Riscul operational

Universitatea “Dunarea de Jos”,Galati Facultatea de Economie si Administrarea Afacerilor  Management Financiar Bancar, Anul II

RISCUL OPERAȚIONAL

Masterand Vlaicu Mariana-Eliza

CUPRINS CAPITOLUL I RISCUL OPERAŢIONAL -NOŢIUNI CONCEPTUALE

1.1 Definirea riscului operaţional şi semnificaţia sa 1.2 Tipuri de evenimente generatoare ale riscului operaţional 1.2.1 Frauda internă 1.2.2 Frauda externă 1.2.3 Condiţii aferente efectuării angajărilor de personal şi siguranţa locului de muncă 1.2.4 Practici defectuoase legate de clientelă, produse şi activităţi. 1.2.5 Punerea în pericol a activelor corporale. 1.2.6 Întreruperea activităţii şi funcţionarea defectuoasă a sistemelor. 1.2.7 1.2.7 Tratam Tratament ent aplica aplicatt clienţ clienţilo ilorr şi contr contrapa apart rtide idelo lorr comerc comercial iale, e, precum precum şi proce procesar sarea ea defectuoasă a datelor legate de aceştia 1.2.8 Securitatea sistemului electronic banking. CAPITOLUL II 2.1 Componentele riscului operaţional

2.1.1 Riscul de control 2.1.2 Riscul de proces 2.1.3 Riscul de reputatie 2.1.4 Riscul de personal 2.2 Cuantificarea riscului operaţional

2.2.1 Metoda indicatorului de bază 2.2.2 Metoda standardizată 2.2.3 Metoda evaluării avansate 2.3 Managementul riscului operaţional

2.3.1 Stabilirea politicii 2.3.2 Organizarea politicii 2.3.3 Implementarea politicilor  2.3.4 Măsurarea performanţei 2.3.5 Audit politicilor  politicilor 

2

3. STUDIU DE CAZ PRIVIND SURSELE DE RISC OPERATIONAL

Introducere

Datorită dezvoltării continue a economiei, globalizării şi expansiunii activităţilor  economice, piaţa financiară internaţională, precum şi cea europeană se află într-un proces comple complexx şi contin continuu uu de adapta adaptare re a produ produsel selor or şi a servic servicii iilor lor,, ca urmare urmare a compet competiţi iţiei ei existente. In aceste condiţii riscul operaţional a devenit un element din ce în ce mai important  pentru instituţiile de credit, care sunt obligate să-şi redefinească produsele şi serviciile proprii  pentru a-şi consolida poziţia pe piaţă şi pentru a pătrunde pe pieţe noi, iar pe de altă parte datori datorită tă utiliz utilizări ăriii tot mai dese dese a produ produsel selor or financ financiar iaree inova inovati tive ve (de exemp exemplu: lu: produ produse se securizate, derivative de credit, produse structurale) structurale) Comitetul de la Basel defineşte riscul operaţional ca fiind riscul pierderilor generate de  procese interne inadecvate sau defecte, de oameni şi sisteme sau de evenimente externe, concentrâ concentrândundu-se se asupra asupra cauzelor cauzelor pierderi pierderilor lor pentru pentru a diferenţ diferenţia ia pierderil pierderilee operaţio operaţionale nale de  pierderile altor categorii categorii de riscuri. riscuri. Pent Pentru ru a se me menţ nţin inee pe piaţ piaţă, ă, inst instit ituţ uţii iile le fina financ ncia iare re treb trebui uiee să se conf confor orme meze ze standardelor şi reglementărilor reglementărilor în vigoare, totodată trebuie să anticipeze evoluţia pieţei şi sa fie recept receptiv ivee la facto factorii rii semni semnific ficati ativi vi care care influe influenţ nţează ează dinam dinamica ica pieţei pieţei pentru pentru a putea putea fi competitive şi profitabile. profitabile. Creşterea gradului de complexitate a practicilor bancare, precum şi tendinţa pieţei financ financiar iaree de a realiz realizaa tranz tranzacţ acţii ii global globalee în timp timp real, real, impli implică că o preoc preocup upare are sporit sporităă a autorită autorităţilo ţilorr de a supraveg supraveghea hea institu instituţiile ţiile financiar financiare. e. Această Această evoluţie evoluţie a pieţei pieţei financiar financiaree determină apariţia unor noi riscuri şi expuneri de operare care trebuie determinate, cuantificate şi gestionate, de unde şi necesitatea de a crea sisteme robuste de management al riscurilor  operaţionale. In acest acest cont contex extt inst instit ituţ uţii iile le fina financ ncia iarr-ba banc ncar aree euro europe pene ne se vor vor alin alinia ia tutu tuturo ror  r  reglementărilor în materie propuse de Comitetul Basel, respectiv Acordul Basel II. În ultimii ani, majoritatea băncilor au alocat resurse masive pentru managementul risc riscul ului ui de credit credit și risc riscul ului ui de piață. Au fost fost dezv dezvol olta tate te mo mode dele le de evalua evaluare re a risc riscul ului ui 3

 bazându-se pe practicile internaționale referitoare la disciplina de pia ță pentru prevenirea crizelor. Aceste principii reprezintă cei 3 piloni ai Noului Acord de Capital, emis de Comitetul de la Basel în ianuarie 2001.  Nu este deloc surprinzător faptul că reglementările cu privire la sectorul  bancar reprezintă o continua dezbatere cu privire la faptul dacă aceste reglementări ar trebui să existe, și daca da care sunt riscurile care trebuie acoperite și de care pilon în parte. Primul pilon, de exemplu, care se referă la cerințele minime de capital a lansat o serie de discuții referitoare la denumire sa.Însa numai recent aten ția băncilor s-a îndreptat spre un nou risc și anume riscul operațional. A fost recunoscut de asemenea faptul că evenimentele apărute ca urmare a riscului operațional au un impact major asupra opera țiunilor bancare. Astfel a fost introdus riscul opera țional în documentul emis de Comitetul de la Basel și a fost emis un

set de reguli de urmat pentru managementul acestui tip de risc.

4

CAPITOLUL I RISCUL OPERAŢIONAL -NOŢIUNI CONCEPTUALE

În ceea ce privește riscul operațional nu există o definiție agreată a lui, primele definiții se refereau la orice tip de risc necuantificabil sau toate riscurile, excluse fiind riscul de credit și cel de piață. Definiția lui exactă propusă de Comitetul de la Basel pentru Supravegherea Bancară este următoarea: 

riscul de pierdere rezultat din gestiunea inadecvată a proceselor interne, oamenilor și sistemelor sau datorită unor evenimente externe.

