OPERAČNÍ RIZIKO Basel II a operační riziko Jako reakci na rychlý vývoj finančních trhů s cílem zvýšit bezpečnost a stabilitu dosavadních finančních systémů, posílit konkurenční rovnost mezi jednotlivými bankami a umožnit používání komplexnějších přístupů řízení rizik pro regulatorní účely, vypracoval Basilejský výbor pro bankovní dohled (Basel Committee on Banking Supervison, dále jen BCBS) v roce 1999 první návrh nových pravidel pro stanovení potřebné minimální výše kapitálu, označovaný jako Basel II, označovaný také jako Nová basilejská kapitálová dohoda (The New Basel Capital Accord, zkráceně NBCA). Konečná verze nového konceptu kapitálové přiměřenosti byla publikována BCBS dne 26. června 2004 po odsouhlasení guvernéry centrálních bank a představiteli orgánů dozoru zemí G10. Basel II ovšem není závaznou právní normou a dokonce nebude ani přímo implementována. Do naší legislativy se dostane pomocí novel evropských směrnic číslo 2000/12/ES a 93/6/EHS. Znění evropských směrnic se v některých bodech odlišuje od znění Basel II, hlavní rozdíl je v tom, že Basel II je navrhován pro velké mezinárodně působící banky, kdežto evropská úprava bude závazná pro všechny banky a další subjekty podléhající právu EU. Tabulka č. 1 – Legislativní proces přípravy Basel II +-------------------------------------------------------------------------------------+ |Červen |1999 |Vydání první konzultativní verze Basel II – A New Capital | | | |Adequacy Framework | | | | | | | | | |-------+---------------+-------------------------------------------------------------| |Leden | |Vydání druhé konzultativní verze Basel II - The New Basel | | |2001 |Capital Accord (NBCA), tzv. CP2 | | | | | | | | | |-------+---------------+-------------------------------------------------------------| |Září |2002 |Vydání pracovního materiálu o operačním riziku – Working | | | |Paper on the Regulatory Treatment of Operational Risk, tzv. | | | |CP2,5 | | | | | | | | | |-------+---------------+-------------------------------------------------------------| |Duben |2003 |Vydání třetí konzultativní verze Basel II – The New Basel | | | |Capital Accord, tzv. CP3 | | | | | | | | | |-------+---------------+-------------------------------------------------------------| |Červen |2004 |Vydání konečného znění Basel II – International Convergence | | | |of Capital Measurement and Capital Standards – A Revised | | | |Framework | | | | | | | | | |-------+---------------+-------------------------------------------------------------| |31. 12.|2006 |Předpokládaná implementace Basel II v jednotlivých zemích a | | | |plný přechod na nová pravidla^1 | | | | | | | | | +-------------------------------------------------------------------------------------+ Zdroj: Věra Mazánková, Basel 2 – Operační riziko, Seminář sekce Operační riziko společného projektu ČBA, ČNB a KA ČR, Obsah a postupný vývoj návrhů Basel II pro oblast operačního rizika zachycují především tyto dokumenty: Tabulka – dokumenty ovlivňující vývoj operačního rizika +--------------------------------------------------------------------------------------------+ |Září |2001|Working Paper on the Regulatory Treatment of Operational Risk – tzv. | | | |Consultative Package 2.5 - dílčí aktualizace návrhu CP2 k operačnímu riziku | |--------+----+------------------------------------------------------------------------------| |Červenec|2002|Press release „Basel Committee reaches agreement on New Capital Accord issues“| | | |– schválení dalších dílčích změn v konceptu Basel II. | | | | | | | | | |--------+----+------------------------------------------------------------------------------| |Říjen |2002|Quantitative Impact Study 3 Technical Guidance | | | | | | | | | |--------+----+------------------------------------------------------------------------------| |Únor |2003|Sound Practices for the Management and Supervision of Operational Risk | | | | | | | | | +--------------------------------------------------------------------------------------------+ Zdroj: Věra Mazánková, Basel 2 – Operační riziko, Seminář sekce Operační riziko společného projektu ČBA, ČNB a KA ČR Výše uvedené a další vybrané výstupy BCBS představují základ pro přípravu implementace pravidel nového konceptu bankovní regulace a dohledu v oblasti operačního rizika jednotlivými národními regulátory. K deklarovaných cílům Basel II patří: – podpora bezpečnosti, stability a efektivity bankovního systému, – posílení rovnosti prostředí z hlediska dopadů regulatorních pravidel na banky, – uplatnění přístupů k měření rizik blízkých bankovní praxi s cílem minimalizovat z hlediska bank dopady (náklady) regulace, – vytvoření škály postupů měření rizik s různou mírou nároků na banku z hlediska implementace postupu určování kapitálového požadavku. Basel II nahradí dosud platný Basel Capital Accord (oficiální název dokumentu je „International covergence of capital measurement and capital standards“) nazývaný Basel I, který zahrnuje stanovení kapitálových požadavků jen pro úvěrové a tržní riziko. Stále platná úprava z roku 1988 Basel I vychází z předpokladů, že vyšší kapitálový požadavek k úvěrovému riziku pokryje i další rizika, to znamená také riziko operační. Basel II, který bude v České Republice platný od roku 2007 je v tomto ohledu mnohem více sofistikovanější a požaduje kalkulaci specifického kapitálového požadavku také k operačnímu riziku. Hlavní důraz klade Basel II na přesnější a citlivější měření rizik a s cílem podpořit zlepšení řízení rizik v bankách. Rozdíl mezi současným Basel I a Basel II je nejen ve větší komplexnosti a flexibilitě možností pro měření podstupovaných rizik , ale také v zahrnutí dalšího rizika, kterým je riziko operační. Skutečnou příčinou zvýšeného zájmu o operační riziko však není pouze Basel II, ten je spíše důsledkem výrazných ztrát způsobených operačním rizikem v bankovním sektoru a jejich stálým růstem. Zavedení nového konceptu má velký vliv na zavádění procesů řízení operačních rizik do bank, zvyšuje podvědomí o operačním riziku, zodpovědnost managementu při jeho řízení a zároveň vytváří systematický tlak na snižování všech rizik. Nový koncept kapitálové přiměřenosti bude požadovat na bankách, aby držely dostatek kapitálu, nejen na pokrytí rizik kreditních a tržních, ale také operačních Zároveň došlo k rozšíření působnosti tak, aby Basel II plně pokrýval nejen riziko banky samotné, ale riziko celé bankovní skupiny. Koncept by měly uplatňovat na konsolidované bází mezinárodně aktivní banky. Aby však bylo možné zohlednit rozdílné podmínky v jednotlivých zemích, obsahuje Basel II v řadě oblastí možnost volby z dvou či více variant postupů pro příslušný, zpravidla národní orgán dozoru (tzv. národní diskrece). Orgány dozoru i banky budou muset být dostatečně transparentní a budou muset zvýšit ochotu ke komunikaci a spolupráci, neboť zavedení nového konceptu není pro žádnou stranu jednoduché. Basel II podporuje zavedení systému alokace kapitálu pro operační rizika na jednotlivé útvary a provázanost hodnocení výkonnosti s ukazateli a identifikátory operačních rizik. Měl by rovněž přispět ke zkvalitnění rozhodovacích procesů v oblasti operačních rizik a díky odhadům očekávané a neočekávané ztráty může banka lépe hodnotit přijatelnost rizik, a to i z hlediska nákladů pro jejich omezení. Pojem operační riziko je velmi obtížně definovatelný. V nejširším pojetí je to veškeré riziko, které není kreditní nebo tržní. Podle Basel II zahrnuje například ztráty vzniklé při povodních nebo jiných živelných katastrofách, podvodná jednání klientů či vlastních zaměstnanců banky, výpadky informačních technologií a dodávek elektrické energie, neúmyslné chyby zaměstnanců, pokuty při nedodržení zákonných pravidel či pracovněprávní spory. Některá operační rizika mají banky pod kontrolou již dlouho dobu buď na základě legislativních požadavků, nebo ve snaže dosáhnout co nejvyšší zisky zavedly kontrolní procesy v rámci prevence proti rozličným podvodům. Požadavky na řízení operačních rizik se objevovaly v předpisech regulátora ve formě kvalitativních požadavků na řízení procesů, kvalitu dat a informačních toků již dříve. Systematická identifikace všech operačních rizik, jejich sledování a kvantifikace však nebyla v bankách předmětem běžné činnosti a právě z důvodu neexistence regulatorních pravidel často i přehlížená. V České Republice nové opatření ČNB o vnitřním řídícím a kontrolním systému bank stanovuje první ucelené kvalitativní požadavky na řízení operačních rizik s platností od 1. 1. 2005. Basel II je založen na 3 pilířích: 1. pilíř – Minimální kapitálové požadavky První pilíř je přímým pokračováním Basel I, nově však zahrnuje riziko operační a poskytuje širší nabídku možností – metod měření rizik pro stanovení kapitálového požadavku, včetně vlastních modelů banky. Tento pilíř definuje pojem operační riziko jako „riziko ztrát vyplývající z neadekvátních nebo chybných vnitřních procesů, systémů a lidského faktoru nebo z externích událostí, včetně rizika právního.“ Definice přitom nepokrývá riziko strategické a reputační. Pro kalkulaci kapitálových požadavků vymezuje Basel II tři metody, s ohledem na strukturu své činnosti a s ní spojená rizika. 1. Přístup základního ukazatele BIA (Basic Indicator Approach) - nejjednodušší metoda, kalkulace kapitálového požadavku jako pevné procento z čistého příjmu banky (15% tříletého průměru součtu čistého úrokového a čistého neúrokového příjmu). 