A működésikockázat-kezelés tapasztalatai az MNB-ben

A működésikockázat-kezelés tapasztalatai az MNB-ben Elmélet a gyakorlatban dr. Rajczy Péter, Temesvári Márta PRMIA Budapest 2005. december 7.

Működésikockázat-kezelés és a jegybank stabilitás cél: megalapozott kockázatkezelés, auditterv orientálása, tapasztalatszerzés költséghatékony kockázatmérséklés kockázatkezelés átfogó kép az intézményi kockázatokról tartalékképzés biztonsági tartalék szisztematikus riportolás monitoring OpRisk unit audit rendszerszerű kockázatfelmérés keretek, modell meghatározása, felmérések végrehajtása 2005.12.07. dr.rajczy Péter Temesvári Márta 2

Definíció alap: Basel II Működési kockázat az emberek szándékosságából vagy hanyagságából, a munkafolyamatok hibás lebonyolítási eljárásából, rendszerek, lényeges erőforrások hibájából, kieséséből, fizikai károsodást okozó külső eseményekből fakadó károk veszélye, beleértve a jogszabálysértésből adódó, de ide nem értve a stratégiai, illetve reputációs kárveszélyt (Pozitív kimenetel is lehet, de jelen rendszerünkben nem cél erre összpontosítani) Jogi kockázat nem elkülönült kockázat Reputáció (hírnév) = kockázatnak kitett érték 2005.12.07. dr. Rajczy Péter - Temesvári Márta 3

Kockázat kezelés felmérés összefüggései Működési kockázatok kockázatok azonosítása Emberekkel kapcsolatos kockázatok Eljárásokkal kapcsolatos kockázatok Külső eseményekkel kapcs. kock Rendszerekkel kapcs kockázatok kockázatkezelés felmérés Külső csalás Belső csalás Működési kockázati eseménytípusok Hibás lebonyolítási eljárások Helytelen üzletvitel Munkakörnyezeti károkozás Eszközök fizikai károsodása /katasztrófa Rendszerek működésének hibájakiesése /üzemszünet Kockázati események potenciális hatása cél eredménykritérium Kár a kockázatnak kitett értékekben (anyagi javak, reputáció), illetve extra kiadás Kockázatkezelés alapvető kockázatkezelési eszközök (munkafolyamatra adaptálva tervezés + gyakorlat) Megelőzés Hibamentesség, biztonság Kontroll, védelem Kontroll, védelem Kontroll Kontroll Kontroll, védelem Védelem Védelem Kritikus helyzet kezelése Kár enyhíthető, további kár megelőzhető* Prompt intézkedés Prompt intézkedés Prompt intézkedés Prompt intézkedés Prompt intézkedés Prompt intézkedés BCP BCP, DRP Megtérülés biztosítása Kármegtérülés garantált Biztosítás Biztosítás Kockázatfelmérés Megalapozott kockázatkezelés Átfogó kép a kockázatokról - Keretek meghatározása/karbantarása - kockázati mátrix felépítése (munkafolyamat/kockázati esemény struktúra) - modell a kockázati értékek meghatározására (folyamat/kockázatkezelés minősítése kárbekövetkezési valószínűség meghatározása, lehetséges kár becslése, kockázati érték (KÉ) számítása, reputációs kár szintjének minősítése) - felmérési és értékelési eljárás megtervezése - Felmérések rendszeres végrehajtása 4 * pozitív végső kimenetel is lehet 2005.12.07. dr.rajczy Péter Temesvári Márta

Kockázati mátrix Pénzügyi kockázatok hitel, piaci, likviditási emberek Működési kockázatok eljárások külső események rendszerek Üzleti kockázatok stratégiai, management Működési kockázati eseménytípusok Munkafolyamatok Külső csalás Belső csalás Hibás lebonyolítási eljárások Helytelen üzletvitel Munkakörnyezeti károkozás Eszközök fizikai károsodása (katasztrófák) Rendszerek működésének hibája, kiesése (üzemszünet) KÉ KÉ KÉ KÉ KÉ KÉ KÉ KÉ KÉ KÉ sszesen Kockázati érték (KÉ) adott munkafolyamatban, adott kockázati esemény következményeként valószínűsíthető éves kár A kockázati térkép a kockázati értékeket a munkafolyamat / kockázati esemény hálón megjelenítő kockázati mátrix - nem statikus, előre mutató 2005.12.07. dr. Rajczy Péter - Temesvári Márta 5 összesen Prioritás (minősítés)