Riscul operaţional sau numit şi risc de operare a fost definit de mai mulţi autori după cum urmează: “Riscul operaţional, definit ca riscul pierderilor directe sau indirecte, care rezulta din  procese interne adecvate sau eşuate, persoane sau evenimente externe.1” “Riscul de operare: este un risc semnificativ pe piaţa produsului, el neputând fi ignorat de nici o instituţie financiară, şi constă în riscul ca sistemele de calcul să nu funcţioneze corect.” “Riscul operaţional este un risc potenţial care constă în posibilitatea ca în cursul derulării afacerii să asigure sincope datorate unui management necorespunzător unor erori umane ale personalului angajat sau unor fraude, sau unor probleme informatice.” “Riscurile operaţionale desemnează posibilele pierderi datorate deficienţelor  semnificative, în ceea ce priveşte fiabilitatea şi integritatea sistemelor. În aceaste sisteme de  plată electronice, există riscuri cauzate în primul rând de fragilitatea acestora care practic nu se regăsesc în reţeaua interbancară. În măsura în care aceste sisteme electronice de plată influenţează plăţile en-detail, consumatorii îşi pierd încrederea în acest sisteme de plată,  putând genera astfel chiar un risc sistemic.” “Riscurile operaţionale rezultă şi din asocierea competenţelor bancare cu cele nonbancare (serverele de informaţii, experţii în codificarea datelor, furnizorii de soft specializat, furnizorii de servicii de telecomunicaţii) pentru a face funcţională reţeaua de 1

http://www.comertbank.md/risk-managment

5

monedă electronică. Deoarece utilizarea reţelei deschise de riscurile băncilor depind practic de capacitatea furnizorilor de servicii privind instalarea tehnicilor de criptare mai avansate, de competenţe în înlocuirea problemelor din reţea rezultate din accidente sau atacuri externe.” “Riscul din tratamentul operaţiunilor, denumit risc operaţional, administrativ sau risc de “back-office”, corespunde riscului legat de tratamentul administrativ şi contabil al operaţiunilor. Faptele generatoare ale acestui risc sunt o supraveghere incorectă a operaţiilor, o  procedură de control ineficientă şi erori neconstatate la timp, situaţii care necesită timp de corectare a anomaliilor, precum şi o deteriorare a imaginii băncii. Gestionarea riscului poate fi realizată prin proceduri eficiente, o separare a funcţiilor (autorizare, realizare, control de prim rang), un cod de acces informatic confidenţial şi utilizarea de tablouri de bord ale activităţii. Riscul operațional într-o bancă, așa cum este definit el de către BIS (Bank for International Settlements), este riscul de pierderi rezultate prin efectul imperfecțiunilor, deficien țelor, neglijențelor manifestate in activitatea personalului angajat de banca respectivă, a deficiențelor in insăși structura procedurilor interne utilizate sau a sistemelor folosite, sau rezultate în urma unor evenimente externe. Riscul juridic este o componentă a riscului operaţional, apărut ca urmare a neaplicării sau a aplicării defectuoase a dispoziţiilor legale ori contractuale, care afectează negativ operaţiunile sau situaţia instituţiilor de credit. Multe institu ții financiare abordează într-o perspectivă mai larga riscul opera țional, încluzând în această categorie de risc, orice risc în afara riscurilor de credit și de pia ță Banca Naţională a României în calitate de autoritate naţională de supraveghere bancară a conştientizat importanţa şi necesitatea monitorizării riscului operaţional de către societăţile  bancare. Această atitudine este firească în condiţiile în care România trebuie să-şi armonizeze legislaţia naţională în vederea adoptării viitoare a Acordului Basel II. În prezent, toate societăţile bancare active în România trebuie să dispună de următoarele proceduri pentru administrarea riscului operaţional 2: a) proceduri de evaluare; b) proceduri de monitorizare; c) proceduri de reducere a riscului, fie pe plan intern, prin corectarea la timp a

erorilor constatate şi prin introducerea unor tehnologii adecvate de procesare şi asigurare a 2

Art. 81 din Norma Băncii Naţionale a României nr. 17/2003.

6

securităţii informaţiilor, fie prin transferul riscului către alte domenii de activitate (de exemplu, asigurări împotriva unor evenimente). De asemenea, în gestionarea riscului operaţional bancar, potrivit reglementărilor legale naţionale în vigoare 3, societăţile bancare active pe teritoriul României trebuie să aibă politici  privind administrarea riscului operaţional. Aceste politici trebuie să ia în considerare cel puţin următoarele tipuri de evenimente generatoare ale riscului operaţional : a) frauda internă (de exemplu: raportarea cu rea-credinţă a poziţiilor, furtul,

încheierea de către salariaţi de tranzacţii în cont propriu); b) frauda externă (de exemplu: tâlhăria, falsificarea, spargerea unor coduri aferente

sistemelor informatice); c) condiţiile aferente efectuării angajărilor de personal şi siguranţa locului de muncă (de exemplu: cererile compensatorii ale personalului, nerespectarea normelor de

 protecţie a muncii, promovarea unor practici discriminatorii); d) practici defectuoase legate de clientelă, produse şi activităţi (de exemplu:

utilizarea necorespunzătoare a informaţiilor confidenţiale deţinute în legătură cu clientela, spălarea banilor, vânzarea unor produse neautorizate, folosirea greşită de către clienţi a  produselor şi serviciilor aferente sistemului "electronic banking"); e) punerea în pericol a activelor corporale (de exemplu: acte de terorism sau

vandalism, incendii, cutremure); f)  întreruperea activităţii şi funcţionarea defectuoasă a sistemelor (de exemplu:

defecţiuni ale componentelor hardware şi software, probleme legate de telecomunicaţii,  proiectarea, implementarea şi întreţinerea defectuoasă a sistemului "electronic banking"); g) tratamentul aplicat clienţilor şi contrapartidelor comerciale, precum şi procesarea defectuoasă a datelor legate de aceştia (de exemplu: înregistrarea eronată a

datelor de intrare, administrarea defectuoasă a garanţiilor reale, documentaţia legală incompletă, accesul neautorizat la conturile clienţilor, litigii); h) securitatea sistemului "electronic banking" (de exemplu: angajamente ale

instituţiei de credit rezultate în mod fraudulos prin contrafacerea monedei electronice sau înregistrarea unor pierderi ori a unor angajamente suplimentare de către clienţi în cazul unui acces defectuos în cadrul sistemului). 3

Art. 78 din Norma Băncii Naţionale a României nr. 17/2003.