2. Standardizovaný přístup TSA (Standardised Approach) - komplexnější řešení, kapitálový požadavek se počítá samostatně pro jednotlivé obchodní linie jako stanovené procento. 3. Pokročilé způsoby měření AMA (Advanced Measurement Approaches) – umožňuje bankám použít různé vlastní interní modely, avšak vždy po předchozím ověření splnění tzv. kvalifikačních požadavků na model a schválení modelu orgánem dozoru. – Metoda vnitřních měření IMA (Internal Measurement Approaches) – Metoda rozdělení ztrát LDA (Loss Distribution Approaches) – Metoda ukazatelů SCA (Scorecard Approaches) Podrobnějšímu rozboru výše zmíněných metod měření operačního rizika bude dále věnována samostatná kapitola, kde každá z výše zmíněných metod bude detailně rozvedena a popsána. 2. pilíř - Proces dozoru Druhý pilíř je zaměřen na proces hodnocení dostatečnosti kapitálu dané banky orgánem dozoru a na spolehlivost a kvalitu řídících a kontrolních mechanismů banky. Banka by měla mít dle pilíře 2 zavedeny odpovídající vnitřní procesy, které ji umožňují vyhodnotit adekvátnost jejího interního kapitálů s ohledem na podstupovaná rizika (tzv. Capital Adequacy Assessment Process – CAAP). Orgán dozoru posuzuje CAAP a jeho výstupy a má právo stanovit kapitálový požadavek vyšší než činí propočet banky, považuje-li kapitálový požadavek stanovený bankou za nedostatečný vzhledem k jejímu celkovému rizikovému profilu. Limit kapitálové přiměřenosti 8% hodnoty rizikově vážených aktiv je považován za absolutní minimum. V rámci Pilíře 2 se předpokládá ze strany banky i ze strany regulátora identifikace a zohlednění: o všech podstatných rizik banky, nepokrytých Pilířem 1 (včetně rizik specifických, reputačních, strategických atp.), o všech podstatných aspektů rizik, včetně nepokrytých aspektů rizik kapitálově regulovaných v rámci Pilíře 1, o všech podstatných rizik stojících mimo přímý vliv banky (např. vlivy ekonomického cyklu, lokální a regionální rizika atp.). Na základě konkrétních zjištění by měl regulátor individuálně reagovat a stanovit odpovídající nápravná opatření, včetně možnosti zvýšení kapitálového požadavku. 3. pilíř – Tržní disciplína Třetí pilíř je zaměřen zejména na problematiku transparentnosti a zveřejňování informací bankami. Cílem je prohloubit tržní disciplínu tím, že banky budou o sobě uveřejňovat více informací, aby všichni účastníci trhu získali lepší přehled o rizikovém profilu banky a adekvátnosti její kapitálové pozice. Nový koncept stanoví požadavky na uveřejňování v různých oblastech, včetně uveřejňování metod použitých při propočtu kapitálové přiměřenosti. Základní požadavky na uveřejňování se vztahují na všechny banky. Banky, které používají vlastní postupy měření a omezování rizik mají povinnost uveřejňovat další specifické informace k používaným tzv. pokročilým metodám. Čím pokročilejší přístup v rámci prvního pilíře banka používá, tím jsou informační povinnosti rozsáhlejší. Pro implementaci Basel II a úspěšnost vlastních modelů budou především podstatné informace o ztrátových událostech v operační oblasti – interní i externí. Těch je však nedostatek, ale o to větší význam tento pilíř bude mít pro řízení operačních rizik. Zveřejňování informací k operačnímu riziku dle Basel II - cíle a zásady řízení operačního rizika, · strategie, procesy a metody identifikace, sledování, hodnocení a ovlivňování operačního rizika · struktura a organizace řízení rizik · rozsah a charakter vykazování o operační riziku a systémech měření, · zásady pro zajišťování se proti operačním rizikům a ke snižování rizika, včetně strategie a procesu pro sledování trvalé účinnosti těchto opatření - metoda určování kapitálového požadavku k operačnímu riziku, pro kterou banka uplatňuje, - popis interní metody měření operačního rizika, které banka využívá pro stanovení kapitálového požadavku ke krytí operačního rizika. - kapitálové požadavky pro jednotlivé obchodní oblasti, respektive výše regulatorního kapitálu k operačnímu riziku · včetně členění na standardizované obchodní linie, je-li uplatňována některá z náročnějších metod měření operačního rizika · včetně zohlednění pojištění ke snížení kapitálového požadavku ke krytí operačního rizika, je-li toto povolené snížení bankou uplatněno[1] Problematika Basel II byla zmíněna pouze okrajově, se zaměřením na část postihující oblast operačního rizika. Detailní rozbor Basel II, zcela překračuje rámec této práce, která je úzce zaměřena pouze na operační rizika . K pochopení vývoje operačního rizika a základních souvislostí, je však stručný výklad naprosto nezbytný. V dokumentu Basel II byla poprvé vymezena samostatná kategorie operačního rizika a je proto výchozím a základním dokumentem k jeho porozumění. Operační riziko Operační riziko se do popředí dostalo zejména v poslední době a to z důvodu jeho zařazení do nového konceptu výpočtu kapitálové přiměřenosti podle Basel II. Jde o pojem obtížně definovatelný. V nejširším pojetí ho lze definovat jako veškeré riziko, které není kreditní nebo tržní. Zájem bank o řízení operačního rizika byl umocněn návrhem BCBS počítat kapitálový požadavek nejen k úvěrovému a tržnímu riziku, ale nově také k operačnímu riziku. Pro zahrnutí operačního rizika do nového konceptu výpočtu kapitálové přiměřenosti vyzývalo hned několik skutečností. Jedná se zejména o význam operačního rizika pro celkový rizikový profil banky. Další významnou skutečností je snaha dostat řízení operačního rizika do centra zájmu managementu banky. Operační riziko tvoří podstatnou část rizikového profilu banky a banky se snaží o jeho efektivní řízení a měření. Operační riziko je obtížně měřitelné a na rozdíl od úrokového nebo úvěrového rizika existuje u operačního rizika pouze zlomek zveřejněných modelů. Basel II definuje pouze základní rámec, který dává bankám velkou míru samostatnosti a nebrání jejich iniciativě při tvorbě vlastních modelů. Pro názornější představu o operačním riziko lze uvést na příkladu neslavně proslulého dealery Nicka Lessona, jež svými riskantními obchody na singapurské burze přivedl k bankrotu banku Barings, která měla 233 let trvající historii. Obchodník s cennými papíry britské banky Barings překračoval své obchodní limity v letech 1992 – 1995 na pracovišti v Singapuru. Na začátku jeho kariéry se mu dařilo vydělávat pro banku značné sumy. Pase se ale situace na trhu obrátila a přicházely ztráty. Dealer vsadil obrovské částky posílené pákovým efektem s použitím finančních derivátů na růst indexu Nikkei, aby pokryl ztráty vzniklé jinde. Ve snaze dosáhnout zisku své rizikové obchody neustále zvyšoval, až v únoru 1995 nakumuloval ztrátu 1,5 mld. USD, kterou již banka nebyla schopná ustát. Rozhodující roli zde sehrála skutečnost, že byl odpovědný za provádění obchodů a zároveň za jejich vypořádání. Tak mohl bez odhalení obchodovat nad rámec povolených limitů. Jeho nadřízení sice nakonec na jeho obchodování přišli, ale bylo už pozdě. Jedna z nejstarších bank v Anglii byla nucena vyhlásit bankrot, a pokud by ji nepřevzala nizozemská ING a nezačlenila do své skupiny pod názvem ING Barings, pravděpodobně by dnes neexistovala. Tento případ se zdaleka netýká pouze banky Barings. Podobné věci se stávají všude ve světě, banky o nich však z pochopitelných důvodů mlčí, ale i tak se v tisku občas objeví zpráva týkající se i některých našich největších bank. Operační riziko bylo dříve řazeno do kategorie „ostatní rizika“, která bylo obtížné kvantifikovat, zajistit a řídit tradičními způsoby. Vzrůstající zájem o události s nízkou pravděpodobností výskytu avšak s velkými dopady různých druhů vytvořili tlak na vymezení samostatné kategorie rizika. Operační riziko není nic nového, nová je pouze samostatná kategorie s vlastními postupy řízení, nástroji a procesy. Ve skutečnosti můžeme říci, že Nick Leeson je autorem a náhodným objevitelem operačního rizika, protože se následně stalo téměř nemožné mluvit o operačním riziku, aniž by nebyly zmíněny jeho aktivity jako názorný příklad. Tento skandál hrál nemalou roli ve zvýšení zájmů o nové riziko bankovních regulátorů, které bylo následně upraveno BCBS v předpisu Basel II, kde je riziko vyčleněno ze zbytkové kategorie a operační riziko vymezuje jako samostatnou kategorii a musí být racionálně řízeno současně s ostatními druhy rizik. Pro názornost můžeme uvést příklad nesplacení úvěru klientem. Na první pohled se nám tento příklad jeví zcela jednoznačně jako úvěrové riziko. Když se však důkladněji zaměříme na příčinu nesplacení úvěru, zjistíme, že se může rovněž jednat i o riziko operační. Ztráta z nesplaceného úvěru mohla vzniknout v důsledku nesprávného posouzení kredibility klienta zaměstnancem banky, případně porušením interních předpisů banky při udělování úvěrů. Při podrobnější analýze už není tak zcela jednoznačné, zda je toto riziko úvěrové nebo operační. BCBS v tomto případě doporučuje, aby ztráty, které mají charakteristiku úvěrového rizika, byly pro účely regulatorního kapitálu zařazeny jako riziko úvěrové. (zdroj: Advanced measurement Approaches....). Zařazení takového rizika k riziku úvěrovému platí pouze pro výpočet kapitálového požadavku, nikoli pro jeho sledování a vyhodnocování, tudíž banka rovněž musí riziko zaznamenat do svých údajů o operačním riziku. Jestliže příčiny úvěrového rizika byly důsledkem operačního rizika, měla by jej banka ve svých databázích sledovat jako riziko operační. Stejně by banka postupovala v případech, kdy se operační riziko prolíná s jiným typem rizika, jako je např. riziko tržní či likvidní. Na rozdíl od ostatních rizik není definice operačního rizika zcela jednotná. Podle opatření ČNB zní definice následovně. „Operační riziko je riziko ztráty banky vlivem nedostatků či selhání vnitřních procesů, lidského faktoru nebo systémů či riziko ztráty banky vlivem vnějších událostí, včetně rizika ztráty banky v důsledku porušení či nenaplnění právní normy.