Működési kockázatok fontossága Működési kockázatok értelmezése Működési kockázatok kezelésének kihívása a pénzügyi szektorban

Átírás

1

2 A szerző hasonló tartalmú cikke megjelent a Harvard Business Review magyar kiadásának 2008 december 2009 januári számában, Mindennapi Kockázataink címmel. A különböző szervezeteknek számtalan veszteséget és költséget jelentő kockázattal kell szembenézniük működésük során, a természeti katasztrófák (földrengés, árvíz, hurrikán, stb.), mellett igen jelentős mértékben a hanyagságból vagy rosszhiszeműségből elkövetetett, ember által előidézett veszélyekkel is (csalás, informatikai rendszer feltörése, hanyag működtetés, szakértelem hiánya). A működési kockázatok elemzése az elmúlt években önálló kockázati területté nőtte ki magát, melynek kezelése kiemelten fontossá vált a pénzügyi szektor számára, illetve igen szorosan kapcsolódik a különböző jogszabályoknak való megfelelés területéhez. Jelen tanulmány célja kiemelten a működési kockázatok kezelésének speciális sajátosságainak vizsgálata a pénzügyi szektorban, illetve ezen szektor tapasztalatait is felhasználva speciális területként a folyamat alapú kockázatmenedzsment megközelítés bemutatása, mely szélesebb körben, bármilyen szervezet és folyamat esetében használható. Rövid tartalom Működési kockázatok fontossága: Néhány működési kockázatra visszavezethető, nagy veszteséget okozó eset bemutatása. Működési kockázatok értelmezése: Kockázatok sajátosságai, jellemzői. A kockázatkezelés kapcsolatai a belső ellenőrzés, informatika és a szabályozás területével. Működési kockázatok kezelésének kihívása a pénzügyi szektorban: A pénzintézetek számára előírt Basel-II rendszerből adódó feladatok és módszerek áttekintése Működési kockázatok folyamat alapú kezelése: A kockázatkezelés hatékony, jól kontrollálható módszerének bemutatása, példákkal, illetve a folyamatmenedzsment szerepének vizsgálatával.

3 TARTALOMJEGYZÉK A MŰKÖDÉSI KOCKÁZATOK FONTOSSÁGA...4 BARINGS BANK, SOCIÉTÉ GÉNÉRALE, MÁV BIZTOSÍTÓ, KÖNYVELÉSI BOTRÁNYOK... 5 A MŰKÖDÉSI KOCKÁZATOK ÉRTELMEZÉSE... 6 KOCKÁZATOK GYAKORISÁGA ÉS HATÁSA... 6 MIT NYERHETÜNK A KOCKÁZATOKON?... 7 SZABÁLYOZÁSI KERETEK... 8 KAPCSOLAT A BELSŐ ELLENŐRZÉS FELADATAIVAL... 8 KAPCSOLAT AZ INFORMATIKÁVAL... 9 KAPCSOLAT AZ EGYES TERÜLETEK KÖZÖTT... 9 MŰKÖDÉSI KOCKÁZATOK KEZELÉSÉNEK KIHÍVÁSAI A PÉNZÜGYI SZEKTORBAN MŰKÖDÉSI KOCKÁZATOK FAJTÁI MŰKÖDÉSI KOCKÁZATI KATEGÓRIÁK KIALAKÍTÁSA A MŰKÖDÉSI KOCKÁZATOK ÉRTÉKELÉSÉNEK MÓDSZEREI A FEJLETT MÉRÉSI MÓDSZER (AMA) SAJÁTOSSÁGAI Múltbéli kockázatokra építő megközelítések Jövőbeli kockázatok becslése Megközelítések egységes kezelése MŰKÖDÉSI KOCKÁZATOK FOLYAMAT ALAPÚ KEZELÉSE KOCKÁZATOK AZONOSÍTÁSA ÉS ÉRTÉKELÉSE KOCKÁZATOK KEZELÉSE KOCKÁZATKEZELÉSI KÖLTSÉGEK ÉRTÉKELÉSE SZERVEZETI FOLYAMATOK ÁTGONDOLÁSA ÖSSZEFOGLALÁS... 23

4 A MŰKÖDÉSI KOCKÁZATOK FONTOSSÁGA A működési kockázatok kiemelt kezeléséhez jelentősen hozzájárultak az elmúlt majd két évtized vállalati és banki botrányai. Érdemes ezek közül néhányat részletesebben is megismerni, hiszen ezen esetek rámutatnak arra, hogy milyen veszélyt jelentenek a belső működés hiányosságai. Érdemes továbbá azt is vizsgálni, milyen egyéb tényezők járulnak még hozzá a működési kockázatmenedzsment területének előtérbe kerüléséhez. Barings Bank, ben szinte teljesen váratlan módon a Barings Bank egy fiatal kereskedője, Nick Leeson egymaga csődbe juttatta a nagymúltú bankházat 1, egyszerre megjelenítve a piaci, pénzügyi és működési kockázatokból adódó lehetséges veszteségeket. A kockázatos pénzügyi műveletek mellett a tevékenységi kontroll hiánya, illetve a tudatos csalás is hozzájárult ahhoz, hogy a bank nevében 827 millió fontos veszteséget halmozzon fel. A bukásban jelentős része volt annak, hogy Leeson gyakorlatilag belső ellenőrzés nélkül hajthatta végre tevékenységét. Annak érdekében, hogy felhalmozott veszteségeit eltakarja, meghamisította saját számláit, és a veszteségeit fedezni szükséges összegeket más számlákról vette el, illetve megakadályozta, hogy tevékenysége belekerüljön a londoni központnak küldött beszámolókba. A Barings Bankház ben kezdte meg kockázatmenedzsment tevékenységének kiépítését, de kezdetben a szingapúri egysége ahol a csalássorozat történt még nem volt bevonva ezekbe a tevékenységekbe. Szingapúrban gyakorlatilag nem volt senki, aki ellenőrizhette volna Leeson tevékenységét, hiszen ő maga volt az a személy is, akinek ellenőriznie kellett volna a számlákat. Emiatt a nyilvánvaló belső működési probléma miatt sokan (köztük Leeson is) a Bankházat is hibáztatták a csőd miatt. A brit Board of Banking Supervision (bankfelügyelet) megállapítása szerint a csőd 1 Bank of England (1995) Board of Banking Supervision investigation into the failure of Barings, Bank of England, London Leeson, Nick (1999) Rogue Trader: How I Brought Down Barings Bank and Shook the Financial World, Little Brown and Company RBB (1995) Implications of the Barings Collapse for Bank Supervisors, Reserve Bank of Australia Bulletin, Reserve Bank of Australia elsődleges oka a kockázatkezelési rendszerek teljes használhatatlansága, illetve a megalapozott kockázatkezelési tevékenység hiánya volt. Kiemelendő hiányosságok voltak a működést tekintve: a végrehajtási és ellenőrzési funkciókat nem választották szét (így Leeson saját magát ellenőrizte) a mátrix alapú beszámolási rendszerben szétaprózva jelentek meg az információk, így szinte lehetetlen volt összeilleszteni a csalásra utaló jeleket nem volt világosan meghatározva a felügyeleti tevékenység a bankcsoporton belüli pénzáramlásoknak nem határozták meg sem az ellenőrzési mechanizmusát, sem az igénybevételi korlátait az 1994-ben végrehajtott belső audit eredményeit és ajánlásait nem vették időben figyelembe, és nem alakították át a bank működését A bankot végül még 1995-ben az ING vette meg, szimbolikus 1 fontnyi összegért, és létrehozta az ING Barings bankot. Nick Leesont menekülés közben elkapták, és Szingapúrban 6 és fél évnyi börtönre ítélték. Jó magaviselettel 1999-ben szabadult 2. Société Générale, 2007 Szinte lemásolta a Barings Bank esetét egy francia bankár 3. A Société Générale mint minden pénzintézet ismerte a Barings Bank esetét, és így tisztában volt a működési kockázatok fontosságával. De ugyanennyire tisztában volt ezzel Jerome Kerviel is, aki korábban épp a kockázatkezelési osztályon dolgozott, és így ismerhette az ellenőrzési szabályokat, illette ismerte azokat a lehetőségeket is, melyekkel ezek a szabályok kijátszhatóak. 2 Nevéhez az általa okozott csaláshoz kapcsolódóan két könyv, számtalan szakcikk kapcsolódik, és szabadulása után igen jól megél előadókörútjaiból, ahol elmeséli, hogyan is sikerült a csalást végrehajtania, illetve mit is kell tenni a hasonló csalások megelőzése érdekében. 3 FSA (2008) Market Watch - Markets Division: Newsletter on Market Conduct and Transaction Reporting Issues, Issue No.25, March 2008, Financial Services Authority Vida László (2008) Árfolyameltolás Megacsalás a Société Génétale-nál, megjelent: HVG, jan

