Ryzyko operacyjne

Ryzyko operacyjneryzyko straty wynikające z nieodpowiednich lub zawodnych procedur wewnętrznych, błędów ludzi i systemów lub ze zdarzeń zewnętrznych, obejmując także ryzyko prawne[1]. Spełnianie się ryzyka operacyjnego zawsze polega na utracie kluczowych zasobów lub utracie kontroli nad tymi zasobami.

Ryzykiem operacyjnym zajmują się dwie dyscypliny naukowe dziedziny nauk społecznych: dyscyplina Ekonomia i finanse oraz dyscyplina Nauki o zarządzaniu i jakości. Ujęcia te są istotnie odmienne[2]. W ujęciu finansowym dąży się do takiej oceny poziomu ryzyka operacyjnego, która pozwala na ustalenie niezbędnych rezerw finansowych na pokrycie ewentualnych strat związanych z tym ryzykiem, a więc ustalenie tzw. adekwatności kapitałowej. W ujęciu nauk o zarządzaniu, które uzupełnia ujęcie finansowe, chodzi o analizę istoty ryzyka operacyjnego (przyczyn, podatności, mechanizmu spełniania się ryzyka, skutków), aby móc w odniesieniu do poszczególnych rodzajów zasobów kluczowych dla prowadzenia działalności podjąć działania organizacyjne o charakterze prewencji wobec przyczyn i podatności oraz o charakterze planów zapewniania ciągłości działania wobec możliwych skutków.

W tradycyjnym ujęciu z perspektywy dyscypliny naukowej Ekonomia i finanse, ryzyko operacyjne to szerokie pojęcie obejmujące między innymi ryzyko nadużyć finansowych, ryzyko prawne, fizyczne lub zagrożenia dla środowiska. Pojęcie ryzyka operacyjnego jest najczęściej związane z zarządzaniem ryzykiem programowym instytucji finansowych, które muszą być dostosowane do zaleceń Nowej umowy kapitałowej, znanej jako Basel II. W postanowieniach Bazylei II, zarządzanie ryzykiem rozdzielono na ryzyko kredytowe, rynkowe i operacyjne. W wielu przypadkach ryzyko kredytowe oraz ryzyko rynkowe jest obsługiwane przez wydziały finansowe spółek z tego względu, że zarządzanie ryzykiem operacyjnym może być koordynowane centralnie, lecz najczęściej zarządzanie wdrażane jest przez różne jednostki operacyjne.

Standard Basel II definiuje ryzyko operacyjne jako ryzyko strat, wynikające z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych. Mimo że ryzyko to może dotyczyć każdej organizacji zajmującej się działalnością gospodarczą, ten specyficzny model zarządzania ryzykiem ma szczególne znaczenie dla systemu bankowego, gdzie organy regulacyjne są odpowiedzialne za ustanawianie zabezpieczeń w celu ochrony przed awariami systemu bankowego i zawirowaniami gospodarki.

Pochodzenie

Od połowy lat dziewięćdziesiątych tematy ryzyka rynkowego i ryzyka kredytowego są przedmiotem wielu dyskusji i badań, co spowodowało, że instytucje finansowe dokonały znaczących postępów w zakresie identyfikacji, pomiaru i zarządzania obu tych form ryzyka. Globalizacja i liberalizacja rynków finansowych, w połączeniu ze wzrostem złożoności finansowych technologii, wprowadziły więcej komplikacji w działalność banków, a tym samym w ich profil ryzyka. Przyczyny te wyjaśniają wzrastające zainteresowanie banków i nadzorców identyfikacją i pomiarem ryzyka operacyjnego. Wydarzenia takie jak atak terrorystyczny na World Trade Center i Pentagon 11 września 2001 r., straty w wyniku nieuczciwego obrotu Société Générale, Barings Bank, AIB czy Narodowego Banku Australii podkreślają fakt, że zakres zarządzania ryzykiem wykracza poza rynek i ryzyko kredytowe. Lista rodzajów ryzyka z jakimi borykają się dziś banki (i, co ważniejsze, jego skala) obejmuje oszustwa, awarie systemu, terroryzm i pracownicze roszczenia o odszkodowania. Te rodzaje ryzyka są zazwyczaj zaliczane do ryzyka operacyjnego. Identyfikacja i pomiar ryzyka operacyjnego jest prawdziwym i aktualnym zagadnieniem, w szczególności od czasu decyzji Bazylejskiego Komitetu Nadzoru Bankowego (BCBS) o uwzględnieniu kapitału z tytułu tego ryzyka w Nowej umowie kapitałowej (Bazylea II).

