A MŰKÖDÉSI KOCKÁZATMENEDZSMENT AKTUÁLIS KÉRDÉSEI

Átírás

1 A MŰKÖDÉSI KOCKÁZATMENEDZSMENT AKTUÁLIS KÉRDÉSEI Dr. Fehér Péter Budapesti Corvinus Egyetem, Információrendszerek tanszék A nemzetközi szintet is elérő, az Egyesült Államokból induló hitelválság kapcsán több fórumon is felmerült a kérdés, hogy a működési kockázatok kezelésének vagy éppen nem megfelelő kezelésének milyen szerepe volt a válság kirobbanásában? Abban minden szakértő egyetért, hogy a válság alapvetően a piaci, illetve a hitelezési kockázatok nem megfelelő felméréséhez és kezeléséhez vezethető vissza, ugyanakkor minden terület mögött ott található a nem megfelelő működésből adódó kockázatok is. Ebben az esetben önkritikát gyakorolva több banki szakember elismerte, hogy a pénzintézetek termék és szolgáltatási portfóliója már olyan komplexé vált, hogy azok kockázatait már a banki alkalmazottak sem voltak képesek átlátni és értékelni, és a vezetők sem voltak képesek már kontrollt gyakorolni az alkalmazotti tevékenységek felett. A jövőbe mutató vélemények szerint a válság elültével újra át kell tekinteni a pénzintézetek működési folyamatait, működési portfólióját, illetve meg kell erősíteni az emberi erőforrások tudatos kezelését, beleértve képzési és motivációs politikát is. Jelen tanulmány célja kiemelten a működési kockázatok kezelésének speciális sajátosságainak vizsgálata a pénzügyi szektorban, illetve ezen szektor gyakorlatának fejlesztésére tett lehetőségek és eszközök bemutatása. 1 A MŰKÖDÉSI KOCKÁZATOK FONTOSSÁGA A működési kockázatok kiemelt kezeléséhez jelentősen hozzájárultak az elmúlt majd 2 évtized vállalati és banki botrányai, gondoljunk itt a Barings Bank, 1995-ös, vagy a Société Générále közelmúltbeli hatalmas csalásaira, melyek elkerülhetőek lettek volna szigorúbb ellenőrzések, és a kapcsolódó kockázatok tudatos kezelésével. A működési kockázatok értelmezése elsősorban a pénzügyi szektorokban élvez kiemelt figyelmet a Bázel II szempontrendszer alkalmazása miatt. A Bázeli Bizottság értelmezésében (BCBOS, 2004) a működési kockázatok az emberek, belső folyamatok, a rendszerek nem megfelelő, vagy hibás működése, illetve külső tényező által előidézett veszteségek kockázata. Az auditori megközelítés inkább az ellenőrzési funkció irányából közelíti meg a működési kockázat fogalmát (Bhatia, 2002): el kell fogadnunk, hogy minden üzleti tevékenység magában hordoz bizonyos kockázatokat, melyek kezelésére kontrollokat állítunk fel. Kontrollokat csak a kockázatoknak egy bizonyos körére érdemes megfogalmazni (költséghaszon elemzés alapján), illetve a kontrollok csak részben képesek lefedni az összes kockázatot, sőt a maguk a kontrollok sem minden esetben eredményesek. A működési kockázat magába foglalja mind a kontroll tevékenységekkel lefedhető, mind a le nem fedhető területeket. 1

2 Hozam % Fehér Péter (2008) A működési kockázatmenedzsment aktuális kérdései, megjelent: 60 éves a Közgazdaságtudományi Egyetem (szerkesztette: Bartók István, Simon Judit), oldal A kockázatok tudatosabb kezelése érdekében érdemes megkülönböztetni a kockázatokat azok hatása, és a realizálódás gyakorisága szerint: Ritka, kis hatású kockázatok: Nem érdemes nagyobb túlzottan energiát befektetni a kockázatok kezelésébe, mivel a várható veszteség alacsony. Ezeket a kockázatokat érdemes elfogadni, és viselni (de fel lehet rájuk készülni). Ritka, nagy hatású kockázatok: A kockázatokat nehéz felmérni, mivel nincs tapasztalat ezekkel kapcsolatban. Ezen kockázatok igen veszélyesek, mivel nehéz rájuk megfelelően felkészülni. Gyakori, kis hatású kockázatok: Jól látható és jól mérhető kockázatok, ebből adódóan jól is lehet rájuk felkészülni. Gyakori, nagy hatású kockázatok: Ilyen kockázati környezet mellett nem érdemes az adott tevékenységet folytatni, mivel az jelentős, és nehezen kezelhető költségeket hordoz magában. 1.1 Mit nyerhetünk a kockázatokon? Bizonyos kockázattípusok esetében tapasztalható az a jelenség, mikor nagyobb kockázatvállalással nagyobb hozamot, eredményt, nagyobb megtérülést lehet elérni. A hozam így függ a szervezetek, vagy az egyének kockázatvállalási hajlandóságától. Általában a kockázatosabb befektetésektől nagyobb hozamot várhatunk el, de magasak a kockázatok is, tehát azzal is számolni kell, hogy akár nagymértékű veszteség is bekövetkezik. Megjegyzendő, hogy a kockázatvállalás és a hozam között nem lineáris összefüggés van, azaz a kockázatvállalás növelésével nem lehet folyamatosan növelni a hozamot. Ebben az esetben is érvényesül a csökkenő határhaszon elve, azaz a kockázat növelésével egy idő után már nem lehet pótlólagos hozamot biztosítani. 0 Kockázat % 1. ábra: Kockázatok vállalásából nyerhető pótlólagos hozam (ICA, 2008 alapján) Míg a piaci, üzleti, esetleg hitelezési kockázatok esetében megjelenik, addig a működési kockázatok esetében ezt az extra hozamot nehezebb értelmezni. Alapvetően a működésre 2