5 Kerviel 2005-től kezdődően kötött fiktív határidős ügyleteket, megtévesztve a belső ellenőrzési rendszert. Később azt állította, hogy nem ő az egyetlen alkalmazott, aki a saját szakállára (de nem feltétlenül a saját hasznára) dolgozik. Kerviel hamis kliensszámlákat felhasználva egymásra épülő határidős üzleteket kötött, az általa felépített pozícióit elrejtette, és úgy tűnik, hogy igazából maga a bank sem akarta nagyon megtalálni. A bank automatikus rendszerei többször is kiadták a riasztást, és ekkor Kerviel felettesei számon is kérték a történéseket (főleg, mivel túllépte az engedélyezett összegeket), de ilyenkor mindig sikerült hamis dokumentumokkal igazolnia, hogy ügyletei nem jelentenek kockázatot a bank számára. Ebbe beletartozott az a hamis portfólió is, mely elvileg fedezte a kockázatosabb ügyleteket. Az ügyészség hamisításért, hamisított okiratokkal való visszaélésért és informatikai adatok automatizált rendszerébe történő behatolásért indított eljárást. Mik az eset tanulságai? Az emberekhez köthető kockázatok nem mindig egyéni haszonszerzés céljából történnek. Kerviel annak ellenére nem a saját zsebére dolgozott, hogy fizetése ebben a szakmai körben nem volt kiemelkedő, csak egyszerűen szerette volna bebizonyítani, hogy kivételes képességű bróker. Az eset rávilágít arra, hogy hiába van tisztában egy bank a működési kockázatokkal, nem biztos, hogy mindent megtesz ezek kivédése érdekében. Sőt, az intézmények sok esetben tudatosan vállalnak bizonyos fokú kockázatot, mivel félnek, hogy a túlzott ellenőrzés és kontroll megöli a kezdeményező kedvet. Hiába használ egy intézmény informatikai rendszert a kockázatok felderítésére, ha ezeket hagyományos eszközökkel ki lehet játszani. Hogy fordulhat elő, hogy hamis okiratok fedezik az ügyleteket? Bár elvileg minden tranzakció az informatikai rendszereken keresztül folyik (és mindennek nyoma van), úgy tűnik még mindig nem elég erősek sem a szabályok, sem az ellenőrzés, sem pedig a támogató informatikai megoldások. MÁV Biztosító, 2008 Hogy a működési kockázatok nem csak a bankokat, és nem csak a külföldi cégeket érinthetik, arra jó példa a közelmúlt hazai eseménye, a MÁV Általános Biztosító Egyesület esete ban a PSZÁF felügyeleti biztosokat küldött ki a biztosítóhoz, mivel egymilliárd forint értékű sikkasztás és pénzmosás ügyében indult nyomozás a biztosító vezetője és több társa ellen. A gyanú szerint a vezetők különböző megoldásokkal kivonták az összeget a biztosító kezeléséből, és azokat magánszámlán helyezték el. Az ügy másik oldala, hogy a pénzügyi nehézségek miatt a biztosítási állományra vonatkozóan az egyesület nem tudta a megfelelő mértékű tartalékot sem felmutatni. Könyvelési botrányok A pénzügyi szektoron kívül valószínűleg az Enron esete volt az, amely igazán felkeltette a világ figyelmét 5, illetve elindította a könyvelési botrányok felgöngyölítésének folyamatát. Az Enron bukását az okozta, hogy számtalan iparágba szállt be a haszon reményében, de befektetései nem térültek meg. Ez a probléma még a piaci kockázat kategóriájába tartozna, ha a cég vezetői nem hamisították volna meg a kimutatásokat és a könyvelést, ezáltal megtévesztve mind a piacot, mind a befektetőket, miközben a cég vezetői dollármilliókat vettek ki a vállalatból. A történet végén elkerülhetetlen volt a csőd, melynek értéke 31 milliárd dollárra rúgott. Az Enron botrányba belebukott a világ egyik legnagyobb könyvvizsgáló cége is, az Arthur Andersen, mivel a hanyag tevékenység mellett felmerült az a gyanú is, hogy tudatosan semmisítettek meg bizonyítékokat az ügyben, illetve nagy ügyfelei sorra mondták fel a szerződéseket. Az Enron-hoz hasonló eset történt Európában is: a könyvelési visszásságokra, és így a befektetők és tulajdonosok félrevezetésére talán a legnagyobb európai példa az olasz Parmalat esete (melyet európai Enron-ként is emlegetnek), ahol 2003 végén fedezték fel a 14 milliárd Euro értékű könyvelési csalást 6. A problémák oka az 1990-es 4 HVG (2008) Egymilliárdos sikkasztási ügyben nyomoz a VPOP - Őrizetbe vették a MÁV Biztosító vezetőit, megjelent: HVG, CGV (2002) Az Enron-Andersen-ügy, megjelent: Cégvezetés, X. évfolyam 6. szám 6 A Parmalat botránnyal több hazai és nemzetközi cikk is foglalkozik, de jó összefoglaló olvasható: Betts, P. Simonian, H. (2008) Parmalat scandal rumbles on amid subprime debris, Financial Times, July , illetve Paweł Kaczorowski (2006) The Relationship Between, Internal Control and Fraud: What have we learned from Parmalat?, Studenckie Koło Naukowe Finansów 5

6 évek végi expanzióra, felvásárlásokra vezethető vissza, melyeket a cég hitelekből finanszírozott. Mivel a befektetések veszteségesnek bizonyultak, Fausto Tonna, a pénzügyi vezető igyekezett ezeket a lyukakat elrejteni. A problémákat 2003-ban az új pénzügyi vezető fedezte fel, mely során kiderült, hogy a cég hitelállománya több mint kétszerese annak, amiről tudtak. A cég fizetésképtelenségét hosszú ideje az éves beszámolójának és banki kivonatainak meghamisításával takargatták. Később kiderült, hogy a Parmalat égisze alatt pénzügyi csalássorozat, pénzmosás, sőt sikkasztás is meghúzódott, miközben igyekeztek a cég vagyonát más vállalkozásokba kimenteni. De lehetne még említeni a Worldcom, a Xerox és még számtalan - nem kis vállalat hasonló problémáit is. Ezek az esetek rámutatnak arra, hogy a vezetők manipulációi milyen károkat tudnak okozni, főleg akkor, ha az elvileg független könyvvizsgálók is összejátszanak velük, illetve a hitelező bankok szemet hunynak a problémák felett. Mindezen jelenségek hozzájárultak ahhoz, hogy a szabályozó testületek és a törvényhozók olyan új rendelkezéseket hozzanak, melyek erősítik a kontrollt a szervezeti tevékenységek felett, illetve rákényszerítik a szervezeteket, hogy mérjék fel és kezeljék saját működésükhöz kapcsolódó kockázataikat. A MŰKÖDÉSI KOCKÁZATOK ÉRTELMEZÉSE A működési kockázati terület fontosságának erősödéséhez hozzájárultak a már bemutatott banki és más szervezetekben tapasztalható visszásságok, az általános kockázatok erősödése (terrorizmus, katasztrófák), illetve maga a globalizáció is azáltal, hogy egyre elterjedtebbé váltak a kiszervezett tevékenységek, illetve a szorosabbá váló kapcsolatok a különféle szervezetek között. Kockázat minden tevékenységünkhöz kapcsolódhat, illetve kapcsolódik. A kockázatot általában negatív értelmezési keretben, azaz valamilyen jövőbeli veszély, veszteség bekövetkezésére használjuk. Általánosabb értelemben a kockázat nem más, mint a jövő kiszámíthatatlansága, bizonytalansága (és ebben az értelmezésben pozitív kockázatról, azaz a nyereség lehetőségéről is beszélhetünk). Amennyiben elfogadjuk a negatív értelmezési keretet, úgy a kockázatok realizálódása veszteséget okoz, mely megjelenhet a minőség romlásában, a teljesítések idejének növekedésében, pótlólagos erőforrásigényként, mely akár áttételesen is, de minden esetben pénzbeli költséget jelent. A kockázatkezelés feladata így ezen veszteség megakadályozása, illetve mérséklése. A működési kockázatok értelmezése elsősorban a pénzügyi szektorokban élvez kiemelt figyelmet a Basel II szempontrendszer alkalmazása miatt. A Bázeli Bizottság értelmezésében 7 a működési 7 Basel Committee on Banking Supervision (2004) Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Bank for International Settlements, Basel kockázatok az emberek, belső folyamatok, a rendszerek nem megfelelő, vagy hibás működése, illetve külső tényező által előidézett veszteségek kockázata. Az auditori megközelítés inkább az ellenőrzési funkció irányából közelíti meg a működési kockázat fogalmát 8 : el kell fogadnunk, hogy minden üzleti tevékenység magában hordoz bizonyos kockázatokat, melyek kezelésére kontrollokat állítunk fel. Kontrollokat csak a kockázatoknak egy bizonyos körére érdemes megfogalmazni (költség-haszon elemzés alapján), illetve a kontrollok csak részben képesek lefedni az összes kockázatot, sőt a maguk a kontrollok sem minden esetben eredményesek. A működési kockázat magába foglalja mind a kontroll tevékenységekkel lefedhető, mind a le nem fedhető területeket. Kockázatok gyakorisága és hatása A kockázatok elemzése során vizsgálni kell a kockázatok realizálódásának gyakoriságát, illetve a kapcsolódó veszteség súlyosságát. Általában a ritka, és kis veszteséggel járó kockázatok esetében nem szükséges jelentős kockázatkezelési tevékenységeket folytatni, míg a másik véglet (nagy gyakoriságú és súlyos veszteséget okozó események) esetében az adott területen vagy 8 Bhatia, Mohan (2002): Operational Risk Management Emerging Frontiers for the Profession, in: Information Systems Control Journal, vol , pp

7 jelentős beavatkozásra van szükség, vagy pedig mérlegelni kell az érintett tevékenységek feladását. A kockázatkezelési feladatok (1. ábra) ugyanakkor nagyobbrészt a nagy gyakoriságú, de kis veszteséget okozó, illetve ritka, de nagy veszteséget okozó szeletére koncentrálódnak. A nagy gyakoriságú kockázatok esetében viszonylag jól ismertek a kockázatok (mivel gyakoriak), így fel lehet tárni a kapcsolódó mélyebb összefüggéseket, és fel lehet készülni az ellenintézkedések megtételére. Nagyobb a kihívás a ritka, de nagy veszteséget okozó kockázatok esetében, mivel sokszor nem ismert, mire is kell egy szervezetnek felkészülnie, így sokszor a szakértőknek kell elképzelniük ezen szélsőséges eseteket. Ezek egy részére fel lehet készülni, és a váratlan eseményeket át lehet hárítani (biztosítás, alvállalkozó, kiszervezés), míg a nagyon ritka de nagyon nagy hatású kockázatok realizálódása komoly veszteségeket okozhat. Ezekre nehéz felkészülni, nehéz kivédeni, és az iparági tapasztalatok is inkább útmutató jellegűek, mivel az ilyen jellegű kockázatok jelentős része szervezetspecifikus, és egyedien kapcsolódik az egyes szervezetek működéséhez. Mit nyerhetünk a kockázatokon? Bizonyos kockázattípusok esetében tapasztalható az a jelenség, mikor nagyobb kockázatvállalással nagyobb hozamot, eredményt, nagyobb megtérülést lehet elérni. A hozam így függ a szervezetek, vagy az egyének kockázatvállalási hajlandóságától. Általában a kockázatosabb befektetésektől nagyobb hozamot várhatunk el, de magasak a kockázatok is, tehát azzal is számolni kell, hogy akár nagymértékű veszteség is bekövetkezik. Megjegyzendő, hogy a kockázatvállalás és a hozam között nem lineáris összefüggés van, azaz a kockázatvállalás növelésével nem lehet folyamatosan növelni a hozamot. Ebben az esetben is érvényesül a csökkenő határhaszon elve, azaz a kockázat növelésével egy idő után már nem lehet pótlólagos hozamot biztosítani. Míg a piaci, üzleti, esetleg hitelezési kockázatok esetében megjelenik, addig a működési kockázatok esetében ezt az extra hozamot nehezebb értelmezni. Alapvetően a működésre fordított figyelem csökkenésétől elvárható, hogy csökkenjenek a működési költségeim is, de ezáltal nőnek a kockázataim, illetve az ezekből adódó veszteségeim is. Itt egy kényes egyensúlyi helyzetet kell megtalálni: a kockázatvállalásból adódó veszteségnél mindig nagyobb megtakarítást, bevételnövekedést kell elérni. Működési kockázatok esetében alapvetően a kockázatvállalási hajlandóság azt jelenti, hogy tudatosan nem választjuk valamilyen biztonsági intézkedés megtételét és így erőforrást takarítunk meg. Így míg más kockázatok alapvetően a bevételnövekedést motiválják, addig a működési kockázatok oldalán a kockázatok és a költségek összefüggése figyelhető meg. Amennyiben a kockázatok felmérésén túl a kockázatok mérséklésére is figyelmet fordít a 7

