kvalitu dat.
4.7 Porovnání přístupu k operačnímu riziku v pojišťovnách Z jednotlivých Výročních zpráv pojišťoven vyplývá, že pokud je zmíněno konkrétně operační riziko, pak se jedná především o souvislosti s řízením kvality dat a procesů. Obdobné je ve všech rozebíraných Výročních zprávách vyjádření externího auditora, ačkoliv se jedná o různé auditorské organizace. Ten provádí audit v souladu se zákonem o auditorech a v souladu s Mezinárodními účetními standardy a souvisejícími aplikačními doložkami Komory auditorů České republiky88. Audit musí být v souladu s těmito normami proveden tak, aby externí auditor získal přiměřenou jistotu, že účetní závěrka neobsahuje významné nesprávnosti, které by mohly vyplývat například ze selhání informačních systémů nebo procesů. Audit zahrnuje provedení auditorských postupů, jejichž cílem je získat důkazní informace o částkách a skutečnostech uvedených v účetní závěrce88. Výběr samotných auditorských postupů již závisí na úsudku auditora, včetně posouzení rizik, že účetní závěrka obsahuje významné nesprávnosti způsobené podvodem nebo chybou. Při posuzování těchto rizik auditor přihlíží k vnitřním kontrolám, které jsou relevantní pro sestavení a věrné zobrazení účetní závěrky88. Cílem posouzení vnitřních kontrol je navrhnout vhodné auditorské postupy, nikoli vyjádřit se k účinnosti vnitřních kontrol. Shodné ve Výročních zprávách jednotlivých pojišťoven je bohužel i to, že operačnímu riziku příliš pozornosti nevěnují na rozdíl od tržního nebo úvěrového rizika. Nejobsáhleji ho popisuje Výroční zpráva České pojišťovny, kde je mu věnován samostatný odstavec a rovněž je zde poukázáno na splnění určitých norem a požadavků na řízení informační bezpečnosti, které umožňují České pojišťovně prokazovat se příslušnou mezinárodně uznávanou certifikací. Česká pojišťovna jako jediná uvádí detailnější popis svého systému řízení operačních rizik, jeho cíle a tři základní pilíře a strukturu zodpovědností v tomto systému řízení operačních rizik. Také uvádí základní principy pro operační rizika, která jsou neoddělitelně spjatá s neustálým procesem jejich řízení. Navíc pracovní postupy upravující řízení operačního rizika tvoří součást závazných vnitřních předpisů a pravidel České pojišťovny.
87
Komerční pojišťovna. Výroční zpráva 2009. Praha 2010, 31 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.kb-pojistovna.cz/file/cs/vyrocni-zprava/KP-vyrocni-zprava-2009.pdf?v01>. 88 Pojišťtovna Allianz. Výroční zpráva 2009. Praha 2010, 123 s. [cit. 2011-04-11]. Dostupné na WWW: . 54
Oproti tomu v druhé nejvýznamnější pojišťovně podle podílu předpisu na trhu v roce 2010, v pojišťovně Kooperativa, je ve Výroční zprávě uvedena jen stručná informace, že operačním rizikům pojišťovna čelí už z charakteru svého podnikání a velkého počtu komplexních transakcí, které musí provádět a zpracovávat pro rozdílné produkty. Rovněž se lze z tohoto zdroje dovědět, že v pojišťovně existují adekvátní kontroly pro řízení existujících operačních rizik souvisejících se systémy a procesy, ale popis těchto kontrol nebo principy, na kterých kontroly fungují, se čtenář Výroční zprávy nedozví. V ostatních Výročních zprávách, dle tržního podílu na předpisu, menších pojišťoven pak již přímá zmínka o operačním riziku není. Často jsou ale uváděny pokroky a renovace informačních systémů, vnitřních procesů, integrace dat a další uskutečňované nebo plánované projekty, které by měly přispět ke zkvalitňování datových toků a měly by umožňovat lepší řízení souvisejících procesů a kontrol. Právě v souvislosti s nově zaváděným projektem Solvency II se již jednotlivé pojišťovny těmito kroky připravují na náročnější požadavky na kvalitu dat, procesů a kontrol souvisejících s operačním rizikem. Pokud tedy porovnání přístupů k operačnímu riziku v jednotlivých pojišťovnách shrneme v hlavních bodech, pak je to:
splnění regulatorních podavků vyplývajících z platné legislativy, především ze zákona o pojišťovnictví89 a prováděcí vyhlášky k zákonu o pojišťovnictví90,
kladný výrok externího auditora, že s přiměřenou jistotou může potvrdit, že zauditovaná účetní závěrka neobsahuje významné nesprávnosti,
probíhající a plánované zdokonalování informačních systémů pro správu pojistných smluv a likvidaci pojistných událostí,
probíhající a plánované zdokonalování procesů a jejich kontrol v souvislosti se správou pojistných smluv, likvidaci pojistných událostí a péčí o klienta,
snaha o sjednocení dat do jednoho komplexního informačního systému, kvůli zjednodušení a zpřesnění výstupních informací,
shoda kontrolních postupů a řídících procesů pro operační riziko s příslušnou skupinou (mateřskou společností), ke které pojišťovna patří,
zahájení příprav na implementaci pravidel programu Solvency II, nad vnitřními procesy a příslušnými systémy existují adekvátní kontroly pro řízení existujících operačních rizik,
různý stupeň připravenosti na plnění povinností vyplývajících z konceptu Solvency II, odlišné úrovně nástrojů pro měření rizika (v České pojišťovně pomocí výpočtu ekonomického kapitálu),
89 90
Zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů. Vyhláška č. 434/2009 Sb., kterou se provádějí některá ustanovení zákona o pojišťovnictví. 55
rozdílný stupeň automatizace procesů a související rozdíl v riziku ztrát způsobených lidským faktorem, několika úrovňové rozdělení zodpovědností za konkrétní procesy a kontroly uvádí ve své zprávě pouze Česká pojišťovna, mezinárodně uznávanou certifikací informační bezpečnosti disponuje pouze Česká pojišťovna.
56
5 ŘÍZENÍ OPERAČNÍCH RIZIK Abychom pochopili, v čem spočívá proces řízení operačních rizik, uvedeme nejdříve obecný popis procesu řízení rizik podle Raise a Smejkala91, který je ovšem velmi dobře aplikovatelný právě na operační rizika.