3 fordított figyelem csökkenésétől elvárható, hogy csökkenjenek a működési költségeim is, de ezáltal nőnek a kockázataim, illetve az ezekből adódó veszteségeim is. Itt egy kényes egyensúlyi helyzetet kell megtalálni: a kockázatvállalásból adódó veszteségnél mindig nagyobb megtakarítást, bevételnövekedést kell elérni. Működési kockázatok esetében alapvetően a kockázatvállalási hajlandóság azt jelenti, hogy tudatosan nem választjuk valamilyen biztonsági intézkedés megtételét és így erőforrást takarítunk meg. Így míg más kockázatok alapvetően a bevételnövekedést motiválják, addig a működési kockázatok oldalán a kockázatok és a költségek összefüggése figyelhető meg. Amennyiben a kockázatok felmérésén túl a kockázatok mérséklésére is figyelmet fordít a szervezet, további költségekkel kell szembesülni. A kockázat mérséklésére fordított költség csak abban az esetben éri meg a befektetést, ha a kockázat mérséklésével elérhető haszon nagyobb. A gyakorlatban meg kell találni azt a pontot, amikor a kockázatból várható veszteség és a kockázatmérséklés költségének együttes összege minimális. A kockázatok kezeléséhez szükséges a kockázatok egyértelmű azonosítása, így fel lehet készülni azok megelőzésére. Így a statisztikai alapú megközelítések, melyek a veszteségek eloszlását elemzik, előre jelezhetik a várható veszteséget, de nem képesek ezek megelőzésére. A felderítésre, azonosításra sokkal inkább a folyamat alapú, vagy szcenárió alapú megközelítések lehetnek alkalmasak, ahol nem csak az eredményt, hanem az okokat is fel lehet tárni. Ez a megközelítés különösen alkalmas lehet a ritka, de nagy hatású kockázatok azonosítására. A megfelelő értelmezés érdekében fontos lehet, hogy a kockázatok mellé a várható veszteségeket, pénzbeli értékeket is megállapítsuk, hiszen csak így nyer értelmet a kockázatok kezeléséből származó megtakarítás, vagy haszon. 1.2 Egységes kezelési keretek A szervezeteket érintő kockázatokat egységes szemléletmód és keretrendszer szerint szükséges kezelni(ding, 2006), még akkor is, ha az egyes kockázati területeknek megvannak a maga sajátosságai. Ugyanakkor az egységes kezelés éppen a szinergiák kinyeréséhez járulhat hozzá. További előnyök elérése érdekében meg kell teremteni a szoros kapcsolatot a belső ellenőrzés, kockázatkezelés, illetve szabályozási elvárásoknak való megfelelés között. Ilyen keretrendszerre tesz javaslatot az IT Governance Institute, melynek főbb elemei a következők (2. ábra): Kockázati (kockázatkezelési) stratégia: Ennek keretében meghatározásra kerül, hogy a kockázatkezelési tevékenység során mely területekkel, milyen kockázatokkal kíván foglalkozni a szervezet (célok), ezek kezeléséhez milyen szabályok, eljárások és folyamatok tartoznak (eszközök). Szintén a stratégia szintjén kell meghatározni a szervezet kockázatokkal szembeni toleranciaszintjét. Szervezeti struktúra: Annak meghatározása, hogy a kockázatkezelési stratégiában meghatározott célokat hogyan lehet támogatni a szervezetben megjelenő kockázatkezelési egységekkel, feladatkörökkel, illetve szerepekkel, illetve ezen szervezeti elemeknek mi a feladat és hatásköre. Beszámolók: Milyen tartalommal, milyen gyakorisággal, kinek a részére (szervezeti egységek, vezetők, tulajdonosok, stb.)? 3

4 Kockázatkezelési elemei: A kockázatok felmérésének, monitorozásának, értékelésének, illetve ellenintézkedések meghozatalának folyamatai, beleértve a közös értelmezési keret (nyelv) kialakítását, illetve a kockázatkezelési tevékenység kapcsolódási pontjait is. Információtechnológiai megoldások: A kijelölt eljárásokat (melyek megfelelnek a stratégiai céloknak) milyen informatikai megoldásokkal szükséges, illetve lehet támogatni: kockázatok nyilvántartására szolgáló eszközök, modellező eszközök, statisztikai eszközök, automatizációs eszközök, stb. Kockázati stratégia Szervezeti struktúra (kockázatkezelés helye) Beszámolók (Vezetés, érintett szakterületek) Kockázatkezelés elemei Közös értelmezési keret Veszteségadatok, étékelés Indikátorok Kockázatkezelési eljárások Tőkemodellezés Információtechnológiai megoldások (nyilvántartás, Corvinno Technology modellalkotás, Transfer kontroll) Center 6 2. ábra: Kockázatkezelési keretrendszer elemei (ITGI, 2007) 2 MŰKÖDÉSI KOCKÁZATOK KEZELÉSÉNEK KIHÍVÁSAI A PÉNZÜGYI SZEKTORBAN A pénzügyi szektor mindig is élenjáró volt a működési kockázatok kezelésében, ugyanakkor ez a szektor a működési kockázatok kezelésének csak egy speciális ámde kiemelkedő területe. A pénzintézetek számára mérvadó Bázel II ajánlásrendszer 2004-es publikálása, annak folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak. A működési kockázatokból származó veszteség a bankok esetében átlagosan 4-5%-a a szervezet nettó árbevételének (Levy et al, 2006). Ez a statisztika csak a nyilvánosságra hozott adatokon alapul, mely így alacsonyabb (akár jóval alacsonyabb), mint a valóságos értékek. Arról nem is beszélve, hogy ezek a kockázati események az azonnali veszteségen túl megjelennek a részvényárfolyamban is: a működési kockázatok felmerülése kihatással van egy vállalat reputációjára, jóhírére, így közvetett módon is okozhat veszteséget. A Bázel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési 4