7

Băncile active în România sunt obligate să întreprindă măsuri în scopul identificării şi evaluării riscului operaţional 4: a) evaluarea operaţiunilor şi activităţilor în vederea determinării celor vulnerabile la

riscul operaţional; b) stabilirea unor indicatori cu ajutorul cărora să poată fi determinată poziţia instituţiei

de credit afectate de riscul operaţional de tranzacţii nefinalizate, frecvenţa şi/sau gravitatea erorilor şi omisiunilor, rata de fluctuaţie a personalului, creşterea rapidă a activităţii), precum şi a unor limite aferente acestora; c) evaluarea permanentă a expunerilor la riscul operaţional (de exemplu, pe baza

datelor istorice legate de înregistrarea de pierderi, analizării unor scenarii diferite). Aceste obligaţii ale băncilor ne oferă un răspuns referitor la nepreluarea în legislaţia naţională a nivelului trei de eveniment generator de risc operaţional – activitatea, nivel conţinut în Acordul Basel II: băncile trebuie să-şi configureze ele însele operaţiunile şi activităţile vulnerabile la riscul operaţional. Vom prezenta o structură schematică a principalelor activităţi bancare circumscrise categoriilor de evenimente generatoare de risc operaţional. Precizăm că la momentul actual în România, fiecare societate bancară îşi configurează propriul profil de risc operaţional, prin identificarea activităţilor generatoare de evenimente de risc operaţional. Activităţile mai jos expuse formează un posibil model în care sunt detaliate evenimentele generatoare de risc operaţional bancar, specifice unităţilor bancare operative.

1.2.1 Evenimentul generator de risc operaţional - frauda internă.  Activităţi: •

Angajarea băncii în operaţiuni cu clienţii, bazate pe analiza incorectă a activităţii acestora din urmă şi potenţial generatoare de pierderi la nivelul băncii;

•

Inducerea în eroare a clientelei, prin neglijenţă, erori, omisiuni intenţionate sau nu, în demersurile de informare a clienţilor;

•

Falsificarea de documente de către salariaţii băncii sau complicitatea acestora la întocmirea unor documente false (contracte de credite, de garanţie, acte de casă, instrumente de plată etc.);

4

Art. 79 din Norma Băncii Naţionale a României nr. 17/2003.

8

•

Întocmirea de situaţii şi rapoarte false, cu rea credinţă, în intenţia de a frauda banca;

•

Efectuarea de operaţiuni bancare neautorizate sau care depăşesc competenţa angajatului;

•

Înregistrarea în evidenţele contabile ale băncii a unor operaţiuni fără a avea la bază documente justificative aferente;

•

Modificarea unor informaţii în aplicaţiile informatice ale băncii, fără competenţa şi autorizarea necesare;

•

Furt de valori materiale şi băneşti;

•

Operaţiuni efectuate de angajaţi în nume şi cont propriu şi care afectează patrimoniul societăţii bancare.

1.2.2 Evenimentul generator de risc operaţional - frauda externă. Activităţi: •

Contrafacere de documente de către terţi, în scopul fraudării băncii;

•

Introducerea de către clienţi în societatea bancară a bancnotelor/monedelor false;

•

Depuneri intenţionate de numerar efectuate de către clienţi, în sumă mai mică decât cea consemnată în documente;

•

Jaf /tâlhărie la ghişeele băncii sau la ATM-urile acesteia;

•

Accesul neautorizat în sistemele informatice ale băncii, care conduce la prejudicierea acesteia (inclusiv de imagine) sau a clienţilor.

1.2.3 Evenimentul generator de risc operaţional  - condiţii aferente efectuării  angajărilor de personal şi siguranţa locului de muncă. Activităţi: •

Abateri disciplinare ale personalului băncii;

•

Activităţi bancare care pot fi executate doar de anumiţi angajaţi, pentru care nu au fost  prevăzuţi înlocuitori în situaţii de forţă majoră;

•

Absenţa unor angajaţi cheie;

•

Atribuţii de serviciu care depăşesc pregătirea angajaţilor.

9

1.2.4 Evenimentul generator de risc operaţional -  Practici defectuoase legate de clientelă, produse şi activităţi. Activităţi: •

Divulgarea (inclusiv către bănci concurente) de către angajaţi a informaţiilor  referitoare la sarcini de serviciu, inclusiv operaţiuni efectuate în numele clienţilor;

•

•

•

Tratamente inegale preferenţiale subiective şi nefondate aplicate clienţilor;  Neidentificarea de operaţiuni de spălare a banilor; Iniţierea şi derularea de activităţi bancare neautorizate cu clienţii sau fără documente contractuale;

•

 Neinvestigarea datelor despre clienţi, corespunzător cerinţelor de cunoaştere a clientelei şi a normelor de lucru interne;

•

 Nerespectarea procedurilor interne legate de limitele maxime de expunere pe grupuri sau pe clienţi individuali şi a competenţelor pe unităţi teritoriale;

•

Utilizarea incorectă de către clienţi a aplicaţiilor informatice cu acces de la distanţă.

1.2.5 Evenimentul generator de risc operaţional - Punerea în pericol a activelor  corporale. Activităţi: •

Fenomene naturale cu impact asupra activelor corporale (cutremure, incendii, inundaţii etc.);

•

Evenimente neprevăzute în care sunt implicaţi terţi sau angajaţi ai băncii şi care  provoacă distrugeri ale activelor corporale ale băncii (evenimente de stradă, vandalism);

•

Folosirea necorespunzătoare a activelor corporale şi distrugerea acestora.

1.2.6 Evenimentul generator de risc operaţional - Întreruperea activităţii şi   funcţionarea defectuoasă a sistemelor.  Activităţi: •

Probleme legate de funcţionarea aplicaţiilor informatice, care conduc la pierderea unor  date;

10

•

Virusarea sistemului informatic al băncii;

•

Defecţiuni ale echipamentelor fizice de stocare a informaţiilor electronice ale băncii;

•

Erori legate de transmiterea datelor în format electronic (e-mail etc.);

•

Căderea alimentării cu energie electrică, generatoare de întreruperi în derularea de operaţiuni la ATM-uri sau în front-office-ul unităţilor bancare;

•

Defecţiuni în sistemele de comunicaţie ale băncii, atât la nivel intrabancar, cât şi la nivel interbancar.

1.2.7 Evenimentul generator de risc operaţional - Tratament aplicat clienţilor şi  contrapartidelor comerciale, precum şi procesarea defectuoasă a datelor legate de aceştia.  Activităţi: •

Documentaţii contractuale încheiate cu clientela, inclusiv bancară, incomplete sau eronate;

•

Acţiuni neintenţionate ale angajaţilor băncii, care generează erori în documente sau în aplicaţiile informatice ale băncii;

•

Insuficienta studiere a calităţii valorilor şi numerarului manipulat de unităţile bancare operative;

•

Transportul şi preluarea necorespunzătoare a numerarului de la alte unităţi bancare sau de la sucursalele Băncii Naţionale a României;

•

Păstrarea, arhivarea şi procesarea necorespunzătoare a documentelor despre clienţi şi operaţiuni bancare cu aceştia;

•

Insuficienta cunoaştere a reglementărilor legale şi interne bancare referitoare la clienţi;

•

Consemnarea eronată sau neautorizată de documente în conturile clienţilor.