5.1 Proces řízení rizik Obecně proces řízení rizik odpovídá snaze zamezit působení již existujících i budoucích rizik a navrhuje řešení, která pomáhají eliminovat účinek nežádoucích vlivů a naopak umožňují využít příležitosti působení pozitivních vlivů91. Součástí procesu řízení rizik je také rozhodovací proces, který vychází z analýzy rizika. Po zvážení různých faktorů obzvláště ekonomických a technologických pak management pro řízení rizik analyzuje a srovnává případná preventivní, zábranná a regulační opatření, která by měla existující a potenciální rizika minimalizovat91. Výběr optimálních opatření záleží na určení úrovně rizika, hodnocení ekonomických nákladů na vybrané opatření a hodnocení ekonomických přínosů91. Dále je třeba zohlednit dopady a přínosy a analyzovat možné důsledky z vybraného opatření. Pak následuje rozhodnutí o realizaci opatření pro snížení rizika nebo rozhodnutí o dalším sledování rizika k zajištění dalších dodatečných informací potřebných pro snížení vysokého stupně nejistoty v rozhodování o optimálním opatření. Podle Raise a Smejkala91 management pro řízení rizika využívá dva základní principy: 1) princip zpětné vazby neboli reaktivní strategii, kdy opatření pro eliminaci rizika přichází až jako reakce na rizikem způsobené ztráty, 2) princip predikční vazby neboli proaktivní strategii, v tom případě se uskutečněná opatření odvíjejí od co nejúplnější informace o současném stavu rizika a možných hrozeb v budoucnosti. Pokud pro rozhodování o opatřeních chybí komplexní informace o vlivu a významu jednotlivých rizikových faktorů, které většinou v praxi nejsou dostupné, lze se rozhodovat i v podmínkách neúplných informací a použít nástroje pro podporu rozhodování při neúplných informacích91. Výsledkem popsaného procesu výběru opatření je rozhodnutí91. Pokud je riziko vyhodnoceno za nepřijatelné, probíhající proces je zastaven a jsou přijata okamžitá opatření pro minimalizaci rizika. Je-li riziko vyhodnoceno jako přijatelné a však ne bezvýznamné, následuje vypracování plánu přijetí preventivních opatření za účelem jeho snížení91. Pro zbytková rizika, která nelze protiopatřením efektivně redukovat, je potřeba vypracovat krizový plán. Proces řízení rizik musí probíhat kontinuálně v čase, aby nedošlo k podcenění některých rizik nebo případně k přehlédnutí nově vznikajících rizik.
91
SMEJKAL, Vladimír – RAIS, Karel. Řízení rizik. Grada Publishing a.s., 2003, 272 s., ISBN 80-247-0198-7., str. 89. 57
5.2 Řízení operačních rizik spjatých s informačními systémy Důležitou zásadou pro zacházení s údaji a informacemi v pojišťovně je pochopení významu těchto zdrojů jako podstatného aktiva a uvědomění si jejich hodnoty92. Základní koncepcí ochrany informací se rozumí zásada používání informací pouze tam, kde je jich zapotřebí. Navíc chráněné informace a údaje by měly používat jen osoby pověřené, které s nimi nakládají v souladu se zájmy pojišťovny92. Neopomenutelným faktem také je, že informace by měly být chráněny, ať už jsou v jakékoliv formě, na jakémkoliv nosiči a vyjádřeny jakýmkoliv způsobem. Primárním úkolem v řízení rizik souvisejících s informačními systémy je provedení klasifikace údajů a informací tak, aby byla definována jejich potřebnost, důležitost a příslušný stupeň ochrany92. Se zaznamenávanými údaji a informacemi by následně mělo být zacházeno takovým způsobem, který odpovídá jejich klasifikačnímu zařazení. Údaje v informačních systémech mohou mít také rozličný stupeň citlivosti nebo mohou být různě kritické92, například osobní údaje klientů pojišťovny můžeme označit za velmi citlivé informace vzhledem k jejich ochraně platnou legislativou93. Proto vybrané údaje vyžadují vyšší úroveň zabezpečení a speciální způsob zacházení. Rovněž je nutné spravit uživatele informačních systémů o klasifikaci údajů, se kterými zacházejí, případně o potřebě speciálního způsobu zacházení s danými údaji. Provedená klasifikace by neměla být neměnná a měla by zohledňovat míru zastaralosti údajů, ovšem podle předem přesně stanovených pravidel92. Navrhované základní členění informací podle Raise a Smejkala92 rozlišuje tyto tři hlavní kategorie: citlivé informace, jedná se o informace, jejichž zveřejnění odporuje právnímu předpisu, jako jsou osobní údaje, obchodní tajemství, vybrané vnitřní předpisy pojišťovny apod., informace pro vnitřní potřebu, případně vyhrazené informace, do této kategorie můžeme zařadit údaje pojišťovny, které sice nejsou pod ochranou právního předpisu, ale které by mohly pojišťovnu poškodit například v konkurenčním boji, jako jsou připravované marketingové akce aj., veřejné informace. Co se týče řízení rizik spjatých s přenosem informací, má své opodstatnění také rozlišování automatizovaných a neautomatizovaných částí informačního systému. Tím je do problematiky zahrnuto řízení rizik souvisejících s ochranou informací v mluvené i psané podobě a s ochranou údajů při jejich zpracování a přenosu, tedy s používáním telefonů, faxů, počítačových sítí, soukromých datových sítí, veřejných datových sítí typu Internet a různých variant intranetu92.
92
SMEJKAL, Vladimír – RAIS, Karel. Řízení rizik. Grada Publishing a.s., 2003, 272 s., ISBN 80-247-0198-7., str. 186-192. 93 Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 439/2004 Sb. 58
Jedním z nástrojů pro řízení operačních rizik informačních systémů je deklarace bezpečnostní politiky informačního systému vedením pojišťovny94. Deklarující dokument bezpečnostní politiky by měl obsahovat alespoň následující body94: 1) definici bezpečnosti informací, její cíle, rozsah a důležitost, 2) prohlášení vedení pojišťovny o záměru podporovat cíle a principy bezpečnosti informací, 3) stručný výklad bezpečnostních zásad, principů, standardů a požadavky zvláštní důležitosti pro pojišťovnu (například dodržování legislativních a smluvních požadavků, požadavky na vzdělání v oblasti bezpečnosti, zásady prevence, zásady plánování kontinuity informačních činností pojišťovny, důsledky porušení zásad bezpečnosti), 4) stanovení obecných a specifických odpovědností pro oblast řízení bezpečnosti informací, včetně způsobu hlášení bezpečnostních incidentů, 5) odkazy na dokumentaci, která podporuje bezpečnostní politiku, například na detailnější bezpečnostní politiky a postupy zaměřené na specifické informační systémy nebo bezpečnostní pravidla, která by měli uživatelé informací dodržovat. Potřebné je, aby bezpečnostní politika informačního systému měla svého garanta, business vlastníka, který by byl zodpovědný za její údržbu a aktualizaci v souladu s pevně definovaným revizním procesem94. Tento proces by měl zajistit, že revize proběhne jako reakce na jakékoliv změny ovlivňující východiska původního hodnocení rizik, například významné bezpečnostní incidenty, nové hrozby nebo změny v organizační či technické infrastruktuře. Tímto garantem by měl být bezpečnostní manažer informačního systému pojišťovny94.