5 kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Bázel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre. Bár a Bázel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését. A szabályozás előírja, hogy a nem várható veszteségek 99,9%-ra vonatkozóan a pénzintézeteknek tőkefedezettel kell rendelkezniük, éppen ezért a tőkefedezet szempontjából a kockázatértékelés kerül középpontba. 2.1 Működési kockázatok fajtái A pénzintézetek működési kockázataihoz kapcsolódóan hét veszteségi kategóriát különít el a szabályozás BCOBS (2004), melyekért együtt, vagy külön-külön felelőssé tehető a négy kockázati terület (emberek, folyamatok, technológia és külső tényezők): 1. Belső csalás (emberek, technológia): A belső előírások megsértése, ahol legalább az egyik érintett fél a szervezet dolgozója. Beletartozik az eljárási szabályoktól való eltérés, jogkör bitorlás, belső lopás vagy csalás. Ilyenek lehetnek a felhatalmazás nélküli döntések vagy a bennfentes kereskedelem. Jó példa erre a már bemutatott csalás a Société Générale-nál. 2. Külső csalás (külső tényezők, technológia, folyamatok): Jogszabályok és törvények kijátszásával, külső fél által okozott veszteség. Beletartozik a számítógépes rendszerek kijátszása, a szervezeti folyamatok kijátszása, illetve a szervezet becsapása (pl. okirat hamisítás). Pl. lopás, rablás, számítógépfeltörés, illetéktelen hozzáférés megszerzése, bankkártya csalások. 3. Dolgozói tevékenység és munkahelyi biztonság (folyamatok, emberek): A munkakörülmények, illetve a foglalkoztatás szabályainak megsértése, munkahelyi balesetek, sérülések, nemi, faji vagy bármilyen jellegű diszkrimináció, az egyenlő bánásmód problémái, szexuális zaklatás. Pl. munkahelyi sérelemért kompenzáció fizetése, büntetés az előírások megsértéséért. 4. Ügyfelek, termékek és üzleti tevékenység (folyamatok): Az ügyfelek felé vállalt kötelezettségek nem szándékos (gondatlan) megszegése. Sokszor fogyasztóvédelmi vonatkozásai is vannak. Pl. hitelkártya limit túllépés véletlen engedélyezése, vállalt határidőből való kicsúszás, ügyfélnyilvántartás hiányosságai. 5. Fizikai eszközök sérülései (technológia): Eszközök, elsősorban az informatikai infrastruktúra sérülése és működésképtelensége. Természeti, vagy ember okozta katasztrófahelyzetek. Pl. szerverterem beázása áradás miatt, terrorcselekmény hatásai, építési tevékenység miatti sérülés. 6. Rendszerek és üzleti tevékenységek megszakadása (technológia): Rendszer meghibásodásból származó üzletmenet megszakadás, alapvetően az informatikai rendszerek 5

6 hibája: hardver, szoftver, telekommunikáció. Pl. számlavezető szerverek meghibásodása, ATM vezérlő adatbázis leállása. 7. Folyamatok irányítása, biztosítása és végrehajtása (folyamatok, technológia, emberek): Nyilvántartási tévedések, végrehajtási problémák. Pl. Hibás adatbevitel, könyvelés, külső adatszolgáltatás elmaradása, beszállítói kapcsolatok. Természetesen egyes esetekben ezen veszteségi kategóriák áttételesen is jelentkezhetnek, több kockázati terület együttes fellépésével. Így akár a külső és a belső tényezők egyszerre jelentkezése nagyobb hatású veszteséget is előidézhet. Így például a Barings Bank esetében a Nick Leeson által végrehajtott belső csalás, illetve a külső piaci mozgások együttesen eredményezték a veszteséget, de a közelmúlt Société Générale ügyében is a csalás felderítésekor meghozott lépések nem voltak éppen a legjobban időzítve, így növelték a veszteséget. 2.2 Működési kockázati kategóriák kialakítása Az egyes felmerült veszteségadatokat, illetve kockázatokat a működési kockázatokra vonatkozó hét veszteségkategória mellett a pénzügyi szervezetek nyolc lehetséges üzletága szerinti bontásában is előírja a szabályozást. Így összesen akár 56 csoportot is kialakíthatunk, bár a gyakorlatban célszerű ezen csoportok számát korlátozni. Ha nem csak becsülni, hanem kezelni is szándékozunk a kockázatokat, akkor szükséges a kockázatok okainak is a vizsgálata, ami a gyakorlatban azt jelenti, hogy minden egyes osztály (vagy legalább is vizsgálati kategória) esetében szükséges értelmezni a folyamatokban rejlő, emberi, technológiai, illetve a külső környezet kockázatait (4. ábra). Veszteségkategóriák Belső csalás Külső csalás Dolgozói tevékenység és munkahelyi biztonság Ügyfelek, termékek és üzleti tevékenység Fizikai eszközök sérülései Üzleti kategóriák Rendszerek és üzleti tevékenységek megszakadása Folyamatok irányítása, biztosítása és végrehajtása Vállalati pénzügyek Kereskedés és értékesítés Lakossági közvetítő tevékenység Kereskedelmi banki tevékenység Lakossági banki tevékenység Fizetési és elszámolási tevékenység Pénzügyi szolgáltatás közvetítése Vagyonkezelési tevékenység Osztályok Emberek Folyamatok Technológia Külső tényezők 3. ábra: Működési kockázati kategóriák kialakítása a pénzügyi szervezeteknél 6