8 Szabályozási keretek szervezet, további költségekkel kell szembesülni. A kockázat mérséklésére fordított költség csak abban az esetben éri meg a befektetést, ha a kockázat mérséklésével elérhető haszon nagyobb. A gyakorlatban meg kell találni azt a pontot, amikor a kockázatból várható veszteség és a kockázatmérséklés költségének együttes összege minimális. A kockázatok kezeléséhez szükséges a kockázatok egyértelmű azonosítása, így fel lehet készülni azok megelőzésére. Így a statisztikai alapú megközelítések, melyek a veszteségek eloszlását elemzik, előre jelezhetik a várható veszteséget, de nem képesek ezek megelőzésére. A felderítésre, azonosításra sokkal inkább a folyamat alapú, vagy szcenárió alapú megközelítések lehetnek alkalmasak, ahol nem csak az eredményt, hanem az okokat is fel lehet tárni. Ez a megközelítés különösen alkalmas lehet a ritka, de nagy hatású kockázatok azonosítására. A megfelelő értelmezés érdekében fontos lehet, hogy a kockázatok mellé a várható veszteségeket, pénzbeli értékeket is megállapítsuk, hiszen csak így nyer értelmet a kockázatok kezeléséből származó megtakarítás, vagy haszon. A működési kockázatok kezelésének értelmezése során fel kell tárni a kapcsolódó területek (szabályozási kérdések, belső ellenőrzés, informatika) jellemzőit is. A működési kockázatok felmérésének és kezelésének kialakulása a legkarakteresebben a pénzügyi szervezetekhez, elsősorban bankokhoz kötődik, ugyanakkor ahogy a veszteségeket illusztráló példákból is kitűnik nem csak ezen szervezetek sajátossága. A bemutatott példákhoz hasonló esetek arra ösztönözték a politikai és szakmai döntéshozókat, hogy különféle szabályozásokkal erősítsék meg a működési kockázatokhoz kapcsolódó szervezeti feladatokat és felelősséget (1. táblázat). A szabályozási elvárásoknak való megfelelés maga is kockázatot hordoz magában, mely beletartozik, de legalább is szoros kapcsolatban áll a működési kockázatokkal (szabályozási és reputációs kockázat). A különféle szabályozási elvárásoknak való megfelelés ugyanakkor külön működési területként jelenik meg, mivel a szabályozások összefüggései, összetettsége önmagában jelentős kihívás elé állítja a szervezeteket. Kapcsolat a belső ellenőrzés feladataival A különféle külső szabályozásoknak való megfelelés mellett a vállalati belső elvárásoknak való megfelelőség vizsgálatát, és független ellenőrzését is ellátja a belső ellenőrzés. A belső ellenőrzés tevékenységeiben kiemelt szerepet kap a csalások felderítése, a szervezeti erőforrások (beleértve a fizikai és immateriális javakat is) védelme. A belső ellenőrzés feladata a beszámolók pontosságának biztosítása, valamint a működés felügyelete. Figyelembe véve a belső ellenőrzés ezen feladatait, jól látszik a szoros kapcsolat a működési kockázatmenedzsment területével, mely lehetővé teszi a szinergiák kinyerését. 8

9 Szabályozás Basel II / Capital Requirement Directive (CRD) Markets in Financial Instruments Directive (MiFID) Sarbanes-Oxley Act (SOX) EU 8. direktíva Gesetz Zur Kontrolle Und Transparenz Im Unternehmensbereich (KonTraG) Transparenz- und Publizitätsgesetz (TransPuG) Pénzmosás és terrorizmus elleni szabályozások USA: Financial Anti- Terrorism Act of 2001 Ausztrália: The Anti- Money Laundering and Counter-Terrorism Financing Act 2006 (AML/CTF Act) EU: Third Anti-Money Laundering Directive (2005/60/EC) Magyarország: A pénzmosás megelőzéséről szóló évi XV. törvény Leírás Kapcsolat az informatikával A Basel II szabályozás a pénzintézetek számára határozza meg a tőkefedezet képzésének feltételeit a bankok hitelezési, piaci és működési kockázatát figyelembe véve, így biztosítva a bankok stabil működését. A szabályozás meghatározza a működéshez kapcsolódó felügyeleti, illetve nyilvánossági feltételeket is. A direktíva szabályozza a befektetési szolgáltatások működési kérdéseit, mely meghatározza egyben a működési folyamatokat is, beleértve az ügykezelés hatékonyságát, érdekkonfliktus kezelést, valamint a kereskedelem átláthatóságát és nyitottságát. Az amerikai törvény célja a könyvelési botrányok által megrendített bizalom helyreállítása volt, és előírja a könyvelési és beszámolási folyamatokra vonatkozó kontroll tevékenységeket, valamint szabályozza a nyilvánosságra hozandó adatok körét. Az EU 8. direktívájának 2005-ös kiegészítése a SOX európai megfelelője, elsősorban a pénzügyi-számviteli kockázatokra koncentrálva. A KonTraG egy 1998-ban született német szabályozás, mely előírja a vállalatok kockázatkezelési szabályozásának és gyakorlatának független auditálását a pénzügyi beszámolókra vonatkozóan. Ennek kiegészítése a 2002-es TransPuG, mely előírja a pénzügyi beszámolókhoz kapcsolódó nyilvánosságot. A különféle szabályozások elsősorban a pénzintézetek számára írnak elő kontroll folyamatokat az illegális pénzmozgások, illetve illegális szervezetek támogatásának kiszűrésére. A működési kockázatok kezelése kapcsán kiemelt szerepet kapott és kap az informatikai működés biztosítása, illetve az informatikai kockázatok kezelése. Mivel sok szervezet, de kiemelten a pénzintézetek és telekommunikációs cégek esetében az üzleti szolgáltatások igen erősen az informatikai megoldásokon alapulnak, ezért az informatikai problémák jelentős kieséseket és veszteségeket képesek okozni. Mindezen okok miatt az informatikai infrastruktúra és szolgáltatások folyamatos működésének biztosítása évek óta kiemelkedő fontosságú, és ezen területre kiforrott módszertanok és iparági gyakorlatok állnak rendelkezésre (pl. CobIT, ITIL). Az informatikai terület tapasztalata a működési kockázatok kezelésében jó alap ezen kockázatok széles körű kezeléséhez. Kapcsolat az egyes területek között Miközben a működési kockázatok kezelése egyre inkább önálló területként jelenik meg és így pl. a Basel II szabályozás is önálló kockázati területként írja elő a kezelését addig egy tanulmány 9 ezen tendenciának az ellenkezőjére hívja fel a figyelmet: ne válasszuk el a működési kockázatokat más kockázatainktól, hiszen a működési kockázat minden más tevékenység, így kockázati terület szerves részét képezi. Így amikor informatikai kockázatról beszélünk, ennek jelentős része működési kockázatot (is) takar, vagy a szabályozási megfelelés (compliance) kockázata is magába foglalja a működési kockázatokat. A működési kockázatkezelés feladatrendszerét hiba lenne önálló területként kezelni, hiszen jelentős átfedéseket mutat nem csak a szabályozási megfelelőség, illetve a belső ellenőrzés területén túl más működési területekkel is. De ugyanígy hiba lenne a működési kockázatok kezelését ezen kiegészítő területek elvárásainak való megfelelésként egyszerűsíteni és ezeknek teljes mértékben alárendelni. Sőt, a tapasztalatok 10 ugyanakkor azt mutatják, hogy a különféle szervezetek minden egyes szabályozási kihívásnak megfelelően egyedi, egymással nem összefüggő kockázatkezelési keretrendszert hoznak létre, miközben az egyes szabályozási elvárások igen sok átfedő elvárást fogalmaznak meg. Így például a Basel II, SOX vagy Mifid szabályozások elvárásait egységes formában kezelve megtakarítható egyes folyamatok, tevékenységek duplikálása. 9 Triffit, G., Beach, C., Trout, P., Serbée, D., Peeters, T. (2008) Operational Risk Management Embedding operational risk management: The real use test, PriceWaterhouseCoopers, Amsterdam 10 BT (2008) Unlocking Business Value from Effective Operational RIsk Management A BT point of view, British Telecom, London 9