“ [2] Tato definice vychází z dokumentů Basel II. Neexistuje jednoznačná a přesná definice operačního rizika proto, že operační riziko je přítomno ve všech činnostech banky. Není proto možné jednoduše oddělit operační riziko od ostatních rizik. Schéma - vzájemná provázanost bankovních rizik Zdroj – Monika Laušmanová, prezentace Basel II a implementace řízení operačních rizik v České spořitelně. Definice operačního rizika dle BCBS: Operační riziko je riziko ztráty v důsledku: o lidského selhání o vnějších událostí o selhání systémů o selhání interních procesů Sedm typů událostí (úroveň 1)/dvacet kategorií událostí operačního rizika (úroveň 2): 1. Vnitřní nekalý čin: jednání zaměstnanců banky spojené s úmyslem ošidit banku, zpronevěřit majetek, dále jednání typu vnitřní podvod, krádež, loupež, záměr podvodu, padělání, přijímání úplatku, obejití interního předpisu, zákona nebo podnikové politiky, které se týkají nejméně jedné vnitřní strany. · Neoprávněná vnitřní aktivita · Krádež, podvod – vnitřní · Krádež, podvod – vnější 2. Vnější nekalý čin: jednání třetí strany za účelem poškodit banku, zpronevěřit její majetek nebo obejít právní normy, jednání typu podvod, krádež, loupež, záměr podvodu. · Narušení bezpečnosti technologických systémů 3. Poškození/zničení reálného majetku: zničení nebo poškození reálného majetku (tj. včetně újmy na zdraví atp.) vlivem živelné pohromy nebo jiné extrémní vnější události (terorismus, vandalství, válečný konflikt atp.). · Pracovně-právní spory · Nedostatky-pochybení v zajištění bezpečného prostředí · Diskriminační události 4. Porucha/výpadek systému/infrastruktury: přerušení obchodování, poruchy či jiná selhání technologických systémů, aplikací, komunikačních systémů, softwarů či jiných systémů, problémy spojené s přerušením dodávky elektřiny, zavirováním počítačové sítě. · Nepřiměřené jednání s klientem · Nepřiměřené obchodní nebo tržní jednání · Nedostatky-pochybení v poradenství · Nedostatky-pochybení v posouzení klienta · Nedostatky-pochybení v přípravě produktu · Nepřiměřené obchodní nebo tržní jednání 5. Pracovně-právní události/konflikt: jednání v rozporu s pracovně-právními normami, nedodržování bezpečnosti a ochrany zdraví při práci, kompenzace zaměstnancům za pracovní úrazy a nemoci z povolání, stížnosti na nepřiměřené jednání se zaměstnanci, diskriminace některých zaměstnanců nebo skupin zaměstnanců. · Pohromy a jiné extrémní vnější události 6. Pochybení v obchodním postupu: neúmyslná nebo nedbalostní chyba při jednání s klientem nebo nedostatky v samotné podstatě poskytovaného produktu či služby, nedodržení důvěrnosti informací o klientovi, nesprávné poskytnutí informací o produktu, poskytnutí nevyhovující služby nebo produktu s negativním dopadem na klienta, provádění služeb na které banka nemá licenci. · Selhání technologického systému 7. Pochybení v rutinním výkonu/správě činnosti v dodávkách: neúmyslné a nebo nedbalostí pochybení při rutinním výkonu, správě činnosti, chyby při zadávání dat do počítače, účetní chyby a opomenutí, zmeškání termínů, chybná doručení zpráv, ztráta dokumentů, chyby poskytovatele služeb,selhání protistrany v obchodním (neklientském) vztahu. · Nedostatky-pochybení při výkonu a správě činností · Nedostatky-pochybení v externím výkaznictví · Nedostatky-pochybení ve smluvní dokumentaci s klienty · Nedostatky-pochybení při správě majetku/účtů klientů · Selhání-pochybení ve smluvním ("neklientském") vztahu s protistranou · Selhání-pochybení v dodávkách Následující definice operačního rizika zahrnuje i riziko právní, tím se rozumí riziko ztráty z porušení či nenaplnění zákonné normy bankou, riziko ztráty v důsledku nedostatku či pochybení v právních úkonech učiněných bankou. Zároveň však vylučuje dva druhy rizik – strategické a reputační. Strategické operační riziko vyplývá z událostí, které banka nemůže ovlivnit (např. vstup nových konkurentů na trh, změny v legislativě či regulaci, změna způsobu zdanění, teroristické útoky, přírodní katastrofy jako je zemětřesení, požáry, povodně atd). Příčinou však může být také vlastní iniciativa banky změnit strategii např. při zavádění nových produktů nebo obchodních linií. V důsledku takových událostí je banka nucena změnit svoji strategii a vyvstává tedy riziko, že nově vzniklá strategie nebude vhodná pro změněné prostředí. Zavádění nové strategie přináší další problémy interního charakteru, neboť zaměstnanci banky si na ni musí zvyknout, osvojit si nové postupy, poznat nové produkty, seznámit se s novými technologiemi a to může přinést velké množství ztrátových událostí. Reputační operační riziko chápeme jako možnost ztráty klienta v důsledku zhoršení pověsti banky na veřejnosti. Nejhorším možným důsledkem reputačního rizika může být až run na banku. Zhoršení pověsti banky může být důsledkem různých právních sporů vedených bankou, negativních informací ze strany zaměstnanců, nežádoucí prezentace banky v médiích a jiné informace poškozující dobrou pověst banky, což může mít pro banku značné finanční důsledky. Díky deregulaci, globalizaci a rychlému vývoji na bankovním trhu došlo v poslední době k výrazné změně charakteru operačního rizika. Mezi nejdůležitější faktory patří především rychlý růst významu bankovních informačních systémů (banky jsou zcela závislé na elektronických komunikačních prostředcích), roste používání elektronického bankovnictví, mění se rozsah služeb poskytovaných bankou, a proto se mění také jejich rizikové profily. Banky při rozšiřování svých činností musí čelit stále novým rizikům, jejichž rozsah a dopad nejsou pro banku zanedbatelné. Do nových a rostoucích rizik, kterým banka čelí lze zahrnout: o vyšší použití vysoce automatizovaných technologií, kde dochází k přenosu rizika vyplývajícího z manuálních činností na riziko automatizovaného systému, důvěra je přenesena na integrované systémy, o růst elektronického bankovnictví přináší nová rizika (interní a externí podvody, problém se zabezpečením systému), o vzrůstající míra akvizicí, fůzí a slučování ovlivňuje integrované systémy bank, o rostoucí objemy poskytovaných služeb bankou zákazníkovi vytváří tlak na vysoký stupeň pravidelných interních kontrol, údržbu a zabezpečení systémů, o banky se mohou zabývat technikami na snižování rizika (kolaterál, úvěrové deriváty atd.), aby zmírňovaly vystavení se tržním a kreditním rizikům, ale které na druhou strany mohou přinášet jiné formy rizika (např. právní), o rostoucí použití outsourcingu může na jednu stranu snížit některá rizika, ale zároveň přenáší na banky rizika jiná. Operační riziko představuje situaci, kdy na straně banky dojde k chybě, v důsledku které vznikne bance samotné nebo klientovi ztráta, již musí banka následně uhradit. V souvislosti s tímto rizikem se často mluví o nedostatečné kontrole všech procesů v bance. Zaváděním informačních systémů se sice snižuje pravděpodobnost výskytu lidských chyb, avšak selhání bankovního systému může mít na banku katastrofální dopad. Vzhledem k rozsáhlosti a složitosti některých operací se zvyšuje také využití outsourcingu, což pro banku může představovat další zdroj operačního rizika. Problematice outsourcingu bude dále věnována samostatná kapitola. Operační ztráta Následkem operačního rizika může být, ale v některých případech nemusí, vznik operační ztráty. Operační ztrátou BCBS rozumí finanční dopad spojený s realizací operačního rizika, který se projeví ve finančních výkazech banky. Finančním dopadem se rozumí jakékoli výdaje spojené s realizací operačního rizika, kromě nákladů příležitosti, ušlého zisku nebo nákladů spojených se zajištěním investičních programů pro prevenci operačních ztrát. [3] Klíč k řízení operačního rizika leží v porozumění a řízení dvou důležitých skutečností - velikost ztráty a pravděpodobnost ztráty. Ztrátu můžeme definovat jako jakýkoli finanční nebo jiný nežádoucí efekt, který dopadá na obchodní činnost jako následek operačního rizika. Ztráty z operačního rizika můžeme rozdělit na přímé a nepřímé ztráty. Pokud se ztráta projeví přímo ve finančních výkazech banky tak se nazývá přímá. V důsledku vzniku rizikové události však také dochází k četným ztrátám nepřímým. Jde především o ušlý zisk, nepřímý dopad do účetnictví, náklady příležitosti atp. Vyčíslení a identifikace těchto ztrát je však velmi komplikovaná. Klasifikace typů ztrátových událostí: 1. Vnitřní nekalé jednání – ztráty způsobené jednáním, jehož úmyslem je uskutečnit podvod, zpronevěřit majetek nebo obejít právní předpisy nebo vnitřní předpisy či pravidla, pokud je v něm zaangažována alespoň jedna vnitřní strana (osoba), např. krádeže, podvody, vydírání, zpronevěry, padělání, přijímání úplatků, insider obchody. Do této kategorie se nezařazují událostí spojené s diskriminací. 2. Vnější nekalé jednání –ztráty způsobené jednáním třetí osoby, jehož úmyslem je uskutečnit podvod, zpronevěřit majetek nebo obejít právní předpis, např. vandalství, krádeže, padělání, zatajování informací, hackerství. 3. Pracovně-právní postupy a bezpečnost provozu – ztráty způsobené jednáním, které je v rozporu s právními předpisy, dohodami či smlouvami týkajícími se zaměstnání nebo ochrany zdraví a bezpečnosti, patří sem také platby z důvodu újmy na zdraví a z důvodu diskriminace. 