Sunteți pe pagina 1din 27

CURS 3

1. CERINE PRIVIND PERFECIONAREA MANAGEMENTULUI RISCURILOR N INSTITUIILE DE CREDIT, PREVZUTE N ACORDUL BASEL II Primul Acord Basel din 1998 a stabilit un raport de minim 8% ntre capitalurile proprii i expunerea bncii. Practica a demonstrat ns c ntre nivelul capitalului i risc este dificil de stabilit un raport, pot exista situaii cnd riscurile asumate de bnci sunt mici i limita de 8% devine costisitoare i situaii cnd limita nu este suficient dac bncile se expun la riscuri semnificative. Obiectivul general al Acordului Basel II este acela de a promova capitalizarea adecvat a bncilor i de a susine dezvoltarea mangementului riscului, consolidnd astfel stabilitatea sistemului financiar. Obiectivul este realizat prin introducerea a trei coloane care se suin una pe cealalt i care creaz stimulente pentru bnci de a perfeciona calitatea proceselor de control. Prima coloana reprezint consolidarea semnificativ a necesarului minim stabilit de Acordul din 1988, iar a doua i a treia coloan reprezint completrile inovatoare la supravegherea capitalului. Noul Acord Basel II identific mult mai bine riscurile cu care se confrunt instituiile de credit, pentru c vizeaz i alte riscuri dect cele de credit i de pia. Acest lucru semnaleaz importana care este acordat acestor riscuri, n sensul c manifestarea lor poate cauza instituiilor de credit pierderi semnificative. Atenia noului acord este deci ndreptat spre riscul operaional cu care se confrunt instituiile de credit. Obiectivele Acordului Basel II, se refer n principal la: - Asigurarea unui cadru mai flexibil pentru stabilirea cerinelor de capital, adecvat profilului de risc al instituiilor de credit ; - Consolidarea premiselor pentru stabilitatea sistemului financiar. Obiectivele BNR cu privire la implementarea Basel II pot fi sintetizate astfel: - dezvoltarea sistemelor de management al riscului la nivelul instituiilor de credit ; - transpunerea n legislaia primar i secundar a noilor cerine prudeniale; - dezvoltarea mijloacelor de supraveghere prudenial adecvate noului context. n abordarea conceptului de stabilitate financiar, considerm c trebuie s se ia n considerare dou metode de abordare. Prima metod se refer la factorii de risc care deriv din interiorul sistemului financiar precum creditul i lichiditatea. Cea de-a doua metod se refer la riscurile care provin din afara sistemului financiar. Pe aceast zon a riscurilor remarcm n mod deosebit: - creterea semnificativ a datoriei i preurilor activelor; - disfuncionaliti macroeconomice precum majorarea preurilor mrfurilor sau dezechilibrele semnificative din economia mondial. Noua structur a acordului Basel II are la baz trei piloni (fig.1.1.):

PILONUL1

PILONUL2

PILONUL3

Fig. 1.1. Acordurile de la Basel Cerinele minime de capital


Pilonul 1, se refer la cerina de adecvare a capitalului permite identificarea a trei componente ale riscului : riscul de credit, riscul de pia i riscul operaional.1

Pilonul 1 din noul Acord de Capital revizuiete restriciile impuse prin Acordul din anul 1988 aliniind necesarul minim de capital la riscul concret al pierderilor economice pentru fiecare banc, astfel: n primul rnd, Basel II ia n calcul riscul pierderilor referitoare la credit, n general prin impunerea unor niveluri mai mari de capital pentru acele credite care se presupune c reprezint un risc mai mare. n acest sens se pot identifica trei opiuni prin care bncile i supraveghetorii pot alege o abordare ct mai potrivit complexitii activitilor i controalelor interne ale unei bnci: o Prin abordarea standardizat a riscului referitor la credite, bncile care practic forme mai simple de creditare i cu girani i care au structuri de control mai simple, pot utiliza evalurile externe ale riscului presupus de credit pentru a evalua calitatea creditului clientelei n scopul adecvrii capitalului. o Bncile care i-au dezvoltat sisteme mai complexe de evaluare a riscului i de asumare a riscului, cu aprobarea supraveghetorilor naionali, pot alege una dintre cele dou abordri bazate pe ratingul intern (IRB) pentru riscul presupus de creditare. Folosind o abordare IRB, bncile se bazeaz parial pe propria lor evaluare a riscului privitor la creditul clientului pentru a determina necesarul de capital, supus datelor stricte, validrii i cerinelor operaionale. n al doilea rnd, noul Acord stabilete un necesar explicit de capital pentru expunerile bncii la riscul pierderilor cauzate de deficienele sistemului, a proceselor sau a personalului sau cauzate de evenimente externe, cum sunt dezastrele naturale. Similar gamei de opiuni pentru evaluarea expunerilor la riscul privitor la credit, bncile vor alege una dintre cele trei abordri de evaluare a expunerii la riscul operaional asupra cruia att bncile, ct i supraveghetorii acestora, vor cdea de acord asupra calitii i complexitii controalelor interne asupra acestui domeniu al riscului. n al treilea rnd, aliniind necesarul de capital propriilor evaluri ale bncii la expunerea la riscul de credit i la riscul operaional, Cadrul Basel II ncurajeaz bncile s-i perfecioneze aceste evaluri. De asemenea, se ofer stimulente explicite n forma necesarului redus de capital pentru a adopta att evaluri mai comprehensive i mai precise ale riscului, ct i procese mai eficiente de control ale expunerii la risc.
1

H.v. Greuning, S. Brajovic Bratovovic Op.cit., p.73

Pilonul 2 se refer la supravegherea procesului intern de evaluare a capitalului. n acest sens, se urmrete ntrirea controlului pe care bncile centrale l pot avea asupra instituiilor de credit, lund n considerare strategiile active i riscurile excesive pe care i le pot asuma companiile. Pilonul 2 a noului acord de capital admite necesitatea unei revizuiri de supraveghere eficiente a evalurii interne a bncilor asupra riscurilor totale pentru a se asigura c managementul bncii procedeaz corect i aloc un capital corespunztor pentru aceste riscuri, astfel: Supraveghetorii naionali vor evalua activitile i profilele riscurilor pentru bncile individuale pentru a determina dac aceste organizaii trebuie s dein nivele mai ridicate de capital dect se specific a fi necesarul minim n Coloana 1 i de a identifica aciunile corectoare care trebuie ntreprinse; Comitetul de la Basel consider c, atunci cnd supraveghetorii trebuie s impun bncilor s dezvolte structuri solide de control i s perfecioneze aceste procese de control. Acordul Basel II prevede c bncile centrale vor fi abilitate s stabileasc nivelul minim de resurse ale bncii, necesare pentru intermedierea bancar i pot stabili cerine mai mari dect raportul minim convenit (adic rezerve mai mari sau mai mici n funcie de profilul de risc al instituiei de credit). Experiena crizei financiare a scos la lumin deficiente majore ale supravegherii n sectorul financiar, att n cazuri individuale, ct si la nivelul sistemului n ansamblu. Mecanismele de supraveghere actuale s-au dovedit incapabile s previn, s gestioneze si s soluioneze criza. Modelele naionale de supraveghere nu au reuit s tin pasul cu realitatea pieelor financiare europene actuale, bazate de integrare si interconectare, n cadrul crora numeroase societi financiare desfoar activiti transfrontaliere. Criza a adus n prim plan probleme grave la nivel de cooperare, coordonare, coerent si ncredere ntre autoritile naionale de supraveghere. n noiembrie 2008, Comisia a ncredinat unui grup la nivel nalt prezidat de Dl Jacques de Larosire misiunea de a propune Comisiei recomandri cu privire la modalitile de consolidare a mecanismelor europene de supraveghere, n vederea unei protecii mai eficiente a cetenilor si pentru a reinstaura ncrederea n sistemul financiar. Fiind una dintre cele mai mari dou piee financiare din lume, UE are responsabilitatea clar de a promova stabilitatea si securitatea financiar la nivel mondial, rol pe care l poate ndeplini numai avnd ea nsi un cadru solid de reglementare si supraveghere. Raportul final prezentat de grupul de Larosire la 25 februarie 2009 a propus o viziune pragmatic si echilibrat asupra unui nou sistem de supraveghere financiar european. Aceast viziune are la baz propuneri de consolidare a cooperrii si coordonrii dintre autoritile naionale de supraveghere. Acest lucru se poate realiza, printre altele, prin crearea unor noi autoriti europene de supraveghere si, pentru prima dat, prin nfiinarea unui organism la nivel european, a crui misiune s fie supravegherea sistemului financiar n ansamblu n scopul supravegherii riscurilor.