10 A szabályozásoknak való megfelelés ugyanakkor nem jelenti azt, hogy a szervezetek tudatosan ki is használják a működési kockázatok kezelésében rejlő lehetőségeket, inkább csak a szabályzó testületeknek való minimális megfelelésre törekszenek. Miközben a szabályozások sokszor megelégednek a kockázatok azonosításával, és az azokra adott minimális válaszokkal, addig a tudatos működési kockázatmenedzsment lehetővé teszi a kockázatokra való tudatos felkészülést (nem csak a pénzügyi tartalékképzést), a kockázatok megelőzését, elhárítását, illetve a kockázatok realizálódásakor az azokra adható hatékony válaszlépések előkészítését is. A szervezeteket érintő kockázatokat egységes szemléletmód és keretrendszer szerint szükséges kezelni 11, még akkor is, ha az egyes kockázati területeknek megvannak a maga sajátosságai. Ugyanakkor az egységes kezelés éppen a szinergiák kinyeréséhez járulhat hozzá. További előnyök elérése érdekében meg kell teremteni a szoros kapcsolatot a belső ellenőrzés, kockázatkezelés, illetve szabályozási elvárásoknak való megfelelés között. Ilyen keretrendszerre tesz javaslatot az IT Governance Institute, melynek főbb elemei a következők (3. ábra): Kockázati (kockázatkezelési) stratégia: Ennek keretében meghatározásra kerül, hogy a kockázatkezelési tevékenység során mely területekkel, milyen kockázatokkal kíván foglalkozni a szervezet (célok), ezek kezeléséhez milyen szabályok, eljárások és folyamatok tartoznak (eszközök). Szintén a stratégia szintjén kell meghatározni a szervezet kockázatokkal szembeni toleranciaszintjét. Szervezeti struktúra: Annak meghatározása, hogy a kockázatkezelési stratégiában meghatározott célokat hogyan lehet támogatni a szervezetben megjelenő kockázatkezelési egységekkel, feladatkörökkel, illetve szerepekkel, illetve ezen szervezeti elemeknek mi a feladat és hatásköre. Beszámolók: Milyen tartalommal, milyen gyakorisággal, kinek a részére (szervezeti egységek, vezetők, tulajdonosok, stb.)? Kockázatkezelési elemei: A kockázatok felmérésének, monitorozásának, értékelésének, illetve ellenintézkedések meghozatalának folyamatai, beleértve a közös értelmezési keret (nyelv) kialakítását, illetve a kockázatkezelési tevékenység kapcsolódási pontjait is. Információtechnológiai megoldások: A kijelölt eljárásokat (melyek megfelelnek a stratégiai céloknak) milyen informatikai megoldásokkal szükséges, illetve lehet támogatni: kockázatok nyilvántartására szolgáló eszközök, modellező eszközök, statisztikai eszközök, automatizációs eszközök, stb. 11 Ding, C. (2006) Operational Risk Management: Three, Two, One Liftoff?, Celent Boston 10

11 MŰKÖDÉSI KOCKÁZATOK KEZELÉSÉNEK KIHÍVÁSAI A PÉNZÜGYI SZEKTORBAN A pénzügyi szektor mindig is élenjáró volt a működési kockázatok kezelésében, ugyanakkor ez a szektor a működési kockázatok kezelésének csak egy speciális ámde kiemelkedő területe. A pénzintézetek számára mérvadó Basel II ajánlásrendszer 2004-es publikálása, annak folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak. A működési kockázatokból származó veszteség a bankok esetében átlagosan 4-5%-a a szervezet nettó árbevételének 12. Ez a statisztika csak a nyilvánosságra hozott adatokon alapul, mely így alacsonyabb (akár jóval alacsonyabb), mint a valóságos értékek. Arról nem is beszélve, hogy ezek a kockázati események az azonnali veszteségen túl megjelennek a részvényárfolyamban is: a működési kockázatok felmerülése kihatással van egy vállalat reputációjára, jóhírére, így közvetett módon is okozhat veszteséget. A Basel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Basel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre. Bár a Basel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését. A szabályozás előírja, hogy a nem várható veszteségek 99,9%-ra vonatkozóan a pénzintézeteknek tőkefedezettel kell rendelkezniük, éppen ezért a tőkefedezet szempontjából a kockázatértékelés kerül középpontba. Működési kockázatok fajtái A pénzintézetek működési kockázataihoz kapcsolódóan hét veszteségi kategóriát különít el a szabályozás 13, melyekért együtt, vagy külön-külön felelőssé tehető a négy kockázati terület (emberek, folyamatok, technológia és külső tényezők): 1. Belső csalás (emberek, technológia): A belső előírások megsértése, ahol legalább az egyik érintett fél a szervezet dolgozója. Beletartozik az eljárási szabályoktól való eltérés, jogkör bitorlás, belső lopás vagy csalás. Ilyenek lehetnek a felhatalmazás nélküli döntések vagy a bennfentes kereskedelem. Jó példa erre a már bemutatott csalás a Société Générale-nál. 2. Külső csalás (külső tényezők, technológia, folyamatok): Jogszabályok és törvények kijátszásával, külső fél által okozott veszteség. Beletartozik a számítógépes rendszerek kijátszása, a szervezeti folyamatok kijátszása, illetve a szervezet becsapása (pl. okirat hamisítás). Pl. lopás, rablás, számítógépfeltörés, illetéktelen hozzáférés megszerzése, bankkártya csalások. Ehhez a területhez kapcsolódik a közelmúlt egy híre, amikor egy volt ügyvéd hamis bírósági ítéletekkel nyújtott be inkasszót gazdasági társaságok számláival szemben, és cégenként 8-9 millió forintot próbált megszerezni. Mivel korábban már voltak ilyen esetek, ezért a pénzintézetek nem fizették ki automatikusan a kívánt összeget, hanem ellenőrizték az ítéletek valóságtartalmát, így az elkövető lebukott. 12 Cindy Levy, Harmid Samandari, Antonio Simoes.(2006) Better operational-risk management for banks. The McKinsey Quarterly. August Basel Committee on Banking Supervision (2004) Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Bank for International Settlements, Basel 11

12 3. Dolgozói tevékenység és munkahelyi biztonság (folyamatok, emberek): A munkakörülmények, illetve a foglalkoztatás szabályainak megsértése, munkahelyi balesetek, sérülések, nemi, faji vagy bármilyen jellegű diszkrimináció, az egyenlő bánásmód problémái, szexuális zaklatás. Pl. munkahelyi sérelemért kompenzáció fizetése, büntetés az előírások megsértéséért. A közelmúltban Nagy-Britanniában a BNP Paribas bankot perelte be egy volt dolgozója, akit érvelése szerint szülési szabadsága után kilépésre kényszerítettek. A nemi diszkriminációs ügy tétje 1-2 millió font közötti kártérítési összeg. Az eset szerint Ms. Tofeji 2004 végén jelentette be, hogy szülni fog, és innentől kezdve a vezetőség nem bánt vele már megfelelően, sőt ennek tulajdonítja a évi jutalmának elmaradását is. A gyermek születése után (akit egyedül nevel) kénytelen volt meghosszabbítani szülési szabadságát, míg végül a hét négy napjára talált gondozási lehetőséget gyermekének. Ekkor szerette volna, hogy banki munkaidejét 4 napon végezhetsse el. A bank férfi vezetői ezt nem támogatták, az ötnapos munkahét mellett érveltek, de nem hivatalosan kilépésre biztatták Ügyfelek, termékek és üzleti tevékenység (folyamatok): Az ügyfelek felé vállalt kötelezettségek nem szándékos (gondatlan) megszegése. Sokszor fogyasztóvédelmi vonatkozásai is vannak. Pl. hitelkártya limit túllépés véletlen engedélyezése, vállalt határidőből való kicsúszás, ügyfélnyilvántartás hiányosságai. 5. Fizikai eszközök sérülései (technológia): Eszközök, elsősorban az informatikai infrastruktúra sérülése és működésképtelensége. Természeti, vagy ember okozta katasztrófahelyzetek. Pl. szerverterem beázása áradás miatt, terrorcselekmény hatásai, építési tevékenység miatti sérülés. Sajnos napjainkban mind a természeti katasztrófák, mind a terrorista támadások élő veszélyt jelentenek, és nagyon sok cég fel is készül ilyen helyzetekre. A 2001-es World Trade Center elleni támadás az emberáldozatok mellett az informatikai 14 Donkin, R: (2007) Change is here to stay and we need to adapt, Financial Times, 2007 május 31. A cikk felhívja a figyelmet arra, hogy a bemutatott példa nem egyedi eset, így például per indult a HBOS Bank ellen 11 millió font értékben is (mely a legnagyobb eddigi perértéket jelenti), és a beszámolók szerint Európában egyre gyakoribbá válnak a hasonló ügyek, mely a működési kockázatoknak egy jelentős szeletét érintheti, és új feladatok elé állítja az emberi erőforrás menedzsment osztályokat. infrastruktúrát, sőt cégek adatait is megsemmisítette. Sok esetben ugyanakkor a biztonsági mentéseknek köszönhetően a működés néhány nap (vagy például a Deutsche Bank esetében 2 óra) elteltével már zavartalanul folyt. Miami-ban inkább a hurrikánok jelentenek veszélyt. A Banco Santander Central Hispano egy a világ tíz legnagyobb bankja közül. Miami központja nem csak turistalátványosság, hanem egyben a hurrikánok által veszélyeztetett területek egyik kiemelt helye ben például a sorozatos hurrikánok 4-szer is leállásra kényszerítették a Miami-ban található adatközpontjukat. Ugyanakkor a veszélyhelyzetre felkészülve háttér szolgáltató-központot építettek ki New-York-ban, így a hurrikánveszély ellenére is tudtak foglalkozni ügyfeleikkel. 6. Rendszerek és üzleti tevékenységek megszakadása (technológia): Rendszer meghibásodásból származó üzletmenet megszakadás, alapvetően az informatikai rendszerek hibája: hardver, szoftver, telekommunikáció. Pl. számlavezető szerverek meghibásodása, ATM vezérlő adatbázis leállása. Sajnos a hírekben is gyakran hallható, ha egy bank ATM rendszere nem működik, melyet általában valamilyen központi szerver, alkalmazás vagy adatbázis hiba okoz. Nemrégiben a Barclays Bank volt kénytelen szembesülni ilyen problémával, mely fél Nagy Britanniát megbénította. A hírek szerint a problémát egy adatbázis szoftver frissítése okozta, bár a bank az esetet áramszünetre fogta. Az mindenesetre tény, hogy nem gondoskodtak megfelelően a kieső informatikai szolgáltatás kiváltásáról. 7. Folyamatok irányítása, biztosítása és végrehajtása (folyamatok, technológia, emberek): Nyilvántartási tévedések, végrehajtási problémák. Pl. Hibás adatbevitel, könyvelés, külső adatszolgáltatás elmaradása, beszállítói kapcsolatok. Természetesen egyes esetekben ezen veszteségi kategóriák áttételesen is jelentkezhetnek, több kockázati terület együttes fellépésével. Így akár a külső és a belső tényezők egyszerre jelentkezése nagyobb hatású veszteséget is előidézhet. Így például a Barings Bank esetében a Nick Leeson által végrehajtott belső csalás, illetve a külső piaci mozgások együttesen eredményezték a veszteséget, de a közelmúlt Société Générale ügyében is a csalás felderítésekor meghozott 12