4. Klienti, produkty, obchodní postupy - ztráty způsobené nedbalostním jednáním nebo neúmyslným selháním, jež vedlo k neschopnosti plnit závazky vůči danému klientovi, včetně kompenzací za porušení důvěrnosti či za nepatřičné jednání, nebo ztráty způsobené podstatou nebo formou produktu, poskytnutí služby nebo produktu na které banka nemá licenci. 5. Škody na hmotném majetku – ztráty způsobené poškozením hmotného majetku přírodními katastrofami nebo jinými vnějšími událostmi, např. válečný konflikt, terorismus, vandalství. 6. Narušení činností a selhání systémů – ztráty způsobené narušením činností nebo selháním systémů, problémy spojené s přerušením dodávky elektřiny, zavirování počítačové sítě, selhání software či jiných systémů spojených s operacemi v bance (např. zúčtovací, telekomunikační systémy). 7. Provádění transakcí, dodávky, řízení procesů – ztráty způsobené selháním při zpracovávání transakcí nebo pří řízení procesů, ztráty plynoucí ze vztahů s dodavateli a dalšími smluvními partnery. Druhy ztrát operačního rizika z hlediska účinku / dopadu do zisku: 1. Odpis aktiv – přímé snížení hodnoty aktiv z důvodu krádeže, podvodu, neautorizované aktivity a/nebo tržní či úvěrové ztráty, jestliže k takovému snížení hodnoty došlo v důsledku události charakteru operačního rizika – ztráty v důsledku prodlení v dodání aktiv, provázeného nepříznivou změnou tržní ceny daného aktiva – ztráty z nedovoleného obchodování – ztráty z nadlimitních obchodů – nižší než očekávané výnosy v důsledku nedostatků v ocenění – odpisy ztrát způsobené podvody zaměstnanců – ztráta aktiv nebo výnosů způsobená vnějším podvodem, krádeží či loupeží – ztráty v důsledku nákladů na odstranění dopadů vnějšího narušení bezpečnosti 2. Neúspěšné vymáhání - ztráty v důsledku nedostatku při výkonu činností, kdy třetí strana odmítne nebo není schopna dostát svému závazku a soudní vymáhání by bylo v důsledku předchozího pochybení při výkonu činnosti neúspěšné nebo neefektivní – ztráty z chybně nebo duplicitně směrovaných plateb – ztráty v důsledku nedostatků ve smluvní dokumentaci, nedostatků v monitorování bonity klienta, nezabezpečení práva na poskytnuté zajištění pohledávky – ztráty z nedostatků ve smlouvě o vzájemném vyrovnání pohledávek 3. Odškodnění třetím stranám - náhrady a kompenzace třetím stranám - jistiny, úroky, poplatky atd. z titulu právní odpovědnosti banky za vznik škody třetí straně – nárok klienta, jenž utrpěl ztrátu z důvodu přerušení činnosti (je-li banka za ztrátu zodpovědná) – odškodnění klientovi za chybné ocenění – čisté úrokové náklady z důvodu pozdního vypořádání – ztráta důvěrných klientských informací z důvodu vloupání (např. klient utrpěl ztrátu a žádá odškodnění od banky) – peněžní/majetková ztráta klienta způsobená zpronevěrou zaměstnance – peněžní/majetková ztráta klienta způsobená vnějším nekalým jednáním 4. Právní odpovědnost - rozsudky, vypořádání a jiné soudní náklady – náklady vzniklé v souvislosti se sporem řešeným v soudním nebo arbitrážním řízení externí právní náklady spojené s případem – odpisy majetku podle soudního rozhodnutí 5. Nedodržení zákona, zásah regulátora - pokuty nebo přímé platby jakýchkoliv sankcí, např. daňová pokuta či odebrání licence – pokuty za porušení či nenaplnění zákonné normy – náklady na zastupování při soudním řízení pro porušení zákonné normy 6. Poškození či zničení reálných aktiv - přímé snížení hodnoty reálných aktiv, např. z důvodu nedbalosti, nehody, požáru, zemětřesení – náklady krátkodobého přestěhování, zachování obchodní kontinuity – využití třetí strany pro zajištění obchodní kontinuity – náklady spojené se zprovozněním prostor po požáru, potopě, vichřici či jiné pohromě – odpisy majetku z důvodu požáru, potopy či jiné přírodní pohromy – ztráta / zničení nehmotného majetku (např. dat) v důsledku přírodní pohromy Dále se může jednat o například o finanční dopady událostí charakteru operačního rizika typu “náklady selhání outsourcingu”, „náklady na expertní pomoci při analýze či řešení události operačního rizika“ atd. Měření operačního rizika Pro stanovení správné strategie pro prevenci operačního rizika a zmírnění jeho následků, je základním předpokladem umět operační rizika správně měřit a odhadovat. Banka by měla sledovat nejen z jakých zdrojů operační riziko plyne, jakých aktivit se týká, v jakých podobách se může objevit, ale také jak velký dopad na banku může mít. Tyto možné dopady je nutné monitorovat, odhadovat a přijímat opatření k jejich předcházení a zmírňování. Úspěšné řízení operačního rizika je tedy podmíněno úspěšným měřením, odhadováním operačního rizika a jeho možných následků. To umožňuje bance poznat, ve kterých oblastech činnosti je operační riziko největší, kde je úroveň rizika nejnižší a tedy kam zaměřit nástroje pro řízení tohoto rizika. Banka má možnost na základě vyhodnocení dat o operačních ztrátách a rizicích stanovit priority svého řízení, určit silné a slabé stránky řízení a těchto poznatků využít při plánování postupů na snížení tohoto rizika. Měření operačního rizika by se nemělo zaměřovat pouze na minulost, ale nejdůležitější součástí musí být odhadování míry, do jaké je banka vystavena operačnímu riziku do budoucna. Tyto odhady by se měly opírat o historická data banky a pokud tato nejsou dostatečná, banka by měla použít externí data, která si po svoje účely může vybírat a přizpůsobovat. Banka by měla sledovat a zaznamenávat nejen selhání, která měla za následek ztrátu, ale i ty , jejichž realizací ztráta nevznikla, ale vzniknout mohla. V budoucnu by totiž realizací stejného rizika ke ztrátě dojít mohlo. Je tedy důležité u jednotlivých rizik jednak sledovat ztráty vzniklé, ale také odhadovat ztráty potenciální. Důležité je také počítat s tím, že jeden typ selhání může zapříčinit více různých typů ztrát a naopak, jeden typ ztráty může být zapříčiněn různými typy selháni. Základní přístupy v měření operačního rizika Fakticky je možné rozeznat dvě skupiny pro měření operačních rizik – přístupy „top-down“ a přístupy „botton up“. Výběr metody, kterou bude banka používat, není závislá pouze na rozhodnutí managementu banky. Používání pokročilejších metod bude schvalovat regulátor a banky budou muset splnit minimální požadavky stanovené pro danou metodu. Tyto požadavky jsou odstupňovány tak, aby nejsložitější metody mohly používat banky s kvalitním řízením operačního rizika. Schéma – Přístupy měření operačního rizika Organizační diagram Zdroj – vlastní schéma Parametry jednotlivých metod jsou nastaveny tak, aby banky byly motivovány k používání složitějších metod. Při použití složitějších metod by mělo dojít ke snížení kapitálového požadavku k operačnímu riziku. Dalším faktorem, který může mít vliv na volbu použité metody, je prestiž banky. Přestože používání složitějších modelů je pojeno s vysokými náklady, budou pravděpodobně některé, zejména velké banky, přecházet na složitější metody. Banka si sama může vybrat, jaký přístup ke stanovení kapitálového požadavku z operačního rizika použije, ale pokud již používá některý z pokročilých přístupů, nesmí bez souhlasu regulátora vrátit k jednoduššímu přístupu. Regulatorní orgán toto povoluje pouze výjimečně, a to pokud banka přestane splňovat kritéria stanovená pro daný přístup. Schéma 1 - Srovnání metod výpočtu kapitálového požadavku k operačnímu riziku Textové pole: Růst složitosti výpočtu Textové pole: Náročnost na kapitál Zdroj: Řízení obchodních bank, Vlasta Kašparovská, str. 146 Přístupy „top-down“ Pomocí přístupů „top-down“ se odhaduje kapitálový požadavek k operačnímu riziku na základě celkových dat z odvětví. Je určen indikátor expozice, tj. ukazatel, podle kterého se určuje míra vystavení banky operačnímu riziku. Čím vyšší je tento ukazatel, tím většímu riziku banka musí čelit a tím vyšší má být také kapitálový požadavek. Nejčastěji využívanými indikátory expozice je hrubý příjem, výnosy, počet a objem transakcí nebo hodnota aktiv. Tento indikátor expozice je pak převeden na kapitálový požadavek pomocí koeficientu určeného regulatorním orgánem. Tento převodový koeficient určuje regulátor na základě sběru statistických dat z celého bankovního sektoru. Výhodou těchto přístupů je malá náročnost na sběr dat. Hrubý příjem, výnosy či hodnota aktiv musí být součástí účetní závěrky a je tedy bankou průběžně sledována, proto není problém tyto data začlenit do výpočtu kapitálového požadavku. Objem transakcí je rovněž snadno pro banku zjistitelný a banka jej průběžně sleduje. Problém však může způsobit využití celoodvětvových dat ke stanovení koeficientu, s jehož pomocí je indikátor expozice převeden na kapitálový požadavek. Využití celoodvětvových průměrů zcela ignoruje specifika jednotlivých bank a může zapříčinit, že bude vytvořen zcela neadekvátní kapitálový požadavek, který by mohl být eventuelně vyšší nebo nižší než by odpovídalo situaci v dané bance. Metoda základního ukazatele – BIA Metoda základního ukazatele je ze tří metod uvedených v Basel II nejjednodušší. Může ji používat jakákoliv banka. K této metodě neexistují žádná kritéria, která by banka musela splňovat, jako je tomu u složitějších metod. Kvantitativním zástupcem operačního rizika banky je zde hrubý příjem. Basel II sice zmiňuje některé požadavky na tuto veličinu, ale její konkrétní vymezení nechává na regulátorech a národních účetních standardech. Při výpočtu kapitálového požadavku k operačnímu riziku pomocí zjednodušené metody definuje Basel II následující způsob výpočtu: Vzorec 1 - BIA K[BIA kapitálový požadavek k operačnímu riziku ]EL hrubý příjem banky, indikátor expozice α regulátorem pevně stanovené procento vyjadřující průměrnou míru operačního rizika na stanoveném indikátoru expozice za celý bankovní sektor (současný návrh hodnoty α činí 15%) Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Hrubý příjem pro účely určování kapitálového požadavku ke krytí operačního rizika je tvořen součtem položek Tabulka - Hrubý příjem banky +--------------------------------------------------------------------------------------------+ |Terminologie BCBS: |Výkaz ČNB – Bil 2-12 Měsíční výkaz zisku a ztráty | | |banky | | |---------------------------------------------------------------| | |Označ. |Popis |ř.