UN NOU CADRU DE SUPRAVEGHERE PENTRU UE Dup cum anuna n comunicarea din 4 martie 2009, Comisia va propune ca noul cadru european de supraveghere financiar s fie alctuit din doi noi piloni (a se vedea figura de mai jos):

- un Consiliu European pentru Riscuri Sistemice (European Systemic Risk Council ESRC) care va monitoriza si evalua pericolele poteniale pentru stabilitatea financiar care rezult n urma evoluiilor macroeconomice si a celor din cadrul sistemului financiar n ansamblu (supraveghere macroprudential). n acest scop, misiunea ESRC ar fi aceea de a emite din timp avertismente cu privire la riscurile sistemice susceptibile de a aprea si, dac este necesar, recomandri cu privire la msurile care se impun n vederea gestionrii riscurilor respective. Crearea ESRC va soluiona una dintre problemele fundamentale evideniate n contextul crizei, si anume vulnerabilitatea sistemului financiar n fata unor riscuri sistemice sectoriale si transsectoriale interconectate complexe si - un Sistem European al Autoritilor de Supraveghere Financiar (European System of Financial Supervisors - ESFS) format dintr-o reea puternic a autoritilor naionale de supraveghere financiar care s lucreze n parteneriat cu noile autoriti europene de supraveghere pentru a asigura soliditatea financiar la nivelul societilor financiare individuale si protecia utilizatorilor de servicii financiare (supraveghere microprudential). Noua reea european va fi ntemeiat pe responsabiliti comune, care se consolideaz reciproc, combinnd supravegherea la nivel naional a firmelor cu centralizarea anumitor sarcini la nivel european. Astfel, se vor promova norme armonizate si se va ncuraja coerenta practicilor de supraveghere si de aplicare a reglementrilor. Aceast reea ar trebui s se bazeze pe principiile parteneriatului, flexibilitii si subsidiarittii. Scopul su ar fi sporirea ncrederii ntre autoritile naionale de supraveghere garantndu-se, printre altele, c autoritile de supraveghere din tara gazd au un cuvnt de spus n stabilirea politicilor legate de stabilitatea financiar i de protecia consumatorului si c riscurile transfrontaliere pot fi astfel gestionate mai eficient. Implementarea ambilor piloni ai noului sistem de supraveghere este esenial pentru realizarea unor sinergii importante, pentru consolidarea reciproc a impactului asupra stabilitii financiare, precum si pentru asigurarea unui cadru de supraveghere macro-micro conectat integral. Consolidarea reglementrilor UE n sectorul serviciilor financiare ar fi ineficient dac s-ar menine un sistem de supraveghere care a dat dovad de multiple deficiente n vremuri de criz. n paralel, se impune ca diferentele de transpunere a legislaiei comunitare de la o tar la alta, rezultate n urma exceptrilor, derogrilor, adugirilor sau ambiguitilor actualelor directive, s fie identificate si nlturate, astfel nct s se poat defini si aplica un set principal armonizat de standarde (o reglementare unic) pe ntreg teritoriul UE si de ctre toate autoritile de 4

supraveghere. Acest proces poate fi amplificat prin introducerea unor norme aplicabile ntr-un mod mai direct la nivelul UE, acolo unde este posibil. Noul cadru european de supraveghere financiar trebuie s rspund integral n fata autoritilor politice din UE. El trebuie s creeze o cultur comun n domeniul supravegherii, s tin'cont de interesele tuturor statelor membre si de nevoia unei relaii echilibrate, consolidate si care s ntreasc ncrederea ntre autoritile din tara de origine si cele din tara gazd. Trebuie s fie un sistem bazat pe standarde nalte n materie de supraveghere, aplicat n mod echivalent, corect si coerent tuturor actorilor de pe pia, respectndu-se n acelai timp independenta autoritilor de supraveghere n ndeplinirea datoriilor care le revin. Prin aceast iniiativ, UE rspunde apelurilor lansate n cadrul G20 cu privire la aciunile internaionale necesare pentru crearea unui sistem de reglementare si supraveghere mai puternic si mai coerent la nivel mondial pentru viitorul sector financiar3 si, mai mult, pune bazele unui cadru regional modern si complex, ale crui principii ar trebui preluate si aplicate si la nivel internaional. Pilonul 3 vizeaz disciplina i transparena pieei. Transparena din partea instituiilor de credit contribuie la o mai bun nelegere n rndul participanilor de pe pia, a calitii managementului unei instituii de credit i al profilului de risc al acesteia. De pild, instituiile de credit trebuie s publice semestrial informaii legate de creane nerecuperate. Transparena va fi n avantajul investitorilor, al deponenilor i chiar al instituiilor de credit, ajutnd la meninerea stabilitii i a eficienei operaiilor pe pieele de capital. n cele ce urmeaz prezint n mod succint modificrile aduse de noul Acord Basel II n comparaie cu Acordul Basel I.2

Pilonul 3 Disciplina de pia

B.2. Riscul de credit Abordarea Standard


Pilonul 2 - Supraveghere Nemodificat Capital APR [risc + risc + risc] de credit de pia operaional Modificat Modificri majore Nou Rata minim de capital 8% Nemodificat

n care APR reprezint Active ponderate de risc

Adoptat dup I. Stancu, F. Blu Utilizarea metodologiei VaR pentru msurarea i prevenirea riscului valutar, Revista de Economie Teoretic i Aplicat nr.7, Bucureti, 2006, p.52

2. Riscul operaional i necesitatea gestionrii acestuia


Piaa financiar internaional, n mod special cea european, se afl ntr-un proces complex i continuu de adaptare a produselor i serviciilor oferite, ca urmare a competiiei existente, competiie generat i de efectele globalizrii activitiilor economice. n aceste condiii, instituiile financiare sunt obligate s-i redefineasc produsele i serviciile proprii pentru a-i consolida poziia pe propria pia i pentru a se putea extinde pe noi piee, s eficientizeze procesele legate de infrastructurile locale i internaionale ale pieei, s mbunteasc securitatea tranzaciilor, s-i defineasc profilul de risc individual (n funcie de natura, dimensiunea i complexitatea activitii) i s determine raportul dintre risc i profit pe care entitatea l consider acceptabil n contextul asigurrii continuitii activitii acesteia pe baze sntoase i prudente. Pentru ca instituiile financiare s se poat menine pe pia, trebuie s se conformeze standardelor i reglementrilor n vigoare, n timp ce pentru a putea fi competitive i deci profitabile, instituiile financiare trebuie s anticipeze evoluia pieei i s fie receptive la factorii semnificativi care influeneaz dinamica pieei. Pe plan european, pentru acele ri care sunt angajate n procesul de postaderare i apoi la integrarea n Uniunea European, este necesar o pregtire de specialitate n domeniul analizei de risc. Mai exist un motiv, deosebit de pertinent, anume instituiile financiar-bancare europene se vor alinia tuturor reglementrilor n materie propuse de Comitetul Basel, respectiv Acordul Basel II, reglementri care sunt obligatorii i n procesul de aderare la Uniunea European. Una dintre tendinele majore ale evoluiei pieei financiare este cea a realizrii tranzaciilor globale n timp real. La nivelul unei instituii financiare, aceast evoluie conduce la necesitatea procesrii continue, integrate i n timp real a tranzaciilor, asigurnd gestiunea expunerilor i alinierea propriei performane (profitabilitate/cost) la cea a pieei globale. Aceste schimbri determin apariia unor noi riscuri i expuneri de operare, care trebuie determinate, cuantificate i gestionate n sensul reducerii impactului asupra rezultatelor operaiunilor i a imaginii instituiei de credit. O strategie bancar performant trebuie s cuprind programe de gestiune a riscurilor bancare, care vizeaz minimizarea expunerii poteniale a bncii la risc i maximizarea profiturilor. Obiectivele fundamentale al supravegherii prudeniale de ctre BNR a instituiilor de credit l constituie: - protejarea intereselor deponenilor; - asigurarea stabilitii i viabilitii ntregului sistem bancar prin stabilirea unor norme i indicatori de pruden bancar, elaborate n concordan cu cerinele comunitare. n noile condiii impuse prin Acordul Basel II, noiunea de risc din punctul de vedere al domeniilor de activitate i al activitilor instituiilor de credit, poate fi prezentat schematic astfel:

Conform unei statistici elaborate de Banca Mondial3, implementarea Basel II revine n sarcina urmtoarelor compartimente ale instituiilor de credit: - IT 7%; - preedinilor de bnci 33%; - compartimentului de administrare a riscului 60%. Pentru identificarea i evaluarea riscului operaional n practica bancar se impun s fie adoptate urmtoarele msuri: evaluarea operaiunilor i activitilor n vederea determinrii celor vulnerabile la riscul operaional; stabilirea unor indicatori cu ajutorul crora s poat fi determinat poziia instituiei de credit afectate de riscul operaional (de exemplu, numr de tranzacii nefinalizate, frecvena i/sau gravitatea erorilor i omisiunilor, rata de fluctuaie a personalului, creterea rapid a activitii), precum i a unor limite aferente acestora; evaluarea permanent a expunerilor la riscul operaional (de exemplu, pe baza datelor istorice legate de nregistrarea de pierderi, analizrii unor scenarii diferite). n vederea administrrii riscurilor semnificative, un accent deosebit trebuie s se pun pe implementarea profilului de risc al bncii. Politicile de administrare a riscurilor trebuie s corespund strategiilor generale, s fie corelate cu nivelul fondurilor proprii ale instituiilor de credit i cu experiena acestora n administrarea riscurilor, precum i cu disponibilitatea de expunere la risc stabilit de Consiliul de Administraie al bncii. Politicile privind administrarea riscurilor semnificative trebuie s corespund naturii, dimensiunii i complexitii activitilor instituiilor de credit, s fie transpuse n mod clar i transparent n norme interne, proceduri, inclusiv n manuale i coduri de conduit, fcndu-se distincie ntre standardele generale aplicabile ntregului personal i regulile specifice aplicabile anumitor categorii de personal. n activitatea de tipul electronic banking, inclusiv cea de emisiune i administrare de moned electronic pentru prevenirea manifestrii abrupte a riscurilor operaionale , instituiile de credit trebuie s dezvolte politici i proceduri care s asigure integritatea, autenticitatea i confidenialitatea datelor, precum i securitatea proceselor de operare. n sintez, considerm c politicile de administrare a riscurilor semnificative trebuie s cuprind: un sistem de proceduri de autorizare a operaiunilor afectate de riscurile respective; un sistem de stabilire a limitelor expunerii la risc i de monitorizare a acestora, care s reflecte profilul de risc ales i care s fie n conformitate cu legislaia i cu reglementrile n vigoare; limitele stabilite la nivelul activitilor i/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al instituiilor de credit;
3

www.bisnet.ro

un sistem de raportare a expunerilor la riscuri, precum i altor aspecte legate de riscuri ctre nivelurile de conducere corespunztoare; un sistem de proceduri pentru situaii neprevzute; criterii de recrutare i remunerare a personalului, care s stabileasc standarde ridicate pentru pregtirea, experiena i integritatea acestuia; un program de instruire a personalului;