13 4. ábra: Működési kockázati kategóriák kialakítása a pénzügyi szervezeteknél Veszteségkategóriák Belső csalás Külső csalás Dolgozói tevékenység és munkahelyi biztonság Ügyfelek, termékek és üzleti tevékenység Fizikai eszközök sérülései Üzleti kategóriák Rendszerek és üzleti tevékenységek megszakadása Folyamatok irányítása, biztosítása és végrehajtása Vállalati pénzügyek Kereskedés és értékesítés lépések nem voltak éppen a legjobban időzítve, így növelték a veszteséget. Működési kockázati kategóriák kialakítása Az egyes felmerült veszteségadatokat, illetve kockázatokat a működési kockázatokra vonatkozó hét veszteségkategória mellett a pénzügyi szervezetek nyolc lehetséges üzletága szerinti bontásában is előírja a szabályozást. Így összesen akár 56 csoportot is kialakíthatunk, bár a gyakorlatban célszerű ezen csoportok számát korlátozni. Ha nem csak becsülni, hanem kezelni is szándékozunk a kockázatokat, akkor szükséges a kockázatok okainak is a vizsgálata, ami a gyakorlatban azt jelenti, hogy minden egyes osztály (vagy legalább is vizsgálati kategória) esetében szükséges értelmezni a folyamatokban rejlő, emberi, technológiai, illetve a külső környezet kockázatait (4. ábra). A gyakorlatban ez a megközelítés több kihívást is magában hordoz, melyek miatt a teljes csoportosítás nem működik: egyrészről az alap két dimenzió teljesen eltérő szemléletmódot hordoz magában, az egyik dimenzió az eseményeket, míg a másik dimenzió az adatgyűjtés helyét fedi le, melyek egybevetése jelentős problémákat vet fel 15. Az is problémát jelenthet, hogy egy esemény akár több kategóriát (üzleti és veszteség) is érinthet. 15 Köszönöm Szauer Tamás a Raiffeisen International Basel II menedzserének segítő megjegyzéseit e témában. Lakossági közvetítő tevékenység Kereskedelmi banki tevékenység Lakossági banki tevékenység Fizetési és elszámolási tevékenység Pénzügyi szolgáltatás közvetítése Vagyonkezelési tevékenység Emberek Folyamatok Technológia Külső tényezők Osztályok Ebben az esetben a veszteségek nyilvántartása, illetve az erre épülő számítások már meglehetősen bonyolulttá válnak, ezért elengedhetetlen a kockázatok nyomon követésére az informatikai megoldások használata. További problémát jelent (ami egy pénzintézet szempontjából inkább örömteli dolog), hogy a kockázati események alacsony száma miatt kevés adat áll rendelkezésre. A 7 8-as mátrix egyes osztályaiban már a néhány tucat esemény is kiemelkedő lehet, de sokszor egy-egy ilyen osztályba egyetlen esemény sem jut. Habár ez azt is jelentheti, hogy a pénzintézet viszonylag biztonságban van, kockázatkezelés szempontjából nem jelent elégséges alapadatot. A probléma kiküszöbölése érdekében érdemes egyes veszteség, vagy üzleti kategóriákat összevonni, így nagyobb kockázati osztályokat kialakítani. Megjegyzendő, hogy míg a veszteségkategóriák összevonása torzíthatja a veszteség-eloszlási elvárásainkat (és így a modellépítést), addig az üzletágankénti összevonás esetében az ilyen problémákkal kevésbé kell szembesülni 16. A statisztikai eszközök alkalmazása ellenére ugyanakkor a folyamat alapú kockázatértékelést sokkal inkább üzletágakhoz, mintsem veszteségkategóriákhoz lehet kötni. Ebben az esetben a folyamatokhoz feltárásával jobban elemezhetővé válnak a kockázatok okai, így nagyobb lehetőség nyílik azok kezelésére. Az összevonások során tehát már döntéshelyzetbe kerülünk a tekintetben, hogy a statisztikai alapú, a kockázatértékelésnek nagyobb lehetőségeket nyújtó megközelítést, vagy pedig a folyamat alapú, és így a kockázat kezelésének nagyobb teret adó megközelítést választjuk. A szabályozási elvárások miatt a pénzintézetek rövidtávon inkább a statisztikai alapú megközelítés 16 Gáll József Nagy Gábor (2007) A működési kockázat veszteségeloszlás-alapú modellezése (Loss Distribution Approach LDA), megjelent: Hitelintézeti szemle, VI. évfolyam, 4. szám, oldalak 13

14 irányába indultak el (kockázat értékelése), míg a tényleges kockázatkezelés inkább hosszabb távú gyakorlat lehet. A kategóriák kialakítása esetében legfontosabb annak szem előtt tartása (és ez nem csak a működési kockázatokra igaz), hogy a fejlett megközelítéseket csak akkor használjuk, ha biztosítható, hogy egy adott osztályban rendelkezésre fog állni a statisztikai elemzésekhez szükséges adatmennyiség. A működési kockázatok értékelésének módszerei Az Uniós és a hazai pénzügyi szabályozás célja, hogy a pénzügyi szervezetek minél jobban feltérképezzék és becsüljék mind működési, mind egyéb kockázataikat. Habár lehetőség van háromféle tőkefedezet-képzési megközelítés használatára is, a szabályozás mégis arra motiválja a pénzintézeteket, hogy tárják fel várható kockázataikat, illetve az ezekre vonatkozó adatokat érthető és átlátható formában mutassák be. Ekkor ezen pénzintézeteket alacsonyabb tőkefedezeti kötelezettség terheli. Alapmutató módszer (Basic Indicator Approach - BIA): Legegyszerűbb felépítésű intézetek számára, a bank előző három évi átlagos éves bruttó jövedelmének fix százalékaként fejezhető ki. Standard módszer (Standardised Approach - STA): Az egyes tevékenységeket nyolc terület alá kell besorolni, majd az egyes területekre kell meghatározni (bruttó jövedelem alapján) a szükséges tőkefedezetet, majd ezeket kell összesíteni. Alternatív standard módszer (Alternative Standardised Approach - ASA): A STA megközelítés különleges válfaja az ASA, melyben bizonyos üzletágak esetében a bruttó jövedelem helyett a hitelezési tömeget veszik alapul. Fejlett mérési módszer (Advanced Measurement Approach - AMA): A pénzintézetek az általuk meghatározott kockázatkezelési rendszer által meghatározott kockázatokra képeznek fedezetet. Míg a BIA módszer alkalmazásának nincs különösebb feltétele, addig a szabályozás szerint a pénzintézeteknek azt a megközelítést kell alkalmaznia, mely leginkább megfelel működési és kockázatvállalási profiljának. Elvileg a felügyeleti hatóságok (nálunk a PSZÁF) ezt ellenőrizheti, sőt összevetheti más, hasonló pénzintézetek gyakorlatával. Az előírások lehetővé teszik - bizonyos feltételek teljesülése esetén - a megközelítések kevert alkalmazását is. Azaz egy pénzintézet számára nem kötelező minden területen pl. az AMA megközelítés alkalmazása. Annál is inkább, mivel a BIA, STA (ASA) megközelítések nem veszik figyelembe a tényleges kockázatokat, de az AMA megközelítés alkalmazása nem éri meg minden esetben a befektetést 17. Habár motiváció szempontjából az AMA megközelítés jelenti a legalaposabb kockázatfeltárást (és így az alacsonyabb tőkefedezet képzést), ezen módszer alkalmazása nagyobb munkabefektetést is jelent, ugyanakkor ezen megközelítéssel nem csak alacsonyabb a kötelező tőkefedezet, hanem a pénzintézetek saját kockázataikat is jobban megismerhetik és kezelhetik. A fejlett mérési módszer (AMA) sajátosságai Mivel teljes életciklusra kiterjedő kockázatmenedzsment csak a fejlett mérési módszer (AMA) módszer jellemzője, ezért a továbbiakban ennek lehetőségeit vizsgáljuk meg. Múltbéli kockázatokra építő megközelítések A fejlett mérési módszer alapján történő kockázatértékelés egyik hangsúlyos irányvonala a múltbéli veszteségadatok elemzésére és aggregálására épít (top-down megközelítés). Ennek keretében vizsgáljuk az időegységre jutó veszteség értékét, illetve a veszteségeloszlást (súlyosság és gyakoriság). Ezt a megközelítést LDA (Loss Distribution Approach) néven ismerik 18. Az összegyűjtött és elemzett veszteségadatokat statisztikai módszerekkel lehet vizsgálni 17 A kockázatkezelési rendszer részeként létre kell hozni a kockázatkezelési politikát, szabályzatokat, eljárásokat, egy működési kockázatkezelő szervezeti egységet illetve egy beszámolási rendszert. A tőkefedezet képzésére szolgáló modell felülvizsgálatát és hitelességét rendszeresen el kell végezni, illetve az elmúlt 5 év (kezdetben kifutó rendszerben 3 év) veszteségadatainak idősorát kell felhasználni. 18 Gáll József Nagy Gábor (2007) A működési kockázat veszteségeloszlás-alapú modellezése (Loss Distribution Approach LDA), megjelent: Hitelintézeti szemle, VI. évfolyam, 4. szám, oldalak 14