A kockázati mátrix struktúrája Kockázati esemény struktúra Működésikockázati eseménytípus(7), csoport(18), eseményfajta(42) (Bázel II után leválogatás) Munkafolyamat-struktúra Funkció/üzletág/tevékenység/munkafolyamat (Bázel II után, támogató folyamatok külön, összesen jelenleg 104 folyamat) Munkafolyamat definiálásakor fontos az egységes értelmezés, teljeskörűség és átfedésmentesség Folyamatos karbantartás mellett keretet biztosít lényeges intézményi jellemzők (pl. külső/belső szabályozások, folyamatköltségek, emberi erőforrásra, felhasznált eszközökre, különféle kockázatok és BCP igények felmérésére vonatkozó adatok) egységes rendezettségű, a bank egészében elhelyezett megjelenítéséhez, mindezek monitoringjához, egyes tervezési feladatok megalapozásához is Szervezeti változásokra nem érzékeny 2005.12.07. dr. Rajczy Péter - Temesvári Márta 6

Mit mérünk a működési kockázatok felmérésekor? Felmérés: kockázati események hatására a kockázatnak kitett értékeinket érintő károk valószínűsíthető mértékének, azaz a kockázati értékeknek a becslése munkafolyamatonként, ezen belül kockázati eseményfajtánként (MNB: kockázati kitettség mérése + reputációs kár szintjének minősítése) Kár - anyagi kár: a munkafolyamatok lebonyolítása során, a kockázatnak kitett értékekben elszenvedett, bankot sújtó pénzügyi veszteség, vagy a működéssel szükségszerűen együtt nem járó kiadás (megjelenési formája leírás, jogi költségek, bírságok, meg nem térült visszkereset, ügyfél- és egyéb kártérítés, tárgyi eszköz vesztesége/pótlása) forintosítható - reputációs (erkölcsi) kár: a negatív külső megítélés, a jegybank pénzügyi intézményrendszer stabilitását is garantáló megbízhatóságába vetett hit megingásának romboló hatása, melynek forrása alapvetően a működésünkkel az intézményen kívül okozott kár, vagy működésünkről kialakított kedvezőtlen kép szintje minősíthető Kockázatnak kitett érték - a munkafolyamatok lebonyolítása során használt és kezelt értékek (forgalom, állomány, eszköz, bértömeg) forintosítható - reputációnk, azaz erkölcsi tőkénk kevéssé forintosítható 2005.12.07. dr. Rajczy Péter - Temesvári Márta 7

A felmérés módja kockázati értékek becslése minősített és számszerű adatokra épülő modellel: munkafolyamat-minősítés kárbekövetkezési valószínűség veszteségbecslés (a kitett értékhez viszonyítva) lehetséges kár + kockázati esemény reputációra kifejtett hatásának minősítése kockázati érték (Ft) reputációs kár szintje kárbekövetkezési valószínűség - munkafolyamatonként meghatározott, minősítésekhez rendelt paramétereken keresztül számított adat (5 minősítő faktor CEVIK, módszer: self-assessment + audit korrekció) lehetséges kár - munkafolyamatokon belül kockázati eseményenként, éves szinten becsült káradat (bruttó kár: leírás, jogi költségek, stb., self-assessment, plafon a becsült kitett érték) Viszonyítási alapul a tényleges károk veszteségadatbázisban, a bázis kitett értékek / forgalom/tranzakciószám, állomány, eszköz, bértömeg / volumenadatbázisban gyűjtve (forrás: SAP, interjú; káradatok a mátrixba, volumenadatok a munkafolyamatokhoz rendezve) 2005.12.07. dr. Rajczy Péter - Temesvári Márta 8