3. Evenimente generatoare de risc operaional i monitorizarea acestora


n atenia instituiilor de credit pot fi identificate o serie de tipuri de evenimente generatoare de risc precum: - frauda intern (de exemplu: raportarea cu rea-credin a poziiilor, furtul, ncheierea de ctre salariai de tranzacii n cont propriu); - frauda extern (de exemplu: tlhria, falsificarea, spargerea unor coduri aferente sistemelor informatice); - condiiile aferente efecturii angajrilor de personal i sigurana locului de munc (de exemplu: cererile compensatorii ale personalului, nerespectarea normelor de protecie a muncii, promovarea unor practici discriminatorii); - practici defectuoase legate de clientel, produse i activiti (de exemplu: utilizarea necorespunztoare a informaiilor confideniale deinute n legtur cu clientela, splarea banilor, vnzarea unor produse neautorizate, folosirea greit de ctre clieni a produselor i serviciilor aferente sistemului electronic banking); - punerea n pericol a activelor corporale (de exemplu: acte de terorism sau vandalism, incendii, cutremure); - ntreruperea activitii i funcionarea defectuoas a sistemelor (de exemplu: defeciuni ale componentelor hardware i software, probleme legate de telecomunicaii, proiectarea, implementarea i ntreinerea defectuoas a sistemului electronic banking); - tratamentul aplicat clienilor i contrapartidelor comerciale, precum i procesarea defectuoas a datelor legate de acetia (de exemplu: nregistrarea eronat a datelor de intrare, administrarea defectuoas a garaniilor reale, documentaia legal incomplet, accesul neautorizat la conturile clienilor, litigii); Pentru prevenirea i nlturarea apariiei unor astfel de evenimente conducerea instituiei de credit trebuie s aib n vedere o serie de proceduri care n esen conduc la administrarea riscului operaional i anume: - proceduri de evaluare; - proceduri de monitorizare; - proceduri de reducere a riscului fie pe plan intern, prin corectarea la timp a erorilor constatate i prin introducerea unor tehnologii adecvate de procesare i asigurare a securitii informaiilor, fie prin transferul riscului ctre alte domenii de activitate (de exemplu, asigurri mpotriva unor evenimente). Prevenirea i nlturarea efectelor manifestrii riscurilor operaionale are n vedere conceperea unui sistem care s cuprind toate procedurile utilizate n administrarea riscului operaional, activitile desfurate de ctre direciile i unitile teritoriale n scopul identificrii, monitorizrii i raportrii evenimentelor generatoare de riscuri operaionale. Tipurile de riscuri ncadrate n categoria riscurilor operaionale se pot manifesta n oricare dintre activitile desfurate de ctre entitile funcionale din centralele bncilor (activiti prevzute n Regulamentul de Funcionare propriu fiecrei direcii) i de ctre unitile teritoriale. Responsabilul procesului de identificare, monitorizare i notificare a evenimentelor de risc operaioanl este directorul executiv al Direciei de Management al Riscurilor, care prin SMRO 8

coordoneaz activitatea de analiz i monitorizare a evenimentelor de risc operaional, pe baza informaiilor transmise de entitile funcionale din centrala bncii. La nivelul SJ/SMB/direcii, persoana responsabil/analistul de risc operaional are ca atribuii identificarea i analiza oricror situaii de risc operaional sesizate i/sau produse, centralizarea i raportarea lor periodic. La nivelul SJ/SMB analistul de risc operaional are incluse n fia postului atribuii privind identificarea, notificarea i monitorizarea evenimentelor de risc operaional la nivelul SJ/SMB i a unitilor teritoriale subordonate. Prin decizia conductorului direciei/unitii teritoriale se desemneaz o persoan care are responsabiliti n identificarea i notificarea evenimentelor de risc operaional. Gestionarea evenimentelor de risc este realizat, n funcie de tipul evenimentului, de entitile funcionale din central: Direcia de control intern / Unitatea de conformitate / Unitatea de securitate a informaiei / alte entiti funcionale din central. La baza activitii de administrare a riscului operaional se pot regsi o serie de principii i activiti pe care le prezentm n continuare.

4. Principiile i fluxul activitii de administrare a riscului operaional


Politica privind administrarea riscului operaional urmrete aadar ca banca s aib capacitatea de a preveni sau diminua, pe ct posibil, prejudiciile cauzate de riscul operaional. n acest sens, direciile i departamentele independente din Central sunt responsabile cu gestionarea riscului operaional. Mai mult, departamentul pentru Controlul Administrrii Riscului este cel care efectueaz controlul asupra modului de administrare a riscului operaional.

Principiile politicii privind administrarea riscului operaional


Politica de administrare a riscului operaional se bazeaz pe o serie de principii pe care le prezentm n continuare. Un prim principiu care vizeaz administrarea riscului operaional, este cel al organizrii potrivit cruia fiecare structur organizatoric trebuie s fie organizat adecvat, astfel nct administrarea riscului operaional, s poat fi implementat i s devin funcional. Pentru aceasta se impune s fie respectate urmtoarele cerine: prin fia postului s fie clar precizate atribuiile, responsabilitile i modul de subordonare ale fiecrui salariat, indiferent de poziia pe care o ocup (de conducere sau de execuie); s fie separate atribuiile pentru efectuarea unei operaiuni astfel nct s se evite ca un salariat s cumuleze dou sau mai multe atribuii, respectiv s efectueze, s autorizeze, s supervizeze sau s controleze operaiunea; Pentru aceasta instituia de credit trebuie s realizeze o repartizare corespunztoare a atribuiilor la toate nivelurile organizatorice i s se asigure c personalului nu i sunt alocate responsabiliti care s conduc la conflicte de interese (de exemplu: responsabiliti duale ale unei persoane n domenii cum ar fi: acionarea n front-office i back-office, aprobarea tragerii fondurilor i tragerea efectiv, evaluarea documentaiei de credit i monitorizarea clientului dup contractarea creditului etc.). De asemenea, conducerea instituiei de credit trebuie s se asigure c exist o separare corespunztoare a atribuiilor n cadrul procesului de administrare a riscurilor, pentru evitarea potenialelor conflicte de interese. atribuirea postului s se fac n funcie de competena i pregtirea salariatului; activitile de administrare a riscului operaional s fie integrate organic n structura i procedurile de lucru ale bncii. 9

Al doilea principiu avut n vedere n administrarea riscului operaional se refer la principiul permanenei i universalitii conform cruia administrarea riscului operaional trebuie s se efectueze permanent i s se adapteze n continuu la toate activitile i operaiunile desfurate n orice moment, n orice loc i n orice domeniu. Noile produse, activiti, procese i sisteme se vor realiza numai dup o analiz i evaluare prealabil a expunerii la riscul operaional indus de acestea; Al treilea principiu referitor la administrarea riscului operaional este principiul continuitii conform cruia, expunerea bncii la riscul operaional trebuie s fie evaluat permanent. Al patrulea principiu de care trebuie s se in cont, este principiul echilibrului adic administrarea riscului operaional trebuie s asigure un echilibru ntre nivelul de risc considerat acceptabil i cheltuielile ce vor fi efectuate pentru meninerea acestuia. n al cincilea rnd, principiul transparenei permite asigurarea transparenei i comunicrii eficiente n procesul de administrare a riscului operaional; administrarea riscului operaional asociat procesrii informaiilor n form electronic trebuie efectuat astfel nct s fie posibil obinerea de probe de audit; Nu n ultimul rnd, conform principiului conformitii, conducerea operativ este responsabil de implementarea politicii si procedurilor privind riscul operaional, la nivelul structurilor proprii. Administrarea riscului operaional const n fapt dintr-o serie de activiti, pe care le prezentm n continuare.

