Documente Academic
Documente Profesional
Documente Cultură
Cluj-Napoca
2008
CUPRINS
4. CONCLUZII................................................................................................................43
5. BIBLIOGRAFIE..........................................................................................................46
2
1. RISCUL OPERAŢIONAL ÎN BĂNCI – FACTORI GENERATORI
DE RISC
3
Fig1. Riscul operaţional se materializează prin risc de piaţă sau de credit -autorul
4
valoare de circa 180.000 de dolari fiecare (136.243 de euro). Circa trei sferturi din
pierderea de 1,3 miliarde dolari pe care a provocat-o bãncii Barings au provenit din aceste
contracte. Atunci când conducerea bãncii a descoperit amploarea pierderilor, a informat
Banca Angliei cã Barings era falimentarã. La câteva zile dupa arestarea lui Nick Leeson
în Frankfurt (Germania), pe 2 martie 1995, Barings Bank a fost vândutã gigantului
financiar olandez ING, pentru suma simbolicã de o lirã sterlinã, punând capãt istoriei de
230 de ani a bãncii britanice. Banca a fost redenumitã ING Barings, însã ING a renuntat
apoi la Barings, în logo rãmânând doar ING.
Un alt caz important de fraudã s-a derulat la sucursala americanã a bãncii Allfirst.
Protagonistul fraudei a fost John Rusnak, trader specializat în devize. Acesta, printr-o
schemã sofisticatã, ce a acoperit aproape cinci ani, a pierdut 691 milioane dolari (430
milioane lire sterline). Ca si în cazul Barings, a fost identificatã o eroare legatã de
structura organizationalã a departamentului de trezorerie al Allfirst. Activitãtile ilegale au
început în 1997 si au avut ca scop acoperirea unor pierderi rezultate din cumpãrarea de
contracte forward pe yen. În plus, în 1999 Rusnak a încheiat acorduri preferentiale cu o
serie de institutii financiare, printre care cu Bank of America si Citibank.
5
1.2. FACTORI GENERATORI DE RISC OPERAŢIONAL ÎN BĂNCI
6
Perturbări în activitate şi defecţiuni de sistem
Aceşti factori, intră, sunt integraţi în cele 5 arii (Fig.2) de cuprindere pe care
Comitetul de la Basel le-a propus pentru aplicare şi anume:
1. Oameni
2. Procese
3. Sisteme
4. Strategia de afaceri
5. Mediul de afaceri
7
din câte se pare va mai continua din moment ce băncile nu au soluţii pentru a stopa acest
lucru. Conform unui studiu realizat de BNR rata de fluctuaţie în băncile din România în
perioada 2005 -2007 este de 25% dupa cum se vede in figura 3.
1
www.raiffeisen.ro
8
informaţii.El este compus din două părţi şi anume partea de harware şi cea de software,
iar elementul de legătură dintre cele două este politica de securitate, ca ansamblu de
reguli şi proceduri de asigurare a integrităţii şi confidenţialităţii informaţiilor. În
condiţiile în care accesul rapid la informaţii este un element vital al succesului în acest
domeniu de activitate, sistemele informatice cu operare „în timp real” a datelor între
locaţiile băncilor sunt singurele viabile la momentul actual. În momentul de faţă pentru a
face faţă concurenţei majoritatea băncilor au trecut la sistemele informatice de tip
centralizat, ceea ce înseamnă că un client al băncii poate să ceară executarea
operaţiuniilor din orice sucursală a băncii la care are cont. Riscurile care apar sunt
inoperabilitatea sistemului, greşelile făcute de utilizatori, redundanţă (în cazul în care
banca foloseşte mai multe aplicaţii iar legăturile între bazele de date nu sunt construite
bine).
La nivel de proces riscurile apar ca urmare a definirii greşite a acestora şi apare
apoi în momentul în care aceste procese urmează a fi puse în producţie. Unul dintre
riscuri este de exmplu captura corecta a datelor ca urmare a definirii greşite a acestui
proces. El fiind primul pas în colectarea datelor unui client de exmplu are efecte în
etapele următoare când acel client va deschide un cont, va contracta un credit etc. Acest
risc este controlabil însă în fază incipientă (de la definirea acestui proces) şi poate fi
corectat iar dacă se corectează riscul este redus.
În figura 4 am prezentat componentele riscului operaţional care au ca sursă
oamenii, procesele şi sistemele iar pentru ca rezultatul final să fie satisfacţia clientului
toate componentele trebuie perfect corelate, executate corect şi controlate încă din
primele etape.
9
Fig4. Surse de risc operaţional - autorul
10
2. MODALITĂŢI DE EVALUARE A RISCULUI OPERAŢIONAL ÎN
BĂNCILE COMERCIALE
2
Aceşti doi paşi sunt adesea combinaţi deoarece în practică metodele folosite sunt relevante pentru
amândoi
11
1. Inventarul riscurilor
12
Studiile referitoare la impactul cantitativ efectuate în procesul care a dus la Basel
II, ne-au arătat că pierderiile sunt concentrate în jurul unor combinaţii de evenimente şi
linii de activităţi bancare. Baza de date pentru captarea acestor evenimente se poate
prezenta ca o simplă lista în care se enumeră tipurile de pierderi, suma înregistrtată,
departamentul în care au avut loc aceste pierderi, data înregistrării, data rezolvării etc.