Néhány felmérési eredmény Becsült reputációs károk 2004 Éves kockázati kitettség 2004 Éves kockázati kitettség 2004 (3D oszlopdiagram) Káreloszlás oszlopdiagram 2002 Káreloszlás oszlopdiagram 2003 2005.12.07. dr. Rajczy Péter - Temesvári Márta 9

reputációs károk 2004 Funkció Befektetési funkció Általános banki funkció Jegybanki funkció Támogató és ellátó funkció Tevékenység belső csalás külső csalás munkakörnyezet helytelen üzletvitel eszk. fiz. kár. rendszerhibák helytelen lebonyolítás Értékesítés 0 0 3 0 3 0 2 Treasury 2 0 3 3 3 3 3 Lakossági banki tevékenység 3 4 3 3 3 3 3 Kereskedelmi banki tevékenység 2 0 3 3 3 3 3 Ügyfeleknek végzett szolgáltatások 2 2 3 3 3 2 2 Letéti szolgáltatás 0 0 3 0 3 0 4 Bizományosi tevékenység 0 0 3 0 3 2 2 Emisszió 2 2 3 3 3 2 3 Monetáris politika 3 0 3 4 3 3 4 Statisztika, monetáris politikai döntéselőkészítés, jelentések 2 3 3 3 3 3 4 Jegybanki ellenőrzés 3 3 3 3 3 0 3 Számvitel, pénzügy, kontrolling 0 0 3 0 3 2 4 Belső gazdálkodás és működési szolgáltatások 4 3 3 3 3 3 3 Bankbiztonság 1 2 3 3 3 2 2 IT 3 1 3 0 3 2 0 Emberi erőforrásgazdálkodás 2 3 3 0 3 2 3 Jog, Igazgatás 2 3 3 3 3 2 3 Kommunikáció 2 2 3 4 3 2 3 Audit 0 0 3 3 3 0 2 2005.12.07. dr. Rajczy Péter - Temesvári Márta 10

funkció Éves kockázati kitettség 2004 (eft) üzletág belső csalás külső csalás munka-környezet helytelen üzletvitel eszközök fizikai károsodása Befektetési funkció Kereskedés és értékesítés 120 000 0 63 33 000 1 51 000 970 000 Lakossági banki üzletág 99 000 220 000 28 8 600 8 200 0 1 000 Általános banki funkció Kereskedelmi banki üzletág 800 0 7 0 0 0 11 000 Fizetési forgalom 4 400 1 200 10 80 1 0 5 900 Ügynöki szolgáltatások 0 0 6 0 15 0 15 Emisszió 2 150 11 6 2 0 0 Jegybanki funkció Monetáris politika 0 0 16 0 0 0 0 Statisztika, monetáris politikai döntéselőkészítés, jelentések 4 5 48 0 0 0 0 Jegybanki ellenőrzés 0 11 25 0 0 0 0 Számvitel, pénzügy, kontrolling 0 0 17 0 0 0 170 Belső gazdálkodás és működési szolgáltatások 360 15 24 140 45 0 790 Bankbiztonság 1 0 24 1 1 1 0 Támogató és ellátó funkció IT 470 63 30 0 2 260 26 Emberi erőforrásgazdálkodás 18 0 6 0 0 0 65 Jog, Igazgatás 14 1 16 0 0 0 1 100 Kommunikáció 18 66 17 8 2 0 14 Audit 0 0 7 0 0 0 0 rendszer-hibák helytelen lebonyolítás 2005.12.07. dr. Rajczy Péter - Temesvári Márta 11

90 kockázati kitettségek (2004) 80 1 000 000 70 900 000 800 000 60 700 000 600 000 50 500 000 400 000 300 000 40 200 000 100 000 30 20 10 0 0 belső csalás külső csalás kockázattípus munka-környezet helytelen üzletvitel eszközök fizikai károsodása rendszer-hibák 1st Qtr 2nd Qtr 3rd Qtr 4th Qtr helytelen lebonyolítás Támogató és ellátó funkció Jegybanki funkció Általános banki funkció Befektetési funkció Befektetési funkció Általános banki funkció Jegybanki funkció Támogató és ellátó funkció üzleti funkció East West North 2005.12.07. dr. Rajczy Péter - Temesvári Márta 12

Káreloszlás 2002 35,00 30,00 25,00 gyakoriság 20,00 15,00 10,00 5,00 0,00 0-3k 3k-10k 10k-30k 30k-100k 100k-300k 300k-1M 1M-3M 3M-10M 10M-30M kárérték 2005.12.07. dr. Rajczy Péter - Temesvári Márta 13