5. Activiti specifice procesului de administrare a riscului operaional


n procesul de administrare a riscului operaional este necesar descompunerea activitii instituiei de credit pentru: nelegerea elementelor care influeneaz informaia; determinarea implicaiilor financiare ale deciziilor adoptate; nelegerea modului n care se formeaz produsele, costurile, etc; identificarea operaiilor neuzuale. Pentru fiecare produs sau categorie de produs bancar trebuie identificat ciclul su de via (succesiunea de tranzacii), iar pentru toate tranzaciile unei entiti bancare, este util s se fac distincie ntre activitile care au i activitile care nu au o inciden din punct de vedere contabil. Principalele etape care trebuie parcurse n activitatea de administrare a riscului operaional sunt: identificarea evenimentelor de risc operaional i nscrierea lor n registrul de eviden a riscurilor operaionale; notificarea la Direcia de management al riscului a pagubelor produse, detalii, daune, etc; solicitarea unor documente suplimentare legate de evenimentele de risc operaional; ntocmirea unui raport (trimestrial sau ori de cte ori se impune) privind evenimentele de risc operaional identificate, ctre comitetul de administrare a riscurilor sau comitetului executiv, cu propuneri de msuri n vederea prevenirii riscului operaional. Toate activitile i etapele folosite de instituiile de credit n procesul de administrare a evenimentelor de risc operaional sunt prezentate detaliat n urmtoarea logigram:

10

Data de intrare De la cine Ce


Unitile teritoriale/ direciile ERO

Etapele din diagrama flux 1. START 2. Identificarea ERO i nscrierea lor n Registrul de eviden a riscurilor operaionale 3. Notificarea la DMR / furnizarea de dovezi ale pagubei / detalii daun 4. Solicitare documente suplimentare, dac este cazul, direciilor i completarea informaiilor notificate anterior A

Responsabil

Persoana responsabil (direcii) / analist risc operaional (SJ/SMB) PA din cadrul DMR

Fia de raportare a evenimentului de risc Scrisoare de solicitare informaii suplimentare necesare

Persoana responsabil / analist risc operaional Persoana responsabil / analist risc operaional DMR-SMRO

DMR-SMRO

DMR-SMRO

Analiza ERO identificate la nivelul instituiei de credit Propunere msuri de prevenire / diminuare a ERO Decizie CE privind msuri de prevenire / diminuare riscuri operaionale

DMR-SMRO

A 5. Raport CAR/CE

6. Se aprob msurile propuse?

NU

DMR-SMRO

6. Se revine la etapa a 4-a

CE

DA 7. Aplicare msuri de prevenire / diminuare a ERO

CE

n politica de administrare a riscurilor operaionale se pot stabili o serie de responsabiliti ale personalului implicat n aceast activitate, i care sunt prezentate n cele ce urmeaz.

6. Matricea responsabilitilor instrument util n politica de administrare a riscului operaional


Activitatea de administrare a riscurilor se bazeaz pe o serie de responsabiliti ale personalului bncii, care pot fi evideniate cu ajutorul unei matrici a responsabilitilor. 11

Matricea responsabilitilor este o inovaie n teoria managementului care prezint n plus fa de canalele de comunicare formal mprirea pe compartimente i niveluri ierarhice evideniate n organigramele instituiilor de credit, modul de alocare a pachetelor de activiti pe posturi. Totodat, matricea responsabilitilor evideniaz personalul care particip i volumul de activitate necesar pentru realizarea activitii de administrare a riscului operaional precum i deciziile care se impun s fie adoptate pentru prevenirea, diminuarea i ntr-o anumit msur pentru eliminarea evenimentelor de risc operaional. n acelai timp, matricea responsabilitilor un instrument util n special pentru comitetul de administrare a riscului operaional, n vederea lurii de msuri pentru prevenirea, diminuarea i eliminarea evenimentelor generatoare de risc operaional. n componena sa, matricea responsabilitilor evideniaz pe coloane activitile implicate n procesul de administrare a riscului operaional iar pe linii compartimentele i funciile implicate n acest proces. Un model de matrice a responsabilitilor este prezentat detaliat n tabelul 6.1, care reflect responsabilitile i rolul diferitelor compartimente precum i funciile implicate n activitile prezentate n logigram. Compartimente i funcii implicate CDe Activitile n cadrul procesului 1. Identificarea ERO i nscrierea lor n Registrul de eviden a riscurilor operaionale 2. Notificare la DMR/SJ/SMB letric i pe e-mail / furnizarea de dovezi ale pagubei/ detalii dauna 3. Centralizarea informaiilor i constituirea unei baze de date 4. Solicitare documente suplimentare unitilor teritoriale / direciilor 5. Analiza ERO raportate 6. Informarea CAR/CE 7. ntocmirea raportului privind ERO identificate la nivel de instituie de credit 8. Msuri de prevenire/diminuare/eliminare ERO i comunicarea lor unitilor teritoriale/direciilor 9. Unitile teritoriale/direciile informeaz periodic evoluia ERO Legend: UT- unitate teritorial Cde compartimentul desemnat cu administrarea ERO PR persoana responsabil SAR serviciul administrare riscuri ARO Analist risc operaional PA persoana autorizat DIR directorul unitii teritoriale E- execut RE repartizeaz pentru execuie V verific A analizeaz 12 V,E E V UT Dir Tabel. 6.1 SJ/SMB/ Direcii SAR, Direcii ARO / PR V,E E

A,E

A,E

C centralizeaz I - informeaz Responsabilitile compartimentelor cu atribuii n administrarea riscului operaional vizeaz n primul rnd identificarea evenimentelor care n desfurarea lor conduc la apariia riscurilor operaionale.

7. Identificarea evenimentelor generatoare de risc operaional


n vederea identificrii evenimentelor de risc operaional, entitatea funcional din central/unitile teritoriale vor urmri n principal urmtoarele tipuri de evenimente generatoare de risc operaional, i anume: frauda intern; frauda extern; condiiile aferente efecturii angajrilor de personal i sigurana locului de munc; practici defectuoase legate de clientel, produse i activiti; punerea n pericol a activelor corporale; ntreruperea activitii i funcionarea defectoas a sistemelor; tratamentul aplicat clienilor i contrapartidelor comerciale, precum i procesarea defectuoas a datelor legate de acetia; securitatea sistemului electronic banking; securitatea informaiei; circuitul documentelor n interiorul bncii, ntre sedii i n exteriorul sistemului; factori externi. Fiecare dintre aceste evenimente de risc operaional care pot afecta activitatea unei instituii de credit sunt sunt prezentai n tabelul de mai jos:
Tip de risc operaional 1. Frauda intern Descrierea potenialului eveniment de risc 1.1. Aprobarea efecturii tragerii de credite fr a fi ntocmite i semnate corect, condiiile avute n vedere la acordarea creditelor, precum i a altor operaiuni similare; 1.2. Efectuarea unor operaiuni contabile de fraudare (extrase false) urmare a modului defectuos de utilizare a circuitului documentelor; 1.3 Prejudicii provocate terilor, urmare actelor de neglijen, erorilor, omisiunilor, cu/fr intenie din partea angajailor; 1.4. Falsificarea de documente de ctre salariaii bncii (contracte de credite, de garanie, contracte de furnizare utiliti, instrumente de plat); 1.5. Acte ilegale sau ilicite ale angajailor, fcute cu intenia de a cauza pierderi financiare necuvenite; 1.6 Daune aduse proprietii bncii, ca urmare a furtului, distrugeri de bunuri i valori fr/din vina angajailor; 1.7. Fraud bancar realizat de personalul bncii direct sau n colaborare cu teri, utiliznd sisteme electronice de calcul sau nu; 1.8 Tentativ de spargere bancar cu complicitate din interior; 1.9. Raportarea cu rea credin a operaiunilor n scopul fraudrii bncii; 1.10 Acte culpabile ale salariailor (inclusiv administratori, directori); 1.11. Calcularea/bonificarea de dobnzi neautorizate; 1.12 .ncheierea de contracte pentru elaborarea de rapoarte de evaluare /studiu propriu; 1.13. Executarea de operaiuni primite de la persoane neautorizate; 1.14. nregistrarea n evidenele contabile ale bncii a unor operaiuni fr a avea documentele aferente; 1.15. Efectuarea de modificri neautorizate n sistemul informatic;

13

2. Frauda extern

1.16. Raportarea cu rea credin a poziiilor; 1.17. Furtul; 1.18. ncheierea de ctre salariai de tranzacii n cont propriu, care aduc prejudicii bncii; 1.19. Orice alt eveniment de natura riscului menionat. 2.1. Falsificare documente de ctre persoane din afara bncii, n scopul fraudrii; 2.2. Nedepistarea falsurilor provenite din bancnotele/monedele contrafcute; 2.3. Depuneri de numerar, n lei i valut, n minus f de sumele nscrise n documentele instituiei; 2.4. Tentativ de jaf/tlhrie la ghieele bncii; 2.5. Pierderi din tranzaciile efectuate la ATM-uri rezultate din: furt, retrageri efectuate cu ajutorul cardurilor pierdute sau furate de la deintorii legali; 2.6. Ameninri la adresa persoanelor (angajai ai bncii/persoane din conducere), ameninri cu distrugerea sediilor sau bunurilor bncii; 2.7. Furt, dispariie, pierdere sau distrugere din orice cauze a bunurilor bncii; 2.8. Plata unei obligaii deja achitate; 2.9. Pierderea prin furt a unor documente /valori aflate n posesia unor clieni; 2.10. Spargerea codurilor aferente sistemelor informatice; 2.11. Transmiterea unor informaii generatoare de tranzacii false/frauduloase; 2.12. Pierderi, distugeri de suporturi de procesare/stocare de date; 2.13. Parametrizarea sau modificarea frauduloas a programelor informatice (cu scopul de a obine un ctig financiar necuvenit); 2.14. Distrugerea sau tentativa de distrugere a datelor electronice; 2.15. Tlhria; 2.16. Orice alt eveniment de natura riscului menionat.