Dar această modalitate de listă îşi arată limitele atunci cînd este vorba de o organizaţie
mai mare, când trebuie captate date de la diverse entităţi . Ca urmare aceste bănci mari
folosesc baze de date pentru captarea evenimentelor de această natură asignate pe
departamente, urmând ca acestea să fie apoi colectate la nivel de centrală. Datele
înregistrate în această bază pot fi cele pe care banca le consideră necesare pentru a-şi
analiza activitatea sau sunt date care urmează un anumit standard propus de instituţiile de
control. Este foarte important să nu existe înregistrări duplicat, să existe proceduri bine
definite de captare a acestor date.
3. Analiza proceselor
Acest pas este obligatoriu pentru abordarea avansată, şi are ca scop identificarea
posibilelor riscuri cu impact foarte mare dar care pană în momentul de faţă nu au apărut
în bancă. Faţă de baza de date pentru captarea evenimentelor trecute, această metodă
pune accentul pe riscurile operaţionale viitoare. Există o stransă legătură între analiza pe
13
bază de scenarii şi stress test-urile pentru că pe baza datelor obţinute din aceaste scenarii
se poate trece la aceste teste.
Aceste scenarii pot fi definite, de exemplu, în întreaga organizaţie cu factori de risc care
vor fi relevanţi pentru fiecare divizie, departament în parte. Obiectivele analizei pe bază
de scenarii are aspecte cantitative şi calitative:
Aspecte cantitative:
o Datele folosite pentru calcularea riscului de capital;
o Bază pentru folosirea stress testelor
Aspecte calitative:
o Identificarea slăbiciunilor băncii;
o Idei pentru optimizarea proceselor;
o Identificarea riscurilor în faze primare
Analizele pe bază de scenarii folosesc abordările „top-down” sau „bottom-up”. În
abordarea „top-down”, managerii identifică posibilele evenimente de pierderi
operaţionale din activităţiile de zi de zi ale băncii. Abordarea „bottom-up” poate începe
cu o analiză detaliată a proceselor, asumarea riscului şi asignarea probabilităţii şi
severitatea pierderii pentru posibile evenimente. Marile bănci folosesc abordarea „top-
down”.
Un exemplu de scenariu, este cel de mai jos, Figura.5, „scenario funnel”
(scenariul pâlnie), care ne arată întinderea scenariilor şi spectrul de situaţii de conceput în
viitor care se întind sub influenţa incidentelor şi a intervenţiei asupra lor de-a lungul
timpului.
14
Fig.5 Posibila turnură pe care o poate lua un incident ca urmare a intervenţiei asupra lui - autorul
15
2.2. MĂSURAREA ŞI CONTROLUL RISCULUI OPERAŢIONAL ÎN BĂNCILE
COMERCIALE
În acest capitol voi incerca o analiză a riscurilor operaţionale provenite din
infrastructură, informatică, procese, angajaţi şi evenimente externe căt şi masurile
generale şi cele specfice pentru fiecare categorie în parte.
16
Există resurse şi acces la informaţie disponibil? Pe lângă livrarea
materialelor necesare desfăşurării activităţii, banca trebuie să se asigure că personalul
cheie are acces la training adecvat pentru probleme care pot apărea în urma unor
evenimente neplăcute (incediu, cutremur etc);
Datorită dependenţei numeroaselor procese IT care trebuie să susţină activitatea
bancară în continuare voi prezenta un set de măsuri necesar pentru a răspunde cu succes
problemelor apărute:
Măsurile pentru continuare a activităţii (Business Continuity Plan) se
asigură că în momentul în care sistemul IT devine nefuncţional banca poate fi trecută pe
un sistem de rezervă sau pe unul temporar. În acest scop au fost recomandate câteva
variante posibile3:
o Sistemele de backup sunt folosite doar când este necesar: este cea
mai simplă dar şi cea mai înceată variantă;
o Serverele lucrează împreuna (cluster group) astfel încât în
momentul în care unul dintre ele devine inoperabil celelalte preiau
activitatea.
Recuperare în caz de dezastru (Disaster recovery) se referă la faptul de a
menţine operaţiunile critice pentru bancă să poată fi procesate în cazul în care are loc un
dezastru natural. În funcţie de volumul şi complexitatea activităţii de business a băncii şi
a sistemelor IT folosite, câteva soluţii sunt posibile cum ar fi:
o Contracte cu un furnizor extern pentru livrarea de echipamente
în cazul unui eveniment este cea mai simplă soluţie, dar trebuie să se asigure de faptul că
procedura de transfer de date este foarte bine pusă la punct şi poate fi transferată fără
riscuri pe un sistem de backup. Mai mult de atât această procedură este consumatoare de
timp în cazuri de urgenţă şi trebuie luat în calcul acest inconvenient în momentul în care
se alege această metoda. Această soluţie este considerată sursă de risc provenit din
outsourcing.
o Folosirea mediului de test al băncii ca şi soluţie de backup este
3
Verstaen, Business Continuity, 2003
17
o alternativă în cazul în care aceste medii au capacitatea necesară, aceste medii de test
oricum funţionează pe servere separate. Este o metodă foarte rar folosită, deoarece la
fiecare sfarşit de zi banca este nevoită sa-şi salveze datele de pe fiecare sistem;
o Stabilirea unui centru de backup al băncii – este soluţia cea mai
scumpă dar şi cea mai folosită şi cea mai sigură. Pe lângă faptul ca este un centru de
bakup folosit în situaţii de criză, acesta este un centru în care se poate lucra în paralel
astfel încât în momentul în care unul din ele devine indisponibil activtatea se poate
continua în celălalt centru.