| |----------------------------+-------+----------------------------------------------------+--| |čisté úrokové výnosy |EZZ1021|Čisté úrokové výnosy |42| |----------------------------+-------+----------------------------------------------------+--| |čisté neúrokové výnosy |EZZ1022|Čisté výnosy z poplatků a provizí |57| |----------------------------+-------+----------------------------------------------------+--| |čisté výnosy z obch.činností|EZZ0987|Zisk (ztráta) z finanč.činností s finanč.nástroji |59| | | |k obchodování | | |----------------------------+-------+----------------------------------------------------+--| |hrubé ostatní výnosy |EVB0952|Výnosy z finančního leasingu |91| +--------------------------------------------------------------------------------------------+ Zdroj: Věra Mazánková, Basel 2 – Operační riziko, Seminář sekce Operační riziko společného projektu ČBA, ČNB a KA ČR, Pro výpočet kapitálového požadavku je použita průměrná hodnota hrubého příjmu za předchozí tři roky. Použití průměru má zmírnit volatilitu hrubého příjmu a následně také volatilitu kapitálového požadavku. Pokud indikátor expozice je roven nule nebo je záporný, potom kapitálový požadavek se rovná nule. Podle mého názoru je tento přístup vhodný pro menší banky, které se teprve začínají zabývat operačním rizikem. Umožňuje velice snadný výpočet kapitálového požadavku z dat, která má každá banka k dispozici a nepožaduje splnění žádných dodatkových kvalifikačních podmínek. Banka je ale povinna splňovat standardy a doporučení BCBS pro řízení operačního rizika. Problém je v tom, že tento výpočet nereflektuje specifika dané banky a kapitálový požadavek stanovený pomocí tohoto přístupu je poměrně vysoký. Proto by banky měly být motivovány k použití sofistikovanějších přístupů pro měření operačního rizika. Standardizovaný přístup – TSA Složitější metodou pro výpočet kapitálového požadavku je standardizovaná metoda, která by měla lépe zohledňovat skutečné riziko, jemuž je banka vystavena Tato metoda se od metody základního ukazatele liší především v rozdělení činností banky do osmi obchodních linií. Podle této metody mohou být operační rizika v jednotlivých typech bankovní činnosti odlišná. Rozdělení bankovních činností na jednotlivé obchodní linie je stanoveno tak, aby mohlo být aplikováno na co největší spektrum bank. V každé obchodní linii je stanoven kapitálový požadavek na podobném principu jako u metody základního ukazatele. Tato metoda vychází z předpokladu, že operační riziko spojené s různými skupinami aktivit má často odlišný charakter. Proto dělí bankovní aktivity na osm obchodních linií, přičemž každé přiřazuje vlastní koeficient β. První úroveň 8 obchodních linií dominuje úrovni druhé 19 obchodních linií. Pro jednotlivé obchodní linie jsou stanoveny různé koeficienty β. Ty se pro jednotlivé činnosti liší tak, aby jejich výše odrážela jejich rizikovost. Hodnoty koeficientů β nabývají tří hodnot: 12, 15 a 18%. Kapitálový požadavek je určen jako součin koeficientu hrubého výnosu pro danou obchodní linii. Celkový kapitálový požadavek je dán součtem kapitálových požadavků pro jednotlivé obchodní linie. Pokud je indikátor expozice roven nule nebo je záporný, potom K[SA]= 0. Tabulka – rozdělení obchodních linií β 8 obchodních linií (úroveň 1) 19 obchodních linií (úroveň 2) 18% Strukturované financování Podnikové investice Komunální/vládní investice Účast na podnikání Investiční poradenství 18% Obchodování na finančních Obchodování trzích Tvorba trhu Řízení likvidity Vlastní financování 12% Drobné bankovnictví Drobné bankovnictví Privátní bankovnictví Kartové služby 15% Komerční bankovnictví Komerční bankovnictví 18% Zúčtovací služby pro třetí strany Externí zákazníci 15% Služby z pověření Úschova, správa cenných papírů Emisní a platební zastupování Svěřenské fondy 12% Správa aktiv klienta Správa aktiv klienta dle rozhodnutí banky Správa aktiv klienta dle rozhodnutí klienta 12% Drobné investování Drobné investování Zdroj: Věra Mazánková, Basel 2 – Operační riziko, Seminář sekce Operační riziko společného projektu ČBA, ČNB a KA ČR, Vzorec 2 - TSA K[TSA] je kapitálový požadavek k operačnímu riziku El[1-8] indikátor expozice, hrubý výnos banky pro každou obchodní linii β[1-8] beta koeficient pro každou obchodní linii Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Banky, které budou chtít používat standardizovanou metodu, musí splňovat určité kvalitativní požadavky. Kromě nich musí mít banka stanoven postup a kritéria sledování hrubého příjmu v jednotlivých obchodních liniích tak, jak jsou definovány v rámci standardizované metody. Regulátor může bance povolit používání této metody až po splnění kvalitativních požadavků bankou. Poté, co banka začne kapitálové požadavky počítat standardní metodou, nelze v zásadě od této metody přejít zpět k metodě základního ukazatele. K této metodě by se banka mohla vrátit pouze ve výjimečném případě (např. fůze) a vždy až po předchozím odsouhlasení ČNB. Pokud ČNB zjistí, že banka nedodržuje či porušuje kvalifikační požadavky, může bance zakázat pro výpočet kapitálových požadavků nadále používat standardní metodu a nařídit používat místo ní jednodušší metodu základního ukazatele. Detailní popis a rozbor kvalitativních a kvantitativních požadavků pro používání vlastních modelů je uveden ve vyhlášce Basel II. (příloha č. 21, návrh vyhlášky Basel II) Řízení operačního rizika je ve většině českých bank relativně novou záležitostí. Banky shromažďují údaje o svých operačních ztrátách a vytváří vlastní modely, avšak v době implementace Basel II pravděpodobně nebude mít většina z nich k dispozici dostatečné množství dat, o která by opřela své modely. Tyto banky nebudu splňovat kritéria pro použití vlastních modelů a standardizovaná metoda může být vhodná právě pro tyto banky v tomto přechodném stádiu před zavedením nejsofistikovanějších metod. U standardizovaného přístupu může regulátor povolit určitou modifikaci tohoto přístupu tzv. alternativní standardizovaný přístup ASA. Kapitálový požadavek se pomocí tohoto přístupu vypočte stejně jako v nemodifikovaném přístupu, pouze s odchylkami při výpočtu kapitálového požadavku pro linie podnikání drobného bankovnictví a strukturovaného financování. U těchto obchodních linií není indikátorem expozice průměrný hrubý příjem, ale průměr nominálního množství půjček. Alternativní ukazatel je roven součinu koeficientu 0,035 a tříletého průměru dlužné částky poskytnutých úvěrů ve zmíněných liniích. Kapitálový požadavek pro tyto obchodní linie tedy vypočteme takto: Vzorec 3 - ASA K[ASA kapitálový požadavek k operačnímu riziku u obchodní linii drobné bankovnictví nebo financování dle ASA ]β[1-8] beta koeficient pro každou obchodní linii m 0,035 – koeficient upravující LA, aby bylo možno použít β[1-8] LA průměr nominálního množství půjček za poslední tři roky Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Přístupy „bottom-up“ Přístupy „bottom-up“ vycházejí ze znalosti procesů v bance . Všude tam, kde může dojít ke vzniku operačního rizika v rámci pracovního procesu, dochází k odhadu frekvence události operačního rizika. Přístupy „bottom-up“, na rozdíl od přístupů „top-down“, nepoužívají pro stanovení kapitálového požadavku k operačnímu riziku celková data odvětví, ale kapitálový požadavek je odvozen z rizikového profilu dané banky. Basel II nespecifikuje přístup měření rizika, je zcela v kompetenci banky, jaký postup si vybere a bude používat. Pokročilé přístupy - AMA Nejsložitější metody měření operačního rizika jsou známy jako AMA metody. Zatímco u výše uvedených metod jsou při výpočtu kapitálového požadavku všechny parametry určeny regulátorem, u pokročilých metod mohou banky ve výpočtu kapitálového požadavku zohlednit své výpočty a skutečnou historii ztrát. Podle poslední verze Basel II je tvorba modelu zcela na bance samotné, modely však musí splňovat stanovené požadavky. Pokud chce banka využívat některý z pokročilých přístupů ke stanovení operačního rizika, musí tento přístup být schválen regulatorním orgánem. Banka má také možnost, je-li to schváleno, používat na část operací pokročilé přístupy měření a na část operací základní nebo standardizovaný přístup. U jednotlivých přístupů musí být vždy splněna kvalifikační kritéria pro metodu, kterou chce banka používat. Tato metoda by měla nejlépe zohledňovat riziko banky Jestliže se banka rozhodne využívat pokročilé přístupy pro měření operačního rizika, musí splňovat mnohá další kvalitativní a kvantitativní kritéria. Kvalitativní kritéria požadují po bance, aby byl vytvořen a precizně zdokumentován systém řízení operačního