15 (eloszlások azonosítása, paraméterek becslése, illeszkedésvizsgálat). A megközelítés lehetővé teszi, hogy múltbéli kockázati eseményeket azonosítsunk, és ezek prognosztizált jövőbeli előfordulására felkészüljünk. Problémát az jelent, hogy míg a gyakori, de kis hatású kockázatok felmerülése viszonylag jól becsülhető, addig a ritka, de nagy hatású kockázatok igen rosszul becsülhetőek. A módszer alkalmazása során a kihívást az adatok azonosítása és gyűjtése jelenti, azaz annak vizsgálata, hogy ténylegesen kockázati esemény történt-e (egyáltalán mit tekintünk annak), ezeket hogyan rögzítjük, hogyan automatizáljuk, majd annak besorolása a működési kockázati kategóriák egyikébe. Szintén döntés kérdése, hogy milyen érték felett gyűjtjük a kockázati veszteségeseményeket, mivel bizonyos érték alatt nem éri meg a befektetett erőforrásokat az események rögzítése. A rendelkezésre álló adatok alapján történik meg az adatokra illeszkedő statisztikai eloszlásfüggvények, illetve azok paramétereinek megállapítása. Az eloszlási modellek megállapítása után érdemes a modellt bizonyos korrekciós tényezőkkel kiegészíteni (adatfelhasználási sajátosságok, infláció, növekedési becslések), majd az így kapott modellt lehet felhasználni a szükséges tőkefedezet meghatározása során. Sokszor problémát jelent, hogy nem áll rendelkezésre elégséges belső adat a múltbéli veszteségekre vonatkozóan (mely kockázatokat akár más módszerekkel önértékelés, forgatókönyv-elemzés, folyamat alapú felmérés már azonosításra kerültek). Gyakori tévhit, hogy azokkal az azonosított kockázatokkal nem kell foglalkozni egy szervezetnek, melyek a múltban még nem fordultak elő. Tipikusan a ritkán jelentkező, de nagy hatású kockázatok esetében hajlamosak a szervezetek arra, hogy ne foglalkozzanak a lehetséges kockázatokkal (itt hadd idézzem egy informatikai vezető mondását: minden rendszerünk folyamatosan jól, és megbízhatóan működik, nincs szükségünk megelőző intézkedésekre a működés fenntartása érdekében ), és sokszor elpocsékolt pénznek értékelik a döntéshozók ( beleöltük az időt és energiát, és mégsem jelentkezett a kockázat ). Ez a hozzáállás akár jelentős veszteségeket is okozhat, ha egy adott szervezet nem elemezte kellőképpen a lehetséges kockázatokat, illetve azok hatását. Ezekben az esetekben az intézmények felhasználhatják az iparágra vonatkozó külső adatokat is, melyeket megosztott adatbázisokban, a névtelenséget tiszteletben tartva gyűjtenek (pl. Magyarországon a HunOR adatbázis) 19. A külső forrásból származó adatok elemzése jó kiindulópont a jövőbeli kockázatokra nagyobb hangsúlyt fektető módszerek kockázati önértékelés, forgatókönyv-elemzés számára, mivel lehetővé teszi, hogy ne csak múltbéli kockázatokra keressünk adatokat, hanem olyan kockázatokat is számba vegyünk, melyek még nem fordultak elő szervezetünk esetében. Az ilyen kockázatok felmérésére és kezelésére elsősorban a külső adatbázisokból származó adatokat (benchmark) szokták felhasználni. Külső adatok felhasználását az intézményeknek indokolnia kell, illetve a felhasználáshoz kapcsolódó megfontolásokat évente független szakértőnek kell értékelnie. A felhasználás és megbízhatóság kérdése azért is érdekes lehet, mivel több adatbázis is rendelkezésre áll a különböző kockázatokból adódó veszteségek gyűjtésére, és azok tartalma sokszor eltérést mutat. Így érdemes szűrni az adatokat azok relevanciája alapján, illetve vizsgálni azt, hogy a kockázati kategóriák, vagy üzletágak alatt ugyanazt értjük-e, mint az adatbázis üzemeltetői. Célszerű olyan külső adatokat használni, melyek követik a CRD (Capital Requirements Directive) 7 8-as mátrixot eredményező veszteség és üzletágstruktúráját. Jövőbeli kockázatok becslése A megközelítések célja, hogy akár a múltbéli adatokra építve is felmérjük az összes lehetséges kockázatot. A múltbéli adatokra építő módszerekhez képes ezen megközelítések előnye abban áll, hogy a felméréssel nem csak a kockázatok értéket tudhatjuk meg, hanem pontosan (illetve az előző módszerhez képest jóval pontosabban) meghatározhatjuk a kockázatok helyét, azok lehetséges okait, illetve feltárhatjuk azokat a kockázatokat is, melyekkel a szervezetnek még nem kellett szembesülnie. Ezen módszer keretei között a kockázati önértékelés, forgatókönyv-elemzés, folyamat alapú 19 Az egyes külső adatbázisokról, azok adattartalmáról és felhasználási lehetőségeikről, illetve a speciálisan magyar lehetőségekről ad áttekintést: Homolya Dániel, Szabolcs Gergely (2007) Működési kockázati adatkonzorciumok és alkalmazásuk - HunOR: a hazai bankok lehetősége, Hitelintézeti szemle, VI. évf. 1. sz. 15

16 megközelítések és kockázati mutatószámok használata szerepel. A kockázati önértékelés és a forgatókönyv-elemzés nem tökéletes szinonimái egymásnak, mégis sokszor nem meglepően - azonos értelemben, hasonló értelmezésben használják ezeket 20. A kockázati önértékelés (self risk assessment - SRA) során az intézmény vezetői, dolgozói feltárják a lehetséges kockázati tényezőket, és megbecsülik ezek várható veszteségét. A forgatókönyv-elemzés lehet ennek egy speciális formája, mely során elsősorban a súlyos események hatásait igyekeznek meghatározni. A forgatókönyv-elemzés során meghatározzuk a lehetséges kockázatokat, azok összefüggéseit, majd felállítjuk a lehetséges forgatókönyveket: legtöbbször optimista, normál és pesszimista megközelítéseket. A háromféle lehetőség vizsgálatára azért van szükség, mivel a kockázatok értékelése eleve becslésen alapul, és maga is bizonytalanságot (kockázatot) hordoz. Így a különböző forgatókönyvek hivatottak az ebbéli bizonytalanságot tükrözni. A forgatókönyv-elemzések során ezek az események meghatározása mellett vizsgálják ezek okát (így megelőzhetőek), illetve lehetséges kimeneteleit (így kezelési lehetőségeket állapítanak meg. A forgatókönyvek elemzése segít feltárni a sebezhető területeket, és megbecsülni a kockázatok várható, illetve maximális értékét. Megjegyzendő, hogy a forgatókönyv-elemzés is egyfajta önértékelésnek tekinthető. A forgatókönyv-elemzés során elterjedt elemzési segítség a hibafa elemzés (Fault Tree Analysis), mely során az egyes tevékenységek, szolgáltatások hátterét tárhatjuk fel: mivel a bevételek elsősorban bizonyos szolgáltatások végrehajtásából származnak, ezért ez a módszer segít az ezeket akadályozó kockázatok, veszélyeztetett elemek azonosításában. Ezekben az esetekben arra kell törekednünk, hogy mind a kockázatokat, mind a várható (és nem várható) veszteségeket azok állapítsák meg, akik leginkább érintettek. Ebből adódóan a kockázatok azonosítás, illetve azok értékelése nem feltétlenül kerül egyszerre megállapításra (bár lehet workshop-okat szervezni az együttes értelmezés 20 A terület összefoglalásáról igen jó cikk olvasható a Hitelintézeti Szemlében: Hajnal Béla, Kállai Zoltán, Nagy Gábor (2007) Működési kockázati önértékelések veszteségeloszlás-alapú modellezése, Hitelintézeti szemle, VI. évf. 5. sz oldalak érdekében). Így például egy informatikai kockázatot valószínűleg a legjobban az informatikusok tudnak azonosítani, de a kapcsolódó veszteséget már az érintett üzletág(ak) tudják megfelelően megbecsülni. A kockázatok azonosításának egyik lehetősége a szervezet folyamatainak feltérképezése, és az egyes tevékenységekhez kapcsolódó kockázatok azonosítása. Ez a megközelítés lehetővé teszi, hogy a közvetlenül kapcsolódó kockázatok könnyed azonosíthatóak legyenek, a folyamatokat mintegy sorvezetőként használva. Természetesen léteznek olyan működési kockázatok, melyek nem csak egy tevékenységhez, vagy folyamathoz köthetőek. A további kockázatok azonosításához a vizsgált területek szakértőivel és vezetőivel folytatott strukturált megbeszélések szükségesek. A folyamat alapú megközelítés hozzájárul a kockázatokra vonatkozó indikátorrendszer meghatározásához is. A folyamatokhoz, illetve az ott megjelenő kockázatokhoz kulcs kockázati indikátorokat (Key Risk Indicators KRI) rendelhetünk, melyek változásával, illetve figyelembevételével becsülhetjük a kockázatokat 21. Pl: ATM rablások, munkaerő fluktuáció aránya, ügyfélpanaszok száma, szolgáltatások rendelkezésre állása Ezen indikátorok mintegy füstérzékelőként működnek: jelzik a füstöt, de nem tudjuk, hogy ég az épület, vagy pedig csak odaégett a kenyér a pirítóban? Ennek kiderítése mindig külön vizsgálatot igényel, de jobb félni, mint megijedni. Mindenesetre akkor van csak lehetőségünk a kockázatok felmérésére és kezelésére, ha tisztában vagyunk az üzleti folyamatokkal és azok összefüggésrendszerével. Ebből következően egy adott indikátor többféle kockázatot is előre jelezhet, illetve az indikátorokat nem egyesével, hanem azok együttesének elemzésével szükséges értelmezni. Megjegyzendő, hogy a kulcs kockázati indikátorok előrejelző képessége (mely véges) nem biztos, hogy minden kockázatot megfelelően lefed. Ne ringassuk magunkat abba a hitbe, hogy az indikátorok kialakításával kezeltük is a 21 Jó összefoglalók segítik az értelmezést mind általános használhatóság tekintetében: Chen, M.C. (2006) The anatomy of Business Process-specific Key operational Risk Indicators, Continuity Central; illetve speciálisan a banki környezetekre vonatkozóan: Lamanda Gabriella (2007) Kulcs kockázati indikátorok és lehetséges alkalmazásuk, Hitelintézeti szemle, VI. évf. 4. sz. 16