Sursa neîntreruptă de furnizare a energiei (Uninterruptible
power supply
UPS) este deasemenea folosită în cazul în care alimentare cu energie cade. Acestea
trebuie să fie folosite inclusiv la computerele utilizatorilor ( dacă nu este posibil la
absolut toţi utilizatorii trebuie să fie la un număr cat mai mare din diferite compartimente
ale băncii);
Salvarea periodică a datelor este de o importanţă majoră
deoarece o parte
foarte mare din activitatea bancară se bazează pe aceste date datorită creşterii rapide a
tehnologiei. De aceea trebuie luate măsuri de siguranţă pentru a evita pierderea datelor
prin planificarea acestor salvări.
Riscurile provenite din infrastructură pot fi controlate prin asigurarea
echipamentelor, dar există şi asigurări cu specific cum ar fi asigurarea în caz de
întrerupere a activităţii. În acest caz trebuie prezentate pierderile înregistrate pentru a
primi despăgubirea.
Activitatea informatică are un rol din ce în ce mai mare asupra activităţii băncii,
ajută la procesarea tranzacţiilor, dar este şi o importantă sursă de risc operaţional.
Diferenţa majoră între riscurile prezentate anterior şi cele informatice este că aici ne
referim la ceva intangibil, cum ar fi software-ul, iar riscurile sunt următoarele:
18
Calitatea inadecvată a soft-ului folosit. Acest caz nu se
referă doar la soft-
urile personalizate pentru anumite bănci ci şi la cele care sunt implementate standard dar
datorită unor probleme duc la pierderi mari. Cele mai serioase probleme nu sunt doar cele
care duc la pierderea datelor din sistem ci cele care duc la căderea completă a aplicaţiei şi
cauzează pierderi mari până când sistemul va fi funcţional din nou.
Securitatea IT se manifestă prin accesul neautorizat la
sistemul băncii de
către terţi, de către personalul băncii sau viruşii informatici ca urmare a a utilizării
resurselor informatice a băncii în scopuri personale.
19
proporţii majore datorită dependenţei IT de numeroase procese care au fos externalizate.
Dacă provider-ul extern nu-si mai poate desfăşura activitatea duce la inoperabilitatea
sistemului şi incapacitatea băncii de a-şi mai desfăşura activitatea;
riscul juridic provine din neclarităţile contractuale cu partea
externă în
care nu sunt specificate foarte clar îndatoririle pe care trebuie să le aibă fiecare parte, mai
ales care sunt timpii minimi de răspuns când este vorba de inoperabilitatea sistemului,
procentajul de disponibilitate a aplicaţiei pe timpul de lucru a băncii, mentenanţa şi
suportul oferit;
odată cu aplicaţia livrată banca trebuie să se asigure de tot
suportul
furnizorului extern pentru a beneficia de training privind folosirea aplicaţiei. De obicei în
contractele cu furnizorii de soft se menţioneză deschiderea unei cutii de valorii în care se
ţin codurile sursă ale aplicaţiei furnizate iar în cazul în care firma frunizoare dispare de pe
piaţă toate drepturile de folosire aplicaţiei revin cumpăratorului;
Când se studiază riscul rezultat din procesele de business, primul pas este să
facem o distincţie între cazurile în care riscul nu se datorează dezvoltării proceselor
respective ci a persoanelor care folosesc aceste procese. Astfel există procese cu greşeli la
nivel de design incumbă un grad ridicat de risc operaţional. Aceste cazuri se regăsesc în
acele domenii în care aceste procese au fost construite fără o procedură definită în
prealabil.Această problemă poate îmbrăca diverse forme:
procese fără o definire clară, de exemplu a fost pierdut
foarte mult timp la documentaţia lui;
procese care au nu au mai fost revizuite şi există diferenţe
majore între ele şi ce se lucrează în practică;
cazuri extreme în care documentaţia pentru procese lipseşte
cu desăvârşire.
20
În toate aceste cazuri, există un risc de creştere a frecvenţei erorilor, în special
cand noi angajaţi sunt asignaţi pe aceste procese şi nu există o documentaţie adecvată iar
acest lucru face ca acest proces sa devină unul dificil. Cele mai bune metode de control a
acestor riscuri ar putea fi următoarele:
control paralel – după fiecare fază testată dintr-un proces trebuie
verificat rezultatul;
control aleatoriu – control al rezultatului la diferite momente ale
derulării procesului;
consistenţa datelor – verificarea consistenţei datelor în urma derulării
unui anumit proces.
Riscul acesta include toate domeniile de activitate ale băncii în care factorul uman
îşi pune amprenta, şi reprezintă sursă principală de risc. Acţiunile persoanelor care nu
sunt angajate în banca respectivă sunt considerate influenţe externe, iar ele vor fi
considerate surse de risc operaţional extern (vezi subcap.2.2.5). Numai acele acţiuni în
urma cărora se detectează o greşeală sau o acţiune deliberată a unei persoane angajate
care duce la apariţia unui eveniment produs de o persoană externă vor fi luate în calcul în
acest subcapitol.