1.2.8 Evenimentul generator de risc operaţional – Securitatea sistemului electronic banking.  Activităţi: •

Activităţi nepermise efectuate în sistem (de către angajaţi sau clienţi), generatoare de obligaţii suplimentare pentru societatea bancară sau pentru clientelă, inclusiv activităţi de falsificare a monedei electronice.

11

Pe lângă această detaliere a evenimentelor generatoare de risc operaţional bancar în activităţi, societăţile bancare pot configura şi alte tipuri de activităţi potenţial generatoare de riscuri operaţionale bancare. O categorie importantă este aceea a activităţilor cu caracter documentar desfăşurate în societăţile bancare: conceperea, circulaţia şi păstrarea documentelor (inclusiv pe suport electronic) în care se consemnează operaţiuni bancare în momentul efectuării lor, cât şi ulterior, în momentul prelucrării (inclusiv de natură contabilă). Presupunând că o societate bancară reuşeşte să-şi configureze o anumită structură  pertinentă a principalelor evenimente de risc operaţional bancar, misiunea sa nu se sfârşeşte aici. De fapt, de aici încep provocările majore. Societăţile bancare sunt obligate, în condiţiile prevederilor Acordului Basel II, să cuantifice riscul operaţional bancar, utilizând una din cele trei abordări permise de acord: abordarea indicator de bază, standard sau a evaluărilor avansate (the Basic Indicator  Approach; the Standardised Approach or Advanced Measurement Approaches (AMA)). Personalul din bănci reprezintă o sursă importantă de apari ție a riscului opera țional din cel putin 3 motive: 

Fluctuația de personal



Lipsa unui training adecvat



Penuria de specialiști in domeniu

Băncile se confrunta în prezent cu o fluctuație de personal care este în creștere și din câte se pare va mai continua din moment ce băncile nu au soluții pentru a stopa acest lucru. S-a descoperit și o migrare a acestora spre departamentele din Back Office, iar în departametele din Front Office (unde angajatul bancar este în contact direct cu clientela  băncii) media de vârstă este în continuă scădere. Lipsa de training adecvat reprezintă o problemă cu care băncile se confruntă tot mai des. Există prea pu ține programe de training adaptate la realitatea din economie, însă majoritatea  băncilor au programe de training dedicate pentru aplica țiile pe care o să le folosească angajatul din momentul în care incepe activitatea propriu-zisă. În cel de-al treilea rând penuria de speciali ș ti cu, care se confruntă băncile se datorează numărului foarte mare de unități pe care băncile vor să le deschidă iar acest lucru duce la o 12

lipsă de personal pentru unitățile nou deschise. Într-adevăr se poate ameliora această situa ție  printr-o investiție în dezvoltarea personalului recrutat însă în goana lor spre profit, băncile trec  pe plan secund această problemă.

13

CAPITOLUL II 2.1. Componentele riscului operaţional

Componentele riscului operaţional sunt: Riscul de control – este riscul de producere a unei pierderi neaşteptate datorate lipsei unui

control adecvat sau a lipsei de eficacitate a acestui control şi poate fi împărţit în două mari categorii: •

Riscul inerent – riscul unei anumite activităţi în cadrul băncii, indiferent de tipul de control intern exercitat.Domeniile de afaceri complexe. înţelese doar decâteva  persoane cheie, implică un risc inerent ridicat.

•

Riscul de control – riscul în care o pierdere financiară nu este prevenită, detectată şi corectată la timp de către controlul intern.

Riscul de proces  – riscul prin care activitatea ineficientă produce pierderi neaşteptate.

Riscul de proces este legat îndeaproape de controlul intern, după cum acesta din urmă trebuie  privit ca un proces. Se diferenţiază de controlul intern atunci când un proces este văzut ca o activitate continuă, de tipul managementului riscului, dar controlul intern în cadrul procesului de management al riscului este înfăţişat ca "punct de control". Riscul de reputaț ie – riscul unei pierderi neaşteptate în ceea ce priveşte preţul activelor,

datorat impactului aspra reputaţiei instituţiei. Pierderea reputaţiei poate surveni în urma vânzării produselor financiare noi. Riscul de personal – acest risc nu se referă numai la activităţile departamentului de

resurse umane, deşi acesta contribuie la controlul riscului. Există condiţii specifice în cadrul activităţii de control de care managerul de risc operaţional trebuie sa ţină seama atunci când realizează o evaluare. Departamentul de resurse umane trebuie să acopere aceste riscuri prin formarea unor standarde şi prin stabilirea unei infrastructuri ce conţine baze de date privind "managementul cunoştinţelor", cât şi printr-o pregătire adecvată şi promovare profesională. Riscul legal – acest risc poate fi împărţit în următoarele categorii: •

Riscul

apariţiei

unor

pretenţii

de ordin

acţiunilor angajaţilor.

14

juridic

datorate

activităţii

sau

•

Riscul prin care o opinie juridică asupra unei chestiuni legate de lege se dovedeşte a fi incorectă în justiţie. Acest ultim risc este aplicabil compensării sau produselor  financiare noi.

Riscul de preluare – constă în posibilitatea modificării structurii capitalului instituţiei în

urma achiziţiilor succesive de acţiuni prin intermediul burselor de valori. Riscul de marketing – se poate produce atunci când produsele noi sunt slab puse în

valoare în strategia de marketing. Riscul tehnologic – cuprinde toate măsurile de sistem, inclusiv presiunea externă legată de

 procesul tehnologic. Modificări ale sistemului fiscal – dacă apar modificări în nivelul impozitelor retrospectiv,

aceasta poate face afacerea să devină imediat neprofitabilă. Un exemplu în acest sens îl reprezintă modificările în deductibilitatea cheltuielilor. Modificări ale reglementărilor în domeniu – necesită o monitorizare permanentă.Efectul

asupra afacerii poate fi important, iar riscul unei volatilităţi ridicate a rentabilităţilor poate fi extrem de mare. Mărimea afacerii – dacă mecanismele, personalul şi infrastructura informatică nu pot

susţine dezvoltarea afacerii, riscul de faliment este ridicat. Riscul de proiect – reprezintă un motiv importam de îngrijorare pentru multe bănci în

mod deosebit impactul câtorva proiecte curente. Securitate – activele băncilor trebuie să fie asigurate atât împotriva furtului intern,cât şi a

celui extern. Astfel de active includ nu numai banii firmei sau alte hârtii de valoare/împrumuturi, dar şi activele clienţilor şi proprietatea intelectuală a firmei. Făcând o sinteză a tuturor componentelor, putem spune că riscul operaţional are în structura sa 4 mari categorii de riscuri, acestea fiind în strânsă interdependenţă: o

riscuri de proces

o

riscuri de personal

o

riscuri de tehnologie

o

riscuri externe.

