Nowe zasady dot. ryzyk operacyjnych dla banków po Covid-19? Bank Rozliczeń Międzynarodowych rozpoczął konsultacje

Postępująca i dynamiczna cyfryzacja, częściowo wywołana pandemią Covid-19, pokazała jak istotne w działalności instytucji regulowanych jest zapewnienie odpowiedniego poziomu bezpieczeństwa teleinformatycznego (ICT). Na aspekt ten wskazywała EBA w swoich komunikatach (m.in. w tym), a UKNF podkreślił, że będzie to jeden z kluczowych obszarów badanych w ramach BION. Dostrzegając powagę sytuacji, Bank Rozliczeń Międzynarodowych rozpoczął w zeszłym tygodniu konsultacje w zakresie „Revisions to the principles for the sound management of operational risk”, które potrwają do 6 listopada. Przyjrzyjmy się temu co proponuje nam Bazylea (przy czym wybrałem niektóre z zasad, a jest ich 12). Zaczynamy!

Mamy tutaj oczywiście “zapewnienie” o zasadzie proporcjonalności, a więc przy wdrażaniu rozwiązań powinniśmy zawsze uwzględniać naturę, skalę czy profil ryzyka danej działalności i tak dostosowywać nasze rozwiązanie, aby były one do tego dopasowane.

Czym jest ryzyko operacyjne i jak wpływa na działalność banków? 

No alt text provided for this image

Klasyczna definicja ryzyka operacyjnego (abstrahuję tutaj np. od wytycznych EBA w sprawie ryzyk operacyjnych) „mówi” nam, że jest to ryzyko straty wynikające z niewłaściwego lub nieudanego „działania” wewnętrznych procesów, błędów ludzkich i systemowych, a także czynników zewnętrznych. Można śmiało napisać, że ten rodzaj ryzyka jest immanentną częścią działalności bankowej (choć i szerzej – finansowej), bo tam gdzie pieniądze, tam i pokusa nadużycia (cyberbezpieczeństwo), ale i podatność na błędy w działaniu infrastruktury IT czy inne zagrożenia.

Dlatego też tak ważne jest zapewnienie, że ryzyko operacyjne jest odpowiednio zarządzane, czyli identyfikowane, minimalizowane lub eliminowane, a jego skutki – w razie wystąpienia – usuwane w myśl zasady „lesson learned”(oczywiście mamy tutaj również etapy „pośrednie” – jak mierze poziomu ekspozycji na ryzyko czy prawdopodobieństwo wystąpienia). BIS zwraca w swoim projekcie uwagę, że odpowiedzialność za to w dużej mierze bierze na siebie zarząd i rada nadzorcza. Tym bardziej, że mamy przecież coś takiego jak ryzyko reputacyjne.

Kto zarządza ryzykiem operacyjnym?

Co do zasady będzie to niezależna jednostka odpowiedzialna za zarządzanie ryzykiem operacyjnym. Zgodnie z „naszym” rozporządzeniem w sprawie m.in. kontroli wewnętrznej zarządzanie ryzykiem w działalności operacyjnej banku to pierwszy poziom (par. 3 ust. 2). To na co wskazuje BIS to kilka zasad, które powinny być realizowane w banku w odniesieniu do każdego z poziomów (linii) kontroli wewnętrznej. Chodzi tutaj oczywiście o odpowiednie zasoby (budżet, pracownicy), przejrzystość organizacyjna, szkolenia czy współpraca (komunikacja) z pozostałymi poziomami. To w zasadzie nic nowego.

No alt text provided for this image

Znalazło to częściowo odzwierciedlenie w zasadzie 7, która nakazuje organom wykonawczym, aby te zapewniały należyte zasoby pozwalające na efektywną wymianę informacji pomiędzy wszystkimi liniami obrony, w tym w zakresie tzw. change management (podobne wymagania stawia EBA w swoich wytycznych – pisałem o nich m.in. tutaj).