7 A gyakorlatban ez a megközelítés több kihívást is magában hordoz, melyek miatt a teljes csoportosítás nem működik: egyrészről az alap két dimenzió teljesen eltérő szemléletmódot hordoz magában, az egyik dimenzió az eseményeket, míg a másik dimenzió az adatgyűjtés helyét fedi le, melyek egybevetése jelentős problémákat vet fel *. Az is problémát jelenthet, hogy egy esemény akár több kategóriát (üzleti és veszteség) is érinthet. Ebben az esetben a veszteségek nyilvántartása, illetve az erre épülő számítások már meglehetősen bonyolulttá válnak, ezért elengedhetetlen a kockázatok nyomon követésére az informatikai megoldások használata. További problémát jelent (ami egy pénzintézet szempontjából inkább örömteli dolog), hogy a kockázati események alacsony száma miatt kevés adat áll rendelkezésre. A 7 8-as mátrix egyes osztályaiban már a néhány tucat esemény is kiemelkedő lehet, de sokszor egy-egy ilyen osztályba egyetlen esemény sem jut. Habár ez azt is jelentheti, hogy a pénzintézet viszonylag biztonságban van, kockázatkezelés szempontjából nem jelent elégséges alapadatot. A probléma kiküszöbölése érdekében érdemes egyes veszteség, vagy üzleti kategóriákat összevonni, így nagyobb kockázati osztályokat kialakítani. Megjegyzendő, hogy míg a veszteségkategóriák összevonása torzíthatja a veszteség-eloszlási elvárásainkat (és így a modellépítést), addig az üzletágankénti összevonás esetében az ilyen problémákkal kevésbé kell szembesülni (Gáll és Nagy, 2007). A statisztikai eszközök alkalmazása ellenére ugyanakkor a folyamat alapú kockázatértékelést sokkal inkább üzletágakhoz, mintsem veszteségkategóriákhoz lehet kötni. Ebben az esetben a folyamatokhoz feltárásával jobban elemezhetővé válnak a kockázatok okai, így nagyobb lehetőség nyílik azok kezelésére. Az összevonások során tehát már döntéshelyzetbe kerülünk a tekintetben, hogy a statisztikai alapú, a kockázatértékelésnek nagyobb lehetőségeket nyújtó megközelítést, vagy pedig a folyamat alapú, és így a kockázat kezelésének nagyobb teret adó megközelítést választjuk. A szabályozási elvárások miatt a pénzintézetek rövidtávon inkább a statisztikai alapú megközelítés irányába indultak el (kockázat értékelése), míg a tényleges kockázatkezelés inkább hosszabb távú gyakorlat lehet. A kategóriák kialakítása esetében legfontosabb annak szem előtt tartása (és ez nem csak a működési kockázatokra igaz), hogy a fejlett megközelítéseket csak akkor használjuk, ha biztosítható, hogy egy adott osztályban rendelkezésre fog állni a statisztikai elemzésekhez szükséges adatmennyiség. 2.3 A működési kockázatok értékelésének módszerei Az Uniós és a hazai pénzügyi szabályozás célja, hogy a pénzügyi szervezetek minél jobban feltérképezzék és becsüljék mind működési, mind egyéb kockázataikat. Habár lehetőség van háromféle tőkefedezet-képzési megközelítés használatára is, a szabályozás mégis arra motiválja a pénzintézeteket, hogy tárják fel várható kockázataikat, illetve az ezekre vonatkozó adatokat érthető és átlátható formában mutassák be. Ekkor ezen pénzintézeteket alacsonyabb tőkefedezeti kötelezettség terheli. témában. * Köszönöm Szauer Tamás a Raiffeisen International Basel II menedzserének segítő megjegyzéseit e 7