21
Fig.7 Aspecte legate de riscul de personal –prelucrare autor
Riscurile principale din această categorie după cum se disting din Fig.7 sunt:
riscurile datorate actelor criminale ale angajaţiilor, acte comise cu
intenţia pentru un câştig personal şi/sau să cauzeze erori. Cele mai importante acte
criminale sunt: deturnare de fonduri, fraudă, corupţie, manipularea sistemelor IT, furt de
date;
erorile se datorează lipsei de training, necunoşterii aplicaţiei sau pur şi
simpla din rea voinţa;
riscul cauzat din insuficienţa resurselor umane se datorează faptului
supraîncărcării personalului existent şi se mai poate datora dezvoltării activităţii fără a
mai aduce personal sau a reducerii costurilor;
riscul de management chiar dacă este la fel ca şi cel pentru orice
angajat este tratat separat deoarece impactul pe care îl are este mult mai mare.
O metodă de control foarte folosită este aceea a culturii organizaţionale, ceea ce
înseamnă o metodă constructivă de a corecta erorile apărute. O cultură organizaţională
22
poate reduce riscul de fraude deliberate doar dacă principiile de etică în afaceri nu sunt
doar scris ci şi puse în practică. Alte componente mai sunt metodele de control care au ca
scop detectarea timpurie a erorilor şi includ:
stabilirea unor paşi de control şi aprobare în procesele de business;
documentaţie pentru diferite acţiuni sau tranzacţii pentru a putea fi
vizualizate pe viitor (de exemplu log-uri în care să se înregistreze modificări diferite din
sistem);
metode legate de cultura orgnizaţională, segregarea funcţiilor pentru a
preveni cazurile în care o persoană se supervizează pe ea insăşi.
23
Fig.8 Formele riscului juridic – prelucrare autor
Din toate riscurile enumerate mai sus la sfârşit derivă riscul juridic (Fig.8) o
formă de risc care nu este bine definită de Comitetul de la Basel ci doar enumerată şi
prezentată ca un efect al riscului operaţional.
Acest risc provine din următoarele:
contracte incomplete şi clauze neclare;
neîndeplinirea obiectivelor contractuale de către furnizorul extern;
În concluzie pentru un control eficient şi o acoperire cât mai bună în faţa riscului
operaţional băncile trebuie să-şi definească procesele, contractele în mod cât mai eficient
să nu existe lacune în documentaţii, o politică de personal cât mai eficientă, iar în ceea ce
priveşte departamentul de informatică să investească şi să-şi menţină infrastructura şi
aplicaţiile la un nivel cât mai ridicat.
Metodele descrise în acest capitol diferă între ele din motive de complexitate şi grad
de senzitivitate la risc şi formează baza pentru alocarea capitalului necesar pentru riscul
operaţional. Băncile sunt sfătuite să treacă de la abordările simpliste la cele mai complexe
şi cu o senzitivitate mai mare la risc iar în cele din urmă să-şi dezvolte propriile metode
pentru măsurarea şi controlul riscului. În acest sens aceste abordări urmează un design
revoluţionar după cum se vede în figura de mai jos:
24
Fig.9 Trecerea de la abordarea simplă la cea avansată – prelucrare autor
Este cea mai simplă metodă de calcul al capitalului necesar pentru riscul operaţional.
Este modelat pentru băncile mai mici luându-se în calcul gradul de complexitate al
afacerii lor şi ar fi nejustificabil efortul dacă ar trebui să dezvolte şi să implementze
metode mai avansate. Folosind această metodă capitalul alocat reprezintă 15% din
indicator după cum urmează:
Indicatorul reprezintă media ultimilor 3 ani a sumei venitului net;
Media ultimilor 3 ani este calculată pe baza veniturilor la sfârşitul anului
fiscal.
Dacă această informaţie nu este disponibilă se pot face estimări. Dacă pentru una
25
din cele 3 valori sau toate 3 valoare este negativă sau zero atunci această valoare nu se ia
în calcul. Acest indicator este relevant doar daca valorile sunt pozitive.
În concordanţă cu Directiva Uniunii Europene 2000/12 valorile acestea se
compun din:
Dobânzi de încasat
Dobânzi plătite
Venituri din dividende
Comisioane de încasat
Comisioane de plătit
Profit net sau pierdere
Alte venituri
Unde:
= capitalul alocat conform indicatorului
= ponderea cu 15%
26
vor fi incluse şi cheltuielile cu activităţile externalizate către terţe părţi, în cazurile în care
terţa parte nu este societatea-mamă sau filială a instituţiei sau filială a societăţii-mamă a
instituţiei. Instituţiile pot deduce cheltuielile cu activităţile externalizate în situaţia în care
entitatea prestatoare a serviciilor externalizate este supusă cerinţelor prudenţiale
aplicabile instituţiilor de credit din România sau unor cerinţe prudenţiale echivalente.
Nu se includ în calculul rezultatului brut anual al activităţii profiturile sau
pierderile rezultate din vânzarea elementelor neincluse în portofoliul de tranzacţionare,
veniturile extraordinare şi veniturile din asigurări.
Sumele reprezentând ajustări asupra valorii elementelor incluse în
portofoliul de tranzacţionare pot fi incluse în calculul rezultatului brut anual al activităţii,
în cazul în care ele se regăsesc în contul de profit şi pierdere. Ajustările asupra valorii
titlurilor de tranzacţie, care se regăsesc în contul de profit şi pierdere, trebuie incluse în
calculul rezultatului brut anual al activităţii.
Sucursalele instituţiilor de credit, respectiv ale firmelor de investiţii din
state terţe care nu aplică Reglementări contabile conforme cu Directiva 86/635/EEC vor
calcula rezultatul brut anual al activităţii pe baza elementelor care reflectă cel mai fidel
prevederile art. 6-8 şi art. 9 lit. a)- c).
27
Brokeraj 12%
Activitate bancara comerciala 15%
Activitate bancara retail 12%
Plati si de decontari 18%
Servicii de agent 15%
Administrarea activelor 12%
Tabel 1 – Liniile de activitate conform Basel II
Principii de încadrare pe linii de activitate
1. Instituţiile, altele decât cele care aplică abordarea de bază în scopul
determinării cerinţei de capital aferente riscului operaţional, au obligaţia să stabilească
politici şi criterii adecvate de încadrare a diferitelor activităţi pe cele opt linii şi să le
transpună în mod clar şi transparent în normele interne.
2. Criteriile de încadrare pe linii de activitate trebuie analizate periodic şi ajustate
în mod adecvat în cazul activităţilor şi riscurilor noi sau al celor care au suferit
modificări.
3. Încadrarea activităţilor instituţiei pe linii trebuie să respecte următoarele
principii:
a) Toate activităţile trebuie încadrate pe cele opt linii, respectându-se
criteriul de apartenenţă exclusivă a unei activităţi la o singură linie;
b) Orice activitate care nu poate fi încadrată cu uşurinţă pe o anumită linie,
dar care reprezintă în fapt o operaţiune auxiliară a unei activităţi deja încadrate, trebuie
alocată liniei de activitate în care se regăseşte activitatea pe care o sprijină. Dacă o
operaţiune auxiliară susţine mai multe activităţi, instituţia trebuie să stabilească şi să
utilizeze un criteriu obiectiv de încadrare;
c) Dacă o activitate nu poate fi încadrată pe o anumită linie, activitatea va
fi inclusă în linia căreia îi este atribuită cea mai mare cotă de risc operaţional. Pe aceeaşi
linie de activitate vor fi încadrate şi operaţiunile auxiliare asociate activităţii în cauză;
d) Activităţile compuse, indiferent de modul în care sunt definite şi
organizate în instituţie, trebuie descompuse în părţi relevante. Acestea din urmă vor fi
încadrate, în funcţie de natura şi caracteristicile lor, pe linia de activitate corespunzătoare;
e) Încadrarea activităţilor pe linii, pentru scopul determinării cerinţei de
28
capital aferente riscului operaţional, trebuie să fie în concordanţă cu categoriile utilizate
pentru riscul de credit şi riscul de piaţă;
f) Conducerea executivă răspunde de implementarea politicii de încadrare
a activităţilor pe linii. Această politică este supusă aprobării Consiliului de administraţie
al instituţiei;
g) Procesul de încadrare pe linii de activitate trebuie să facă periodic
obiectul unei examinări independente.
4. Instituţiile vor aplica principiile enunţate în cadrul acestei anexe, în mod cât
mai corespunzător, şi în cazul alocării rezultatului brut anual al activităţii pe linii de
activitate.
În plus, instituţiile pot utiliza metode interne de stabilire a preţurilor pentru
scopul alocării rezultatului brut anual al activităţii pe liniile de activitate relevante.
Costurile generate de activităţile incluse într-o anumită linie, dar care sunt imputabile
unor activităţi dintr-o altă linie, pot fi realocate liniei de activitate căreia îi aparţin de
drept, utilizând un mecanism de transfer intern de costuri.
unde
= necesarul de capital folosind metoda de abordare standard
Pentru valori negative prin Directiva Uniunii Europene din 12/2000 a fost stabilit
ca în fiecare an în care valoare este negativă pe o singură activitate de business se poate
29
trece valoarea, dar dacă valoarea va fi negativă pe un an pe toate liniile de business atunci
se va trece zero la toate poziţiile.
Această metodă este caracterizată printr-un nivel mai mare de complexitate şi
senzitivitate a riscului faţă de metoda precedentă. Pentru a putea utiliza această metodă
băncile trebuie să îndeplinească următoarele cerinţe:
Trebuie să deţină un management al riscului bine documentat, cu
reponsabilităţi clare. Vor identifica expunerea la riscul operaţional, să
urmărească datele privind riscul operaţional inclusiv pierderile;
Asumarea sistemului de risc operaţional trebuie să fie în strânsă legătură
cu procesele de management ale băncii. Intrările de date trebuie să fie
parte integrantă a proceslui de monitorizare şi control al băncii;
Dezvoltarea de proceduri care să reprezinte măsuri clare de control şi
monitorizare a riscului operaţional.
30
respectarea prevederilor art. 11 din Regulamentul Băncii Naţionale a României şi al
Comisiei Naţionale a Valorilor Mobiliare nr. 24/29/2006, precum şi politicile şi criteriile
instituţiei de credit pentru încadrarea activităţilor pe cele 8 linii prevăzute în anexa nr.
1 la acelaşi regulament; formularul 13 OPR - Riscul operaţional prevăzut în anexa nr. 1 la
Ordinul Băncii Naţionale a României nr. 12/2007 privind raportarea cerinţelor minime de
capital pentru instituţiile de credit completat, însoţit de prezentarea modalităţii în care
sunt determinaţi indicatorii relevanţi pentru liniile de activitate;
o notă în care să se specifice, dacă este cazul, momentul de la care
instituţia de credit a început folosirea abordării standard pentru scopuri interne.
Instituţiile de credit trebuie să comunice Băncii Naţionale a României
Persoana responsabilă cu menţinerea relaţiei cu Banca Naţională a României şi
înlocuitorul acesteia.