5.3 Organizační struktura a její vliv na řízení operačních rizik Z posledního odstavce předchozí kapitoly vyplývá, že jedním z dalších faktorů významných pro řízení operačních rizik v komerční pojišťovně je její organizační struktura. Podle F. Řezáče95 jde o kontinuální proces rozdělování činností, vymezení odpovědností jednotlivců a skupin, koordinování výkonu a specifikaci vztahů mezi pozicemi. Organizační struktura přímo souvisí s procesem komunikace a přenosem informací uvnitř pojišťovny mezi jednotlivými stupni řízení95. Proto je žádoucí v rámci snižování operačního rizika proces komunikace a přenos informací řídit a kontrolovat. Řízení v procesu komunikace a přenosu informací probíhá prostřednictvím předepsaných interních postupů, metodologických pomůcek a směrnic pro komunikaci mezi jednotlivými stupni řízení95.
94
SMEJKAL, Vladimír – RAIS, Karel. Řízení rizik. Grada Publishing a.s., 2003, 272 s., ISBN 80-247-0198-7., str, 196. 95 ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 32. 59
Pojišťovna by se měla snažit vytvářet svojí organizační strukturu takovým způsobem, aby byla schopna zabezpečit optimální řízení pojišťovny bez vynakládání zbytečných nákladů způsobených například negativním působením operačních rizik96. Většina komerčních pojišťoven, které působí na českém pojistném trhu, vznikla jako akciová společnost96. S tím souvisí základní organizační struktura těchto pojišťoven, kdy nejvyšším orgánem je valná hromada akcionářů. Valná hromada akcionářů za účelem zajistit řízení akciové společnosti, pojišťovny, volí představenstvo akciové společnosti a dozorčí radu akciové společnosti96. Ty následně většinou ve výběrovém řízení určí, kdo bude součástí orgánu pro výkonné řízení pojišťovny, to znamená, že určí, kdo bude členem vedení pojišťovny. V praxi existuje několik možností způsobu řízení komerční pojišťovny96: osoby v představenstvu a ve vedení pojišťovny nejsou totožné, osoby v představenstvu a ve vedení pojišťovny jsou totožné, část členů představenstva je totožných s členy vedení pojišťovny. Z hlediska řízení rizik, včetně operačního rizika, je výhodnější varianta, kdy osoby v představenstvu a ve vedení společnosti nejsou totožné. V tom případě lze předpokládat objektivnější a nezávislou kontrolu odváděné práce vedením pojišťovny96. Na druhou stranu nevýhodou mohou být vyšší mzdové náklady. Představenstvo navíc pro účely řízení pojišťovny schválí organizační řád a právě v tomto řádu je zahrnuto vymezení organizační struktury pojišťovny a obsahového zaměření práce a odpovědností jednotlivých útvarů pojišťovny96. Příklad organizační struktury v komerční pojišťovně je uveden na Obrázku 10. Tento příklad ukazuje strukturu v pojišťovně AXA, což je pojišťovna zaměřená na prodej životního pojištění. Struktura pojišťovny orientované na nabídku produktů neživotního pojištění může být lehce odlišná. Konkrétní struktura závisí samozřejmě také na velikosti pojišťovny, přičemž platí, že velké pojišťovny prodávající produkty životního i neživotního pojištění, jako jsou v České republice Česká pojišťovna nebo pojišťovna Kooperativa, budou mít strukturu složitější a více rozvětvenou. Dalším faktorem, který ovlivňuje řízení pojišťovny a potažmo i řízení rizik, je počet stupňů řízení a úroveň jejich kompetence96. Zkušenosti z praxe ukazují, že optimální je třístupňová struktura řízení. Více stupňů spíše komplikuje procesy řízení a určování konkrétních zodpovědností. Riziko předání úplných a správných informací se zvětšuje s rostoucím počtem stupňů řízení. Příliš mnoho stupňů řízení také zbrzďuje předávání informací a to jak ve směru shora dolů, tak ve směru zdola nahoru mezi jednotlivými stupni řízení96, proto z hlediska řízení operačních rizik vyplývá potřeba pokud možno počet stupňů řízení v pojišťovně optimalizovat vzhledem k uvedeným faktorům.
96
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 32-34. 60
Příklad organizační struktury komerční pojišťovny
Obrázek 10 Organizační struktura AXA pojišťovna a.s. (Zdroj: AXA pojišťovna. Informace o tuzemské pojišťovně podle stavu ke 30.9.2010. Praha 2010, 10 s. [cit. 2011-04-13]. Dostupné na WWW: .)
V řízení operačních rizik hraje svou roli i výběr těch správných osob na pracovní pozice, které sebou nesou určitý stupeň odpovědnosti, ať už se jedná o management pojišťovny, zaměstnance pojišťovny nebo zprostředkovatele pojištění. Tyto osoby by měly mít určité kvality, vzdělání, zkušenosti, vyžadovanou odbornou kvalifikaci a měly by být vůči pojišťovně loajální. Potřebné odborné znalosti mohou být zaměstnanci vštěpeny formou zaškolování, pokud to situace vyžaduje. Každá pozice pak vyžaduje rozličné charakteristiky, například manager by měl být člověk schopný učinit rozhodnutí a nést za něj zodpovědnost. Podle F. Řezáče97 by managament měl ovládat umění jak jednat s lidmi, získat je, přesvědčit a změnit jejich chování. Dále by měl umět zaměstnance motivovat a uspokojovat jejich potřeby seberealizace, významnosti, sounáležitosti, bezpečí a podobně. Management by měl rovněž mít schopnost zaměstnance vést a řídit.
97
ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 97880-210-4799-0., str. 129. 61
5.4 Řízení datové kvality Všechny pojišťovny potřebují pro svá obchodní rozhodování a plánování, řízení a splňování regulatorních a auditních požadavků kvalitní, dostupná a důvěryhodná data. Nepřesná a nespolehlivá data je mohou tedy velmi negativně v těchto činnostech ovlivňovat. Navíc kvůli neustálému růstu objemu uchovávaných dat se zlepšování jejich kvality stalo pro většinu pojišťoven v současnosti klíčovým zájmem98. Schopnost informačních technologií data přesně konsolidovat a poskytovat spolehlivé informace ovlivňuje mnoho faktorů. Jednak to jsou neustále se zvyšující počty systémů a standardů, data získávané od třetích stran, která není snadné integrovat, ale také problémy duplicity dat a aplikací98. V mnoha případech buď nejsou dostupné datové standardy, nebo nejsou v celé šíři pojišťovny dodržovány. Problémy s datovou kvalitou pak vyjdou najevo například při selhání plánovaných strategický projektů, které nevytvoří očekávaný přínos a odhalí tak nekonzistentnost a redundanci dat, nebo při podrobných kontrolách auditorem či regulátorem, což může přivést pojišťovnu do nepříjemných situací98. Důležitými kroky při správě dat a řízení datové kvality jsou tedy jejich vyprofilování, vyčištění, zvýraznění a integrace98. Pokud pojišťovna dosáhne sjednocení kvality dat v procesu datové integrace, může následně různorodá data transformovat a kombinovat, odstraňovat z nich nepřesnosti, standardizovat společné hodnoty, provést jejich rozbory a vyčistit nepřesná data tak, aby mohla vytvořit důvěryhodná a hodnotná aktiva, která zvyšují účinnost rozhodovacího procesu. Profilování dat umožňuje určit oblasti, kde mohou nastat rozdíly v kvalitě dat, datové nepřesnosti a nekonzistence, a stanovuje kroky, jak se těmto diferencím vyhnout98. Díky tomu se může pojišťovna soustředit na zlepšení klíčových datových oblastí a informačních procesů. Integrace a standardizace dat v rámci více systémů, což je v pro pojišťovny typické, pomáhá ke komplexním kontrolám dat a také k jednotnému a přesnému náhledu na skutečnosti, o nichž data vypovídají98. Pro řízení datové kvality je rovněž důležité mít definována pravidla postupu při opravě dat. Běžní uživatelé i datoví specialisté by měly mít dostupné nástroje, které umožňují data analyzovat, definovat podniková pravidla a vytvářet pro uživatele informačních technologií standardizace a specifikace pro datová porovnání. Tím je zajištěna vizualizace dopadu nekvalitních dat, snadná definice standardů a na základě opakovatelných a znovu použitelných formátů lze zlepšovat datovou kvalitu98. Aby data byla kvalitní, neměla by obsahovat duplicity. Pro tuto potřebu existují párovací algoritmy, které spojují nepodobná data z více zdrojů s využitím heuristických metod a vícenárodních znakových sad a pomáhají tak odstraňovat datové nejednoznačnosti98. Odstranění duplicit z dat může podstatně snížit požadavky na kapacity datových úložišť a poskytnout konzistentní informace ve všech datových zdrojích. Řízení kvality dat je efektivnější, pokud se podaří odstranit duplikace činností datových specialistů a analytiků98. Jejich kapacity lze následně přesměrovat na jiné potřebnější aktivity podle požadavků oddělení pro informační technologie. Tím je zvyšována kvalita a efektivnost práce celé pojišťovny, ale také je lépe řízena časová náročnost pro jednotlivé zaměstnance.