8 Alapmutató módszer (Basic Indicator Approach - BIA): Legegyszerűbb felépítésű intézetek számára, a bank előző három évi átlagos éves bruttó jövedelmének fix százalékaként fejezhető ki. Standard módszer (Standardised Approach - STA): Az egyes tevékenységeket nyolc terület alá kell besorolni, majd az egyes területekre kell meghatározni (bruttó jövedelem alapján) a szükséges tőkefedezetet, majd ezeket kell összesíteni. o Alternatív standard módszer (Alternative Standardised Approach - ASA): A STA megközelítés különleges válfaja az ASA, melyben bizonyos üzletágak esetében a bruttó jövedelem helyett a hitelezési tömeget veszik alapul. Fejlett mérési módszer (Advanced Measurement Approach - AMA): A pénzintézetek az általuk meghatározott kockázatkezelési rendszer által meghatározott kockázatokra képeznek fedezetet. Míg a BIA módszer alkalmazásának nincs különösebb feltétele, addig a szabályozás szerint a pénzintézeteknek azt a megközelítést kell alkalmaznia, mely leginkább megfelel működési és kockázatvállalási profiljának. Elvileg a felügyeleti hatóságok (nálunk a PSZÁF) ezt ellenőrizheti, sőt összevetheti más, hasonló pénzintézetek gyakorlatával. Az előírások lehetővé teszik - bizonyos feltételek teljesülése esetén - a megközelítések kevert alkalmazását is. Azaz egy pénzintézet számára nem kötelező minden területen pl. az AMA megközelítés alkalmazása. Annál is inkább, mivel a BIA, STA (ASA) megközelítések nem veszik figyelembe a tényleges kockázatokat, de az AMA megközelítés alkalmazása nem éri meg minden esetben a befektetést. Habár motiváció szempontjából az AMA megközelítés jelenti a legalaposabb kockázatfeltárást (és így az alacsonyabb tőkefedezet képzést), ezen módszer alkalmazása nagyobb munkabefektetést is jelent, ugyanakkor ezen megközelítéssel nem csak alacsonyabb a kötelező tőkefedezet, hanem a pénzintézetek saját kockázataikat is jobban megismerhetik és kezelhetik. Mivel teljes életciklusra kiterjedő kockázatmenedzsment csak a fejlett mérési módszer (AMA) módszer jellemzője, ezért a továbbiakban ennek lehetőségeit vizsgáljuk meg. 2.4 Múltbéli kockázatokra építő megközelítések A fejlett mérési módszer alapján történő kockázatértékelés egyik hangsúlyos irányvonala a múltbéli veszteségadatok elemzésére és aggregálására épít (top-down megközelítés). Ennek keretében vizsgáljuk az időegységre jutó veszteség értékét, illetve a veszteségeloszlást (súlyosság és gyakoriság). Ezt a megközelítést LDA (Loss Distribution Approach) néven ismerik (Gáll és Nagy, 2007). Az összegyűjtött és elemzett veszteségadatokat statisztikai módszerekkel lehet vizsgálni (eloszlások azonosítása, paraméterek becslése, illeszkedésvizsgálat). A megközelítés lehetővé teszi, hogy múltbéli kockázati eseményeket azonosítsunk, és ezek prognosztizált jövőbeli előfordulására felkészüljünk. Problémát az jelent, hogy míg a gyakori, A kockázatkezelési rendszer részeként létre kell hozni a kockázatkezelési politikát, szabályzatokat, eljárásokat, egy működési kockázatkezelő szervezeti egységet illetve egy beszámolási rendszert. A tőkefedezet képzésére szolgáló modell felülvizsgálatát és hitelességét rendszeresen el kell végezni, illetve az elmúlt 5 év (kezdetben kifutó rendszerben 3 év) veszteségadatainak idősorát kell felhasználni. 8

9 de kis hatású kockázatok felmerülése viszonylag jól becsülhető, addig a ritka, de nagy hatású kockázatok igen rosszul becsülhetőek. A módszer alkalmazása során a kihívást az adatok azonosítása és gyűjtése jelenti, azaz annak vizsgálata, hogy ténylegesen kockázati esemény történt-e (egyáltalán mit tekintünk annak), ezeket hogyan rögzítjük, hogyan automatizáljuk, majd annak besorolása a működési kockázati kategóriák egyikébe. Szintén döntés kérdése, hogy milyen érték felett gyűjtjük a kockázati veszteségeseményeket, mivel bizonyos érték alatt nem éri meg a befektetett erőforrásokat az események rögzítése. A rendelkezésre álló adatok alapján történik meg az adatokra illeszkedő statisztikai eloszlásfüggvények, illetve azok paramétereinek megállapítása. Az eloszlási modellek megállapítása után érdemes a modellt bizonyos korrekciós tényezőkkel kiegészíteni (adatfelhasználási sajátosságok, infláció, növekedési becslések), majd az így kapott modellt lehet felhasználni a szükséges tőkefedezet meghatározása során. Sokszor problémát jelent, hogy nem áll rendelkezésre elégséges belső adat a múltbéli veszteségekre vonatkozóan (mely kockázatokat akár más módszerekkel önértékelés, forgatókönyv-elemzés, folyamat alapú felmérés már azonosításra kerültek). Gyakori tévhit, hogy azokkal az azonosított kockázatokkal nem kell foglalkozni egy szervezetnek, melyek a múltban még nem fordultak elő. Tipikusan a ritkán jelentkező, de nagy hatású kockázatok esetében hajlamosak a szervezetek arra, hogy ne foglalkozzanak a lehetséges kockázatokkal (itt hadd idézzem egy informatikai vezető mondását: minden rendszerünk folyamatosan jól, és megbízhatóan működik, nincs szükségünk megelőző intézkedésekre a működés fenntartása érdekében ), és sokszor elpocsékolt pénznek értékelik a döntéshozók ( beleöltük az időt és energiát, és mégsem jelentkezett a kockázat ). Ez a hozzáállás akár jelentős veszteségeket is okozhat, ha egy adott szervezet nem elemezte kellőképpen a lehetséges kockázatokat, illetve azok hatását. Ezekben az esetekben az intézmények felhasználhatják az iparágra vonatkozó külső adatokat is, melyeket megosztott adatbázisokban, a névtelenséget tiszteletben tartva gyűjtenek (pl. Magyarországon a HunOR adatbázis) (Homolya és Szabolcs, 2007). A külső forrásból származó adatok elemzése jó kiindulópont a jövőbeli kockázatokra nagyobb hangsúlyt fektető módszerek kockázati önértékelés, forgatókönyv-elemzés számára, mivel lehetővé teszi, hogy ne csak múltbéli kockázatokra keressünk adatokat, hanem olyan kockázatokat is számba vegyünk, melyek még nem fordultak elő szervezetünk esetében. Az ilyen kockázatok felmérésére és kezelésére elsősorban a külső adatbázisokból származó adatokat (benchmark) szokták felhasználni. Külső adatok felhasználását az intézményeknek indokolnia kell, illetve a felhasználáshoz kapcsolódó megfontolásokat évente független szakértőnek kell értékelnie. A felhasználás és megbízhatóság kérdése azért is érdekes lehet, mivel több adatbázis is rendelkezésre áll a különböző kockázatokból adódó veszteségek gyűjtésére, és azok tartalma sokszor eltérést mutat. Így érdemes szűrni az adatokat azok relevanciája alapján, illetve vizsgálni azt, hogy a kockázati kategóriák, vagy üzletágak alatt ugyanazt értjük-e, mint az adatbázis üzemeltetői. Célszerű olyan külső adatokat használni, melyek követik a CRD (Capital Requirements Directive) 7 8-as mátrixot eredményező veszteség és üzletágstruktúráját. 9