Documentul prin care se face certificarea, menţionat la art. 5 alin. (1) lit.
a), trebuie să fie semnat de o persoană autorizată să angajeze instituţia de credit.
Documentul prevăzut la alin. (1) este necesar inclusiv în cazul
în care Banca Naţională a României efectuează o evaluare proprie pentru a stabili dacă
instituţia de credit este conformă cu cerinţele impuse prin Regulamentul Băncii Naţionale
a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 24/29/2006 pentru
abordarea standard.
În cadrul procesului de autoevaluare trebuie avute în vedere aspectele la
care se face referire în cadrul capitolului III, aspecte ce vor fi vizate în cadrul
documentului prevăzut la art. 5 alin. (1) lit. a).
În măsura în care este necesar, autoevaluarea poate fi realizată cu sprijinul
echipelor de auditori externi.
La întocmirea raportului de audit intern prevăzut la art. 5 alin. (1) lit. a)
vor fi avute în vedere adecvarea sistemului de administrare a riscului operaţional şi a
procesului de autoevaluare, fiind urmărită conformitatea cu cerinţele specifice.
În cazul în care o instituţie de credit persoană juridică română este
societate-mamă şi la nivelul grupului se intenţionează utilizarea abordării standard pentru
determinarea cerinţei de capital pentru riscul operaţional, cererea de aprobare la nivel de
grup trebuie depusă de către instituţia de credit-mamă la Banca Naţională a României.
31
În cazul în care o instituţie de credit persoană juridică română este filială a
Unei instituţii de credit-mamă la nivelul Uniunii Europene, iar la nivelul grupului se
intenţionează utilizarea abordării standard pentru determinarea cerinţei de capital pentru
riscul operaţional, instituţia de credit persoană juridică română trebuie să solicite
aprobarea Băncii Naţionale a României, chiar dacă instituţia de credit-mamă a depus deja
o cerere scrisă în acest sens pentru întregul grup la autoritatea competentă responsabilă cu
supravegherea ei.
În cazurile indicate la alin. (2), Banca Naţională a României poate accepta,
de la caz la caz, ca autoevaluarea să fie realizată la nivel de grup, şi nu la nivel individual,
dacă este respectat principiul proporţionalităţii, respectiv dacă dimensiunea şi
complexitatea activităţilor derulate de filială sunt adecvat considerate în cadrul analizei
grupului.
Instituţiile de credit vor comunica Băncii Naţionale a României, odată cu
informaţiile furnizate potrivit art. 5, structura grupului din care fac parte, autorităţile
competente responsabile de supravegherea membrilor acestuia, precum şi abordările
utilizate de aceştia.
Cererea de aprobare depusă de instituţiile de credit va fi însoţită de
informaţii exacte şi complete, furnizate Băncii Naţionale a României.
32
Uniunii Europene sau este filială a unei societăţi financiare holding-mamă la nivelul
Uniunii Europene şi dacă se intenţionează utilizarea la nivel de grup a abordării avansate
de evaluare, orice cerere de aprobare adresată Băncii Naţionale a României trebuie să fie
însoţită atât de o documentaţie cât şi de o descriere a metodologiei folosite pentru
alocarea capitalului aferent riscului operaţional între entităţile din cadrul grupului.
Cererea va indica dacă şi în ce manieră se intenţionează să se includă efectele
diversificării în sistemul de cuantificare a riscului operaţional.
33
cantitative şi calitative corespunzătoare. Sistemul de cuantificare a riscului operaţional
trebuie să fie consecvent pe plan intern şi trebuie să evite luarea în considerare de mai
multe ori a rezultatelor pozitive ale evaluărilor calitative sau a tehnicilor de diminuare a
riscului, care au fost deja recunoscute în alte segmente ale cadrului de adecvare a
capitalului.
Datele interne
34
referitoare la valorile brute ale pierderilor înregistrate, data evenimentului şi eventualele
sume recuperate din valoarea brută a pierderii şi să asigure o descriere succintă a cauzelor
sau factorilor care au condus la producerea evenimentului de pierdere. Instituţia de credit
trebuie să stabilească criterii specifice pentru repartizarea informaţiilor cu privire la
pierderea provocată de un eveniment asociat unei funcţii centralizate sau de o activitate
comună mai multor linii de activitate, precum şi la pierderea cumulată rezultată din
evenimente legate în timp. Instituţia de credit trebuie aplice proceduri formalizate pentru
evaluarea relevanţei în timp a datelor istorice privind pierderile. Aceste proceduri se vor
referi inclusiv la situaţiile în care sunt utilizate reparametrizări în baza unei judecăţi
profesionale, scalări/redimensionări sau alte ajustări, măsura în care acestea pot fi
utilizate şi persoanele abilitate să decidă în acest sens.
Datele externe
Analizele de scenarii
35
Factorii legaţi de mediul de afaceri şi controlul intern
În continuare voi prezenta o analiză efectuata la una din băncile din România,
analiză referitoare la sursele de risc operaţional ale băncilor precum şi limitele
indicatorilor care se referă la acest risc. Banca analizată foloseşte pentru alocarea
capitalului necesar riscului operaţional metoda de abordare standard. În anexa 1 am
alcătuit un raport pe perioada 01.ianuarie.2008 – 30.octombrie.2008 în care am valoarile
pe care le-au luat aceşti indicatori. În prezentul referat mă voi axa în continuare doar pe
următoarele surse de risc operaţional:
Angajaţii băncii
Tranzacţiile efectuate prin diverse canale bancare
Disponibilitatea sistemelor informatice ale băncii
36
Consider ca sursa principală de risc operaţional a unei bănci o reprezintă
personalul angajat iar pentru contracararea lui banca are nevoie pe lângă o cultură
organizaţională adecvată şi de un set de reguli şi politici bine documentate şi aplicate în
practica de zi cu zi.