98
Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-13]. Dostupné na WWW: http://www.sas.com/offices/europe/czech/solutions/data_quality/index.html>. 62
Přesná data poskytují konzistentní reporting a analytické výsledky. Výsledkem procesu řízení datové kvality jsou kvalitní a důvěryhodné informace, na jejichž základě mohou zodpovědní pracovníci činit kvalifikovaná rozhodnutí. Neopomenutelným přínosem v řízení datové kvality je i pravděpodobná poměrně rychlá návratnost vložených investic.
5.5 Očekávaný vývoj a doporučení pro oblast řízení operačních rizik Vývoj v oblasti řízení rizik, včetně rizik operačních je aktuálně nejvíce ovlivněn projektem Solvency II. Jak už bylo dříve uvedeno, jedná se o obdobu programu Basel II pro banky aplikovanou na oblast pojišťovnictví. Potřeba přepracovat současné vykazování solventnosti pojišťovny, o čemž se jedná na podnět Evropské komise už od roku 200199, souvisí především s tím, že nynější vykazování nebere v úvahu skutečná rizika, kterým je pojišťovna vystavena. Známým paradoxem je například skutečnost, že čím více je pojišťovna opatrná ve svém přístupu k oceňování postupovaných rizik, tzn. čím vyšší je její bezpečnostní přirážka zahrnutá v pojistném, tím vyšší jsou požadavky na množství disponibilního kapitálu pojišťovny ve výkazu solventnosti díky vyššímu objemu předepsaného pojistného. Abychom se vrátili k aktuální problematice Solvency II. Dne 25.11.2009 byla po dlouhém procesu vývoje Evropským parlamentem a Radou přijata směrnice o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solvency II). Její zapracování do lokálních legislativních norem jednotlivých států musí být provedeno do 31.10.2012 včetně100. Směrnice ve svých požadavcích na kapitál zohledňuje komplexní pohled na rizika v pojišťovnách. Čím lepší bude proces řízení rizik a sofistikovanější přístup k jejich modelování a měření, tím nižší se dají očekávat solventnostní požadavky na kapitál. Proto nepochybným budoucím trendem vývoje v pojišťovnách bude snaha zdokonalovat svoje vnitřní procesy řízení rizik. Tendence zlepšovat procesy řízení rizik kladně ohodnotí nejen ratingové agentury při stanovování ratingu, ale ocení to zajisté i investoři a klienti komerční pojišťovny. Úspěšněji řízená rizika budou klást menší požadavky na kapitál a pojišťovna by tak měla dosáhnout vyššího volného kapitálu. Prostor pro zlepšení procesu řízení operačního rizika je značný. Dosud tomuto riziku většinou nebyla v pojišťovnách přikládána taková významnost, jakou by si zasloužilo, soudě dle obsahu výročních zpráv pojišťoven, kde se zmínky o řízení operačních rizik objevují více až v posledních letech. Nejspíš je to dáno i složitostí problematiky a poměrně krátkým obdobím zvýšené pozornosti o tuto oblast. Konkrétní datum implementace Solvency II zájem o rozvoj této oblasti v pojišťovnách jistě velmi podpoří. Jedním z faktorů, proč tomu tak je, může být poměrně velká složitost a prozatím malá historie v modelování rizika. Prozatím používané modely pro operační riziko mají většinou podobu faktorových přístupů k modelování. Aktuální možnost v Solvency II vyvinout a následně nechat regulátorem schválit a používat vlastní model je impulzem pro výzkum a rozvoj oblasti řízení operačních rizik.