10 2.5 Jövőbeli kockázatok becslése A megközelítések célja, hogy akár a múltbéli adatokra építve is felmérjük az összes lehetséges kockázatot. A múltbéli adatokra építő módszerekhez képes ezen megközelítések előnye abban áll, hogy a felméréssel nem csak a kockázatok értéket tudhatjuk meg, hanem pontosan (illetve az előző módszerhez képest jóval pontosabban) meghatározhatjuk a kockázatok helyét, azok lehetséges okait, illetve feltárhatjuk azokat a kockázatokat is, melyekkel a szervezetnek még nem kellett szembesülnie. Ezen módszer keretei között a kockázati önértékelés, forgatókönyv-elemzés, folyamat alapú megközelítések és kockázati mutatószámok használata szerepel. A kockázati önértékelés és a forgatókönyv-elemzés nem tökéletes szinonimái egymásnak, mégis sokszor nem meglepően - azonos értelemben, hasonló értelmezésben használják ezeket (Hajnal et al, 2007). A kockázati önértékelés (self risk assessment - SRA) során az intézmény vezetői, dolgozói feltárják a lehetséges kockázati tényezőket, és megbecsülik ezek várható veszteségét. A forgatókönyv-elemzés lehet ennek egy speciális formája, mely során elsősorban a súlyos események hatásait igyekeznek meghatározni. A forgatókönyv-elemzés során meghatározzuk a lehetséges kockázatokat, azok összefüggéseit, majd felállítjuk a lehetséges forgatókönyveket: legtöbbször optimista, normál és pesszimista megközelítéseket. A háromféle lehetőség vizsgálatára azért van szükség, mivel a kockázatok értékelése eleve becslésen alapul, és maga is bizonytalanságot (kockázatot) hordoz. Így a különböző forgatókönyvek hivatottak az ebbéli bizonytalanságot tükrözni. A forgatókönyv-elemzések során ezek az események meghatározása mellett vizsgálják ezek okát (így megelőzhetőek), illetve lehetséges kimeneteleit (így kezelési lehetőségeket állapítanak meg. A forgatókönyvek elemzése segít feltárni a sebezhető területeket, és megbecsülni a kockázatok várható, illetve maximális értékét. Megjegyzendő, hogy a forgatókönyv-elemzés is egyfajta önértékelésnek tekinthető. A forgatókönyv-elemzés során elterjedt elemzési segítség a hibafa elemzés (Fault Tree Analysis), mely során az egyes tevékenységek, szolgáltatások hátterét tárhatjuk fel: mivel a bevételek elsősorban bizonyos szolgáltatások végrehajtásából származnak, ezért ez a módszer segít az ezeket akadályozó kockázatok, veszélyeztetett elemek azonosításában. Ezekben az esetekben arra kell törekednünk, hogy mind a kockázatokat, mind a várható (és nem várható) veszteségeket azok állapítsák meg, akik leginkább érintettek. Ebből adódóan a kockázatok azonosítás, illetve azok értékelése nem feltétlenül kerül egyszerre megállapításra (bár lehet workshop-okat szervezni az együttes értelmezés érdekében). Így például egy informatikai kockázatot valószínűleg a legjobban az informatikusok tudnak azonosítani, de a kapcsolódó veszteséget már az érintett üzletág(ak) tudják megfelelően megbecsülni. 2.6 Folyamat alapú kockázatelemzés A kockázatok azonosításának egyik lehetősége a szervezet folyamatainak feltérképezése, és az egyes tevékenységekhez kapcsolódó kockázatok azonosítása. Ez a megközelítés lehetővé teszi, hogy a közvetlenül kapcsolódó kockázatok könnyed azonosíthatóak legyenek, a folyamatokat mintegy sorvezetőként használva. Természetesen léteznek olyan működési 10