Káreloszlás 2003 30,00 25,00 20,00 gyakoriság 15,00 10,00 5,00 0,00 0-3k 3k-10k 10k-30k 30k-100k 100k-300k 300k-1M 1M-3M 3M-10M 10M-30M 30M-100M kárérték 2005.12.07. dr. Rajczy Péter - Temesvári Márta 14

Felmérési modell / kiindulási pontok Bázeli ajánlások, à la carte Az AMA módszer alapjait átvesszük (folyamatszemlélet, esemény-kategorizálás, stb), de nem kötelező számunkra a VaR, a konfidencia-szintek, a tőkekövetelmény számítása (nem felügyel a PSzÁF). Kockázati érték számítása: CEVIK modell a számított és tényleges értékek összemérhetőek Funkcionalitás elve: a munkafolyamatok minősítése és a bennük levő kockázatok közötti függés feltételezése 2005.12.07. dr. Rajczy Péter - Temesvári Márta 15

A felmérési modell elemei Munkafolyamatokhoz kapcsolható kitett értékek felmérése Folyamat minősítése logaritmikus valószínűségi skálán (modell-paraméterek) Kulcskockázati jelzők (KRI) 5 kategóriája: CEVIK Legnagyobb becsült kár kockázati eseményenként KRI relevancia-analízis kockázati eseményenként 2005.12.07. dr. Rajczy Péter - Temesvári Márta 16

A működésikockázat-felmérés funkcionális CEVIK modellje C E V I K PE ij modellparaméterek kezdeti értékei folyamatminősítések valószínűségek (PE) KÉ= ij L ijpe ij volumenadatok (EI) és kárarányok (LGE) lehetséges károk (L) Folyamatok javítása (kockázat- kezelés) modellparaméterek korrigált értékei elemzés, értékelés becsült kockázati értékek Folyamatminősítő faktorok: C = kontrolláltság E = emberi tényező V = változások hatása I = IT/infrastrukturális támogatottság K = készültség rendkívüli események megelőzésére, kezelésére tényleges károk, incidensek 2005.12.07. dr. Rajczy Péter - Temesvári Márta 17

Felmérési adatlap 2005.12.07. dr. Rajczy Péter - Temesvári Márta 18

A felmérések tapasztalatai Modell továbbfejlesztésének tapasztalatai: kísérlet a CEVIK minősítések mögött levő KRI-k konkretizálására káreloszlás-becslés kísérlete Audit korrekció Adatgyűjtés: káradatok gyűjtése (manuális, SAP) időigényesség miatt kiváltandó Kommunikáció a szakterületekkel: a rész és az egész problémája mi az ő hasznuk az egészből? 2005.12.07. dr. Rajczy Péter - Temesvári Márta 19

Quo vadis? Betagolás a szervezetbe : működésikockázati stratégia kidolgozása szabályozás előkészítése jelentés az Audit Bizottságnak Tartalmi és formai fejlesztések: felmérés módszertani fejlesztése: testreszabás és áramvonalasítás nagy kockázatú folyamatok: KRI analízis, LDA alapú becslés kis kockázatú folyamatok: egyszerűsített felülvizsgálat incidens-alapú káradatgyűjtés intranetes alapú felmérési adatlapok bevezetése 2005.12.07. dr. Rajczy Péter - Temesvári Márta 20

Irodalom / Reference MT 32 Baki László - Dr. Rajczy Péter - Temesvári Márta: A működési kockázatok mérése és kezelése a Magyar Nemzeti Bankban http://www.mnb.hu/engine.aspx?page=mnbhu_muhelytanulmanyok &ContentID=6184 OP 2004/32 László Baki - Dr Péter Rajczy - Márta Temesvári : Assessing and Managing Operational Risks at the Magyar Nemzeti Bank http://english.mnb.hu/engine.aspx?page=mnben_muhelytanulmany ok&contentid=6453 https://e.bis.org/pls/portal/bis.ebis_main.main?p_siteid=194&p_corn erid=56957&p_edit=0 2005.12.07. dr. Rajczy Péter - Temesvári Márta 21