99
VALOVÁ, Ivana. Řízení rizik v bankách a pojišťovnách. Portál: Derivat.sk, 2009. Finančné trhy, November 2009. ISSN 1336-5711., 6 s. 100 Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. 63
Aby se mohla oblast řízení operačních rizik vyvíjet, je potřebné mít k dispozici kvalitní data, na jejichž základě budou moci být prováděny potřebné analýzy a vyvíjeny příslušné sofistikované modely vyjadřující míru operačního rizika, kterému pojišťovna čelí. A do této oblasti kvality dat vypovídajících o operačním riziku bude budoucí rozvoj nepochybně směřovat. Uchovávat kvalitní data není jednoduché. Měla by se zaznamenávat informace o uskutečněných škodách vyplývajících z operačního rizika, tzn. údaj o tom, že škoda nastala a údaj o její výši, případně další související skutečnosti. Takto by se měly zaznamenávat všechny škody plynoucí ze selhání procesů, selhání přenosů dat, selhání informačních systémů, selhání úmyslná i neúmyslná odpovědných osob a zaměstnanců, ale i externích subjektů, podvodných jednání, prohry soudních sporů nebo pokuty za nesplnění legislativních požadavků apod. Pro směrodatné výsledky je také potřebné mít tato data nashromážděná za delší časové období, což by mohl být problém především pro menší pojišťovny s nedostatečnou datovou základnou. Je pravděpodobné, že se tyto menší pojišťovny budou ve výpočtu svých kapitálových požadavků pro operační riziko držet standardních modelů a nebudou vyvíjet modely vlastní, případně budou používat kombinaci částečného vlastního interního modelu a modelu standardizovaného. Navíc pro účely modelů nestačí používat pouze data o dříve zaznamenaných škodách plynoucích z realizace operačního rizika, neboť tento výčet rizik by zajisté nebyl úplný. Budou chybět především data ke škodám sice méně pravděpodobným, ale s potenciálním značným dopadem, jako jsou přírodní katastrofy, terorismus, pandemická onemocnění a podobně. Proto budou muset pojišťovny vyvíjet modely, do kterých vstupují nejen zaznamenaná data pojišťovny, tedy historie, ale také modelové scénáře, které budou zohledňovat pravděpodobné škody z operačních rizik v budoucnu. V tom je dle mého názoru značný prostor pro vývoj a zlepšování teorie a následně i praxe při modelování operačního rizika. Rozvoj v oblasti modelace operačního rizika pro výpočet kapitálových požadavků nebude náročný nejen na datovou kvalitu, ale také na odbornost a kvalifikovanost jeho účastníků. V tom vidím prostor pro uplatnění pojistných matematiků se znalostmi problematiky risk managementu, neboť tyto dvě oblasti, pojistná matematika a řízení rizik, mají některé shodné rysy a hlavně lze využít matematické znalosti aktuárů. Opět může nastat problém pro menší pojišťovny, které v současnosti nemusí mít k dispozici dostatečné množství kvalifikovaných odborníků. Pokud pojišťovny budou vyvíjet vlastní modely pro určení kapitálových požadavků příslušných podstupovanému operačnímu riziku, bude na zvážení orgánu dohledu nad pojišťovnictvím, zda tyto modely schválí. Podle směrnice101 (článek 44) musí pojišťovny používající vlastní interní model pro výpočet kapitálového požadavku k operačnímu riziku: a) navrhnout a provést interní model, b) testovat a ověřit platnost interního modelu, c) vést dokumentaci k internímu modelu a jeho veškerým změnám, 101
Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. 64
d) analyzovat chování interního modelu a vypracovávat o něm souhrnné zprávy, e) informovat správní, řídící nebo kontrolní orgán o chování interního modelu, uvádět oblasti, v nichž je zapotřebí zlepšení, a podávat uvedenému orgánu nejnovější informace o úsilí zlepšit dříve zjištěné slabé stránky. Proces schvalování vlastního interního modelu pro výpočet kapitálového požadavku k operačnímu riziku bude, jak vyplývá z uvedených bodů, vyžadovat kvalifikovanost, odbornost a zkušenost i na straně dohledového orgánu. Z uvedených očekávání ohledně budoucího vývoje v oblasti řízení operačních rizik v komerčních pojišťovnách (jejich identifikace, vyhodnocení a přijmutí opatření pro jejich minimalizaci) vyplývají i má doporučení. Ta se pokusím na závěr shrnout do několika základních bodů: 1) zaznamenávat detailní data o škodách vzniklých v souvislosti s operačním rizikem ve formě vhodné pro další analyzování a zpracování (pokud tak pojišťovna již v současnosti nečiní), 2) rozvíjet vlastní interní modely pro výpočet kapitálového požadavku pro operační riziko, což se neobejde bez 3) zvyšování kvalifikace svých odborníků, poskytnout jim možnost dále se ve své odbornosti rozvíjet a sdílet své zkušenosti, 4) klást důraz na datovou kvalitu, podpořit ji vhodnými investicemi do kvalitních nástrojů pro správu dat, 5) věnovat se oblasti vývoje a přípravy modelových scénářů, které jsou pro model výpočtu kapitálového požadavku pro operační riziko nezbytným vstupem nahrazujícím nedostatek dat, 6) již při rozvíjení a testování vlastního interního modelu pro výpočet kapitálového požadavku pro operační riziko konzultovat, je-li to možné, jeho vlastnosti, přednosti i nedostatky s příslušným dohledovým orgánem, který bude model v budoucnu schvalovat (dá se očekávat hladký průběh procesu schvalování modelu, bude-li s ním dohledový orgán seznámen už v průběhu jeho vývoje), 7) vyhlásit a důsledně dodržovat pravidla bezpečnostní politiky všemi interními i externími subjekty, které se podílí na činnosti pojišťovny.
65
ZÁVĚR Operační riziko komerční pojišťovny je přes svou dlouhou existenci již od dob prvních pojišťovacích institucí poměrně málo probádanou a rozvinutou oblastí. V současné době díky zvýšeným požadavkům na řízení rizik ať už regulátora, investorů nebo klientů pojišťovny, se dostává do popředí zájmu. Příčiny zvýšeného zájmu o tuto oblast jsou zřejmé, jedná se především o rostoucí hrozbu fatálních dopadů na pojišťovnu při podceňování a nesprávném řízení operačního rizika. Při naplňování cíle diplomové práce analyzovat operační riziko komerční pojišťovny jsem se nejprve věnovala jeho kategorizací ve skupině rizik, kterým pojišťovna čelí, a uvedla jsem základní metodologii jeho řízení. Poté jsem vysvětlila pojetí operačního rizika v projektu Solvency II. V textu jsem uvedla tři možné přístupy ke klasifikaci operačního rizika, přičemž jeden vychází z klasifikace používané pro bankovní sektor související s programem Basel II. V rámci podrobné analýzy operačního rizika pojišťovny jsem se zabývala různými přístupy k jeho kvantifikaci, a to jak metodami uvedenými v projektu Solvency II, tak i pokročilejšími statistickými metodami. Detailněji jsem také probrala legislativní požadavky na řízení operačního rizika pojišťovnou vyplývající ze směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solvency II). V druhé kapitole diplomové práce jsem se zaměřila na operační riziko komerční pojišťovny související se selháním informačních systémů. Podrobně jsou popsána konkrétní rizika, která provázejí existenci pojistné smlouvy a souvisejících záznamů v informačních systémech po celou dobu jejího trvání. Zabývala jsem se datovými chybami a jejich dopady při vzniku pojistné smlouvy, při správě pojistné smlouvy a při ukončení pojistné smlouvy. Operační rizika plynoucí z běžných změn údajů příslušných pojistné smlouvě jsem rozdělila do dvou kategorií, podle toho zda se jedná o změnu ovlivňující nebo neovlivňující výši závazku komerční pojišťovny vůči klientovi. Podrobně jsem rozebrala proces likvidace pojistné události a související operační rizika a také možná operační rizika plynoucí z jiných způsobů ukončení pojistného vztahu mezi pojišťovnou a klientem. Stranou nezůstaly ani procesy v informačních systémech vyplývající z jedné z nejčetnějších operací v pojišťovně, z předpisu a platby pojistného. V druhé kapitole jsem také provedla modelovou kalkulaci, pomocí které lze vyhodnotit dopady různých selhání operačních systémů na výpočet redukované pojistné částky v kapitálovém životním pojištění. V následující kapitole jsem se věnovala způsobu zpracování dat v komerční pojišťovně, právě s ohledem na eliminaci operačního rizika plynoucího ze selhání informačních systémů. Pro názornost a s ohledem na reference uživatelů, včetně největších pojišťoven působících na českém pojistném trhu, jsem vybrala software SAS, který korektní a efektivní zpracovávání dat umožňuje. Rovněž jsem popsala jeho přednosti a možnosti využití v komerčních pojišťovnách. Ve čtvrté kapitole jsem zaměřila pozornost na popis přístupů k operačnímu riziku v jednotlivých pojišťovnách. Za zdroj informací jsem použila publikované výroční zprávy konkrétních pojišťoven. I z těchto zpráv vyplynulo, že operační rizika se postupně dostávají do popředí zájmu. Nejvíce údajů poskytla ve své výroční zprávě Česká pojišťovna, která se jako jediná může pochlubit certifikací mezinárodně uznávaným standardem pro informační 66
bezpečnost. Na základě zjištěných informací jsem následně provedela komparace přístupů k operačnímu riziku v jednotlivých pojišťovnách, jejich shody a rozdíly. V závěrečné kapitola jsem se věnovala procesu řízení operačních rizik v komerční pojišťovně. Nejdříve jsem popsala obecný proces řízení rizik, který je aplikovatelný i na komerční pojišťovnu a její operační riziko, neboť se jedná o riziko, kterému čelí v podstatě každý podnikatelský subjekt. Následovala část týkající se řízení operačního rizika spjatého s informačními systémy. Podrobněji bylo probráno také téma vlivu organizační struktury na expozici pojišťovny vůči operačnímu riziku a na proces řízení operačních rizik. Speciální podkapitola byla věnována problematice řízení datové kvality, jako jednomu ze zásadních operačních rizik. V samotném závěru jsem popsala a odůvodnila vlastní očekávání vývoje přístupu k operačnímu riziku. Vyjádřila jsem své přesvědčení o budoucím růstu významnosti operačního rizika a souvisejícím zkvalitněním procesu jeho řízení. Ten závisí především na identifikaci a vyhodnocení rizika, na které budou navazovat příslušná opatření k jeho minimalizaci. V tom by podle mého názoru měly hrát klíčovou roli matematické modely podpořené kvalitními daty a kvalifikovanými odborníky. Především do této oblasti jsem pak směřovala svá závěrečná doporučení, která by měla podpořit efektivní řízení operačních rizik v komerční pojišťovně.