rizika, který má obsahovat postupy pro identifikaci, měření, monitorování a zmírňování operačního rizika. Jeho součástí musí být také systém podávání zpráv o operačním riziku vedoucím obchodních linií, vrcholovému vedení a představenstvu banky. Proces řízení operačního rizika a systém jeho měření musí být kontrolován pomocí interního a externího auditu. Veškeré procesy musí být transparentní a proveditelné. Řízení operačního rizika by se mělo stát každodenní součástí řízení banky. Kvantitativní požadavky AMA přístupu se týkají hlavně interních a externích dat, analýz scénářů, podchycení faktorů zohledňující podnikatelské prostředí a vnitřní kontrolu. Pokročilé přístupy spočívají v tom, že je možné na základě historických ztrát odhadnout distribuční funkci rozdělení ztrát neočekávané ztráty pro jednotlivé obchodní linie, typy operačních ztrát a celkový kapitálový požadavek je pak určen jako součet výsledků v jednotlivých kombinacích. K výpočtu neočekávané ztráty je možno použít různých statistických a matematických modelů a proto existuje řada různých metod pro výpočet kapitálového požadavku z operačního rizika Banky by ve svých výpočtech měly také využívat externí data, (např. databáze operačních ztrát shromážděná bankovním sektorem), tím by mělo dojít i k zahrnutí některých ztrát, které vznikají velmi zřídka na to, aby byly zachyceny v historii dané banky. To se týká např. zohlednění katastrofických ztrát, jež banky ve své historii nemají. Není však nutné, aby banky využívaly veškerá data z externích databází, ale data relevantní pro danou banku. Kritéria výběru musí být přesně zdokumentována a analýza scénářů musí být prováděna zkušenými manažery, v průběhu hodnoceny a přizpůsobovány měnícímu se obchodnímu prostředí. Banky využívající pokročilé metody musí zajistit, aby veškerá data a procesy týkající se měření operačních rizika byly dostatečně transparentní. Banka si při použití pokročilého přístupu může zvolit metodu, kterou bude používat. Podmínkou je, aby metoda byla dostatečně detailní a byla schopná dobře odhadnout i konce pravděpodobnostního rozdělení ztrát. Nevýhodou těchto modelů je vysoká náročnost na vstupní data. K využití pokročilých metod je pro měření kapitálového požadavku jsou zapotřebí dlouhé časové řady ztrátových dat, které je třeba neustále doplňovat a aktualizovat. Je požadováno, aby banky do modelu zahrnuly nejméně pětiletou historii ztrát. V případě, kdy banka začíná počítat kapitálový požadavek pomocí pokročilých metod, je možné disponovat pouze tříletou historií. Výhodou však je možnost individuálně si stanovit míru vystavení banky operačnímu riziku. Do výpočtu lze zahrnout to, na jaké úrovni je v dané bance řízení operačního rizika, jak má banka zabezpečeno pokrytí ztrát při realizaci operačního rizika atp. Tyto přístupy motivují banku k tomu, aby zlepšovala řízení svých operačních rizik a tím snižovala výši požadovaného kapitálu. Banky mají rovněž možnost při použití pokročilých přístupů částečně snížit kapitálový požadavek v důsledku pojištění. Toto snížení však nesmí přesáhnout 20% celkového kapitálového požadavku. Aby banka mohla svůj kapitálový požadavek snížit, musí pojištění splňovat několik požadavků. Instituce, u které je banka pojištěna musí mít rating „A“ nebo vyšší. Další požadavky se týkají minimální pojistné doby, která musí být vyšší než jeden rok a pokud není musí být snížení kapitálového požadavku nižší, pojišťovací instituce musí mít omezenou možnost vypovědět smlouvu apod. Metoda vnitřních měření IMA Metody vnitřních měření se řadí mezi pokročilé přístupy k měření operačního rizika pro účely určování minimálního kapitálového požadavku ke krytí tohoto rizika. Metodologie IMA vychází z předpokladu lineárního vztahu mezi ztrátami očekávanými a ztrátami neočekávanými. Pro účely Basel II by mělo být uplatněno rozdělení na jednotlivé obchodní linie, stejně jako u standardizované metody. Pro zvýšení citlivosti k riziku je kromě osmi obchodních linií také definováno sedm typů ztrát z operačního rizika. Kombinací obchodní linie a typu ztráty vzniká matice o velikosti 8 × 7. Pro každou kombinaci obchodní linie a typu ztráty má být počítán kapitálový požadavek. Celkový kapitálový požadavek k operačnímu riziku je počítán jako součet dílčích kapitálových požadavků z každé kombinace obchodní linie a typu ztráty. Tabulka – Kombinace obchodní linie a operační ztráty +------------------------------------------------------------------------------------------+ |OBCHODNÍ LINIE |OPERAČNÍ ZTRÁTA | |----------------------------------------+-------------------------------------------------| |1- Strukturované financování |1 - Vnitřní nekalé jednání | |----------------------------------------+-------------------------------------------------| |2 - Obchodování na finančních trzích |2 - Vnější nekalé jednání | |----------------------------------------+-------------------------------------------------| |3 - Drobné bankovnictví |3 - Pracovně-právní události, spory, konflikty | |----------------------------------------+-------------------------------------------------| |4 - Komerční bankovnictví |4 - Nedodržení obchodních postupů | |----------------------------------------+-------------------------------------------------| |5 - Zúčtovací služby pro třetí strany |5 - Znehodnocení reálných aktiv | |----------------------------------------+-------------------------------------------------| |6 - Služby z pověření |6 - Selhání systémů či infrastruktury | |----------------------------------------+-------------------------------------------------| |7 - Správa aktiv klienta |7 - Selhání ve správě nebo dodávkách zboží či | |----------------------------------------+-------------------------------------------------| |8 - Drobné investování | služeb | +------------------------------------------------------------------------------------------+ Zdroj: XYZ Metoda zohledňuje míru vystavení se operačnímu riziku bankou v dané obchodní linii dosaženou hodnotou zvoleného indikátoru expozice (hrubý příjem, počet transakcí, objem obchodů atp.). V rámci aplikace metody jsou využívána interní i externí data. Komponenty metody mohou být specifikovány různým způsobem, obecně pro výpočet kapitálového požadavku pro obchodní linii „i“/typ události „j“ (K[i,j] ). Kapitálový požadavek k jednotlivým kombinacím se určí následovně: Vzorec 4 – IMA, jednotlivé kombinace K[ij ]kapitálový požadavek k operačnímu riziku pro obchodní linii „i“ a typ operační ztráty „j“ ]g[ij gama faktor uplatňovaný pro odhad neočekávaných ztrát přepočtem z odhadu očekávaných ztrát ]EL[ij indikátor expozice pro obchodní linii „i“ a typ operační ztráty „j“ ]PE[ij pravděpodobnost vzniku ztrátové události v horizontu jednoho roku pro obchodní linii „i“ a typ operační ztráty „j“ ]LGE[ijprůměrná výše ztráty pro obchodní linii „i“ a typ operační ztráty „j“ v případě, že událost nastane ]EL[ij průměrná roční ztráta pro obchodní linii „i“ a typ operační ztráty „j“ Multiplikační parametr g navrhuje banka (popř. sdružení bank apod.) samostatně, pro každou kombinaci „obchodní linie/typ události“. Na vyžádání doloží banka regulátorovi podklady, na jejichž základě byly hodnoty parametrů gama (g) navrženy. Celkový kapitálový požadavek k operačnímu riziku pomocí metody vnitřních měření vypočteme takto: Vzorec 6 – IMA, celek Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Vzorec předpokládá, že neočekávaná ztráta (určená mezí spolehlivosti na konci rozdělení je podle Basel II 99,9%) je konstantní násobek očekávané ztráty. Multiplikační parametr gama (g[i,j] ) převádí průměrnou ztrátu pro obchodní linii „i“/typ události „j“ (EL[i,j] ) na kapitálový požadavek pro tuto „buňku“ standardizovaného rámce sledování událostí operačního rizika (K[i,j]). Celkový kapitálový požadavek je pak součtem kapitálových nákladů pro jednotlivé buňky „obchodní linie/typ události“. Metoda rozdělení ztrát LDA Pokročilé přístupy k měření operačního rizika pro účely určování kapitálového požadavku ke krytí tohoto rizika, označované metody rozdělení ztrát , odvozují neočekávané ztráty z operačního rizika ze složeného rozdělení pravděpodobností. Vstupem je rozdělení četnosti ztrátových jevů v množině událostí operačního rizika (zpravidla binomické, Poissonovo rozdělení) a rozdělení velikosti (významu) ztrát (zpravidla lognormální rozdělení). Výsledkem je složené pravděpodobnostní rozdělení hodnot ztrát, vážených jejich výskytem. Vychází z toho, že banka zná rozdělení svých ztrát a na základě toho dokáže odhadnout neočekávanou ztrátu tak, aby pravděpodobnosti výskytu katastrofálních ztrát nepřekročila určitou hodnotu. Banka musí odhadnout distribuční funkci pro každou kombinaci obchodní linie a typu rizika, poté určit neočekávanou ztrátu jako rozdíl hodnoty takového kvantilu, aby pravděpodobnost katastrofální ztráty nepřekročila danou hranici (např. pravděpodobnost katastrofální ztráty 0,1% určíme neočekávanou ztrátu jako hodnotu 99,9% kvantilu) a hodnoty kvantilu, ve kterém se pohybují očekávané ztráty (tedy hodnoty středního rozdělení). Celkový kapitálový požadavek je pak určen součtem kapitálových požadavků za jednotlivé kombinace obchodní linie a operační ztráty. Vzorec 7 - LDA K[LDA ]kapitálový požadavek k operačnímu riziku dle metody LDA ]L(p)[ij hodnota 99,9% kvantilu pro obchodní linii „i“ a typ očekávané ztráty „j“ ]EL[ij výše očekávané ztráty pro obchodní linii „i“ a typ operační ztráty „j“ Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) LDA