Definicja

Komitet Bazylejski określa ryzyko operacyjne jako: „Ryzyko strat wynikające z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych.” Jednak Komitet Bazylejski uznaje, że ryzyko operacyjne jest pojęciem, które ma wiele znaczeń. Zatem do celów wewnętrznych banki mają prawo przyjęcia własnej definicji ryzyka operacyjnego, pod warunkiem że uwzględnione są minimalne elementy definicji Komitetu. Definicja ryzyka operacyjnego Bazylei II nie obejmuje na przykład ryzyka strategicznego, czyli ryzyka straty wynikającej z podjęcia nieudanej strategicznej decyzji biznesowej. Inne warunki ryzyka postrzegane są jako potencjalne konsekwencje ryzyka operacyjnego. Na przykład ryzyko reputacji (szkoda organizacji polegająca na utracie swojej reputacji) może powstać w związku z operacyjnymi niepowodzeniami, jak również w wyniku innych wydarzeń.

Kategorie zdarzeń operacyjnych według standardu Bazylea II

Oficjalna lista zdarzeń zdefiniowanych przez standard Bazylea II:

  • Oszustwa wewnętrzne – sprzeniewierzenie aktywów, uchylanie się od płacenia podatków,
  • Oszustwa zewnętrzne – kradzież informacji, szkoda ze strony osób trzecich, fałszerstwo,
  • Zatrudnienie oraz bezpieczeństwo w miejscu pracy – dyskryminacja pracowników, odszkodowania, bezpieczeństwo i higiena pracy,
  • Klienci, produkty i praktyki biznesowe – manipulacja rynku,
  • Szkody w aktywach rzeczowych – klęski żywiołowe, terroryzm, wandalizm,
  • Zakłócenie działalności gospodarczej i błędy systemów – narzędzia wywołujące zakłócenia, awarie oprogramowania, awarie sprzętu,
  • Wykonanie transakcji, dostawa i zarządzanie procesami operacyjnymi – wprowadzanie błędów, błędy księgowe, zaniedbania skutkujące utratą aktywów klienta.

Metody zarządzania ryzykiem operacyjnym

Bazylea II i wiele różnych organów nadzorczych poszczególnych krajów przewidziało środki ostrożności przy zarządzaniu ryzykiem operacyjnym przez banki i podobne instytucje finansowe. W celu uzupełnienia tych norm, standard Bazylea II wyznacza wytyczne 3 szeroko pojętych metod obliczania kapitału ryzyka operacyjnego:

  • Metoda podstawowego wskaźnika – oparta na rocznych dochodach instytucji finansowej,
  • Metoda standardowa – oparta na rocznym dochodzie z każdego rodzaju działalności danej instytucji finansowej,
  • Zaawansowane metody pomiaru – oparta na normach opracowanych wewnętrznie przez bank w ramach pomiaru ryzyka (metody obejmują IMA, LDA, metody oparte na scenariuszu, wynikach itd.)

Do zarządzania ryzykiem operacyjnym należy również zaliczyć identyfikację, pomiar, monitorowanie, sprawozdawczość, kontrolę i łagodzenie skutków ryzyka operacyjnego.

  1. Rozporządzenie Parlamentu Europejskiego i rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012. (CELEX: 32013R0575)
  2. Zawiła-Niedźwiecki J., Zarządzanie ryzykiem operacyjnym w zapewnianiu ciągłości działania organizacji, edu-Libri, Kraków 2013.

Bibliografia

  • Bancarewicz G., Ryzyko operacyjne źródłem nowych wyzwań dla pomiaru i zarządzania ryzykiem w instytucjach finansowych, „Bezpieczny Bank”, nr 2(27)/2005.
  • Heffernan S., Nowoczesna bankowość, Wydawnictwo Naukowe PWN, Warszawa 2007.
  • Lewandowski D., Ryzyko operacyjne w bankach – zarządzanie i audyt w świetle wymagań Bazylejskiego Komitetu ds. Nadzoru Bankowego, „Bank i Kredyt” nr 4/2004.
  • Zaleska M., Współczesna bankowość, Difin, Warszawa 2007.