15

2.2 Cuantificarea riscului operaţional

Comitetul de la Basel intenţionează să urmărească în mod constant evoluţia abordărilor   privind riscul operaţional. În acest sens, este bine privit progresul băncilor care au elaborat metode de gestionare a riscului operaţional în funcţie de AMC. Conducerea acestor bănci a ajuns la concluzia că este posibilă elaborarea unei viziuni flexibile şi exhaustive privind cuantificarea riscului operaţional în cadrul procedeelor de stabilire a limitelor privind fondurile proprii. Acordul Basel II presupune trei abordări pentru riscul operaţional: metoda indicatorului de bază, metoda standardizată şi metoda evaluării avansate. Global, primele două abordări cer ca băncile să deţină fonduri proprii pentru riscul operaţional, calculate ca procent fix din măsura riscului determinat. 2.2.1 În abordarea riscului operaţional ca indicator de bază, măsura reprezintă profitul  brut mediu anual al băncii în ultimii trei ani. Abordarea indicator de bază este cea mai simplă dintre metode. După cum arată şi numele, în cazul său se utilizează un singur indicator de risc, la nivelul unei bănci, pentru a se calcula cerinţele de fonduri proprii. Băncile care utilizează această abordare trebuie să deţină fonduri proprii pentru acoperirea riscului operaţional, corespunzând unui procent fix din venitul lor mediu anual înregistrat în ultimii trei ani. Acest procent (denumit alfa) a fost stabilit de Comitetul de la Basel la nivelul de 15%. ORC =GI×α , unde:ORC - cerinţa de capital contra riscului operaţional (operaţional risk capital – ORC)GI – venit total mediu pentru ultimii 3 ani; α– coeficientul de rezervare, care este egal cu 0,15. Abordarea are avantajul că se poate implementa uşor şi este aplicabilă tuturor băncilor. Este foarte potrivită pentru băncile mici care au un portofoliu relative simplu de activităţi. Dezavantajul său este că nu răspunde caracteristicilor şi cerinţelor specifice ale  băncilor. 2.2.2 Şi în cazul abordării standardizate, profitul brut serveşte la măsurarea amplorii activităţilor într-o bancă şi, deci mărimea probabilă a expunerii sale la riscul operaţional.

16

Operaţiunea este efectuată prin multiplicarea profitului brut cu factorii specifici, respectiv cei determinaţi de comitet. Fondurile proprii adecvate totale stabilite de bancă corespund unei sume a fondurilor proprii adecvate pe fiecare activitate în parte. Cerinţa de fonduri proprii se determină separat pentru fiecare categorie, prin aplicarea unui coeficient specific (denumit beta) asupra venitului brut. Coeficienţii beta sunt cuprinşi între 12% şi 18% (finanţarea întreprinderilor 18%, activităţi de negociere pe cont propriu 18%, activităţi de detaliu (retail) 12%, activităţi desfăşurate cu clienţi bancari 15%, plăţi şidecontări 18%, servicii de agent 15%, gestiune de active 12%, activitate de intermediere financiară în contul clientelei de detaliu retail brokerage 12%). ORC = Σ (GIi ×βi), unde: ORC -cerinţa de capital contra riscului operaţional (operaţional risk capital– ORC) GIi– venit total mediu pentru ultimele 3 ani pentru direcţia de activitate i; βi – coeficientul de rezervare pentru activitatea i. Pentru deservirea persoanelor fizice şi juridice, poate fi utilizată abordarea standardalternativă (alternative standardised approach– ASA): ORC =β × m ×LA, unde: LA – suma totală medie a creditelor acordate, până la efectuarea reducerilor pentru  pierderi la credite; m= 0,035. Pentru a putea utiliza abordarea standardizată este important ca băncile să dispună de sisteme adecvate de gestionare a riscului operaţional, care satisfac criteriile minime impuse în cerinţele de la Basel. 2.2.3 În a treia variantă, cea a evaluării avansate5, Această metodă reprezintă o metodă de calcul personalizată, fiecare bancă îsi dezvoltă propria metoda de calcul a capitalului pentru riscul operaţional. Pentru adoptarea abordării avansate 6 instituţiile de credit pot determina cerinţa de capital pentru acoperirea riscului operaţional prin aplicarea abordării avansate de evaluare numai după ce a fost obţinută aprobarea Bănci Naţionale a României pentru utilizarea modelului intern. 5

Georgescu F., Stadiul pregătirii pentru aplicarea reglementărilor Basel II în sistemul bancar românesc, prezentare la seminarul Managementul riscurilor în perspectiva Basel II, ediţia a II-a, organizat de Finmedia, 2005 6

Stancu, I. & Bălu, F. (2009), “Modelling Operational Risk under Advanced Measurement Approach”, International Conferance “Financial Crime and Securization of Banking Circuits in order to Prevent and Fight against Money Laundering”, Editura ASE, 2009

17

Ca urmare, paşii ce trebuie urmăriţi de orice metodă de cuantificare sunt următorii: • identificarea unei metode care descrie clar expunerea la riscul operaţional, factorii de risc şi pierderile potenţiale; • stabilirea unei relaţii între expunerea la risc, factorii de risc şi pierderilor potenţiale; • temperarea evenimentelor cu un impact redus, dar de frecvenţă ridicată şi a celor cu un impact ridicat dar de frecvenţă redusă; • includerea modelului final şi a rapoartelor în cadrul afacerii şi proceselor de management. Atunci când se analizează riscul de piaţă sau de credit, multe instituţii recurg la o abordare graduală, astfel: 

definirea riscului;



identificarea factorilor de risc;



măsurarea expunerii la aceşti factori;



calcularea riscului.

În urma unui studiu efectuat asupra a 5 bănci din România (BCR, BRD, Raiffeisen Bank, Banca Transilvania şi Unicredit Ţiriac Bank) pe baza situaţiilor financiare din perioada 2006  – 2008 am calculat alocarea capitalului folosind metoda indicatorului de bază, metoda standard şi metoda avansată.

18

Figura 1 - Elemente din situaţiile financiare ale băncilor  În urma calculării indicatorilor au fost obţinute următoarele valori:

19

KBIA – metoda indicatorului de bază KSA – metoda indicatorului standard KASA – metoda standard avansata ( diferenţa dintre această metodă şi cea a indicatorului standard constă în faptul ca veniturile din activităţile de Retail Banking şi Commercial Banking nu se mai ponderează cu 12% respectiv 15% ci cu 3.5%).

20

2.3 Managementul riscului operaţional

Paşii unui proces eficient de management al riscului operaţional sunt următorii: Pasul 1 - Stabilirea politicii:

Politicile care definesc un management eficient al riscului operaţional trebuie să fie urmate îndeaproape de organizaţie. Acestea contribuie la toate aspectele îmbunătăţirii continue în performanţa afacerilor. Responsabilităţile asumate în faţa comunităţii de afaceri trebuiesc îndeplinite în spiritul şi litera legii. Aşteptările acţionarilor, angajaţilor, clienţilor şi societăţii în general trebuie satisfăcute. Există abordări care permit evoluţia activelor intangibile care au rolul de a reduce pierderile financiare. Pasul 2 - Organizarea:

Pentru a pune în aplicare politicile mai sus definite, este necesară motivarea şi stabilirea atribuţiilor managementului în vederea protejării succesului pe termen lung al firmei  prin: 

stimularea participării eficiente din partea angajaţilor 



susţinerea comunicării eficiente şi a promovării competenţei care să permită tuturor angajaţilor să contribuie la eforturile de implementare a managementului riscului operaţional.