În figura de mai jos am reprezentat indicatorul care verifică fluctuaţia de
personal pe anumite perioade de timp şi după cum se poate observa banca analizată a
avut doar în luna mai a anului curent o creştere foarte mare a acestui indicator dar totuşi
se menţine în intervalul acceptat de bancă şi anume ±4,1%. Limita minimă de personal pe
care banca o acceptă este de 2.815 angajaţi( limită calculată în funcţie de numărul de
sucursale, aplicaţii bancare, număr de clienţi). Sub aceasta limită ca plan de avarie va
încheia contracte de colaborare pe perioade determinate cu diverse firme de forţă de
muncă care preiau atribuţiile diverselor posturi rămase libere. Ţin să precizez că este
vorba de posturi din front office, casierie, relatii cu clienţii, nefiind posturi de cordonare
sau de conducere. Această analiza este livrată permanent de către departamentul de risc
operaţional către departamentul de resurse umane al băncii astfel în orice moment se
poate vedea daca indicatorul calculat creşte sau descreşte peste limitele acceptate.
Fluctuatia de personal Max 4,11% Indicatorul arata procentul angajatilor care parasesc banca din totalul
angajatilor existenti
1.20
1.00
0.80
Procentaj 0.60
0.40
0.20
0.00
Ian Feb Mar Apr Mai Iun Iul Aug Sep Oct
Perioada
37
Fig.10 – Fluctuatia de personal a bancii
Tranzacţii în numerar
Tranzacţii din carduri
4
Numar tranzactii
0
Ian Feb Mar Apr Mai Iun Iul Aug Sep Oct
Perioada
38
Tranzacţiile cu carduri reprezintă deasemenea o sursă importantă de risc
operaţional. După cum se poate observa valoare maxima a fraudelor dintr-o lună de zile a
fost de 300.000 de RON, iar valoare maximă previzionată de bancă este de 282,000
RON. Suma totală a tranzacţiilor cu carduri în perioada analizată se ridică la 1,150,143
RON pe când suma previzionată de bancă pe această perioadă a fost de 2,820,000, ceea
ce reprezintă 40% din suma previzionată. Este oricum îngrijorător faptul că aceste
tranzacţii tind să crească de la o lună la alta, majoritatea băncilor s-au confruntat în acest
an cu acest fel de probleme. Ca şi soluţii banca analizată şi-a propus introducerea
cardurilor cu chip ( un grad mai mare de siguranţa), upgradarea sistemelor de securitate a
cardurilor, precum şi micşorarea limitelor zilnice a valorilor operaţiunilor cu carduri şi
anume la maxim 1500 RON de la ATM şi maxim 1000 EUR de la POS. Pentru mărirea
acestor limite clientul trebuie să sune la serviciul carduri, să se autentifice, iar în urma
acestui proces limita se va ridica, dar doar pentru acea tranzacţie. Dacă doreşte în aceeaşi
zi o noua tranzacţie care va depăşi limitele setate va trebui să reia procedeul descris mai
sus.
300,000
250,000
200,000
Valoare 150,000
100,000
50,000
0
Ian Feb Mar Apr Mai Iun Iul Aug Sep Oct Nov Dec
Perioada
39
Disponibilitatea sistemelor informatice este a treia sursa de risc operaţional
studiată în cadrul acestei analize şi reprezintă timpul în care aplicaţiile folosite de bancă
sunt online – pot fi folosite şi se pot face operaţiuni. Se calculează ca procent din numărul
tot de ore într-o lună şi este obligatoriu să nu fie mai mic de 96%. În figura de mai jos am
prezentat disponibiliatea prinicipalelor aplicaţii pe care le foloseşte banca analizată.
Indicatorul se calculeaza în felul următor:
12
10
Ore 6
0
Ian Feb Mar Apr Mai Iun Iul Aug Sep Oct Nov Dec
Perioada
40
producţie, o mai bună gestiune a aplicaţiilor, căt şi trecerea la nivele mai mari de suport
acordate de către furnizori.
CONCLUZII
41
(2) modul în care indicatorii de performanţă ai personalului precum şi remuneraţia
acestuia reflectă toleranţa băncii pentru riscurile operaţionale (daca aceşti indicatori sunt
corespunzători pentru măsurarea performanţei).