11 kockázatok, melyek nem csak egy tevékenységhez, vagy folyamathoz köthetőek. A további kockázatok azonosításához a vizsgált területek szakértőivel és vezetőivel folytatott strukturált megbeszélések szükségesek. A megközelítés megköveteli a működési folyamatok rögzítését, azaz az egyes tevékenységek sorrendjének rögzítését. Az egyes tevékenységekhez szükséges továbbá rögzíteni az adott tevékenység ellátásához kapcsolódó erőforrásokat: ember, technológiai, dokumentumok (adat, információ). Kockázat az így rögzített minden elemhez, azaz tevékenységhez és erőforráshoz, sőt a folyamat egészéhez is kapcsolható. A kockázatok ilyen jellegű feltárása lehetővé teszi, hogy a kockázatokat a működési folyamatok gyengeségeit elemezve állapítsuk meg, így proaktívan felkészülhetünk olyan kockázatok megjelenésére is, melyek akár még sosem realizálódtak. A folyamatok rögzítése egyben hozzájárul a működés tudatos értékeléséhez is, és magából a felmérésből adódóan is a legtöbbször több fejlesztési és így kockázatcsökkentési lehetőség válik azonosíthatóvá. Így sokszor a felmérés előbb a folyamatok javításához vezet, és csak utána szükséges a kockázatok és az új folyamatok kapcsolatának vizsgálata. Az így azonosított kockázatokhoz hozzárendelhetőek ellenőrzési és irányítási mechanizmusok (kontrollok). Megjegyzendő, hogy még ezen kontrollokhoz is kapcsolódhatnak további kockázatok, így például a Société Générale bank esetében a kontroll megoldások rendelkezésre álltak, de a csalást elkövető Jerome Kerviel ezeket a kontrollokat képes volt kijátszani, mely a kontrollok kijátszásának kockázatát realizálta. Adatbeviteli hiba! Igénylési rendszer! hiba! Személyes adatok nyilvánosságra kerülnek Igénylési rendszer Ügyféladat felviteli dokumentum Igénylési rendszer Személyes igény érkezése Adatbevitel Adatok lokális rendszerben való megjelenése Szerverre feltöltés Ügyintéző Átviteli hiba! (feltöltési hiba) Ügyintéző nem! elérhető Tudatosan hamis adat felvitele (csalás) Nem megfelelő képzettségű ügyintéző!! Adatok szerveren való tárolása Jelmagyarázat: Kockázat! 11

12 4. ábra: Egyszerű folyamat alapú kockázatelemzési példa A folyamat alapú megközelítés hozzájárul a kockázatokra vonatkozó indikátorrendszer meghatározásához is. A folyamatokhoz, illetve az ott megjelenő kockázatokhoz kulcs kockázati indikátorokat (Key Risk Indicators KRI) rendelhetünk, melyek változásával, illetve figyelembevételével becsülhetjük a kockázatokat (Chen, 2006; Lamanda, 2007) Pl: ATM rablások, munkaerő fluktuáció aránya, ügyfélpanaszok száma, szolgáltatások rendelkezésre állása Ezen indikátorok mintegy füstérzékelőként működnek: jelzik a füstöt, de nem tudjuk, hogy ég az épület, vagy pedig csak odaégett a kenyér a pirítóban? Ennek kiderítése mindig külön vizsgálatot igényel, de jobb félni, mint megijedni. Mindenesetre akkor van csak lehetőségünk a kockázatok felmérésére és kezelésére, ha tisztában vagyunk az üzleti folyamatokkal és azok összefüggésrendszerével. Ebből következően egy adott indikátor többféle kockázatot is előre jelezhet, illetve az indikátorokat nem egyesével, hanem azok együttesének elemzésével szükséges értelmezni. Megjegyzendő, hogy a kulcs kockázati indikátorok előrejelző képessége (mely véges) nem biztos, hogy minden kockázatot megfelelően lefed. Ne ringassuk magunkat abba a hitbe, hogy az indikátorok kialakításával kezeltük is a kockázatokat: egyrészről a teljesség sok esetben kérdéses, másrészről a működés, és ezzel együtt a kockázatok is változhatnak. Ugyanakkor a kulcs kockázati indikátorok használata nagymértékben javíthatja a szervezetek kockázatkezelési lehetőségeit. Az önértékelés, forgatókönyv-elemzés bármilyen pontos is legyen becslés eredménye. Éppen ezért szükséges a körültekintő alkalmazás, illetve az eredmények megbízhatóságának érdekében a független kockázatkezelő szakértők mellett akár a belső ellenőrzés bevonása is indokolt lehet. Az ellenőrzés történhet a meglévő tényadatokkal való összevetés segítségével is, de ezen adatok esetében eleve probléma a teljesség hiánya, illetve az, hogy nem veszik figyelembe az esetleges szervezeti, vagy környezeti változásokat. A becslések folyamán problémát jelenthet, ha a szakértők nem képesek becsülni: ismerik a kockázatokat, de nem tudják meghatározni azok várható veszteségét. Ilyenkor elfogadott külső adatokra, benchmarkok-ra támaszkodni, persze a szokásos fenntartásokkal. A kockázati önértékelés és forgatókönyv-elemzés a szervezetben a veszteségeloszlások mellett elsősorban a kockázatok okait segít feltárni a szervezetben. Sok esetben a veszteségeloszlás alapú megközelítések nem is igazán vezetnek eredményre, mivel sokszor nem áll elégséges múltbeli adat rendelkezésre. 2.7 Megközelítések egységes kezelése Az eloszlásokra alapuló modellek hasznos kiegészítői a folyamat alapú megközelítésnek, illetve az eloszlásokra alapuló megközelítéseket a feltárt kockázati lehetőséggel lehet kiegészíteni. Így a két megközelítés együttes használata lehet a legjobb (bár egyben a A folyamatábra az ARIS folyamatmenedzsment eszköz jelölésrendszerét használja. Az egyszerűsített folyamat létrehozásához felhasználásra került: Michael zur Muehlen (2007) Operational Risk Management and BPM, The Business Transformation Conference, 2007 May 22-24, Washington 12