Leaderii companiei trebuie să cultive o percepţie pozitivă a riscului, să sintetizeze viziunea şi valorile legate de risc. Pasul 3 – Implementarea:

Un plan sistematic de implementare a managementului riscului operaţional este necesar pentru a definitiva un sistem eficient. Scopul este minimizarea riscului. Metodele de evaluare a riscului sunt utilizate pentru a se decide asupra priorităţilor şi a stabili obiectivele de eliminare a hazardului şi reduce a riscurilor. Dacă riscurile nu pot fi controlate din interior, atunci sunt luate în considerare diferite metode de transfer al acestora, prin apelul la instrumentele pieţei financiare sau prin asigurări.

21

Elementele cheie ale procesului de implementare sunt: 

Definirea/revizuirea categoriilor de risc: Primul pas este stabilirea definiţiilor comune a categoriilor de risc, a riscurilor ca evenimente şi a interdependenţelor dintre acestea. Aceasta este o abordare de sus în jos, în care riscurile sunt legate de pierderi.



Evaluarea riscurilor: sunt necesare unele forme de evaluare iniţială a tuturor riscurilor   bazate pe impactul şi probabilitatea acestora în scopul conturării unei imagini comune asupra celor mai semnificative riscuri



Definirea strategiei de risc: bazată pe acordul privind nivelurile acceptabile pentru fiecare risc



Indicatorii cheie pentru risc: sunt folosiţi pentru a depista riscurile care intră în intervalele de atenţie. În aceste cazuri, se face apelul la măsuri şi proceduri speciale pentru diminuarea riscurilor şi atenuarea efectelor negative



Definirea acţiunilor strategice şi diminuarea riscului: Pentru a asigura normalizarea valorilor indicatorilor mai sus menţionaţi, este necesară definirea unor acţiuni strategice.



Monitorizarea riscului şi a mediului de afaceri: Efectuarea unor rapoarte privind evoluţia indicatorilor de risc evidenţiază ariile critice în care este necesară aplicarea unor măsuri speciale. Abordarea strategică este sprijinită de activităţi tactice. Pentru asigurarea consecvenţei

 politicilor întreprinse de manageri şi a participării active în activitatea de management al riscului, ar trebui îndeplinite următoarele măsuri: 

Stabilirea unor valori ţintă petru indicatorii de risc



Monitorizarea indicatorilor de risc



Iniţierea unor operaţiuni: prin impunerea unor intervale mai mici de frecvenţă pentru monitorizare, un manager trebuie să ia măsuri de prevenire a escaladării valorilor  indicatorilor de risc.

Prin urmare, top managementul va avea o viziune de ansamblu a operaţiunilor riscante conectate cu activitatea sa. 

Identificarea noilor surse de risc

22

Pasul 4 –Măsurarea performanţei

Performanţa sistemului de management al riscului operaţional este măsurat prin utilizarea unor standarde care scoate în evidenţă ariile care necesită îmbunătăţiri. Monitorizarea proactivă reflectă eficienţa funcţionării sistemului. În acest caz, se au în vedere atât factorii interni cât şi cei externi. Obiectivele monitorizării active şi proactive sunt: 

Determinarea rapidă a cauzelor performanţelor inferioare standardelor 



Identificarea implicaţiilor structurii sistemului de management al riscului

Pasul 5 – Audit:

Organizaţia învaţă din toate experienţele relevante şi aplică cunoştinţele dobândite.Există rapoarte sistematice asupra performanţelor bazate pe activităţile de monitorizare şi din consultările individuale din întreg sistemul de management al riscului. Toate acestea constituie bazele auto-reglementării în compatibilităţii cu diferite standarde naţionale şi internaţionale. Evoluţia constantă a politicilor, sistemelor, tehnicilor de măsurare a riscului şi a controlului presupune implicarea activă şi continua îmbunătăţire. Performanţe deosebite se realizează prin: - urmărirea indicatorilor de performanţă - comparaţie cu cei mai buni competitori în ramura de activitate În cele din urmă, feedback -ul de ansamblu este un aspect esenţial al procesului de management al riscului. Activitatea de management al riscului nu este una liniară, ci reprezintă un ciclu de activităţi continuu îmbunătăţit, a cărui eficienţă este critică pentru succesul de ansamblu al sistemului. În prezent, conform unui studiu realizat de Ernst&Young 7, se remarcă unele reacţii neadecvate ale băncilor româneşti referitoare la riscul operaţional:

•

7

mentalitate orientată către conformitate mai curând decât către o decizie de investiţii;

Popescu Dana, Tendinţe actuale în mediul bancar românesc , 2004.

23

•

deficienţe în stabilirea unei strategii de risc;

•

riscul de credit şi de piaţă au prioritate în alocarea bugetului faţă de riscul operaţional;

•

riscul operaţional nu reprezintă o prioritate pentru Consiliul de Administraţie şi nici nu sunt alocaţi managerii executivi care să poarte responsabilitatea riscului operaţional;

•

lipsa de resurse şi aptitudini incomplete în cadrul unităţilor de management al riscului operaţional;

•

constrângeri ale sistemelor informatice. Însă, includerea riscului operaţional în cadrul Basel II dovedeşte importanţa de

netăgăduit a acestei categorii de risc. Ca urmare, managementul riscului operaţional a devenit el însuşi o disciplină care are propriile instrumente, structuri şi procese de management. În acest context, consider că în prezent, băncile româneşti nu acordă suficientă importanţă riscului operaţional şi multe dintre eşecurile suferite s-au datorat tocmai acestei neglijenţe. Totuşi, se remarcă o preocupare în creştere din partea băncilor pentru alegerea unor  metode adecvate de diminuare a acestui risc în contextul în care consecinţele nefaste se concretizează în erodarea încrederii clientului. Comitetul oferă băncilor flexibilitate în elaborarea unui studiu care să permită calcularea nivelului minim al fondurilor proprii pentru risc operaţional, corespunzător   profilului lor de activitate şi riscurilor subsecvente. De aceea, pentru a fi în concordanţă cu prevederile Noului Acord, instituţiile de credit din România vor cheltui sume importante pe sisteme informatice şi pregătirea personalului, în condiţiile în care trecerea la banca virtuală constituie deja un imperativ. În concluzie, riscul operaţional va tinde să eclipseze pe viitor riscul de credit şi cel de  piaţă, cu atât mai mult cu cât este şi mai dificil de cuantificat şi deci solicită o atenţie sporită din partea băncilor.