42
În cazul sistemelor informatice trebuie să ţină seama de:
43
BIBLIOGRAFIE
CARTI
44
9) Dorfman M., Introduction to Risk Management and Insurance, Editura
Prentice Hall, 1997
10) Dowd K., Beyond Value at Risk : The New Science of Risk Management,
Editura John Whiley & Sons, Anglia, 1998
11) Georgescu F., Stadiul pregătirii pentru aplicarea reglementarilor Basel
12) Georgescu-Goloşoiu L., Business of Banking, Editura ASE, Bucureşti,
2000
13) Ionescu L. C., Fundamentele profesiunii bancare ; Bǎncile şi
operaţiunile bancare, Institutul Bancar Român, Editura Economicǎ, 1996
14) Jorion P., Value at Risk – The New Benchmark for Controlling Market
Risk, Editura McGraw-Hill, California, 1997
15) Mehr R. L., Hedge R. A., Risk Management. Concepts and Applications,
Homewood, Illinois, Richard D. Irwin, Inc., 1973
16) Mina J., Yi Xiao J., Return to RiscMetrics - Evolution of a standard,
Riskmetrics Group, 2001
17) Negoescu Gh., Risc şi incertitudine în economia contemporană, Editura
Alter-Ego Cristian, Galaţi, 1995
18) Niţu I., Managementul riscului bancar, Editura Expert, Bucureşti 2000
19) Păun C., Păun L., Riscul de ţară, Editura Economică, Bucureştii, 1999
20) Patriciu V. V., Ene-Pietroşanu M., Bica I., Vǎduva C., Voicu N.,
Securitatea comerţului electronic, Editura All, Bucureşti, 2001
21) Pintea A., Ruscanu G., Bǎncile în economia româneascǎ, Editura
Economicǎ, Bucureşti, 1995
22) Rejda G. E., Principles of Risk Management and Insurance, 7th Edition
2000
23) Rotaru C., Managementul performanţei bancare, Editura Expert,
Bucureşti, 2001
24) Roxin L., Gestiunea Riscurilor bancare, Editura didactică şi pedagogică,
Bucureşti, 1998
25) Solberg R. L., Country - risk analysis - A handbook, Editura
Routledge, New York 1992
45
26) Stoica M., Management bancar, Editura Economicã, Bucureşti, 1999
27) Trufaşu M. C., Constantinescu G. C., Securizare e-banking şi metode de
securizare a transferului electronic de date într-un sistem bancar,
28) Trufaşu M. C., Constantinescu G. C., Metoda căutării euristice, Revista
de Informatică Economică ASE Bucureşti , 2004
29) Trufaşu M. C., Constantinescu G. C., 7 Reasons for migrating legacy
systems, Revista de Informatică Economică ASE Bucureşti, 2005
STUDII
Jensen H., Optimal degrees of transparency in monetary policymaking,
Copenhaga, Discussion paper 04/01, Economic Research Centre of the
Deutsche Bundesbank, aprilie 2001
REVISTE
Revista de Informatică Economică ASE Bucureşti, 2004
46
Market Watch,
SITE-URI
www.bnr.ro
www.internetworldstats.com
www.forrester.com;
www.efinance.ro
www.datamonitor.com;
www.insse.ro
47
ANEXA 1 – SURSE DE RISC OPERATIONAL ŞI LIMITELE INDICATORILOR DE CALCUL A RISCULUI
Praguri critice/
Nume Ian Feb Mar Apr Mai Iun Iul Aug Sep Oct
limite (lunar)
Min numar total
Angajati
FTE calculate 3,000 3,003 3,001 3,002 3,002 2,999 3,003 3,013 3,002 2,991
existenti
(2815)
* In corelatie cu
Angajati care
fluctuatia de 15 22 13 16 35 14 22 25 30 14
parasesc banca
personal
Fluctuatia de
Max 4,11% 0.50 0.73 0.43 0.53 1.17 0.47 0.73 0.83 1.00 0.47
personal
* In corelatie cu
Angajati noi fluctuatia de 12 20 14 16 32 18 32 14 19 10
personal
Cazuri suspecte
de spalarea Max 15 3 7 9 4 15 0 12 17 0 4
banilor
Disponibilitatea
Min 98%
sistemelor - 5 12 4 9 6 3 2 3 4 5
disponibilitate
Core banking
Disponibilitatea
sistemelor -
Min 98,5%
Internet 6 5 4 5 5 6 7 8 5 4
disponibilitate
Banking,
Multicash
Disponibilitatea
sistemelor - Min 98%
7 5 5 6 5 4 5 3 5 1
Domestic disponibilitate
Payments
Disponibilitatea
Min 98,5%
sistemelor - 3 7 5 4 5 6 8 7 8 9
disponibilitate
Plati externe
Disponibilitatea
Min 98%
sistemelor - 8 7 8 9 3 6 9 6 9 2
disponibilitate
CMS
Disponibilitatea
Min 98%
sistemelor - 7 2 6 3 2 3 4 5 6 7
disponibilitate
Casierie
Disponibilitatea
Min 98%
sistemelor - 6 10 2 7 3 6 2 3 7 9
disponibilitate
Custodie
Disponibilitatea
Min 98%
sistemelor - 4 4 7 8 8 6 4 5 4 10
disponibilitate
Wall Street
Disponibilitatea
sistemului de
Max 150 140 132 156 147 155 114 126 127 124 122
autorizare pt
cardurilor
Disponibilitatea
sistemului de
Max 330 254 325 220 147 356 263 162 144 347 109
autorizare
Romcard
Chargeback-uri
acceptate pt
Max 368 378 256 345 287 271 252 234 215 197 179
Chip Liability
Shift
Fraude emitere
Max 236 114 241 125 321 327 377 200 478 529 119
- numar
Frauda
Acceptare - Max 15 7 3 6 9 9 9 17 11 12 13
numar
49
Frauda
Acceptare - Max 10.000 RON 8,745 9,200 9,874 11,200 6,874 8,656 8,482 8,308 8,133 7,959
valoare
Reclamatii
Max 300 256 98 140 321 263 287 145 240 246 252
clienti
Max 60% din
Reclamatii
numarul total de 57% 45% 36% 25% 68% 74% 45% 58% 60% 62%
intemeiate
reclamatii
Amenzi si
Max 24 14 10 21 15 16 18 19 29 21 22
penalitati
50