Komitet Bazylejski w sprawie ryzyka operacyjnego
Ryzyko i odporność operacyjna są ściśle powiązane
- Pojęcie „odporności operacyjnej” nabiera w ostatnim czasie na znaczeniu. Zaburzenia działalności firm, instytucji i podmiotów gospodarczych są często wynikiem braku lub niedostatecznej odporności. A to jest skutkiem niewłaściwego zarządzania ryzykiem i nadmiernego optymizmu. Trwająca pandemia brutalnie obnażyła słabości w tej dziedzinie.
Fabryki butów, pralek a także – na przykład – uczelnie, nie mają tyle szczęścia co banki, jeśli chodzi o wsparcie ze strony organów nadzoru w zakresie zarządzania ryzykiem. Muszą sobie – w odróżnieniu od banków – radzić sobie same korzystając z istniejących dość ogólnych przepisów i regulacji prawnych. Pod tym względem banki mogą czuć się „zaopiekowane” choć statystyki publikowane np. przez ORX nie dają podstaw do optymizmu. Ale to temat na odrębne rozważania. Tymczasem Komitet Bazylejski (Basel Committee on Banking Supervision) opublikował pod koniec marca dwie istotne publikacje (wytyczne) dotyczące zarządzania ryzykiem:
- Revisions to the Principles for the Sound Management of Operational Risk
- Principles for Operational Resilience
Nie bez przyczyny oba dokumenty pojawiły się jednocześnie – są bowiem ściśle związane ze sobą i wzajemnie odwołują się do siebie. Równie dobrze mogły się ukazać w postaci jednego dokumentu.
Pierwsza publikacją nie jest nowym dokumentem, jest to już kolejna wersja – świadczy o tym sam tytuł. Wersja poprzednia ukazała się w roku 2014 a pierwsza w roku 2003. Ta druga publikacja, dotycząca odporności operacyjnej, jest w pewnym sensie pokłosiem i nawiązaniem do publikacji wydanych w ostatnich latach m.in. przez:
- Bank Centralny Wielkiej Brytanii (Bank of England / Financial Conduct Authority – FCA):
“Building the UK financial sector’s operational resilience” w roku 2018, - Europejski Urząd Nadzoru Bankowego (European Banking Authority – EBA):
“EBA guidelines on ICT and security risk management” w roku 2019, - Komisję Europejską i jej propozycje legislacyjne dotyczące ram cyfrowej operacyjnej odporności:
“Legislative proposal for an EU regulatory framework on digital operational resilience for the financial sector (DORA)” z roku 2020.
Zasady zarządzania ryzykiem operacyjnym
Cóż można rzec o tej publikacji? Po pierwsze, zawiera przypomnienie obowiązującej od lat definicji ryzyka operacyjnego:
ryzyko straty wynikającej z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi i systemów lub ze zdarzeń zewnętrznych. Ta definicja obejmuje ryzyko prawne, ale wyklucza ryzyko strategiczne i ryzyko utraty reputacji.
Ale już w kolejnym akapicie zapisano:
Where appropriate, strategic and reputational risks should be considered by banks’ operational risk management.
Co znaczy:
Tam, gdzie jest to stosowne bank powinien – w ramach zarządzania operacyjnego – wziąć pod uwagę ryzyko strategiczne i ryzyko utraty reputacji.
I słusznie, bowiem nie da się całkowicie oddzielić ryzyka operacyjnego od pozostałych rodzajów (kategorii) ryzyka a co za tym idzie, raczej nie należy traktować wyżej przytoczonej definicji ryzyka operacyjnego jako dogmatu.
Na tej samej stronie dokumentu znajdujemy zapis, który w pełni akceptujemy:
Sound risk management allows the bank to better understand and mitigate its risk profile.
czyli:
Właściwe zarządzanie ryzykiem pozwala bankowi lepiej zrozumieć i ograniczyć (dopasować) jego profil ryzyka.
Kluczowa jest tu kolejność celów: najpierw zrozumienie ryzyka a później jego dopasowanie do prowadzonej działalności. Często organizacje zapominają, że podstawowym celem zarządzania ryzykiem jest jego zrozumienie. Im pełniejsze zrozumienie tym łatwiejsze jest planowanie i podejmowanie działań kształtujących poziom ryzyka, na jakie narażona jest organizacja. Warto o tym pamiętać.
W treści publikacji Komitet Bazylejski wskazał na 12 „zasad właściwego zarządzania ryzykiem operacyjnym” dotyczących:
- Rozwoju kultury zarządzania ryzykiem
- Ustanowienia ram zarządzania ryzykiem operacyjnym
- Wdrożenia polityk, procesów i systemów zarządzania ryzykiem operacyjnym
- Określania apetytu na ryzyko (operacyjne) oraz poziomu tolerancji
- Struktury nadzoru i zarządzania ryzykiem operacyjnym
- Identyfikacji i oceny ryzyka operacyjnego
- Wdrażania zmian w sposób uwzględniający strukturę „3 linii obrony”
- Monitorowania i raportowania ryzyka operacyjnego
- Środowiska kontroli oraz strategii reagowania na ryzyko
- Ryzyka technologii informatycznych w ramach ryzyka operacyjnego
- Zapewniania ciągłości działania
- Ujawniania ekspozycji na ryzyko operacyjne i podejścia do zarządzania tym ryzykiem
Niestety, publikacja nie zawiera definicji systemu zarządzania ryzykiem operacyjnym
Zasady tworzenia odporności operacyjnej
W drugiej publikacji, Komitet Bazylejski definiuje odporność operacyjną następująco:
… ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption.
czyli
jako zdolność banku do realizacji krytycznych operacji w czasie zakłóceń. Zdolność ta umożliwia bankowi identyfikację i ochronę przed zagrożeniami i potencjalnymi awariami, reagowanie i dostosowywanie się a także przywracanie działania i uczenie się na podstawie zdarzeń zakłócających działalność, w celu ograniczania ich wpływu na realizację krytycznych operacji.
Przy czym, za krytyczne operacje uznaje się:
Działania wykonywane na rzecz osób trzecich, których niepowodzenie prowadziłoby do zakłócenia usług, które są niezbędne dla funkcjonowania gospodarki realnej i dla stabilności finansowej ze względu na wielkość grupy bankowej lub udział w rynku, wzajemne powiązania zewnętrzne i wewnętrzne, złożoność i działalność transgraniczną.
Publikacja definiuje 7 kategorii zasad odporności operacyjnej:
- governance;
- operational risk management;
- business continuity planning and testing;
- mapping of interconnections and interdependencies of critical operations;
- third- party dependency management;
- incident management;
- resilient information and communication technology (ICT), including cyber security.
czyli:
- nadzór
- zarządzanie ryzykiem operacyjnym
- planowanie i testowanie ciągłości działania
- mapowanie połączeń międzysystemowych i współzależności operacji krytycznych
- zarządzanie zależnościami od stron trzecich
- zarządzanie incydentami
- odporne technologie informacyjne i komunikacyjne – w tym cyberbezpieczeństwo.
Kluczowym słowem stosowanym w opisie poszczególnych zasad jest „should”, czyli „powinien”: „bank powinien”. Zasady te mają charakter wytycznych odpowiadających na pytanie „co?” (what?) pozostawiając w gestii zainteresowanych odnalezienie odpowiedzi na pozostałe pytania z serii „5W”, czyli: who? when? where? why? oraz szóste, nie mniej ważne: how?
Trzy Linie Obrony
Ciekawostką jest to, że oba dokumenty nadal odwołują się do … i powołują się na słynny model 3LoD – Three Lines of Defence, jakiś czas temu nieco zmodyfikowany przez Instytut Audytorów Wewnętrznych (IIA) i pozbawiony charakteru obronnego. Jak widać siła przyzwyczajenia odgrywa dużą rolę. Przypominamy, zgodnie z koncepcją IIA nie ma już 3 Linii Obrony, są 3 Linie – sterowania, zarządzania, kontroli … Ale już nie obrony. Komitet Bazylejski nadal pozostaje przy starej nazwie.