24

3. STUDIU DE CAZ PRIVIND SURSELE DE RISC OPERATIONAL

Analiza referitoare la sursele de risc operational ale bancilor precum si limitele indicatorilor care se refera la acest risc Banca analizata foloseste pentru alocarea capitalului necesar riscului operational metoda de abordare standard. In anexa 1 am alcatuit un raport pe perioada 01.ianuarie.2008 –  30.octombrie.2008 in care am valoarile pe care le-au luat acesti indicatori. In prezentul referat ma voi axa in continuare doar pe urmatoarele surse de risc operational: •

Angajatii bancii

•

Tranzactiile efectuate prin diverse canale bancare

•

Disponibilitatea sistemelor informatice ale bancii Sursa principala de risc operational a unei banci o reprezinta personalul angajat iar 

 pentru contracararea lui banca are nevoie pe langa o cultura organizationala adecvata si de un set de reguli si politici bine documentate si aplicate in practica de zi cu zi. In figura de mai jos este reprezentat indicatorul care verifica  fluctuatia de personal pe anumite perioade de timp si dupa cum se poate observa banca analizata a avut doar in luna mai a anului curent o crestere foarte mare a acestui indicator dar totusi se mentine in intervalul acceptat de banca si anume ±4,1%. Limita minima de personal pe care banca o accepta este de 2.815 angajati( limita calculata in functie de numarul de sucursale, aplicatii bancare, numar de clienti). Sub aceasta limita ca plan de avarie va incheia contracte de colaborare pe perioade determinate cu diverse firme de forta de munca care preiau atributiile diverselor posturi ramase libere. Aceasta analiza este livrata permanent de catre departamentul de risc operational catre departamentul de resurse umane al bancii astfel in orice moment se poate vedea daca indicatorul calculat creste sau descreste peste limitele acceptate.

25

Urmatorul indicator analizat este cel referitor la tranzactiile derulate prin diverse canale ale  bancii, iar aici avem 2 tipuri de tranzactii analizate: ·

Tranzactii in numerar 

·

Tranzactii din carduri

Tranzactiile in numerar ,

dupa cum se vede in figura 2, reprezinta majoritatea evenimentelor 

de risc operational din aceasta categorie. Cauzele principale sunt falsurile in acte si neatentia angajatiilor bancii. Acest indicator  calculeaza numarul de trazactii frauduloase din totalul tranzactiilor efectuate de clienti pe  parcursul unei luni. In tabelul de mai jos se observa numarul de tranzactii cu caracter fraudulos dar in nici o luna nu a fost depasita valoarea previzionata de banca.

26

Fig.2 – Numarul tranzactiilor in numerar frauduloase Tranzactiile cu carduri reprezinta

deasemenea o sursa importanta de risc operational.

Dupa cum se poate observa valoare maxima a fraudelor dintr-o luna de zile a fost de 300.000 de RON, iar valoare maxima previzionata de banca este de 282,000 RON. Suma totala a tranzactiilor cu carduri in perioada analizata se ridica la 1,150,143 RON pe cand suma  previzionata de banca pe aceasta perioada a fost de 2,820,000, ceea ce reprezinta 40% din suma previzionata. Este oricum ingrijorator faptul ca aceste tranzactii tind sa creasca de la o luna la alta, majoritatea bancilor s-au confruntat in acest an cu acest fel de probleme. Ca si solutii banca analizata si-a propus introducerea cardurilor cu chip ( un grad mai mare de siguranta), upgradarea sistemelor de securitate a cardurilor, precum si micsorarea limitelor  zilnice a valorilor operatiunilor cu carduri si anume la maxim 1500 RON de la ATM si maxim 1000 EUR de la POS. Pentru marirea acestor limite clientul trebuie sa sune la serviciul carduri, sa se autentifice, iar in urma acestui proces limita se va ridica, dar doar pentru acea tranzactie. Daca doreste in aceeasi zi o noua tranzactie care va depasi limitele setate va trebui sa reia procedeul descris mai sus.

27

Fig. 3 – Valoare tranzactii frauduloase cu cardurile bancii  Disponibilitatea sistemelor informatice este a treia sursa de risc operational studiata in

cadrul acestei analize si reprezinta timpul in care aplicatiile folosite de banca sunt online – pot fi folosite si se pot face operatiuni. Se calculeaza ca procent din numarul tot de ore intr-o luna si este obligatoriu sa nu fie mai mic de 96%. In figura de mai jos am prezentat disponibiliatea  prinicipalelor aplicatii pe care le foloseste banca analizata. Indicatorul se calculeaza in felul urmator:

DT = down time acceptate (timpul in care aplicatia este offline ) 300 – numar total de ore pe luna Din calculul acestui indicator rezulta un offline acceptat pe luna de ambele parti de 6 ore, aceasta perioada nu include timpii necesari pentru upgrade-ul softului, si nici timpii necesari salvarilor lunare.La o medie de 4 ore pe luna, intr-un singur an o banca are sistemul oprit 2 zile.

28

Figura 4 – Disponibilitate aplicatie bancara Maximul din luna februarie se datoreaza intrarii pe productie a unor modificari care nu au fost testate corespunzator. Pentru contracararea acestor inconveniente banca aplica reguli si  politici referitoare la trecerea modificarilor de pe sistemul de test pe cel de productie, o mai  buna gestiune a aplicatiilor, cat si trecerea la nivele mai mari de suport acordate de catre furnizori.

29

CONCLUZII

Riscul bancar a apărut odată cu prima activitate bancară. Până la începutul anilor ”80 comunitatea financiar- bancară privea unilateral problema riscului numai din punct de vedere al creditului, după aceea riscul bancar fiind privit din postura mai multor riscuri. În ceea ce priveşte tipurile de riscuri bancare, acestea pot fi clasificate după mai multe criterii, în funcţie de ceea ce se doreşte a se scoate în evidenţă, astfel BNR clasifică riscurile  bancare în 9 mari categorii de risc: risc de conformitate, risc de credit, risc de ţară, risc de transfer, risc de piaţă, risc de rată a dobânzii, risc aferent tehnologiei informaţiei(IT), risc reputaţional, risc strategic. Pentru o mai bună gestinare a riscurilor, BNR a înfiinţat în cadrul ei Centrala Riscurilor Bancare (CRB). Sisteme similare de gestiune a informaţiilor de credit existând şi în: Austria, Belgia, Franţa, Germania, Italia, Portugalia, Spania. Deoarece riscurile bancare sunt o problemă generală, care afectează toate sistemele bancare, din toată lumea, cu ocazia ultimului congres internaţional (International Convergence of Capital Measurement and Capital Standards - a Revised Framework), cunoscut sub numele de Acordul Basel II, au fost reglementate noi standarde cu privire la riscurile bancare, astfel, în cadrul congresului s-au luat decizii cu privire la: •

capitalul minim necesar de care băncile trebuie să dispună pentru a putea face faţă riscurilor;

•

cauzele principalelor riscuri bancare, inclusiv cauzele riscului operaţional;

•

metodologii de măsurare şi prevenire a riscurilor bancare, incluzând de această dată şimetodologii pentru riscul operaţional.