3. Condiii aferente efecturii angajrilor de personal i sigurana locului de munc

4. Practici defectuoase legate de clientel, produse i servicii

3.1. Cazurile privind abaterile disciplinare; 3.2. Dependena de anumite persoane cheie: n situaia n care finalizarea unei lucrri depinde de o persoan a crei absen (din motive obiective/subiective) poate perturba buna desfurare a activitii; 3.3. Acordarea unor sarcini necorespunztoare gradului de pregtire a salariailor; 3.4. Incompetena profesional poate avea urmri nefaste asupra meninerii clienilor, profitabilitii i meninerii reputaiei bncii; 3.5. Riscuri legate de persoanele deintoare de chei de tezaur i case de fier n cazul dezastrelor naturale i a altor evenimente; 3.6. Nerespectarea normelor de securitate i protecie a muncii; 3.7. Abateri de la principiul egalitii de tratament fa de toi salariaii bncii; 3.8. Cererile compensatorii ale personalului; 3.9. Orice alt eveniment de natura riscului menionat. 4.1. Utilizarea necorespunztoare a unor informaii cu caracter confidenial, faciliti acordate anumitor clieni; 4.2. Divulgarea informaiilor financiar contabile ale bncii; 4.3. Divulgarea unor informaii concurenei, din documentaia prezentat de contul curent, solicitarea unui credit, etc; 4.4. Aplicarea unui tratament discriminatoriu n relaia de afaceri dezvoltat cu anumii clieni; 4.5. Riscuri legate de introducerea unor produse noi sau de modificarea produsului existent; 4.6. Operaiuni de splare a banilor; 4.7. Desfurarea/vnzarea de activiti/produse pentru care nu exist autorizaie; 4.8. Finanarea de aciuni de criminalitate financiar, terorism; 4.9. Vnzarea defectuoas a produselor i serviciilor bancare prin: necunoaterea produselor/serviciilor; eliberarea de produse incluse n oferta bncii ctre clieni, fr verificarea acestora; confirmarea eronat a valabilitii unor angajamente, fr efectuarea ulterioar a operaiunii, a semnturilor autorizate, a capacitii unitii de a se angaja pentru

14

5. Punerea n pericol a activelor corporale 6. ntreruperea activitii i funcionarea defectuoas a sistemelor

7. Tratament aplicat clienilor i contrapartidelor comerciale, precum i procesarea defectuoas a datelor legate de acetia

astfel de operaiuni. 4.10. Vnzarea de produse neautorizate; 4.11. Vnzarea de produse a cror documentaie este ntocmit necorespunztor; 4.12. Neinvestigarea datelor despre client conform reglementrilor privind conduita de lucru privind activitile de decontare i creditare; 4.13. Nerespectarea procedurilor interne legate de limitele maxime de expunerea competenelor pe uniti teritoriale; 4.14. Folosirea greit de ctre clieni a produselor i serviciilor aferente sistemului bancar; 4.15 Orice alt eveniment de natura riscului menionat. 5.1. Distrugeri materiale/de valori n cazul producerii unor fenomene naturale (cutremure, alunecri de teren) i a altor aciuni ndreptate mpotriva bncii (greve, tulburri sociale); 5.2. Degradarea activelor corporale prin utilizarea defectuoas a acestora; 5.3. Orice alt eveniment de natura riscului menionat. 6.1. Pierderea datelor introduse i prelucrate prin sistemul informatic; 6.2. Orice ntrerupere a comunicaiei intern sau cu exteriorul a instituiei de credit; 6.3. Virui informatici; 6.4. Defeciune/distrugere medii de stocare a informaiilor; 6.5. Erori legate de transmiterea datelor n format electronic (e-mail); 6.6. Defeciuni ale componentelor hardware/software; 6.7. nregistrri i validri eronate de date ca urmare a unei dimensionri necorespunztoare a sistemului informatic; 6.8. Comunicare ngreunat cu personalul bancar din teritoriu; 6.9. ntreruperea furnizrii de energie electric, ce poate avea drept consecin ntreruperea activitii bancare (operaiunile efectuate la bancomate, ncasrile/plile de la ghieu, etc); 6.10. Probleme legate de telecomunicaii; 6.11. Proiectarea, implementarea i ntreinerea defectuas a sistemului informatic; 6.12. Orice alt eveniment de natura riscului menionat. 7.1. Pstrarea i arhivarea necorespunztoare a documentelor; 7.2. Nereglementarea modului de furnizare a informaiilor despre/ctre clienii instituiei de credit; 7.3. Neverificarea autenticitii documentelor primite de la bnci corespondente; 7.4. Erori umane (neintenionate) de preluare a informaiei din documente; 7.5. Deficiene n ncheierea i derularea contractelor; 7.6. Realizarea unor raportri/situaii financiare neconforme cu realitatea; 7.7. Raportri eronate ca urmare a cunoaterii insuficiente a reglementrilor, ale programelor informatice de prelucrare automat a datelor (neintenionate); 7.8. Neactualizarea bazelor de date referitoare la bncile corespondente i clieni aflai n relaie cu instituia de credit (risc n ceea ce privete modalitatea de efectuare i comisionare a plilor/ncasrilor); 7.9. nregistrarea eronat de date de intrare i operaiuni fr intenia de fraudare; 7.10 Administrare defectuoas a garaniilor reale cu deposedare; 7.11. Erori de calcul/premise de calcul greite/date insuficiente; 7.12. Evaluarea eronat a biletelor de banc, a celor deteriorate/scoase din circulaie; 7.13. Prezentarea ctre client a unor informaii nefondate sau neactualizate; 7.14 Riscuri generate de noile produse/modificarea celor existente; 7.15. Riscuri legate de deschiderea unor noi uniti ale instituiei de credit; 7.16. Pstrare/arhivare/procesare necorespunztoare a documentelor; 7.17. Operaiuni necorespunztoare de triere i sortare a numerarului; 7.18. Diferene valorice din colectarea numerarului; 7.19. Riscuri legate de transportul valorilor de la sediul bncii la sediul clienilor; 7.20. Riscuri legate de transportul numerarului de la/la alte bnci i sucursale; 7.21. Nepreluarea/preluarea eronat a tranzaciilor financiare; 7.22. Nerespectarea normelor i instruciunilor de lucru interne (de creditare, de procesare a banilor, etc); 7.23. Utilizarea neadecvat a sistemului informatic; 7.24. Reclamaii/sesizri/dispute; 7.25. Litigii;

15

8. Securitatea sistemului electronic banking

9. Securitatea informaiei

7.26. Documentaia legal incomplet; 7.27. Accesul neautorizat la conturile clienilor; 7.28. Orice alt eveniment de natura riscului menionat. 8.1 Angajamente ale bncii rezultate prin contrafacearea monedei electronice, angajamente suplimentare de ctre clieni n cazul unui acces defectuos n cadrul sistemului; 8.2. nregistrarea unor pierderi de ctre clieni, n cadrul unui acces defectos la sistem; 8.3. Orice alt eveniment de natura riscului menionat. 9.1 Nedesemnarea persoanelor care gestioneaz documente secrete/secrete de serviciu; 9.2. Gestionarea informaiilor secrete/secrete de serviciu/stric secrete de serviciu aprobare/certificare conform reglementrilor n vigoare; 9.3. Nerespectarea caracterului documentelor de importan deosebit (secrete/strict secrete); 9.4. Schimbarea caracterului conferit documentelor primite; 9.5.Dezvluirea neautorizat a informaiei (secrete/confideniale); 9.6. Utilizarea informaiilor de ctre personalul bncii n scopul obinerii de beneficii personale; 9.7. Lipsa planurilor alternative adecvate (de rezerv) care s permit reluarea activitii n caz de evenimete neprevzute; 9.8. Lipsa testrii periodice a modului de funcionare a activitii, prin simulare a funcionrii corecte a sistemelor; 9.9. Nedelimitrarea zonelor de risc n cadrul unitilor teritoriale; 9.10. Orice alt eveniment de natura riscului menionat. 10.1. Nerespectarea legislaiei i a reglementrilor interne privind circuitul documentelor (nesecrete, confideniale, secrete, stric secrete); 10.2. Neactualizarea permanent a reglementrilor privind circuitul documentelor; 10.3. Pierderea/ntrzierea expedierii documentelor pe parcursul potal (intern/extern); 10.4. Orice alt eveniment de natura riscului menionat.

10. Circuitul documentelor n interiorul sediilor instituiilor de credit, ntre sedii sau n exteriorul instituiilor de credit 11. Factori externi.

Riscuri legate de: 11.1. condiii economice; 11.2. schimbri n mediul financiar-bancar; 11.3. modificarea legislaiei; 11.4. progrese tehnologice.