17 kockázatokat: egyrészről a teljesség sok esetben kérdéses, másrészről a működés, és ezzel együtt a kockázatok is változhatnak. Ugyanakkor a kulcs kockázati indikátorok használata nagymértékben javíthatja a szervezetek kockázatkezelési lehetőségeit. Az önértékelés, forgatókönyv-elemzés bármilyen pontos is legyen becslés eredménye. Éppen ezért szükséges a körültekintő alkalmazás, illetve az eredmények megbízhatóságának érdekében a független kockázatkezelő szakértők mellett akár a belső ellenőrzés bevonása is indokolt lehet. Az ellenőrzés történhet a meglévő tényadatokkal való összevetés segítségével is, de ezen adatok esetében eleve probléma a teljesség hiánya, illetve az, hogy nem veszik figyelembe az esetleges szervezeti, vagy környezeti változásokat. A becslések folyamán problémát jelenthet, ha a szakértők nem képesek becsülni: ismerik a kockázatokat, de nem tudják meghatározni azok várható veszteségét. Ilyenkor elfogadott külső adatokra, benchmarkok-ra támaszkodni, persze a szokásos fenntartásokkal. A kockázati önértékelés és forgatókönyv-elemzés a szervezetben a veszteségeloszlások mellett elsősorban a kockázatok okait segít feltárni a szervezetben. Sok esetben a veszteségeloszlás alapú megközelítések nem is igazán vezetnek eredményre, mivel sokszor nem áll elégséges múltbeli adat rendelkezésre. lehetőséget a kockázatok kezelésére, csökkentésére. Pedig a kockázatok csökkentésével nem a csak a működési hatékonyság javulna és a várható veszteség csökkenne, de végső soron a kötelető tőkefedezet képzés is csökkenne. Természetesen mindkét megközelítésnek megvannak a maga előnyei és hiányosságai, ezért logikusnak tűnne, hogy a két megközelítés kombinációját kelljen megvalósítani. Ugyanakkor éppen itt ragadható meg a különbség: míg a múltbéli adatokra épülő megközelítés viszonylag jól számolható és becsülhető (bár nem deríti fel az okokat), addig egy pontosabb és körültekintőbb jövőbeli eseményekre koncentráló megközelítés jelentősebb energiabefektetést és munkát igényelne. Amennyiben a folyamat alapú kockázatfelméréshez már konkrét modelleket, becsléseket (SBA) tudunk megfogalmazni, úgy kockázatfelmérésünk pontosabb lehet. Megközelítések egységes kezelése Az eloszlásokra alapuló modellek hasznos kiegészítői a folyamat alapú megközelítésnek, illetve az eloszlásokra alapuló megközelítéseket a feltárt kockázati lehetőséggel lehet kiegészíteni. Így a két megközelítés együttes használata lehet a legjobb (bár egyben a legkomplexebb) megoldás. Ezt a megközelítést a szakirodalom Hybrid Measurement Approach-nak (HMA) nevezi, és természetesen csak a fejlett mérési módszert alkalmazó bankok használhatják 22. A becslésre, így a felügyeleti szervek számára is elegendő a nagyobbrészt LDA (Loss Distribution Approach) módszerre épülő kockázatkezelési modell alkalmazása, ugyanakkor ez a módszer még nem mutatja be a kockázati területeket, és nem ad 22 A többféle megközelítést egységesítésére példa: Armai Zsolt, Homolya Dániel, Kasnyik Klára, Kovács Ottó, Szabolcs Gergely (2007) Úton az AMA módszer bevezetéséig az Erste Bankban, Hitelintézeti szemle, VI. évf. 4. sz. 17

18 MŰKÖDÉSI KOCKÁZATOK FOLYAMAT ALAPÚ KEZELÉSE Míg a területen élenjáró, sok tapasztalatot felhalmozó pénzintézetek esetében a működési kockázatmenedzsment feladatok elsődleges hajtóereje a tőkefedezet képzés, illetve a szabályozásoknak való megfelelés biztosítása, addig más szervezetek esetében maga a kockázatok elhárítására és mérséklésére irányuló tevékenység kerül a fókuszba. Habár a pénzintézetek számára is előírás annak hitelt érdemlő bizonyítása, hogy a kockázatok elhárítására és mérséklésére kellő figyelmet fordítanak, ezen intézmények által választott módszerek mégis inkább a felmérés és tőkefedezet képzési területekre koncentráltak eddig alapvetően a múltra vonatkozó információk felhasználásával 23, így ezen a területen még további fejlesztésekre van szükség. Ráadásul a kockázatok azonosítása és kezelése során elsősorban a jól megfogható (hard) tényezőkre koncentrálnak, míg a puhább (soft) tényezőkkel nem foglalkoznak. Való igaz, hogy egy szervezeti kultúrával, vagy a dolgozói motivációval sokkal nehezebb megküzdeni, sőt hosszabb időbe is telik, mint mondjuk egy informatikai szerver funkcionalitását katasztrófa esetében kiváltó hátterét létrehozni. Ugyanakkor a puha tényezők azonosításával és fejlesztésével nem csak hosszabb távú (tartósabb), de nagyobb mértékű eredmény is érhető el. A kockázatok azonosítása során tehát a tevékenységek minden elemére figyelmet kell fordítani, beleértve a végrehajtó személyeket is, mely sokszor maguk is előidézői a veszteségeknek. Például egy olyan szervezet esetében, ahol a dolgozókra nagy munkateher és nagy nyomás nehezedik, a túlhajszoltság miatt a dolgozók figyelmetlenebbé válnak és hajlamosabbak hibák elkövetésére. De lehet kockázati ok egy olyan szervezeti kultúra is, ahol az előírások, szabályok tisztelete nem érték. A banki tapasztalatokat is figyelembe véve a következő módszerek alkalmazhatóak a működési kockázatok megfelelő feltárására és teljes életciklust lefedő kezelésére önértékelés és forgatókönyv-elemzés folyamat alapú kockázatkezelés 23 Cindy Levy, Harmid Samandari, Antonio Simoes.(2006) Better operational-risk management for banks. The McKinsey Quarterly. August kulcs kockázati mutatók (indikátorok) használata A folyamat alapú kockázatmenedzsment részeként a kockázatok azonosításán túl, a kockázatokhoz kapcsolódó kontroll folyamatokat és kontroll pontokat is meg lehet határozni, mely lehetőséget biztosít a kockázatok megelőzésére, elhárítására, illetve a veszteségek csökkentésére. Kockázatok azonosítása és értékelése Ezen megközelítés keretében a folyamatok leképezése jelenti az első lépést. Ekkor az egyes tevékenységekhez, az azokat elvégző személyekhez, szervezeti egységekhez, illetve a támogatást jelentő informatikai rendszerekhez kapcsolódóan határozhatóak meg a lehetséges kockázatok. Ez a megközelítés lehetővé teszi, hogy egy szervezet kijelölt folyamataihoz kapcsolódóan teljes körű kockázatfelmérés kerüljön végrehajtásra. Következő lépésben kerülhet sor a kockázatok mértékének azonosítására, azaz a kockázatban szereplő esemény felmerülési gyakoriságának, illetve az általa okozott veszteség súlyosságának meghatározására. Egy folyamat alapú megközelítés esetében lehetőség van a kockázatok részletes dokumentálására, illetve a kockázatok változásának folyamatos átvezetésére is. Megjegyzendő, hogy habár ezen módszer a működési kockázatok kezelését támogatja a legjobban, a folyamatmodellhez kapcsolódóan más kockázatok is nyilvántarthatóak. Mivel a működési kockázatok igen sokféle helyen és jelleggel rendelkezhetnek, ezért az elemzés elvégzéséhez a következő modelltípusokat kell létrehozni: Folyamatmodell: az egyes tevékenységek sorrendiségének, kapcsolódási pontjaink és egymásra hatásának modellezése. Technológiai modell: a folyamatok végrehajtása során felhasznált technológiai megoldások, kiemelten informatikai rendszerek számbavétele, azok egymással való kapcsolata. Szervezeti modell: szervezeti struktúra, hierarchiai viszonyok, szerepek, felelősségi és feladatkörök rögzítése. Kihívást jelent, hogy az 18

19 emberek (dolgozók) és szerepek között többtöbb típusú kapcsolat található, illetve a felelősségi körök egyértelmű kijelölése. Dokumentum-modell: a folyamatok végrehajtása során keletkező és felhasznált dokumentumok. A felsorolt modellekhez egyaránt kapcsolhatóak kockázatok, azaz kockázat kapcsolódik egy tevékenység végrehajtásához, egy támogató rendszer működéséhez, egy dolgozóhoz (aki végrehajt egy feladatot), vagy akár egy papír alapú vagy elektronikus dokumentumhoz is. Az 5. ábra egy ilyen egyszerű általános igénylési folyamatra mutat példát, melyen rögzítésre kerültek a folyamatot végrehajtó szerepkörök, informatikai rendszerek, illetve dokumentumok, melyek mindegyikéhez kapcsolható kockázat. A kockázatokra vonatkozóan a következő főbb információkat érdemes nyilvántartani: A kockázat gazdája A kockázat típusa (működési, reputációs, stb.) A kockázat utolsó értékelése (értékelő, módszer, dátum, stb.) A kockázat áttekintési módjai (review) Minőségi és mennyiségi értékelés A veszteséget eredményező események száma gyakorisága Kockázatok kezelése A kockázatfelmérés lehetővé teszi, hogy a megfelelő kockázatkezelési megoldásokat meg lehessen találni, melyek a következő területekre oszlanak: 19