Componentele riscului operaţional sunt foarte diversificate şi variate, însă făcând o sinteză a acestor componente, putem spune că, riscul operaţional are în structura sa 4 mari categoriide riscuri, acestea fiind în strânsă interdependenţă: •

riscuri de proces;

•

riscuri de personal;

•

riscuri de tehnologie;

•

riscuri externe. 30

Există mai multe metode de management a riscului operaţional, însă pentru ca acest proces de management să fie cât mai eficient, acesta trebuie să cuprindă în cadrul lui 5 paşi esenţiali: 

Stabilirea politicii (cu privire la riscul operaţional)



Organizarea politicii (modul de punere în aplicare a politicilor stabilite);



Implementarea politicilor (planul efectiv de implementare a politicilor);



Măsurarea performanţei (scala de valori folosite pentru comensurarea rezultatelor);



Audit politicilor (verificarea eficienţei politicilor).

Dacă celelate riscuri, riscul de credit, de dobândă, pot fi evitare, prin luarea de măsuri concrete (garanţii suplimentare, crearea de provizioane, etc.), pentru riscul operaţional oricâte măsuri s-ar lua acesta nu poate fi evitat în totalitate deoarece “sursele” de apariţie a riscului operaţional sunt foarte diversificate, astfel că şi impactul financiar pe care îl produce asupra  bănci este la fel de diversificat, de la pierderi interne la pierderi externe şi de la pierderi de natură financiară la pierderi denatură morală, reputaţională Pentru a identifica, analiza şi gestiona din timp aceste riscuri, banca are nevoie de informaţii, atât din mediul extern cât şi din mediul intern. Însă numai informaţia nu este suficientă pentru a preveni şi la nevoie pentru a combate riscurile apărute in cadrul activităţii  bancare, acestea (informaţiile) trebuind să fie asimilate, analizate, luată şi implementată o decize. În funcţie de „calitatea” informaţiei primite şi de modul de gestionare (asimilare,analiză, decizie, execuţie) a acesteia “produce” noi informaţii, care pot fi folosite pe viitor în activitatea băncii În funcţie de modul de gestionare a informaţiilor precum şi de politicile băncii,aceasta,  banca, are mai multe modalităţi de reducere, de minimizare a principalelor categorii de riscuri opraţionale. Astfel împotriva riscului de fraudă bancară, care este cel mai întâlnit, banca poate lupta prin: 

depistarea viciilor la momentele oportune;



împărţirea responsabilităţilor;



testarea şi verificarea sistemelor informaţionale ale băncii;



introducerea de noi sisteme de verificare şi gestionare a datelor de o acurateţe mai mare. 31

In momentul actual in Romania conform datelor BNR pentru riscul operational 22 de  banci au optat pentru abordarea indicatorului de baza, 9 banci pentru abordarea standard si doar o singura banca pentru abordarea avansata. In privinta politicilor privind adaptarea sistemelor informatice la noile cerinte  pentru calcul de risc operational bancile dispun de seturi de politici, proceduri si procese de control pentru diminuarea riscului, au sisteme de monitorizare si raportare a expunerii la risc si au dezvoltat planuri de recuperare a datelor in caz de dezastru adaptat noilor cerinte. In ceea ce  priveste performanta sistemelor un sfert din numarul total al bancilor au testat aplicatiile informatice si au analizat rezultatele testelor efectuate. In concluzie pentru gestiunea cat mai eficienta a riscurilor operationale bancile trebuie sa se asigure de urmatoarele lucruri. Pentru acele riscuri care vin din partea angajatilor, trebuie avut in vedere, printre altele: (1)orice variatie in practica managementului resurselor umane. (2) modul in care indicatorii de performanta ai personalului precum si remuneratia acestuia reflecta toleranta bancii pentru riscurile operationale (daca acesti indicatori sunt corespunzatori pentru masurarea performantei). (3) daca pregatirea profesionala necorespunzatoare a angajatilor, implicati in relatii directe cu clientii companiei de asigurare, constituie cauza reducerii portofoliului de clienti sau daca aplicarea unor metode incorecte de operare a serviciilor catre client duce la o comunicare generala ineficienta a companiei de asigurare cu publicul larg. (4) masura in care sunt respectate prevederile interne cu privire la comportamentul angajatilor. (5) existenta unui plan de continuitate al operatiunilor in cazul indisponibilitatii sau pierderii unor angajati. (6) relatia intre riscurile legate de angajati (cum ar fi orele suplimentare, imbolnaviri, fluctuatia angajatilor, etc.) si expunerea la riscurile operationale. (7) in cazul externalizarii unor servicii, trebuie luata in calcul aplicabilitatea precizarilor de mai sus pentru angajatii tertei parti, cu care exista relatii contractuale. Riscurile

operationale

care

rezulta

din

incapacitatea

sau

functionarea

necorespunzatoare a proceselor sau sistemelor proprii sau externalizate, trebuie urmarite astfel incat sa se aiba in vedere:

32

(1) importanta si complexitatea proceselor si sistemelor folosite in tot ciclul operativ al  produselor de asigurare si al activitatilor aferente (de exemplu, nivelul de integrare al sistemelor). (2) prevenirea incapacitatii sistemelor si proceselor sau identificarea pro-activa a testelor cu rezultate nedorite in vederea corectarii prompte a acestora. (3) existenta unui plan de continuitate al operatiunilor in cazul in care un proces sau un sistem devine indisponibil sau este distrus. In cazul sistemelor informatice trebuie sa tina seama de: •

structura de organizare si raportare a operatiunilor IT, inclusiv o supervizare adecvata de catre managementul superior;

•

masura in care cerintele tehnologie informationale sunt luate in considerare in planul de afaceri;

•

gradul de conformitate al sistemului informatic, dezvoltarea si intretinerea acestuia  pentru departamentele operationale;

•

gradul de armonizare al activitatilor in sustinerea operarii unui sistem IT, inclusiv alocarea responsabilitatilor intre departamentele tehnice de asigurari si cele de IT.

Cresterea expunerii la riscul operational se poate datora si schimbarilor organizationale, infrastructurii sau mediului de afaceri. Astfel, un personal slab pregatit profesional si nemotivat, neindicat in executarea unei anumite activitati si lipsit de experienta sau un sistem sau proces de management al informatiei instabil, schematic si care nu este integrat in activitate, neraspunzand astfel solicitarilor curente, constituie elemente ale caror efecte trebuie monitorizate, inainte, in timpul si dupa aparitia schimbarilor asteptate (anticipate).

33