Zasady, zasady

Propozycja BIS zakłada, że przede wszystkim rada nadzorcza (lub jej odpowiednik) powinna odpowiadać za ustanowienie silnego systemu zarządzania ryzykiem (i kultury), która następnie jest realizowana przez organy wykonawcze (podobnie we wspomnianym rozporządzeniu – par. 6). Rada będzie też odpowiadać za nadzór nad realizacją całokształtu polityk i procedur w tym zakresie (zasada 1 i 3) przez organy wykonawcze (zasada 5) na wszystkich poziomach (produkty, działania czy procesy i systemy).

Rada, ale już wspólnie z zarządem, powinna stworzyć takie zasady i zachęty, aby działalność banku, czy może precyzyjniej zatrudnionych w nim osób, nie zagrażała w żaden sposób działalności banku. Może się to odbywać przede wszystkim poprzez treningi (w tym w zakresie etyki), ale nie zapominajmy, że kluczowe będzie też podejście top-down. W końcu przykład idzie z góry.

Musimy być zgodni!

W każdym calu. Zgodnie z zasadą 9 działalność banku (i jego organizacja) powinny być tak zaprojektowane, aby mógł on prowadzić swoją działalność operacyjną efektywnie i zgodnie z prawem i regulacjami. Mocny i efektywny system kontroli wewnętrznej będzie się więc składał z czterech elementów: oceny ryzyka, działalności kontrolnej, informacji i komunikacji oraz monitoringu.

No i mamy miejsce na RegTech

No alt text provided for this image

A to mnie zawsze cieszy. BIS wskazuje w projekcie, że procesy kontrolne powinny mieć zapewniony system weryfikowania zgodności z procedurami, regulacjami i prawem. Bank pokusił się nawet o zaproponowanie przykładowej listy „policy compliance assessment”, która zawiera m.in. takie wymagania jak regularne weryfikowanie progresu w zakresie realizacji założeń i odpowiednie weryfikowanie regulacyjnego compliance, ale także śledzenie wszelkich odstępstw i zgód warunkowych w zakresie braku pełnego compliance. To szalenie ważne, a RegTech może tutaj zdecydowanie pomóc (zainteresowanych tematyką zachęcam do przeczytania tego artykułu).

I tutaj krótki cytat:

Effective use and sound implementation of technology can contribute to the control environment. For example, automated processes are less prone to error than manual processes. However, automated processes introduce risks that must be addressed through sound technology governance and infrastructure risk management programmes. 

Ktoś ma jeszcze jakieś wątpliwości co do automatyzacji?

ICT bardzo ważne

No alt text provided for this image

W zasadzie numer 10 mamy wyraźne wskazanie, że banki muszą zapewnić odpowiednio odporne systemy teleinformatyczne i to w sposób dostosowany do profilu ryzyka. Infrastruktura musi być testowana, ulepszana, a informacje o jej funkcjonowaniu muszą być w należyty sposób zabezpieczone i udostępniane. Wszystko to powinno podlegać regularnemu przeglądowi rady, jak i zarządu. Częścią tego zadania jest też tzw. Business Continuity Process, czyli zapewnienie ciągłości działania.

Ujawniamy ryzyka (disclosures)

Zasada 12 zwróciła moją uwagę. BIS proponuje tutaj, aby wszelkie publiczne komunikaty w zakresie OpRisk powinny być przejrzyste i powinny umożliwić wszystkim zainteresowanym dokonanie oceny co do poziomu ryzyka operacyjnego. Oczywiście z zachowaniem zdrowego rozsądku, czyli bez przekazywania np. unaddressed control vulnerabilities. Bank wskazuje tutaj także, że w banku powinna być przyjęta polityka ujawniania przyjmowana i „przeglądana” przez organy wewnętrzne. Może ona zawierać m.in. takie informacje jak „to co bank chce ujawnić w zakresie ryzyka operacyjnego”.

I na koniec rola nadzorcy. BIS oczywiście podkreśla, że regulatorzy powinny regularnie dokonywać oceny systemu zarządzania ryzykiem. Bank rekomenduje tutaj, aby ocenie podlegały wszystkie elementy wskazane w projektowanym dokumencie (dla grup kapitałowych – dodatkowo jak działa to na poziomie „skonsolidowanym”).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *