380 likes | 574 Views
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve. mag. Leon Slak. Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve .
E N D
Analiza operativnih tveganj OE banke- pristop na osnovi samoanalize / samoocenitve mag. Leon Slak
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve PRED UVODOM:Izhajajoč iz definicije operativnega tveganja (OT), ki je: • … tveganje izgub, ki izhaja iz neprimernega ali neuspešnega izvajanja notranjih procesov, ravnanj ljudi ali delovanja sistemov oz. zaradi zunanjih dejavnikov«… podajam TEMELJNA pravila, ki so predpogoj za uspešno obvladovanje OT: • Vsi vodje OE / podružnic / sektorjev / poslovalnic (in zaposleni) morajo na svojem področju dela in odgovornosti poznati tveganja, ki obstajajo oz. se lahko pojavijo. • Za omejevanje / odpravo operativnih tveganj morajo vodje zagotoviti primerne “notranje kontrole” in jih smiselno vgraditi v poslovni proces, katerega vodijo. • Načini izvajanja notranjih kontrol so (npr.): redno pregledovanje dnevnih poročil, pregledovanje dokumentov pred podpisovanjem, primeren nadzor nad svojimi zaposlenimi, občasno preverjanje iste zadeve z več zornih kotov... …kar pomeni vzpostavitev kontrolnega okolja (= kulture upravljanja s tveganji).
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve UVOD Namen izvedbe analize tveganj: • Analiza tveganj v obliki “samooanalize” / “samoocenitve” (ang. Self - Assessment) na nivoju OE banke je standardizirano ocenjevanje OT. • Namen analize tveganj je sestaviti ocenjeni profil operativnega tveganja OE banke. • V postopku izvajanja analize OE samostojno in subjektivno oceni kateri vzroki OT so pri njej prisotni in na tej osnovi izdela svoj lastniprofil OT. • Analiza tveganj izhaja iz pričakovanih konkretnih negativnih (= škodnih) dogodkov, verjetnosti in posledic.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Cilji izvedbe analize tveganj: • Enota banke na podlagi prisotnega vzroka definira dogodek in predvidi verjetnost dogodka ter možne posledice v skladu s kategorizacijo OT. • Ocenjevanje OE izvaja s pomočjo matrike 4 x 4 polj - glede na vpliv in verjetnost dogodka iz operativnega tveganja. • Po prvi izvedeni analizi tveganj OE izdela ciljni profil OT. Namen tega je, da na njegovi osnovi kasneje analizira razlike ali odmike do tega profila. • Ciljni profil OT posamezne OE tako odraža nujna in želena zmanjšanja tveganj, tako z vidika frekvence kot vpliva določenega dogodka OT.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Ukrepi na osnovi analize tveganj: • Razlike med ocenjenim in ciljnim profilom OT so izhodišče za predloge ravnanja z ugotovljenim OT. • Po ugotovitvi vzrokov OT, verjetnosti dogodkov in razsežnosti posledic ima banka možnost reagirati / ukrepati na naslednje načine: • Zmanjševanje OT- je mogoče s pomočjo notranjih kontrol, spremembe organizacije, procesa dela, ipd. Zmanjševanje OT je smiselno pri procesih, ki so za banko ključni in kjer stroški zmanjševanja OT ne presegajo koristi. • Prenos OT- je prenos tega tveganja na tretjo osebo, kar banka stori v obliki zavarovanja pri zavarovalnici ali s prenosom aktivnosti na tretjo osebo (outsorcing). Pri tem je potrebno paziti, da se ne povzročajo nova OT (slaba polica) • Izogibanje OT- kjer strateški vidik ohranjanja določene aktivnosti in stroškovni vidik zmanjševanja ali prenosa OT ne opravičujeta nadaljevanja te aktivnosti, banka reagira z izogibanjem ali s prenehanjem celote ali dela te aktivnosti. • Sprejemanje OT- se tolerira, če stroški zmanjševanja / prenosa OT presegajo koristi, z določeno aktivnostjo pa ne želimo prenehati. Med OT, ki jih banka sprejema, štejemo OT nizke frekvence in majhnega vpliva na poslovanje.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Pristop k izvedbi analize tveganj Pri načrtovanju se opredeli: • Organizacijske enote, ki bodo analizo tveganj / samoocenitev izvajale • Osebe, ki bodo pri tem sodelovale • Način izvedbe analize tveganj / samoocenitve • Časovni okvir izvajanja • Vrednotenje rezultatov
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Pristop k izvedbi analize tveganj (nadaljevanje) • Organizacijske enote, ki analizo tveganj / samoocenitev izvajajo • Določitev nivoja OE, ki bo analizo tveganj izvajala, je odvisna od njene velikosti in organizacijske razvejanosti. Za nivo poslovalnice / podružnice / sektorja je potrebno sprejeti odločitev, do katere ravni organizacijske strukture je smiselno analizo tveganj izvajati. • Dobra praksa: • za manjše, vendar samostojne OE / podružnice se praviloma izvaja analiza tveganj na najvišji ravni (zajema celotno poslovanje); • za večje OE / podružnice / sektorje je smiselno izvajati analizo tveganj le na določenem segmentu poslovanja (npr. prebivalstvo).
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Pristop k izvedbi analize tveganj (nadaljevanje) 2. Osebe, ki pri analizi sodelujejo • Analizo tveganj mora izvajati vodja OE / poslovalnice / podružnice / sektorja, pri čemer mu lahko pomoč nudijo njegovi podrejeni vodje in zaposleni (katere sam izbere ali določi). • Pomoč pri analizi nudi specialist / analitik operativnih tveganj v obliki nasvetov, pojasnil in vrednotenja odgovorov iz vprašalnikov. • Analitik OT ima vlogo koordinatorja in nudi pomoč pri združevanju rezultatov, pri prevedbi opisnih rezultatov v številčne vrednosti, ipd. • Izvajalec analize (vodja OE) mora vložiti trud v preučitev metodologije in izpolnjevanje vprašalnikov, saj mora o analizi sam pripraviti POROČILO.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Pristop k izvedbi analize tveganj (nadaljevanje) 3. Način izvedbe analize tveganj / samoocenitve • Predvidena oblika izvedbe analize je sodelovanje vseh udeležencev skupine v obliki sestankov in delavnic ter izpolnjevanja vprašalnikov. • Za izvedbo analize je smotrno organizirati minimalno 2 sestanka z izvajalci; • na 1. sestanku se pojasni namen, podlage in elemente ocenjevanja, • na 2. sestanku, po izvedbi analize (izpolnitve vprašalnika) se predstavi rezultate in obravnava njihova realnost. Rezultate se analizira in nato sprejme sklepe, ki vodje predstavijo v svojem poročilu: analizi tveganj.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Pristop k izvedbi analize tveganj (nadaljevanje) 4. Časovni okvir izvajanja • Časovni okvir izvedbe analize tveganj pripravi koordinator (analitik OT). • Okviren čas za izvedbo je 5 -10 delovnih dni in zajema izpolnjevanje vprašalnika, ne pa tudi izdelave končnega poročila (analize tveganj OE). 5. Vrednotenje rezultatov • Namen analize tveganj je pridobitev podatkov za izdelavo profila tveganosti celotne banke. Zbrane rezultate analiz iz OE se združuje na nivo celotne banke. V ta namen se dobljena povprečna ocena posamezne OE obremeni s ponderjem, ki ga OE za banko predstavlja.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Organizacijski vidik izvedbe analize tveganj (razmejitve vlog) Pri analizi sodeluje skupina za ocenjevanje tveganj, ki jo sestavljajo: • Specialist / analitik OT in vodja OE (ali več vodij), ki so obravnavane, po potrebi sodelujejo še: odgovorni tehnolog za področje ocenjevanja, specialist za tveganja informacijske tehnologije, specialist za upravljanje neprekinjenega poslovanja (NNP) ter pooblaščenec za varnost banke. • Analitik OT pripravi (določi) seznam enot, ki izvajajo analizo tveganj. Ob izvajanju analize enotam nudi pomoč. Po potrebi pripravi interni uvajalni seminar o operativnih tveganjih in o načinu izvedbe analize tveganj. • Za potrebe izvedbe analize analitik OT pripravi stroškovno ovrednotene posledice dogodkov OT, pridobljene na podlagi vrednotenja škodnihdogodkov iz aplikacije, s katero razpolaga analitik operativnih tveganj.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Organizacijski vidik izvedbe analize tveganj (razmejitve vlog) Vloga področja organizacije in podpore poslovanja • Identifikacija tveganj organiziranosti temelji na popisu delovnih procesov. • Področje organizacije in podpore poslovanja izdela podroben shematski prikaz in pripadajoč popis delovnih procesov OE iz katerega so razvidne tudi notranje kontrole določenega procesa. • Za popise procesov v posamezni OE je zadolžen / določen tehnolog. Vodja OE je odgovoren za poročanje vsake spremembe procesa dela tehnologu, kateremu je pri popisu delovnih procesov na razpolago. • Tehnolog v popis procesov zavede vse aplikacije, ki jih OE uporablja. • Do spremembe delovnega procesa lahko pride bodisi na pobudo organizacijske enote, tehnologa ali skupine za ocenjevanje tveganj.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Vloga sektorja informatike / specialista NNP; pripraviti - ažurirati mora: • seznam vseh IT virov: (aplikacije, strežniki, komunikacijske povezave) in oseb zadolženih za delovanje posameznega IT vira; • katalog storitev IT za banko: popis vseh procesov (obdelava podatkov), ki jih ostalim organizacijskim enotam v banki zagotavlja sektor informatike in zadolženih oseb za pravilno delovanje le-teh; • informacijska varnostna ocena: oceno vseh IT virov po metodi ZNR (zaupnost, neoporečnost, razpoložljivost). Pri analizi sektor informatike upošteva veljavne standarde (BS 7799, ISO 17799) in priporočila ZBS; • načrt neprekinjenega poslovanja (NNP): iz katerega mora biti razviden tudi okrevalni načrt, tehnolog pa mora pripraviti alternativni potek dela. OE lahko za potrebe izdelave analize uporabi le presek dokumentov.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve IDENTIFIKACIJA TVEGANJ V okviru ocenjevanja OE banke ocenjuje tveganja po naslednjih standardiziranih sklopih: • Procesna tveganja • Tveganja človeškega ravnanja • Tveganja tehnologije • Tveganja naravnih nesreč in zunanjih dejavnikov
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve • Procesna tveganja Ta tveganja zajemajo napake ob izvedbi delovnih procesov, ki jih povzročajo: • Zaposleni, ki so slabo in/ali neprimerno usposobljeni, so malomarni, neodgovorni, pogosto odsotni in podobno. • Neustrezne aktivnosti, ki obsegajo slabo obvladovanje delovnih procesov, pomanjkljive notranje kontrole, slabo procesirane delovne postopke, pomanjkljive opise delovnih procesov in podobno. Procesna tveganja so specifična za vsako OE, ki je predmet analize in ocenjevanja, zato jih je potrebno povezati s postopki, ki jih ta OE izvaja.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve 2. Tveganja človeškega ravnanja
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve 3. Tveganja tehnologije Tveganja tehnologije je smiselno razdeliti na tveganja IT sistema (v širšem smislu) in na tehnična tveganja (v ožjem smislu) V okvir tveganj informacijskega sistema v širšem smislu štejemo: • napake pri vzpostavitvi sistemov / infrastrukture, • sistemske napake, • odpoved delovanja storitev / sistema, • sposobnost zagotavljanja neprekinjenosti poslovanja / razpoložljivosti sistema, • napake ob zamenjavi / nadgradnji starega sistema z novim / višjo verzijo, ipd.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke i- pristop na osnovi samoanalize / samoocenitve 4. Tveganja naravnih nesreč in zunanjih dejavnikov Tem tveganjem je izpostavljena vsaka OE banke. Zajemajo široko paleto različnih tveganj, zato je smiselna delitev v dve podskupini: • tveganja naravnih nesreč (zaradi višje sile) in • tveganja povezana z delovanjem (nasilnim) posameznikov / okolja.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve • Banka tveganja zaradi naravnih nesreč in višje sile večinoma zavaruje s prenosom na tretjo osebo (zavarovalnico), čeprav lahko do precejšnje mere vpliva na obvladovanje tudi sama: • s strani zaposlenih to pomeni dosledno upoštevanje postopkov o varnosti pri delu (npr. požarna varnost) ter ravnanje v smislu skrbnega in vestnega gospodarjenja. Drugi sklop tveganj je povezanih z nasilnim ravnanjem, kot so: Tveganja nasilnih dejanj ureja poseben dokument (zaupne narave).
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Kriteriji za izdelavo analize tveganja V analizi tveganj OE z vprašalnikom ocenjuje škodne dogodke iz OT. • Identificirane dogodke OE razvršča glede na verjetnost in vpliv (možne posledice). Ta se zapiše v obliki prikaza na matriki 4 x 4 polja. Obe skali imata štiri stopnje in se uporabljata za vse skupine operativnega tveganja (verjetnost x resnost). Za izdelavo matrike tveganj izdelati smo postavili naslednje kriterije: • Lestvica verjetnosti / pogostosti: A – zelo pogosto, B – pogosto, C – redko, D – izjemoma • Lestvica posledic / teža: 1 – zelo majhne posledice, 2 – majhne posledice, 3 – večje posledice, 4 – hude/težke posledice
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Različni nivoji tveganja glede na stopnjo ogroženosti zahtevajo različno odzivnost in ravnanja odgovornih v banki. Tako je za: • I. nivo tveganj(rdeča) predvideno takojšnje ukrepanje za odpravo posledic in vzpostavitev normalnega stanja v čim krajšem času; • II. nivo tveganj(oranžna) predvideno ukrepanje oz. pristop za odpravo tveganj v razumnem času, ki je premo - sorazmeren in v odvisnosti od povzročene škode ali nastale posledice; • III. nivo tveganj(rumena) zahteva spremljanje / ukrepanje za vsa tveganja, ki se še niso odrazila v konkretnem škodnem dogodku, vendar je to za pričakovati; • IV. nivo tveganj(zelena) je sprejemljiv in predstavlja manjša, vendar še tolerantna tveganja, s katerimi lahko poslovni procesi nemoteno funkcionirajo.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve • Rezultat: Na podlagi prejetih odgovorov iz vprašalnikov se lahko pripravi grafična struktura odgovorov – profil tveganja OE banke - v obliki razsevnega grafikona - da je razvidno, kje je koncentracija tveganj.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Finančno vrednotenje posledic operativnega tveganja • Posledice škodnih dogodkov so lahko v materialni in/ali nematerialni obliki, kot prekinitve poslovnega procesa ali kot odsotnost zaposlenih zaradi bolezni / poškodb.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Finančno vrednotenje posledic operativnega tveganja • Vsak škodni dogodek iz operativnega tveganja ima negativno posledico za banko zato ga je mogoče finančno ovrednotiti v vseh primerih, ko so posledice dogodka nedvoumno zabeležene (npr. kot izredni odhodek, kot škodni zahtevek do zavarovalnice, sprožena tožba / drugi denarni zahtevek zoper banko, itd). • Tudi v primerih nastalih posrednih (= oportunitetnih) stroškov, t.j. “stroškov” izgubljenih priložnosti, ki izhajajo iz prekinitev poslovanja, odsotnosti zaposlenih, izgube strank, ugleda, ipd., je mogoče izgube materialno in finančno vrednotiti. To se izvaja z ocenjevanjem.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve I. Ocenjevanje IZPADA / NEDELOVANJA v enoti banke: (1) storitev, (2) produktov, (3) opravil produktov, (4) aplikacij • Pri samoocenitvi OE banke s pomočjo vprašalnika ugotavlja vpliv izpada storitve / produkta / opravila / aplikacije na poslovanje, kar ocenjuje z lestvico verjetnosti in posledic (od 1 - 4) v povezavi s trajanjem izpada oz. nezmožnosti izvajanja produkta. Parametri so: 0,5 ure, 4 ure, 1 dan, 7 dni, 30 dni. • Seznam storitev / produktov / opravil temelji na popisu delovnih procesov. Popise delovnih procesov izvaja OE banke za tehnološki razvoj storitev - pri tem vsako področje pokriva odgovorni tehnolog. • Tehnolog v sklopu popisa procesov zavede tudi vse aplikacije, potrebne za izvajanje posameznega procesa.
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve • Primer ocenjevanja »Vpliv izpada storitve / produkta / opravila / aplikacije XXX na poslovanje OE xxx«
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve II. Ocenjevanje tveganj: SAMOOCENITVENI VPRAŠALNIK Metodologija vsebuje vprašanja, na katera je potrebno podati odgovore po dveh kriterijih (da je možno izdelati matriko tveganj), in sicer: • Vprašanja (ali trditve), ocenjujetepo lestvici: »Vedno / Pogosto / Občasno / Redko«; kar pomeni uporabo 4 - mestne lestvice (od D do A); • Vsak odgovor hkrati ovrednotite glede na vpliv oz. posledice (finančno / materialne), še z numerično oceno od 1 do 4 – kot prikazuje vzorec:
Analiza operativnih tveganj OE banke - pristop na osnovi samoanalize / samoocenitve Hvala za sodelovanje! Vprašanja… mag. Leon Slak Nova KBM d.d. Vita Kraigherja 2000 Maribor e-mail: lslak@nkbm.si