67
SEZNAM POUŽITÉ LITERATURY Monografie [1] BUCHECKER Michelle – CALHOUN Sarah – STEWART Larry. SAS® Programming I: Essentials Course Notes. 2007, ISBN 978-1-59994-460-9. [2] JÍLEK, Josef. Finanční trhy. 1. vyd. , Grada Publishing a.s., 1997, 528 s., ISBN 80-7169453-3. [3] LORENC, Miroslav. ISDP - Rodné číslo jako datový prvek (1.díl). 2007. [cit. 2011-0204]. Dostupné na WWW: . [4] LORENC, Miroslav. ISDP - Rodné číslo jako datový prvek (2.díl). 2007. [cit. 2011-0204]. Dostupné na WWW: . [5] ŘEZÁČ, František – OŠKRDALOVÁ, Gabriela – ŘEZÁČ, Martin – ŠIKULOVÁ, Miroslava – VALOUCH, Petr. Marketingové řízení komerční pojišťovny. Masarykova univerzita. Brno 2009, 1. vydání, 210 s., ISBN 978-80-210-4799-0. [6] SMEJKAL, Vladimír – RAIS, Karel. Řízení rizik. Grada Publishing a.s., 2003, 272 s., ISBN 80-247-0198-7. [7] VALOVÁ, Ivana. Řízení rizik v bankách a pojišťovnách. Portál: Derivat.sk, 2009. Finančné trhy, November 2009. ISSN 1336-5711.
Články z časopisů [8] ROSE, Caspar. New challenges for operational risk after the financial crisis. Journal of Applied IT and Invest ment Management. Vol. 1, No. 1. Duben 2007, str. 27-30. [cit. 2011-04-14]. Dostupné na WWW: .
Výroční zprávy [9] Česká pojišťovna. Výroční zpráva 2009. Praha 2010, 252 s. [cit. 2011-04-06] Dostupné na WWW: . [10] ČSOB pojišťovna. Výroční zpráva 2009. Pardubice 2010, 64 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.csobpoj.cz/cs/ospolecnosti/Documents/VZ_2009_cz_version.pdf>. [11] Komerční pojišťovna. Výroční zpráva 2009. Praha 2010, 31 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.kb-pojistovna.cz/file/cs/vyrocni-zprava/KP-vyrocnizprava-2009.pdf?v01>. [12] Pojišťtovna Allianz. Výroční zpráva 2009. Praha 2010, 123 s. [cit. 2011-04-11]. Dostupné na WWW: .
68
[13] Pojišťovna České spořitelny. Výroční zpráva 2009. Pardubice 2010, 50 s. [cit. 2011-0411]. Dostupné na WWW: < http://www.pojistovnacs.cz/o-nas/vyrocni-zpravy/PDF/VZ2009-cz.pdf>. [14] Pojišťovna Kooperativa. Výroční zpráva 2009. Praha 2010, 108 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.koop.cz/data/files/file_255_GENERAL.pdf>. [15] Pojišťovna Kooperativa. Výroční zpráva 2008. Praha 2009, 124 s. [cit. 2011-04-11]. Dostupné na WWW: < http://www.koop.cz/data/files/file_93_GENERAL.pdf>.
Právní předpisy [16] Evropský parlament a Rada Evropské unie. Směrnice Evropského parlamentu a Rady 2009/138/ES o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění). 2009, 689 s. [17] Vyhláška č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry ve znění pozdějších předpisů. [18] Vyhláška č. 434/2009 Sb., kterou se provádějí některá ustanovení zákona o pojišťovnictví. [19] Zákon č. 37/2004 Sb., o pojistné smlouvě a o změně souvisejících zákonů. [20] Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 439/2004 Sb. [21] Zákon č. 277/2009 Sb., o pojišťovnictví, ve znění pozdějších předpisů.
Internetové zdroje [22] Česká pojišťovna a.s. Přehled poplatků od 1.1.2011. [cit. 2011-02-11]. Dostupné na WWW: . [23] Webové stránky Certifikace systémů řízení. [cit. 2011-04-08]. Dostupné na WWW: . [24] Webové stránky společnosti IsecT Ltd. [cit. 2011-04-08]. Dostupné na WWW: . [25] Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-03-15]. Dostupné na WWW: . [26] Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-03-15]. Dostupné na WWW: . [27] Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-11]. Dostupné na WWW: . [28] Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-11]. Dostupné na WWW: . [29] Webové stránky společnosti SAS Institute, ČR s.r.o. [cit. 2011-04-13]. Dostupné na WWW: http://www.sas.com/offices/europe/czech/solutions/data_quality/index.html>.