13 legkomplexebb) megoldás. Ezt a megközelítést a szakirodalom Hybrid Measurement Approach-nak (HMA) nevezi, és természetesen csak a fejlett mérési módszert alkalmazó bankok használhatják (Armai et al, 2007). A becslésre, így a felügyeleti szervek számára is elegendő a nagyobbrészt LDA (Loss Distribution Approach) módszerre épülő kockázatkezelési modell alkalmazása, ugyanakkor ez a módszer még nem mutatja be a kockázati területeket, és nem ad lehetőséget a kockázatok kezelésére, csökkentésére. Pedig a kockázatok csökkentésével nem a csak a működési hatékonyság javulna és a várható veszteség csökkenne, de végső soron a kötelető tőkefedezet képzés is csökkenne. Természetesen mindkét megközelítésnek megvannak a maga előnyei és hiányosságai, ezért logikusnak tűnne, hogy a két megközelítés kombinációját kelljen megvalósítani. Ugyanakkor éppen itt ragadható meg a különbség: míg a múltbéli adatokra épülő megközelítés viszonylag jól számolható és becsülhető (bár nem deríti fel az okokat), addig egy pontosabb és körültekintőbb jövőbeli eseményekre koncentráló megközelítés jelentősebb energiabefektetést és munkát igényelne. Amennyiben a folyamat alapú kockázatfelméréshez már konkrét modelleket, becsléseket (SBA) tudunk megfogalmazni, úgy kockázatfelmérésünk pontosabb lehet. 3 ÖSSZEFOGLALÁS A banki működési kockázatkezelési gyakorlat jó alapot és tapasztalatot biztosít arra vonatkozólag, hogy milyen eszközrendszert lehet a kockázatkezelés szolgálatába állítani, illetve hogyan lehet értékelni a kockázatokat. Ezen tapasztalatok szélesebb körű felhasználása hasznos lehet minden szervezet számára, ahol fontos a kockázatok tudatos felmérése és kezelése. Látható ugyanakkor, hogy a kockázatok felmérése és értékelése mely ugyan fontos tevékenység nem elégséges a kockázatok kezeléséhez, hanem szükséges a kockázatok okainak feltárása, valamint a hozzájuk kapcsolódó lehetséges ellenintézkedések megtétele. Míg mind a felmérésre, mind pedig az értékelésre több megközelítés is lehetséges, addig a bemutatott folyamat alapú kockázatkezelési megközelítés az, mely biztosítani tudja a kockázatok szisztematikus felmérését, értékelését, valamint áttekinthető jellegű kontroll tevékenységek egységes kezelését. Sem a folyamat alapú, sem pedig más megközelítésű kockázatkezelési megközelítések nem teljesek ugyanakkor a módszert kontextusba helyező kockázati stratégia, kockázatkezelési szervezeti megoldások, beszámolási rendszerek és informatikai támogatás nélkül. A szinergiák kinyerése, illetve az átfedések megállapítása érdekében a működési kockázatkezelési tevékenységet minden szervezet esetében érdemes a szabályozási kérdésekkel (compliance), a belső ellenőrzéssel, illetve a vállalatirányítási megközelítésekkel együttesen, közös értelmezési keretben kezelni. Egy aktuális elemzés (Csajtai, 2008) szerint a kockázatkezelési feladatok jelentős többletfeladatot jelentenek a szervezetek informatikai területének, mely várhatóan költségvetésük 15%-át fogják erre a kérdésre fordítani. Másik oldalról ezen feladatok végrehajtásának elmulasztása akár 10%-os hatékonyságvesztést is eredményezhet. Sőt napjain nemzetközi gazdasági eseményei pontosan rávilágítanak arra, hogy akár még egész iparágak 13

14 számára is meglepően jelentkezhetnek nagy hatású, nem várt kockázatok, melyek kezelésére szükséges felkészülni. 4 HIVATKOZÁSOK Armai Zsolt, Homolya Dániel, Kasnyik Klára, Kovács Ottó, Szabolcs Gergely (2007) Úton az AMA módszer bevezetéséig az Erste Bankban, Hitelintézeti szemle, VI. évf. 4. sz. BCOBS (2004) Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Basel Committee on Banking Supervision, Bank for International Settlements, Basel Bhatia, Mohan (2002): Operational Risk Management Emerging Frontiers for the Profession, Information Systems Control Journal, vol , pp Chen, M.C. (2006) The anatomy of Business Process-specific Key operational Risk Indicators, Continuity Central Csajtai Kornél (2008) Az IT működés megfelelőségi problémái, Gartner Group, Infohajó augusztus 27. Ding, C. (2006) Operational Risk Management: Three, Two, One Liftoff?, Celent Boston Gáll József Nagy Gábor (2007) A működési kockázat veszteségeloszlás-alapú modellezése (Loss Distribution Approach LDA), Hitelintézeti szemle, VI. évfolyam, 4. szám, oldalak Hajnal Béla, Kállai Zoltán, Nagy Gábor (2007) Működési kockázati önértékelések veszteségeloszlás-alapú modellezése, Hitelintézeti szemle, VI. évf. 5. sz oldalak Homolya Dániel, Szabolcs Gergely (2007) Működési kockázati adatkonzorciumok és alkalmazásuk - HunOR: a hazai bankok lehetősége, Hitelintézeti szemle, VI. évf. 1. sz. ICA (2008) Asset Allocation - Risk and Return - Investment Portfolio, IC Agency, letöltés dátuma: április 12. ITGI (2007) IT Control Objectives for Basel II., IT Governance Institute Lamanda Gabriella (2007) Kulcs kockázati indikátorok és lehetséges alkalmazásuk, Hitelintézeti szemle, VI. évf. 4. sz. Levy, C. Samandari, H. Simoes.A.(2006) Better operational-risk management for banks. The McKinsey Quarterly. August

15 CURRENT QUESTIONS OF OPERATIONAL RISK MANAGEMENT The operational risk area is the financial industry is becoming more and more important. Although the organisations realise this increasing challenge, their tools and selected solutions to deal with this area is still immature. Financial institutions mostly prefer the more simple solutions, although these have low impact on performance, while the more detailed solutions remain mostly unused. 15