Remarcm faptul c pentru fiecare categorie de risc, sunt evideniate evenimentele care pot marca manifestarea riscului, iar fiecrui eveniment posibil a se manifesta i sunt ataate o serie de msuri menite a estompa i nltura urmrile nefaste ale evenimentului respectiv. O form aparte de risc n activitatea bancar, este riscul juridic care poate s apar n majoritatea tipurilor de evenimente de risc operaional i care se manifest pe dou planuri: ca un risc contractual, care se urmrete: - n faza de ncheiere i derulare a contractelor, de ctre entitatea funcional i centrala bncii/unitatea care gestioneaz contractele ncheiate ntre instituia de credit i contrapartide; - din momentul nregistrrii litigiilor aferente contractelor ncheiate, de ctre Direcia juridic/compartimentele de specialitate din cadrul unitilor teritoriale. ca un risc legislativ, care se urmrete din punctul de vedere al ncadrrii n reglementrile legale precum i a celor interne. Acest tip de risc poate fi gestionat de ctre: Direcia juridic, care avizeaz din punctual de vedere al legalitii reglementrile interne ale bncii; Fiecare unitate teritorial/entitate funcional din centrala bncii, n ceea ce privete riscul de conformitate legat de respectarea reglementrilor interne ale bncii conform atribuiilor specifice care le revin. 16

Evenimentele generatoare de riscuri operaionale de pe cele unsprezece paliere se afl n strns corelaie, acest lucru amplificnd impactul pe care l au asupra activitii bancare, n caz de manifestare necontrolat. n ceea ce privete monitorizarea riscurilor operaionale, am prezentat n continuare unele msuri care pot fi identificate n scopul prevenirii/diminrii evenimentelor generatoare de riscuri operaionale, astfel. Principalele msuri identificate la nivelul instituiilor de credit n scopul prevenirii/diminurii riscurilor operaionale
Tip de risc 1. Frauda intern Msuri de prevenire/diminuare a riscurilor operaionale - Tentativa de spargere banc - asigurarea unitilor teritoriale cu factori de protecie mecanico-fizic i electronic; - asigurarea de spaii de lucru adecvate n unitile teritoriale i dotarea corespunztoare, pstrarea n siguran a documentelor i valorilor; -reglementarea sistemului de acces alpersonalului i terelor persoane n banc; - asigurarea personalului specializat. - Raportarea cu rea credin a operaiunilor -analiza periodic a conturilor de venituri i cheltuieli din pdv. al structurilor; - analiza permanent a soldurilor conturilor de debitori i creditori, precum i a componenei; - informatizarea activitii de raportare; - verificarea datelor transmise de unitile teritoriale; - efectuarea unei duble verificri tehnico-operative n ceea ce privete operaiunile derulate n Centrala bncii ct i unitile teritoriale; - Furtul documentelor - pstrarea valorilor i documentelor n safe-uri i verificarea periodic a acestora; - accesul n ncperile unde se gestioneaz documente/valori de risc semnificativ cu cartel i prin existena butonului de panic; - restricionarea i controlul accesului pentru zonele: tezaur, informatic, arhiv, etc; - montarea unor elemente de detecie a prezenei, cu autoprotecie la sabotaj; - nregistrarea video prin sistemul de televiziune prin circuit nchis a tuturor intrrilor care prezint un risc semnificativ. - Efectuarea de ctre salariai a tranzaciilor n nume i cont propriu - validarea operaiunilor de debitare a conturilor clienilor - verificarea periodic, prin sondaj, a operaiunilor realizate cu autovalidare de administrator; - verificarea periodic, prin sondaj, a operaiunilor desfurate la distan pe conturile clienilor, verificarea semnturilor, ncadrarea n limitele stabilite; - limitarea accesului la operaiuni pentru utilizatori prin stabilirea de profile de acces; - urmrirea periodic a operaiunilor suspecte; - nfiinarea de comisii de lucru care s avizeze efectuarea lucrrilor de investiii i reparaii; - crearea i implementarea unor coduri de conduit pentru lucrtorii bancari implicai n activiti cu riscuri operaionale. - Frauda informatic - protejarea portalului instituiei de credit mpotriva atacurilor din exterior;

2. Frauda extern

17

3. Punerea n pericol a activelor corporale, inclusiv resurse umane

ntreruperrea activitii i funcionarea defectuoas a sistemelor

- realizarea accesului n zona personalizat prin conexiune securizat; - realizarea accesului n cadrul serviciilor de informatic numai pe baz de cod de acces; - securizarea corespunztoare a canalelor de comunicaie i a echipamentelor aferente; -Falsificarea documentelor de plat/banilor - aplicarea procedurilor de cunoatere a clientelei; - verificarea declaraiilor clienilor prin interogarea altor baze de date; - verificarea bazelor de date proprii cu privire la clieni; - informaii primite prin SWIFT referitoare la documente falsificate, introduse n circuit; - pentru evitarea autentificrii unor semnturi false, la serviciul SWIFT se recurge la: a) pentru documente verificate: se cere confirmare prin mesaj SWIFT; b) dotarea cu echipamente specifice depistrii bancnotelor false; - utilizarea de cataloage de falsuri; - emiterea de scrisori informative privind elementele de siguran a bancnotelor; - angajarea de personal specializat i instriurea acestuia. - Tentativa de jaf/tlhrie - asigurarea unitilor teritoriale cu factori de protecie mecanico-fizic i electronic; - asigurarea cu spaii de lucru adecvate n unitile teritoriale i pstrarea n siguran a documentelor i valorilor; - reglementarea sistemului de acces al personalului i terelor persoane n banc; - asigurarea pazei de ctre personalul specializat; - utilizarea de sisteme de telecomunicaie cu unitile de jandarmi. - Securitatea spaiului n care se desfoar activitatea de casierie - sisteme de protecie electronice; - ghiee dotate cu geam antiglon sau folie antiefracie; - sisteme codificate de acces n tezaur i casierie; - inerea periodic de instructaje privind sigurana locului de munc; - se efectueaz anual asigurarea cldirilor i a bunurilor - ncheierea polielor de asigurare pentru transportul de valori. Virui informatici/ funcionarea defectuoas a sistemelor/arhivare documente Prevenirea funcionrii defectuoase a sistemelor/evitarea ntreruperilor - pstrarea condiiilor de temperatur optim pentru buna funcionare a sistemelor; - configurarea echipamentelor critice de comunicaie i a serverelor cu echipamente n caz de necesitate; - realizarea unor proceduri de back-up pentru sistemele informatice; - realizarea de sisteme complexe de detectare i raportare a evenimentelor; - preluarea i distribuirea imediat a incidentelor semnalate printr-o structur specializat; - contracte de service pentru toate echipamentele funcionale ncheiate cu firme specializate; - comutarea liniei de telecomunicaie pe sistemul de back-up din cadrul serviciului SWIFT de telecomunicaii; - desemnarea de personal IT pentru supravegherea funcionrii sistemelor informatice. Prevenirea virusrii sistemelor - semnalarea la direcia informatic de ctre direciile care sesizeaz

18

5 Practici defectuoase legate de clientel, produse i activiti

6 Condiii aferente efecturii anagajrilor de personal i sigurana locului de munc

defeciuni/virui; - actualizarea permanent cu cele mai noi versiuni de programe antivirus; - politici de devirusare pe trei nivele: mediul extern, server i staii de lucru; Prevenirea pierderii de informaii - salvarea periodic a informaiilor/documentelor pe suport extern; - elaborarea unei politici generale de back-up i restore care s corespund normelor i necesitilor locale; - dezvoltarea de proceduri care s satisfac cerinele procedurii de backup i restore; - realizarea a dou copii de siguran pentru toate salvrile efectuate i depozitarea lor n safe-uri metalice; - asigurarea de dubluri, configurate corespunztor i cu date actualizate pentru toate echipamentele de comunicaie. Securitatea informaiei criptarea datelor: datele vehiculate circul criptat cu mecansime specifice; realizarea unor politici de securitate care s permit accesul securizat; - Vnzare de produse neautorizate, erori de contractare, erori n derularea contractelor, modificarea celor existente - efectuarea aciunilor de ndrumare a activitii n cadrul tuturor departamentelor; - utilizarea unei proceduri de lucru care reglementeaz activitatea de lansare de produse noi; - organizarea de cursuri i informri cu unitile operative; - introducerea de ctre o persoan a mesajelor SWIFT i validarea de ctre alt persoan; - Splarea banilor - accesul la informaii se face pe baz de autentificare i autorizare; - introducerea clauzelor pentru pstrarea confidenialitii n contractele ncheiate cu furnizorii; -Nerespectarea produselor i serviciilor legate de clientel - respectarea codului deontologic a evalurilor; - respectarea reglementrilor i normelor interne n vigoare privind pstrarea confidenialitii; - Riscuri legate de exactitatea sumelor ncasate/pltite de la/la clieni - dotarea cu sortere i masini de numrat; - Evaluarea biletelor de banc deteriorate. Transportul valorilor, transportul numerarului de la/la alte bnci i sucursalele BNR - ncheierea contractului de asigurare pentru valorile transportate; - Vnzarea de produse neautorizate/ erori n ncheierea contractelor/ erori n derularea produselor noi sau modificarea celor exsitente - efectuarea aciunilor de ndrumare de ctre direciile de specialitate; - urmrirea permanent a utilizrii fondurilor n scopurile pentru care au fost acordate; - ntreprinderea msurilor de verificare post-factum de ctre persoanele specializate din cadrul direciilor de audit intern. Erori umane practicarea i redistribuiri de personal ntre uniti sau n cadrul aceleiai uniti teritoriale; crearea de posturi care au drept scop validarea operaiunilor efectuate de personal; stabilirea de modaliti informatice i organizatorice n vederea respectrii programului de lucru.