69
Ostatní zdroje [30] AXA pojišťovna. Informace o tuzemské pojišťovně podle stavu ke 30.9.2010. Praha 2010, 10 s. [cit. 2011-04-13]. Dostupné na WWW: . [31] Banka pro mezinárodní platby. International Convergence of Capital Measurement and Capital Standards. 2006, 347 s., ISBN 92-9131-720-9. [32] Česká asociace pojišťoven. Statistické údaje 2010. Praha 2011. [cit. 2011-04-02]. Dostupné na WWW: . [33] Česká pojišťovna a.s. Životní pojištění Diamant. Všeobecné a doplňkové pojistné podmínky pro životní a úrazové pojištění a další připojištění. [cit. 2011-02-06]. Dostupné na WWW: . [34] Ernst & Young. IFRS 4 Phase II and Solvency II, Bridging the gap. 2010, 8 s. [cit. 201101-18]. Dostupné na WWW: . [35] European Insurance and Occupational Pensions Authority. From Regulation to Supervision, EIOPA’s Solvency II Medium Term Work Plan (2011-2014). 2011, 22 s. [36] Evropská komise. QIS5 Technical Specifications. 2010, 330 s. [37] Kolektiv autorů České asociace pojišťoven – Brejcha, P., Korobczuk, L., Lozsi, I., Lukášek, J., Onder, Š., Šroller, V. SOLVENCY II. ČAP, 2005, 24 s. [38] Pojišťovna Kooperativa, a.s. Soubor dokumentů k životnímu pojištění Perspektiva. [cit. 2011-02-06]. Dostupné na WWW: . [39] Poznámky ze Semináře z aktuárských věd na Matematicko-fyzikální fakultě UK v Praze vedeného Dr. Lucií Mazurovou dne 8.10.2010 na téma Modelování operačního rizika.
70
SEZNAM OBRÁZKŮ Obrázek 1: Zjednodušené schéma rizik vstupujících do výpočtu solventnostního kapitálového požadavku. ..........................................................................................................16 Obrázek 2: Heat Map jako příklad zobrazení mapy rizik v metodě SA. ................................19 Obrázek 3: Příklad schématu dělení změn na pojistné smlouvě. ............................................25 Obrázek 4: Graf závislosti procentuální odchylky redukované pojistné částky a chyb ve vstupních parametrech. .............................................................................................................33 Obrázek 5: Schéma procesu likvidace podle F. Řezáče. .........................................................35 Obrázek 6: Možné provázání primárních zdrojových systémů a datového skladu. ................42 Obrázek 7: Schéma procesu vytváření informace z dat. .........................................................43 Obrázek 8: Struktura SAS programu v jednotlivých krocích. ................................................44 Obrázek 9: Jednotlivé sekce standardu ISO/IEC 27002:2005 a jejich dělení na podrobnější okruhy. ......................................................................................................................................51 Obrázek 10: Organizační struktura AXA pojišťovna a.s. .......................................................61
SEZNAM TABULEK Tabulka 1: Výše chyby ve výpočtu redukované pojistné částky pro různé odchylky ve vstupních parametrech. .............................................................................................................32 Tabulka 2: Přehled deseti největších pojišťoven působících na českém trhu dle objemu předepsaného pojistného za rok 2010. ......................................................................................48
71
SEZNAM PŘÍLOH Příloha A – Populační úmrtnostní tabulky ČR – muži za rok 2009 publikované Českým statistickým úřadem Příloha B – Komutační čísla vypočtena autorkou z úmrtnostních tabulek přílohy A, použita úroková míra 2,5% Příloha C – Spouštění SAS programu pomocí dialogových oken (SAS windowing environment), vytvořeno autorkou Příloha D – Spouštění SAS programu pomocí menu (SAS Enterprise Guide), vytvořeno autorkou
72
Příloha A – Populační úmrtnostní tabulky ČR – muži za rok 2009 publikované Českým statistickým úřadem 2009 věk
Česká republika Muži dx
qx
lx
Lx
Tx
ex
0
0,003065
100000
306
99738
7419342
74,19
1
0,000249
99694
25
99681
7319604
73,42
2
0,000281
99669
28
99655
7219923
72,44
3
0,000092
99641
9
99636
7120268
71,46
4
0,000120
99631
12
99625
7020632
70,47
5
0,000087
99619
9
99615
6921007
69,47
6
0,000109
99611
11
99605
6821392
68,48
7
0,000109
99600
11
99594
6721786
67,49
8
0,000104
99589
10
99584
6622192
66,50
9
0,000109
99579
11
99573
6522608
65,50
10
0,000156
99568
16
99560
6423035
64,51
11
0,000137
99552
14
99545
6323475
63,52
12
0,000180
99539
18
99530
6223929
62,53
13
0,000215
99521
21
99510
6124400
61,54
14
0,000263
99499
26
99486
6024890
60,55
15
0,000297
99473
30
99458
5925404
59,57
16
0,000374
99443
37
99425
5825946
58,59
17
0,000448
99406
44
99384
5726521
57,61
18
0,000513
99362
51
99336
5627137
56,63
19
0,000595
99311
59
99281
5527800
55,66
20
0,000689
99252
68
99218
5428519
54,69
21
0,000758
99183
75
99146
5329302
53,73
22
0,000845
99108
84
99066
5230156
52,77
23
0,000829
99024
82
98983
5131090
51,82
24
0,000712
98942
70
98907
5032106
50,86
25
0,000698
98872
69
98837
4933199
49,89
26
0,000719
98803
71
98767
4834362
48,93
27
0,000807
98732
80
98692
4735594
47,96
28
0,000912
98652
90
98607
4636902
47,00
29
0,000884
98562
87
98519
4538295
46,05
30
0,000857
98475
84
98433
4439777
45,09
31
0,000934
98391
92
98345
4341344
44,12
32
0,001020
98299
100
98249
4242999
43,16
33
0,001062
98198
104
98146
4144751
42,21
34
0,001111
98094
109
98040
4046604
41,25
35
0,001133
97985
111
97930
3948565
40,30
36
0,001287
97874
126
97811
3850635
39,34
37
0,001474
97748
144
97676
3752824
38,39
38
0,001651
97604
161
97523
3655148
37,45
39
0,001777
97443
173
97356
3557624
36,51
40
0,001893
97270
184
97178
3460268
35,57
41
0,002020
97086
196
96988
3363090
34,64
42
0,002337
96889
226
96776
3266103
33,71
43
0,002567
96663
248
96539
3169326
32,79
44
0,002783
96415
268
96281
3072787
31,87
45
0,003122
96147
300
95996
2976507
30,96
46
0,003399
95846
326
95684
2880510
30,05
47
0,003949
95521
377
95332
2784827
29,15
48
0,004490
95143
427