je metoda náročná na vstupní data, je třeba kombinovat data externí i interní. Banka sama nevlastní dostatečné množství informací o neočekávaných či katastrofálních ztrátách a tak používá i odhady expertů. Banka by samozřejmě měla přikládat největší váhu vlastním interním informacím, které přesně odrážejí úroveň řízení operačního rizika v bance a míru jejího vystavení riziku. Při použití externích dat či odhadů je důležité posoudit, zda daná rizika odpovídají situaci v bance a vybrat pouze data relevantní. Metoda ukazatelů SCA Návrhy Basel II řadí mezi pokročilé přístupy k měření operačního rizika rovněž metody ukazatelů (Scorecard Approaches). Při tomto přístupu stanoví banka výchozí úroveň kapitálu ke krytí operačního rizika jako celek nebo pro jednotlivé obchodní linie (například IMA či LDA metodou), a tuto úroveň pak v čase koriguje na základě dosahovaných hodnot předem stanovené skupiny ukazatelů („scorecard“), zaměřených na hodnocení rizikového profilu a prostředí pro řízení operačního rizika v jednotlivých obchodních liniích. „Scorecard“ mají být zvoleny rovněž tak, aby vnášely do způsobu výpočtu kapitálového požadavku prvek, který zohlední případné zlepšení/zhoršení prostředí pro řízení rizik, které v budoucnosti zřejmě povede k redukci/zvýšení četnosti i významu událostí operačního rizika. Metody ukazatelů mohou vycházet z přímého měření operačního rizika, ale častěji je představuje výše zmíněný systém vyvážených ukazatelů - indikátorů reprezentujících operační riziko v dané obchodní jednotce nebo linii. Ukazatele jsou běžně aktualizovány v pravidelných intervalech (obvykle ročně), a předkládány ke kontrole centrálnímu útvaru řízení rizik banky. Pro účely kvalifikace mezi pokročilé přístupy je nezbytný věrohodný kvantitativní základ „scorecard“ metody, odvozující kapitálový požadavek z podrobných analýz vnitřních i externích dat o ztrátách z operačního rizika. Výhodou „scorecard“ metod je určitá eliminace vlivu historického vývoje ztrát z operačního rizika a pohled do budoucnosti. Manažeři jednotlivých obchodních linií získávají přehled o skutečném vystavení obchodní linie operačnímu riziku a o úrovni řízení těchto rizik, což jim umožňuje směřovat zlepšování managementu rizik tam, kde je to nejvíce potřebné. Problémem může být skutečnost, že velký vliv na stanovení koeficientu pro upravení kvantitativní metodu vypočteného kapitálového požadavku mají samotní manažeři jednotlivých obchodních linií, kteří budou mít tendenci nadhodnocovat kvalitu svého řízení. Příklad aplikace metodologie SCA pro měření operačního rizika: [4] Princip: odvození kapitálového požadavku z velikosti: – indikátoru expozice, – tzv. odvětvového faktoru určovaného regulátorem (ω) – rizikových ukazatelů – tzv. Risk Scores (RS). Způsob určení RS: Dílčí ohodnocování se provádějí pomocí otázek, které jsou formulovány tak, aby zahrnovaly všechny potenciální zdroje ztrát z operačního rizika (na 1 RS připadá zpravidla více otázek; otázky formulují manažeři příslušných obchodních jednotek). Odpovědi na otázky jsou použity na vytvoření „risk scores“ normalizací k hodnotě 1, pro každou kombinaci obchodní linie / typ rizika. Lepší hodnocení znamená nižší rizikový ukazatel, a naopak. Vzorec pro výpočet minimálního regulatorního požadavku metodou ukazatelů–SCA: Vzorec 8 - SCA K[SCA kapitálový požadavek k operačnímu riziku dle metody ukazatelů ]EL indikátor expozice zvolený pro každou kombinaci obchodní linie „i“ a typ rizika „j“ tak, aby co možná nejlépe pozitivně koreloval s vývojem ztrát z operačního rizika v dané kombinaci obchodní linie „i“/typ rizika „j“ ω odvětvový faktor stanovený regulátorem na základě celkových dat odvětví, faktor odráží množství kapitálu na jednotku příslušného indikátoru expozice pro průměrnou instituci RS rizikové ukazatele – risk scores Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Řízení operačního rizika Řízení operačního rizika je procesem zmírňování rizik, kterým banka musí čelit Existuje celá řada způsobů, jak lze operační riziko zmenšit. Může se jednat o nakupování různých typů pojištění, školení zaměstnanců, stanovení závazných postupů nebo třeba vyhýbání se některým transakcím. Úkolem manažerů je sestavit optimální strategii zajištění banky proti operačnímu riziku, tj. najít optimální poměr mezi náklady a přínosy takového zmírňování rizik a poté rozhodnout, zda je či není nutné se proti jednotlivým rizikům zajistit. Nejdůležitější součástí řízení by měla být prevence rizik. Banka by měla předvídat rizika, kterým bude muset čelit, odhadovat jejich možné dopady a provádět opatření ještě před jejich vznikem. Tyto předpovědi a dohady je nutno pravidelně upravovat v závislosti na nově zjištěných okolnostech. Je tedy důležité neustále rizika monitorovat, odhalovat nová potenciální rizika a přizpůsobovat řízení operačního rizika vývoji nových postupů a technologií. ČNB se věnuje řízení rizik v Opatření k vnitřnímu řídícímu a kontrolnímu systému banky v části číslo pět – Řízení rizik, kde rozebírá postup řízení všech bankovních rizik a přímo operačním rizikem se zabývá příloha č. 3 s názvem – Požadavky na řízení operačního rizika.[5] Řízení rizik se stalo pro banky, které se musí vyrovnat s novými předpisy a podléhají tržním, úvěrovým a operačním rizikům, zásadním úkolem. Odpovědnost za účinné řízení rizik a plnění zákonných předpisů, opatření proti praní špinavých peněz se posunuje na úroveň představenstva a vedení banky. Nutnost splnit zákonné požadavky je při tvorbě modelu řízení rizik klíčovým faktorem. Finanční instituce čelí širšímu spektru rizik a vyšším potenciálním ztrátám než kdy dříve. Vyšší míra využívání outsourcingu vytváří nová rizika, která je nutno řídit opatrně. Banky využívají různé techniky k jejich minimalizaci, např. písemné smlouvy upravující výkonnost a spolehlivost, hodnocení dodavatele, pravidelné interní audity, zdokumentovaná pravidla dohledu nad dodavateli a krizové plánování po nepříznivé události. Úspěšné zavedení modelu řízení rizik vyžaduje nemalé investice, dobré plánování a efektivní realizaci. Program řízení rizik musí být plánován dlouhodobě, ale musí být strukturován tak, aby v brzké době přinesl konkrétní hodnoty. Řízení operačních rizik, oproti řízení tržních a kreditních, nelze delegovat na jeden útvar. Nelze stanovit limity na počet externích podvodů nebo poškozených bankomatů. Všechny útvary banky by měly hlásit výskyt škody z operačních rizik a zároveň řídit tato rizika z pohledu prevence a omezení výskytu. Zní to velmi jednoduše, avšak problémem je motivace ke spolupráci, stanovení zodpovědnosti útvarů a příprava pravidelných hlášení pro management banky. Je velmi důležitá spolupráce s interním auditem, který má možnost odhalit nedostatky v oblasti řízení operačních rizik. Dalším důležitým útvarem pro spolupráci je útvar bezpečnosti, který se zabývá prevencí a vyšetřováním trestných činů a buduje varovný systém napříč bankou. S controlingem a účetnictvím se hledají cesty, jak odhadnout nepřímé ztráty, například z přerušení provozu. Informace jsou jednoznačně tím nejcennějším. Je třeba znát, kde lze informace získat a jak ověřit jejich spolehlivost. Na rozdíl od řízení tržních a kreditních rizik, kde se již dávno klade důraz na kvalitu informací, v oblasti evidence údajů o výskytu operačních rizik existuje velký prostor pro zlepšení. Schéma – Delegace řízení rizik Organizační diagram Zdroj: M. Orsáková, M. Laušmanová , prezentace ČS – Basel II a řízení operačních rizik z pohledu banky Podle Basel II pro implementaci pokročilých přístupů, by tyto metody měly nejlépe zohledňovat riziko banky. Je nutné implementovat postupy a nástroje pro hodnocení rizik, získat věrohodné expertní odhady pro tvorbu scénářů, externí data a spolehlivě zhodnotit jejich relevanci v prostředí konkrétní banky. Rovněž je nutné najít způsob, jak hodnotit staré zkušenosti z výskytu události operačního rizika vzhledem ke změněným podmínkám v bance jako je změna kontrolních procesů, rozšíření obchodních aktivit, snížení počtu zaměstnanců a podobně. Na druhou stranu je třeba dobře zhodnotit prostředky a úsilí na hodnocení a řízení operačních rizik s přínosy a znalostmi, které by měly vést ke snížení těchto rizik. Cílem by nemělo být pouze splnění regulatorních požadavků. Proces řízení operačního rizika Jak již bylo zmíněno, řízení operačního rizika neznamená pouze reakci na vzniklé problémy, ale jeho nejdůležitější součástí je problémy odhalovat, předvídat a provádět preventivní opatření, která by měla zabránit jejich vzniku a co nejvíce omezila jejich negativní dopad na banku. Banka musí sledovat nejen takové dopady realizace rizik, které jsou explicitně měřitelné, ale i ty, které přímo změřit nemůže a jejich finanční dopad musí sama odhadovat. Banka by si měla stanovit vnitřní a kontrolní systém a nastavit ho tak, aby umožňoval soustavné řízení rizik podstupovaných bankou. Proces identifikace rizik je zajištěn u všech činností a na všech organizačních úrovních banky a musí umožnit odhalování nových, dosud neidentifikovatelných rizik. Proces řízení rizik by měl zohledňovat vnitřní a vnější faktory, měřitelné a neměřitelné aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik. Banka si musí stanovit strategii řízení rizik, ve které si vymezí hlavní zásady, jež uplatňuje při jejich řízení, postoj k riziku, základní nástroje a metody řízení rizik, které chce využívat. Následně banka musí vypracovat konkrétní