19

7. Tratament aplicat clienilor i contrapartidelor comerciale, precum i procesarea defectuoas a datelor legate de acetia

8. Circuitul documentelor

9. Securitatea informaiei 10 Securitatea sistemului electronic banking 11 Factori externi

- Msuri pentru reducerea/diminuarea riscurilor legate de clienii bncii - n vederea diminurii/eliminrii riscului de nregistrri eronate de date la unitile teritoriale ale documentelor care nu ajung la Central, organizarea aciunilor de specialitate. - Documentaie incomplet - solicitare informaii la Serviciul Investigaii/client/partea care a remis documentaia; - verificare la nivelul Centralei a documentaiei elaborate n urma deplasrilor; - organizarea aciunilor de ndrumare; - dubla verificare a documentelor; - nu se permite efectuarea de servicii pe baz de documentaie incomplet; - Litigii/reclamaii/sesizri - se gestioneaz n conformitate cu procedurile interne de soluionare a petiiilor; - nregistrri eronate de date/documentaie incomplet - au fost organizate aciuni de ndrumare i control la nivelul unitilor teritoriale; - Risc juridic - mbuntirea i dezvoltarea culturii organizatorice, n ceea ce privete contientizarea riscurilor. - respectarea legislaiei i a reglementrilor interne privind circuitul documentelor; - respectarea reglementrilor interne privind evidena i circuitul documentelor; - Arhivare/procesare documente - salvare periodic a informaiilor pe suport magnetic; - rspectarea normelor privind activitatea de arhiv, n mod unitar; - realizarea permanent a operaiunilor de : clasare, opisare i pstrare a documentelor; n fia postului, fiecare salariat este supus reglementrilor interne privind pstrarea documentelor. - respectarea reglementrilor interne privind securitatea informaiei. - specialitii din compartimentul informatic vor lua msurile ce se impun pentru reducerea riscului. - analiza unor evenimente de risc operaional produse n alte sisteme bancare; - urmrirea permanent a legislaiei, condiiilor economice;

Entitile funcionale din centralele bncilor/SJ/SMB/unitile teritoriale vor avea n vedere msurile identificate, n funcie de tipul de risc identificat. Toate aceste msuri constituie, n opinia noastr, baza evalurii modalitilor de prevenire respectiv de diminuare a riscurilor operaionale. Fiecare eveniment specific unui anumit tip de risc operaional trebuie semnalat, notificat de ctre sistem, aa cum rezult din cele ce urmeaz.

8. Notificarea evenimentelor de risc operaional


n activitatea de notificare a evenimentelor de risc operaional se disting cinci proceduri, descrise n cele ce urmeaz. 20

A. Modalitatea de notificare a evenimentelor generatoare de riscuri operaionale Dup identificarea evenimentelor de risc operaional (ERO), unitile teritoriale vor nregistra ntr-un Registru de eviden a riscurilor operaionale principalele elemente din fia de raportare n funcie de tipul evenimentului de risc notificat i le vor transmite conform reglementrilor interne la sucursalele judeene sau sucursala municipiului Bucureti (SJ/SMB), care la rndul lor le transmit la entitatea funcional din centrala bncii responsabil cu gestionarea evenimentului din categoria respectiv de risc operaional. Entitile funcionale ale centralei transmit direciei de management a riscurilor, serviciului de management al riscurilor operaionale (DMR-SMRO) evidenele de risc operaional identificate n luna precedent, n momentul identificrii acestora i care au un impact major n activitatea instituiei de credit. n funcie de termenele stabilite, entitatea funcional din centrala bncii transmite celor dou compartimente de monitorizare a riscurilor operaionale (DMR-SMRO) <<Fia de raportare a evenimentelor de risc operaional>> ntocmit la nivelul unitii la care s-a identificat evenimentul de risc operaional. Fia de raportare cuprinde urmtoarele informaii:
Unitatea bancar/Unitatea funcional Data raportrii Cod eveniment Persoana responsabil pentru raportarea incidentului Prima raportare a evenimentului <cod unitate> <zz/ll/aaaa> <cod eveniment> * <cod anagajat> <Denumirea bancare> unitii

Nume i prenume angajat Funcia n cadrul unitii bancare Notificare asupra evoluiei evenimentului Data primei raportri a evenimentului <zz/ll/aaaa> Completat la data la care se va nregistra pierderea n contabilitate dac este cazul Conform tipului de eveniment prevzut n procedur (nivel 1) ***** Conform tipului de eveniment prevzut n procedur (nivel 2) *****

Data producerii <zz/ll/aaaa> evenimentului Data nregistrrii pierderii n <zz/ll/aaaa> contabilitate Categoria de risc Tipul de risc Descrierea evenimentului de risc produs ****** Serviciul/activitatea unde s-a produs evenimentul Produsul <cod produs> <denumire> Persoanele responsabile de producerea evenimentului

Codul conform nomenclatorului de produse Denumirea produsului legat de producerea incidentului Nume i prenume angajai Funcia n cadrul unitii bancare

Cauza producerii evenimentului Pierderea estimat la data notificrii i metoda de caclul estimativ: Suma brut a pierderii ** <CCY> Suma brut a pierderii fr

21

<EUR equiv> Tipul pierderii Valoarea efectiv a pierderii Valoare provizioane Valoarea asigurat <tip pierdere>

<CCY> <EUR equiv> <CCY> <EUR equiv>

Metode estimare Contul n care a fost <simbol cont> nregistrat pierderea Alte activiti afectate de producerea evenimentului Msuri ce se impun n urma descoperirii evenimentului

deducerea provizioanelor sau a sumelor ce pot fi recuperate prin asigurare Se va nscrie tipul pierderii conform tipurilor de pierdere stabilite de banc *** Valoarea estimat a pierderii Valoarea provizioanelor constituite pentru tipul de risc respectiv Valoarea asigurat de societatea de asigurare Denumirea societii de asigurare Prezentarea/descrierea metodei de calcul n caz de estimri

Se va meniona dac exist ncheiat un contract de asigurare care s acopere riscul respectiv i dac s-a luat legtura cu societatea de asigurare n cauz.

Sursa de provenien a evenimentului notificat **** * Fiecare fi trebuie s conin un cod de indentificare unic care s poat fi alctuit secvenial prin cumularea codului unitii bancare cu un numr unic pe unitate acordat incidentului respectiv. n cazul notificrii evoluiei unui eveniment se va utiliza codul de identificare iniial al evenimentului. ** Sumele vor fi prezentate att n valuta respectiv ct i n echivalentul EUR, utilizndu-se cursul valabil la data raportrii. *** Tipurile de pierdere sunt: - Reducerea valorii activelor: reduceri directe n valoarea activelor datorate furturilor, fraudei, activitilor neautorizate sau pierderi legate de operaiunile de pia sau de creditare; - Erori n efectuarea tranzaciilor: pli sau rambursri de sume n favoarea altor beneficiari dect cei indicai prin instruciunile de plat i care nu au putut fi recuperate; - Datorie legal: costul derulrii litigiilor, al compensaiilor aferente sau orice alte pli legate de acestea; - Penaliti i taxe suplimentare: pli sau costul oricror alte taxe cum ar fi autorizaiile, licenele; - Pierderi din deteriorarea activelor fizice reducerea direct de valoare a activelor corporale datorat neglijenelor, accidentelor, cutremurelor, incendiilor etc (incluznd costurile de constatare a daunei); - Alte cauze NOT. Se vor completa informaiile cunoscute/estimate la momentul raportrii evenimentului **** Dup sursa de provenine a riscurilor operaionale, se va completa una din cele 4 surse: angajai, procese (nerespectarea reglementrii interne, etc), sisteme (informatic), surse externe. ***** se completeaz tipul de risc (ex. Fraud intern, fraud extern, punerea n pericol a activelor corporale, etc ). ****** se completeaz evenimentul de risc inclus n tipul de risc (ex. Fals de documente/furt de informaii/pierderi de bunuri rezultate din aciuni de vandalism (inundaii, cutremur, etc).

22

B. Notificarea la direcia de management a riscurilor i la serviciul de management al riscurilor operaionale (DMR-SMRO) de ctre entitile funcionale din centrala bncii se face inclusiv n urmtoarele situaii: - cnd se primete o cerere scris din partea unui ter pentru acoperirea daunelor ca urmare a producerii unor pagube acestuia, inclusiv n situaia declanrii unor proceduri judiciare; - cnd este informat n scris cu privire la intenia unei persoane de a face o cerere mpotriva sa; - cnd este informat cu privire la orice alt situaie, circumstan sau mprejurare care ar putea genera o cerere de despgubire n viitor din partea unei tere persoane. C. Fiecare entitate funcional din central are obligaia de a transmite, la solicitarea direciei de management a riscurilor i serviciului de management al riscurilor operaionale (DMR-SMRO), n copie, informaii i documente doveditoare ale evenimentului de risc operaional. D. Pentru anumite evenimente care necesit clarificri, pot fi solicitate entitilor funcionale din cadrul centralei, n mod expres de ctre direcia de management a riscurilor i la serviciul de management al riscurilor operaionale (DMR-SMRO), pe lng documentul de notificare i documente suplimentare, cum ar fi: declaraii care s cuprind detalii despre evenimentul de risc operaional notificat, n funcie de circumstanele producerii acestuia; documente pentru dovedirea pagubei; orice alte informaii, n funcie de tipul evenimentului notificat. Documentele suplimentare nu au o structur standard i pot fi solicitate doar pentru anumite evenimente notificate anterior, considerate semnificative. E. Ulterior, pe msura obinerii de informaii suplimentare cu privire la evenimentele notificate, acestea vor fi aduse operativ la cunotina direciei de management a riscurilor i serviciului de management al riscurilor operaionale (DMR-SMRO), cu indicarea expres a datei de notificare iniial; aceste informaii ulterioare constituie notificri privind evoluia evenimentelor.