94930
2689495
28,27
49
0,005020
94716
475
94479
2594565
27,39
50
0,005506
94241
519
93981
2500086
26,53
51
0,006238
93722
585
93430
2406105
25,67
52
0,006980
93137
650
92812
2312675
24,83
53
0,008047
92487
744
92115
2219863
24,00
54
0,008857
91743
813
91337
2127748
23,19
55
0,009635
90930
876
90492
2036412
22,40
56
0,010418
90054
938
89585
1945919
21,61
57
0,011609
89116
1035
88599
1856334
20,83
58
0,012722
88082
1121
87521
1767735
20,07
59
0,014146
86961
1230
86346
1680214
19,32
60
0,015342
85731
1315
85073
1593868
18,59
61
0,016761
84416
1415
83708
1508795
17,87
62
0,018455
83001
1532
82235
1425087
17,17
63
0,020568
81469
1676
80631
1342852
16,48
64
0,022435
79793
1790
78898
1262221
15,82
65
0,024243
78003
1891
77057
1183323
15,17
66
0,025267
76112
1923
75150
1106266
14,53
67
0,027196
74189
2018
73180
1031115
13,90
68
0,028914
72171
2087
71128
957935
13,27
69
0,031280
70084
2192
68988
886808
12,65
70
0,034287
67892
2328
66728
817819
12,05
71
0,037248
65564
2442
64343
751091
11,46
72
0,039171
63122
2473
61886
686748
10,88
73
0,042601
60650
2584
59358
624862
10,30
74
0,045608
58066
2648
56742
565504
9,74
75
0,050410
55418
2794
54021
508762
9,18
76
0,056133
52624
2954
51147
454742
8,64
77
0,061543
49670
3057
48142
403595
8,13
78
0,067728
46613
3157
45035
355453
7,63
79
0,074932
43456
3256
41828
310418
7,14
80
0,082828
40200
3330
38535
268590
6,68
81
0,091427
36870
3371
35185
230055
6,24
82
0,100498
33499
3367
31816
194870
5,82
83
0,110927
30133
3343
28461
163054
5,41
84
0,122798
26790
3290
25145
134593
5,02
85
0,136434
23500
3206
21897
109448
4,66
86
0,150264
20294
3049
18769
87551
4,31
87
0,165141
17245
2848
15821
68781
3,99
88
0,182297
14397
2625
13085
52960
3,68
89
0,201118
11772
2368
10589
39876
3,39
90
0,221711
9405
2085
8362
29287
3,11
91
0,244174
7320
1787
6426
20925
2,86
92
0,268595
5532
1486
4789
14499
2,62
93
0,295046
4046
1194
3449
9710
2,40
94
0,323573
2853
923
2391
6260
2,19
95
0,354195
1930
683
1588
3869
2,01
96
0,386891
1246
482
1005
2281
1,83
97
0,421593
764
322
603
1276
1,67
98
0,458180
442
202
341
674
1,52
99
0,496465
239
119
180
333
1,39
100
0,536192
121
65
88
153
1,27
101
0,577029
56
32
40
65
1,16
102
0,618565
24
15
16
25
1,05
103
0,660313
9
6
6
8
0,94
104
0,701722
3
2
2
2
0,80
105
1,000000
1
1
0
0
0,50
Příloha B – Komutační čísla vypočtena z úmrtnostních tabulek přílohy A, použita úroková míra 2,5% věk
Cx
Dx
Mx
Nx
0
298,979269
100000
17098
3398995
1
23,670954
97262
16799
3298995
2
26,027531
94866
16775
3201733
3
8,347081
92526
16749
3106867
4
10,598085
90261
16741
3014341
5
7,515823
88049
16730
2924080
6
9,171478
85894
16723
2836031
7
8,871711
83790
16713
2750137
8
8,302333
81737
16704
2666347
9
8,483293
79735
16696
2584610
10
11,851420
77782
16688
2504874
11
10,150582
75873
16676
2427092
12
13,014382
74013
16666
2351219
13
15,163296
72194
16653
2277206
14
18,096088
70418
16638
2205012
15
19,902540
68683
16619
2134594
16
24,446463
66988
16600
2065911
17
28,530774
65329
16575
1998923
18
31,889355
63707
16547
1933594
19
36,075526
62122
16515
1869887
20
40,691317
60570
16479
1807765
21
43,651755
59052
16438
1747195
22
47,443817
57568
16394
1688142
23
45,401928
56117
16347
1630574
24
37,986803
54703
16301
1574457
25
36,334303
53331
16263
1519754
26
36,468032
51994
16227
1466424
27
39,930687
50689
16191
1414430
28
43,987002
49413
16151
1363741
29
41,530893
48163
16107
1314328
30
39,256061
46947
16065
1266165
31
41,679729
45763
16026
1219218
32
44,375759
44605
15984
1173455
33
45,037864
43473
15940
1128850
34
45,941794
42367
15895
1085377
35
45,658134
41288
15849
1043010
36
50,520963
40235
15803
1001721
37
56,388185
39204
15753
961486
38
61,532248
38191
15696
922282
39
64,501913
37198
15635
884091
40
66,892150
36226
15570
846893
41
69,507541
35276
15503
810667
42
78,308553
34346
15434
775392
43
83,725375
33430
15356
741046
44
88,326578
32531
15272
707616
45
96,399500
31649
15184
675085
46
102,067933
30781
15087
643436
47
115,304235
29928
14985
612655
48
127,391139
29083
14870
582728
49
138,340559
28246
14742
553645
50
147,278302
27419
14604
525399
51
161,899480
26603
14457
497980
52
175,633766
25792
14295
471378
53
196,172289
24987
14119
445586
54
208,951851
24182
13923
420599
55
219,808332
23383
13714
396417
56
229,622842
22593
13494
373035
57
247,032663
21812
13265
350442
58
261,048402
21033
13018
328630
59
279,586044
20259
12757
307597
60
291,658435
19485
12477
287338
61
306,085384
18718
12185
267853
62
323,298404
17956
11879
249135
63
345,031748
17194
11556
231179
64
359,611614
16430
11211
213984
65
370,621126
15670
10851
197554
66
367,718441
14917
10481
181885
67
376,375716
14185
10113
166968
68
379,774259
13463
9737
152782
69
389,240825
12755
9357
139320
70
403,236769
12054
8968
126565
71
412,716057
11357
8564
114510
72
407,670273
10668
8152
103153
73
415,602867
10000
7744
92485
74
415,596817
9340
7328
82486
75
427,709301
8697
6913
73146
76
441,231310
8057
6485
64449
77
445,465787
7419
6044
56392
78
448,841995
6793
5598
48973
79
451,658008
6178
5149
42180
80
450,575948
5576
4698
36002
81
445,036319
4989
4247
30426
82
433,624403
4423
3802
25436
83
420,020175
3881
3369
21014
84
403,307918
3366
2949
17133
85
383,480635
2881
2545
13766
86
355,834624
2427
2162
10885
87
324,197848
2012
1806
8458
88
291,490078
1639
1482
6446
89
256,546860
1307
1190
4807
90
220,424814
1019
934
3499
91
184,327522
774
713
2480
92
149,515993
571
529
1706
93
117,196016
407
379
1136
94
88,396099
280
262
729
95
63,855731
185
174
449
96
43,946372
116
110
264
97
28,644549
70
66
147
98
17,566848
39
37
78
99
10,061846
21
20
39
100
5,338448
10
10
18
101
2,599597
5
4
8
102
1,149953
2
2
3
103
0,456817
1
1
1
104
0,160884
0
0
0
105
0,066718
0
0
0
Příloha C – Spouštění SAS programu pomocí dialogových oken (SAS windowing environment), vytvořeno autorkou
Příloha D – Spouštění SAS programu pomocí menu (SAS Enterprise Guide), vytvořeno autorkou