20 Kockázat csökkentése: Proaktív megközelítés: A kockázatcsökkentés egyik módja a bekövetkezési valószínűség csökkentése, mely tipikusan megelőző, többnyire védelmi megközelítések által kerül megvalósításra. Éppen ezért szükséges, hogy tisztában legyünk a várható kockázatokkal, hogy fel tudjunk rá készülni. Ennek leghatásosabb módja a folyamat alapú kockázatfelmérés. Reaktív megközelítés: Ebben az esetben nem a kockázat bekövetkezését, hanem egy esemény hatásának mérséklését állítják a középpontba, azaz azt vizsgálják, milyen intézkedések szükségesek, ha megtörténik egy esemény. Természetesen ennek is előfeltétele, hogy a kockázatok köréről valamilyen előzetes ismeretünk legyen. A teljes elkerülés általában olyan megközelítés, mely során a szervezet lemond egy kockázatosnak ítélt tevékenység folytatásáról. Ez nem tekinthető a szó szoros értelmében kockázatcsökkentési megközelítésnek. Tipikusan a nagy gyakoriságú és nagy kockázatú területek esetében ez az egyetlen lehetőség, mivel a kockázatkezelési megoldásokkal együtt sem valószínű, hogy megéri folytatni az adott tevékenységet. Kockázat megosztása: A kockázat megosztása során a bekövetkezés által okozott károk mérséklésére törekszik. Ennek egyik logikus módja a biztosítók bevonása (amelyek saját kockázatuk csökkentése érdekében elvárják a szervezetektől a kockázatmérséklési tevékenységet), illetve a kockázatos tevékenységek kiszervezése, alvállalkozók számára történő átadása (melyek a szolgáltatási díjba ugyan beépítik a kockázatok kezelését, de esetleg nagyobb speciális szakértelemmel rendelkeznek, kiszámítható költségekkel szemben megbízhatóságot biztosítanak). Kockázat vállalása: A kockázatnak ezt a részét egy szervezet tudatosan vállalja. Ezt nevezzük maradékkockázatnak. Vagy azért, mert ebben az esetben nincs már mód arra, hogy a kockázatok bekövetkezését, vagy hatásuk mértékét egy szervezet hatékonyan csökkentse (pl. költséghaszon összevetés során lemond a csökkentésről), vagy pedig azért, mert a kockázatok mértéke az elviselhetőség határán belül van. A kockázatkezelés során meghatározandó, hogy milyen megelőző lépések szükségesek a kockázat felmerülésének elkerülésére, illetve amennyiben a kockázat mégis bekövetkezik, úgy milyen ellenintézkedéseket lehet tenni a kár mérséklésére. Nyilvánvalóan a kockázatkezelés előfeltétele, hogy a kockázatok azonosításra kerüljenek. A folyamat alapú kockázatfelmérés biztosítja a kockázatok felmérésének teljességét, és ezáltal a különböző kockázati kategóriák azonosítását is. Ezen megközelítés mellett látható, hogy a kisebb kockázatú események összességében milyen veszteséget jelentenek. Mint látható, a tárolt adatok köre lehetőséget biztosít arra, hogy a kockázatokra épülő összesítési és mutatószám rendszereket alakítsunk ki, és ezáltal lehetővé téve a kockázatok folyamatos felügyeletét. A kockázatok azonosítása lehetővé teszi a kapcsolódó (lehetséges és megvalósuló) kontroll tevékenységek meghatározását. A kontroll tevékenység maga lehet egy egyszeri tevékenység, vagy egy teljes kontroll folyamatcsoport, mely akár több kockázathoz is kapcsolódik. A 6. ábra egy másik jelölésrendszer használatával a korábbi egyszerű igénylési folyamathoz kapcsolódó kontroll tevékenységeket mutatja, és jól illusztrálja, hogy magukhoz a kontroll tevékenységekhez is kapcsolódhat kockázat (gondoljunk a Société Générale, vagy a Barings Bank esetére, ahol a kontroll tevékenységeket kijátszották a banki alkalmazottak). Az egyes kontroll tevékenységek esetében a következő információk határozhatóak meg: Kontroll típusa (preventív, reaktív) Kontroll kategóriája (pl. audit, jelszó, stb) Eredményesség Manuális / automatikus jelleg A kontrollok alkalmazása esetében törekedni kell arra, hogy ezen ellenőrzések megelőző, mintsem reagáló jellegűek legyenek, illetve lehetőségek szerint a kontrollok legyenek automatikusak, azaz a legkevesebb teret adjuk az emberi tényezőnek. Ez utóbbi elvárás megköveteli, hogy az egyes folyamatokat aktív ellenőrzést biztosító folyamatmenedzsment megoldás (pl. workflow rendszer) támogassa. 20

21 Kockázatkezelési költségek értékelése A kockázatok azonosítása és nagyságuk meghatározása teszi lehetővé annak meghatározását, hogy mely kockázatok kezelésére érdemes erőfeszítéseket tenni: amennyiben a kockázatkezelés költsége meghaladja a kockázatból adódó veszteség költségét, úgy nem éri meg a megelőző tevékenységek végrehajtása. Mivel ellenintézkedések, vagy kontroll folyamatok nem csak egyes egyedi kockázatokhoz, hanem kockázatok csoportjához is tartozhatnak, ezért a kockázatkezelési költségeket is érdemes hasonló logika mellett csoportosítva értékelni. Összességében azt az optimális pontot kell megtalálni, ahol a kockázatkezelési költségek, 21

22 valamint a kockázatokból eredő veszteségek együttes értéke minimális. Ennek a döntésnek ugyanakkor előfeltétele az, hogy a kockázatok, és azok jellemzői már előzőleg a folyamatokhoz kapcsolódóan felmérésre kerüljenek, illetve a lehetséges kezelési eljárások azonosítottak legyenek. Szervezeti folyamatok átgondolása A kockázatok kezelésének egyik eszköze maguknak a folyamatoknak az átszervezése és kockázatokhoz kapcsoló optimalizálása. Ezzel a módszerrel már maguk a kockázatok is eltűntethetőek a folyamatokból, illetve a kockázatok a működés logikájából adódóan mérsékelhetőek. A folyamatok kockázati szempontú optimalizálása lehetővé teszi azt is, hogy átfogó jellegű kontroll folyamatokat határozzunk meg, melyek több kockázathoz, kockázatcsoporthoz is kapcsolódnak. Ezen tevékenység vérhajtásakor érdemes a folyamatmenedzsment általános alapelveit is figyelembe venni, és a kockázat alapú szemlélet mellett a folyamatok átalakításakor figyelembe lehet venni az időbeli átfutásra, költségekre és minőségre vonatkozó lehetőségeket is. Ez ugyanakkor jelentősen megnöveli a folyamatfejlesztés végrehajtásának komplexitását és időbeli lefutását is. Ezen a ponton kapcsolódik egymáshoz és mutat jelentős átfedést egymással a folyamat alapú kockázatmenedzsment, illetve a kockázat alapú folyamatmenedzsment koncepciója. Ebből adódóan a folyamat alapú kockázatmenedzsment megjelenhet különálló tevékenységként, de lehet egy szélesebb körű folyamatfejlesztési projekt része is, erőteljesen megjelenítve a kockázati tényező fontosságát az optimalizáció során. 22

23 ÖSSZEFOGLALÁS Mint látható, egy folyamatokra épülő működési kockázatokat kezelő rendszer kiépítése koránt sem egyszerű folyamat. A folyamat alapú kockázatkezelés megvalósítása ugyanakkor elképzelhetetlen a megfelelő támogatást jelentő informatikai megoldások nélkül: a folyamatok nagy száma, azok bonyolultsága, illetve így a kapcsolódó lehetséges kockázatok nagy száma átláthatatlan lenne a megfelelő eszközök segítsége nélkül. A támogató eszközök felhasználása ugyanakkor egyszerűsíti, áttekinthetővé és kontrollálhatóvá teszi mind a szervezeti folyamatokat, mind pedig a kapcsolódó kockázatokat és kontroll tevékenységeket. A banki működési kockázatkezelési gyakorlat jó alapot és tapasztalatot biztosít arra vonatkozólag, hogy milyen eszközrendszert lehet a kockázatkezelés szolgálatába állítani, illetve hogyan lehet értékelni a kockázatokat. Ezen tapasztalatok szélesebb körű felhasználása hasznos lehet minden szervezet számára, ahol fontos a kockázatok tudatos felmérése és kezelése. Látható ugyanakkor, hogy a kockázatok felmérése és értékelése mely ugyan fontos tevékenység nem elégséges a kockázatok kezeléséhez, hanem szükséges a kockázatok okainak feltárása, valamint a hozzájuk kapcsolódó lehetséges ellenintézkedések megtétele. Míg mind a felmérésre, mind pedig az értékelésre több megközelítés is lehetséges, addig a bemutatott folyamat alapú kockázatkezelési megközelítés az, mely biztosítani tudja a kockázatok szisztematikus felmérését, értékelését, valamint áttekinthető jellegű kontroll tevékenységek egységes kezelését. Sem a folyamat alapú, sem pedig más megközelítésű kockázatkezelési megközelítések nem teljesek ugyanakkor a módszert kontextusba helyező kockázati stratégia, kockázatkezelési szervezeti megoldások, beszámolási rendszerek és informatikai támogatás nélkül. A szinergiák kinyerése, illetve az átfedések megállapítása érdekében a működési kockázatkezelési tevékenységet minden szervezet esetében érdemes a szabályozási kérdésekkel (compliance), a belső ellenőrzéssel, illetve a vállalatirányítási megközelítésekkel együttesen, közös értelmezési keretben kezelni. A szabályozási területek fejlődésével egyre több szervezetnek kell figyelembe venni a szabályozási kérdésekből adódó kockázatokat, és a kapcsolódó kockázatmenedzsment feladatokat. Itt kiemelten gondolhatunk az Euro-SOX néven említett EU direktívára 24, melynek széles körű elterjedése már 2-3 éven belül várható, és a szervezetek széles körére vonatkozik. Az ilyen jellegű szabályozásoknak való megfelelés megköveteli a folyamat alapú kockázatmenedzsment és kontroll tevékenységek létrehozását, mely egyben lehetőséget biztosít olyan folyamatmenedzsment nyújtotta lehetőségek szélesebb körű kihasználására is, mint a folyamatoptimalizálás, teljesítménymenedzsment, folyamatkontroll, vagy költségmenedzsment. Ezen feladatok megvalósítása ugyanakkor komplex, idő és költségigényes feladat, mely megvalósíthatatlan hatékony informatikai támogatást jelentő eszközök nélkül. Egy elemzés 25 szerint a kockázatkezelési feladatok jelentős többletfeladatot jelentenek a szervezetek informatikai területének, mely várhatóan költségvetésük 15%-át fogják erre a kérdésre fordítani. Másik oldalról ezen feladatok végrehajtásának elmulasztása akár 10%-os hatékonyságvesztést is eredményezhet. Az újabb szabályozási elvárásoknak való megfelelést a szervezetek gyakran projektszerűen hajtják végre, ugyanakkor a kockázatmenedzsment tevékenység már folyamatos, napi feladatként kerül megvalósításra, és lehetőség szerint az informatikai segítségével minél nagyobb mértékben automatizálni. Sajnos kevéssé automatizálható, de hasonlóan fontos feladatok a szabályozási környezet változásainak folyamatos elemzése, és a működési gyakorlatban való megjelenítése. A folyamat alapú kockázatelemzés jó alapot biztosít mind a változó kockázatok folyamatos figyelemmel kísérésére, mind pedig a változó szabályozási elvárásoknak való megfelelés ellenőrzésére is. Figyelembe véve a folyamatmenedzsmentre épülő kontrollálhatósági és átláthatósági előnyöket is érdemes a szervezeteknek kialakítani a saját folyamatmodelljeiket. 24 EU 2006/46/EC direktíva 25 Csajtai Kornél (2008) Az IT működés megfelelőségi problémái, Gartner Group, Infohajó augusztus

24 Illustration: G & A Scholiers, Belgium 24