9. Analiza evenimentelor specifice riscului operaional


Dup notificarea evenimentului de risc operaional, unitile funcionale din centrala bncii care gestioneaz evenimentele de risc operaional, n funcie de tipul acestora, n colaborare cu DMR-SMRO, analizeaz efectele acestora i propun msurile care se impun, n funcie de gravitatea evenimentelor respective. n acest sens direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO) ntocmete trimestrial sau ori de cte ori se impune, un Raport privind evenimentele de risc operaional identificate, care va include propuneri de msuri n vederea prevenirii/reducerii riscurilor operaionale i nainteaz spre analiz i aprobare vicepreedinilor executivi coordonatori ai direciei de management a riscurilor (DMR) i ai entitilor funcionale implicate, n funcie de tipul evenimentului propus, preedintelui executiv, Comitetului de Administrare a Riscurilor i Comitetului Executiv. Sinteza concluziilor rezultate se raporteaz trimestrial la Consiliul de Supraveghere a instituiei de credit. n cazul instrumentelor de decontare utilizate fraudulos sau a altor documente false primite de la unitile teritoriale/entitile funcionale din central sau de la bncile comerciale din Romnia, direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO), ntocmete o scrisoare de informare nsoit de copia acestor documente, pe care le transmite operativ unitilor instituiei de credit. Direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO) transmite la Direcia Supraveghere din cadrul BNR/altor instituii de credit datele de identificare ale persoanelor juridice/fizice implicate n decontare precum i o copie a documentului de decontare/actelor de identitate false. 23

De asemenea, direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO) vor crea o baz de date privind instrumentele de decontare utilizate fraudulos/alte documente false care va fi accesat de unitile teritoriale i entitile funcionale din centrala bncii, pentru informarea n timp ct mai scurt, ori de cte ori este necesar a se analiza un client sau un potenial client. Att unitile teritoriale, ct i entitile funcionale din central, trebuie s ia toate msurile prudeniale necesare pentru evitarea riscului de decontare a documentelor false emise de clieni astfel nct s fie respectate prevederile reglementrilor interne n domeniul cunoaterii clientelei. Toi indicatorii de risc operaional sunt detaliai pe tipuri de risc i sunt furnizai de entitile funcionale din centrala bncii sau se vor calcula de direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO) pe baza informaiilor coninute n baza de date creat, urmare a raportrii evenimentelor de risc operaional Principalii indicatori de risc operaional, detaliai pe tipuri de risc, sunt urmtorii:
Tip risc

Fraud intern

Fraud extern

Indicatori

Condiii aferente efecturii angajrilor de personal i sigurana locului de munc

Practici defectuoas e legate de clientel, produse i servicii

Punerea n pericol a activelor corporale

ntrerupere a activitii i funcionarea defectuoas a sistemelor

Tratament aplicat clienilor i contrapartidelor comerciale, precum i procesarea defectuoas a datelor legate de acetia

Securitatea informaiei

10

Numrul de msuri disciplinare luate pentru cazuri legate de fraud Numr cazuri furt, acces neautorizat, cazuri de folosire neautorizat a sistemului sau n alte scopuri dect cele profesionale Valoare pierderi din activiti ce au adus prejudicii bncii prin frauda angajailor Numr tentative de modificri neautorizate n sistemul informatic Numr de tentative/acte de tlhrie, jaf, ameninare nregistrate la nivelul unitilor bancare Numr tentative de virusare a sistemelor informatice ale bncii Numr cazuri primire documente contrafcute/falsifica te prezentate la banc Total pierderi din tranzacii efectuate la ATM rezultate din: furt, retrageri neautorizate Numr plecri ale salariailor din instituia de credit la alte instituii Numr plngeri ale clienilor nregistrate n perioada de

X X

24

raportare 11 Numr plngeri ale clienilor soluionate n perioada de raportare Numr de litigii nregistrate n perioada de raportare Numr de litigii soluionate n perioada de raportare Numr sesizri efectuate de angajai privind sistemul informatic, nregistrate n perioada de raportare Valoarea pierderilor din active corporale nregistrate n perioada de raportare datorit practicilor defectuoase Numr evenimente generatoare de pierderi ale activelor corporale nregistrate n perioada analizat Valoarea distrugerilor cauzate de calamiti sau fenomene naturale Valoarea/numrul despgubirilor din polie de asigurare aferente distrugerii activelor corporale Numr de ntreruperi ale sistemelor informatice i de comunicaii ntr-o anumit perioad Durata de ntrerupere a sistemelor informatice/comunic aiilor Numrul de evenimente de procesare defectuoas a datelor legate de clieni Numrul de incidente privind nerespectarea confidenialitii documentelor

12 13 14

X X

15

16

X X

17

18

19

20

21

22

10. Ratele de performan prghii ale analizei riscului operaional


Datele pentru calculul indicatorilor de performan se obin pe baza informaiilor din baza de date creat i administrat la nivelul direciei de management a riscurilor i serviciului de management al riscurilor operaionale (DMR-SMRO), care include evenimente de risc operaional identificate i notificate de entitile funcionale din centrala bncii i de unitile teritoriale. Indicatorii de performan se calculeaz de ctre direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO). 25

Numrul de evenimente de risc operaional identificate pe tip de risc se calculeaz de ctre direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMRSMRO), pe baza evenimentelor de risc notificate de entitile funcionale din centrala bncii, informaii care sunt stocate n baza de date creat i actualizat la nivelul direciei de management a riscurilor (DMR). Valoarea daunelor produse urmare manifestrii evenimentelor de risc operaional se calculeaz de ctre direcia de management a riscurilor i serviciul de management al riscurilor operaionale (DMR-SMRO) pe baza informaiilor coninute n Fia de raportare a evenimentelor de risc operaional. Frecvena de msurare: trimestrial sau la solicitarea conducerii bncii.

DEFINIII I ABREVIERI
A. Definiii Administrarea riscurilor operaionale: identificarea, notificarea, analiza i monitorizarea evenimentelor de risc operaional. Administrarea riscurilor semnificative proces focalizat pe analiza profilului de risc, n vederea maximizrii raportului dintre risc i profit n diferite domenii de activitate ale unei instituii de credit. Beneficiarul notificrii: Direcia de Management a Riscurilor, creia i sunt transmise de fiecare entitate funcional din centrala bncii evenimentele de risc operaional produse, SMRO efectueaz centralizarea, monitorizarea i raportarea acestora ctre organele de conducere ale instituiei de credit. Data notificrii: data la care se raporteaz DMR-SMRO producerea unui eveniment de risc operaional. Eveniment de risc operaional: orice fapt sau situaie care poate da natere unui risc operaional Riscuri semnificative riscuri cu impact nsemnat asupra situaiei patrimoniale i/sau reputaionale a instituiilor de credit. Identificarea unui eveniment de risc operaional: const n stabilirea momentului la care entitatea funcional din Centrala Bncii / unitatea teritorial care trebuie s notifice evenimentul, ia cunotiin pentru prima oar de producerea acestuia, inclusiv n cadrul existenei unei cereri de despgubire, real sau potenial, intervenit la nivelul instituiei de credit. Monitorizarea: nregistrarea i urmrirea evoluiei evenimentelor de risc operaional identificate, inclusiv a msurilor ce se impun. Notificarea: raportarea evenimentului de risc operaional identificat. Risc operaional riscul nregistrrii de pierderi sau al nerealizrii profiturilor estimate, care este determinat de factori interni (derularea neadecvat a unor activiti interne, existena unui personal sau unor sisteme necorespunztoare etc.) sau de factori externi (condiii economice, schimbri n mediul bancar, progrese tehnologice etc.). Risc juridic component a riscului operaional, aprut ca urmare a neaplicrii sau a aplicrii defectuoase a dispoziiilor legale ori contractuale, care afecteaz negativ operaiunile sau situaia instituiilor de credit. Unitate teritorial: SMB, sucursala judeean, sucursala, agenia n cadrul creia se pot manifesta riscuri operaionale. B. ABREVIERI - BNR Banca Naional a Romniei - BCR Banca Comercial Romn SA 26

- BRD Banca Romn de Dezvoltare Groupe Societe Generale - CAR Comitetul de Administrare a Riscurilor - CE - Comitetul executiv - DMR Direcia de management al Riscurilor - ERO Eveniment de risc operaional - GAP Gestiunea activelor i pasivelor - MAP Managamentul activelor i pasivelor - MR Matricea riscurilor - PA Persoan autorizat - PS Procedura proces suport - RMO Rezerva minim obligatorie - SJ Sucursale Judeene - SMB Sucursala Municipiului Bucureti - SMRO Serviciul de management al riscurilor operaionale - SMQ Sistemul de management al calitii - VAR Valoarea la risc

27