postupy a plány, pomocí nichž bude zvolená strategie naplňována. Banka musí zajistit, aby strategie řízení rizik a veškeré postupy a limity týkající se řízení rizik byly pravidelně vyhodnocovány a případně upravovány podle konkrétně měnících se potřeb banky. Se strategií banky musí podrobně seznámit všechny pracovníky banky, jejichž činnost má vliv na řízení rizik a kteří musí tyto činnosti vykonávat v souladu s přijatou strategií a z ní vyplývající postupy. Banka vymezí pravomoci a odpovědnosti svým pracovníkům, které budou mít v procesu řízení operačního rizika. Opatření ČNB definuje následující čtyři požadavky na řízení operačního rizika: 1. systém řízení operačního rizika, 2. identifikace, vyhodnocování a sledování, 3. omezování operačního rizika, 4. kontinuita provozu a pohotovostní plán. Banka vytvoří a udržuje systém řízení operačního rizika, který minimálně musí obsahovat: 1) vymezení operačního rizika, 2) cíle a zásady řízení operačního rizika, 3) postupy pro řízení operačního rizika, 4) pravomoci, odpovědnosti a informační toky při řízení operačního rizika na všech řídících úrovních 5) informace o významných událostech a ztrátách vzniklých v důsledku operačního rizika 6) akceptovanou toleranci banky k operačnímu riziku, 7) způsob případného vyvedení operačního rizika mimo banku. Banka musí pravidelně vyhodnocovat, identifikovat, sledovat a případně upravovat systém pro řízení operačního rizika v závislosti na měnících se podmínkách a sleduje možné dopady a potenciální ztráty vyplývající z události operačního rizika. Proces sledování a vyhodnocování by měl být začleněn do běžného zpracování operací. Banka zároveň musí zabezpečit pravidelné informování příslušných pracovníků o podstupovaném operačním riziku, které souvisí s jejich činností. [6] Proces řízení operačního rizika je pro vedení banky poměrně novou oblastí, BCBS se proto snaží,prostřednictvím svých doporučení, pomoci bankám k efektivnímu zvládnutí této problematiky. Základním východiskem pro úspěšné zvládnutí operačního rizika jsou podle BCBS ve čtyřech klíčových faktorech, které by zároveň měly být součástí řízení jakéhokoli typu rizika:[7] 1) Jasná strategie a dohled ze strany představenstva a vrcholového vedení banky 2) Silná operačně-riziková kultura v bance 3) Efektivní vnitropodnikový systém podávání zpráv 4) Pohotovostní plánování Stanovení strategie předurčuje to, jak bude vypadat řízení operačního rizika. Musí být vymezen vztah banky k riziku, definice operačního rizika, cíle a zásady řízení operačního rizika, preferované nástroje a postupy, které pak mohou být začleněny do operativního plánování. Aby bylo provedení strategie efektivní, musí být také kontrolováno a dohlíženo na její dodržování, pokud tomu tak není, musí být provedeny příslušné kroky k nápravě. Na operačně-rizikové kultuře banky závisí, do jaké míry bude strategie v bance naplněna. Předurčuje způsob, jakým bude operační riziko řízeno. Musí zde existovat určitá snaha o zainteresovanost zaměstnanců, aby zaměstnanci přijali postoje a hodnoty banky za své a snažili se sami strategii co nejlépe naplňovat. Velice důležité je přesné stanovení povinností, pravomocí a odpovědnosti pro každého zaměstnance banky. Podstatnou roli při řízení hraje také systém podávání zpráv. Tento systém musí být efektivní, rychlý a zároveň co nejpřesnější, aby se potřebné informace dostali na místo, kde je jich zapotřebí co nejdříve a v co největší kvalitě. Čím přesnější bude tento systém, tím může být reakce na vzniklé problémy kvalitnější a rychlejší. Pro případ závažnějších problémů, musí mít banka připraveny pohotovostní plány, tedy plány pro řešení mimořádných situací, které zajistí co nejrychlejší obnovení alespoň základních činností tak, aby nedošlo k výrazným finančním ztrátám. Tyto plány se sestavují pro případ neplánovaného přerušení nebo omezení svých činností, havárie informačních systémů, selhání pro banku významných třetích stran a selhání vnější infrastruktury zabezpečí banka postupy, které vedou k obnovitelnosti činností a informačních systémů významných z hlediska fungování banky. Banka přijme pohotovostní plány pro obnovení své činnosti pro výše zmíněné případy. Pro řešení obnovy činností banky a informačních systémů musí být v plánech stanovena minimálně tato opatření: a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod, b) činnosti následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace, c) způsob zálohování, d) způsob zajištění nouzového provozu banky a informačních systémů s vyjmenováním minimálních funkcí, které musí být zachovány, e) způsob zajišťování servisní činnosti informačních systémů, způsob obnovy činnosti banky a informačních systémů. Tyto plány musí být pravidelně aktualizovány a přizpůsobovány aktuálním podmínkám. Příslušní pracovníci s nimi musí být včas seznámeni a při vzniku mimořádných událostí jsou povinni podle nich postupovat. [8] Výše zmíněná opatření BCBS rozpracovává ve svém dokumentu do čtyř základních principů a ty jsou dále rozvedeny do 10 věcných okruhů: 1) Vytvoření vhodného prostředí pro řízení operačního rizika 2) Procesy řízení operačního rizika 3) Role nezávislého dohledu 4) Transparentnost banky[9] Vytvoření vhodného prostředí pro řízení operačního rizika První tři zásady se týkají vytvoření vhodného prostředí pro řízení operačního rizika, je zde vymezena úloha představenstva, vrcholového vedení a interního auditu. Zásada 1: Odpovědnost představenstva v oblasti operačního rizika Představenstvo by si mělo uvědomit důležitost operačního rizika jako samostatné kategorie, která musí být samostatně řízena a mělo by pravidelně přezkoumávat rámec a systém řízení operačního rizika. Ten by měl zahrnovat definici operačního rizika a stanovit zásady, jak bude operační riziko identifikováno, odhadováno, monitorováno, řízeno a zmírňováno. Zásada 2: Interní audit Představenstvo by se mělo ujistit, zda je zavedena v bance funkce nezávislého interního auditu, jehož hlavním úkolem je zkoumat, zda jsou účinně naplňovány strategie banky a zda zavedené postupy jsou efektivní pro řízení operačních rizik v bance. Představenstvo by mělo zajistit, aby rozsah a frekvence auditů byla přiměřená vzhledem k vystavenému riziku. Interní audit by měl poskytovat cenné údaje o tom, kdo je zodpovědný za řízení operačního rizika, ale sám by neměl mít žádnou přímou zodpovědnosti za jeho řízení. Zásada 3: Odpovědnost vrcholového vedení v oblasti operačního rizika Vrcholové vedení banky je zodpovědné za implementaci systému řízení operačního rizika schváleného představenstvem. Musí zajistit, aby všichni zaměstnanci byli se strategií obeznámeni a správně porozuměli svým povinnostem. Vrcholové vedení rozpracuje strategii do závazných politik, postupů a procesů, které budou využity u všech operací, ve všech obchodních liniích. Aby to bylo možné, je nutné zajistit potřebné zdroje, informace a poskytnout zaměstnancům potřebné návody a pokyny. Procesy řízení operačního rizika Zásada 4: Identifikace a hodnocení operačního rizika Banka by měla odhalovat, identifikovat, vyhodnocovat rizika zahrnutá ve všech jejich produktech, aktivitách, procesech a systémech nejen existujících, ale i u těch, které teprve připravuje zavést do provozu, to se také týká rizik vyplývajících z externích zdrojů. Tím banka lépe porozumí svému rizikovému profilu, čímž také umožní lépe a efektivněji určit priority pro řízení operačního rizika. Zásada 5: Sledování operačního rizika Banka by měl implementovat procesy, které umožní pravidelně monitorovat profily operačního rizika a míru vystavení se riziku. Důležitou součástí je také podávání zpráv o rizicích představenstvu a vrcholovému vedení banky, které podle zjištěných skutečností upraví strategie, politiky a procesy řízení operačního rizika. Včasné odhalení může podstatně redukovat potencionální ztrátu. Monitorováním ztrátových událostí může banka určit odpovídající ukazatele, které poskytnou včasné varování ještě před vznikem ztrátové události, ke které by mohlo v budoucnu dojít. Sledování operačního rizika a podávání informací o něm by mělo být součástí veškerých aktivit banky. Zásada 6: klíčové procesy omezování operačního rizika Banka by měla mít zavedeny postupy, procesy pro řízení a zmírňování dopadů operačního rizika. Pravidelně by měla posuzovat a vyhodnocovat limity pro ztrátové události, kontrolovat strategie a přizpůsobovat je měnícímu se profilu operačního rizika. U každého rizika se musí rozhodnout, zda jej bude akceptovat, bude provádět opatření pro jeho omezení a nebo ukončí aktivity s kterými je daný typ rizika spojen. Banka musí zajistit, aby zaměstnanci měli dostatečné vzdělání a zkušenosti pro provádějí jim svěřených operací a nepřidělovat jim povinnosti, u kterých by mohlo docházet ke konfliktům zájmů. Zásada 7: Kontingenční plánování Banka musí využívat všechny dostupné nástroje pro zmírnění rizika, kterému je banka vystavena, snižování jeho frekvence a závažnosti. Důraz by měl být kladen na vývoj pohotovostních plánů, které mají zabezpečit kontinuitu provozu banky a omezit ztráty, pokud se vyskytne významnější selhání systémů, procesů apod. Banka musí zajistit náhradní mechanismy, které ji umožní provádět alespoň ty nejdůležitější aktivity a zabezpečit, aby byla minimální pravděpodobnost, že dojde k současnému výpadku primárních i záložních systémů. Pohotovostní plány musí být pravidelně revidovány, pověřovány a testovány. Pracovníci musí být s těmito plány seznámeni a musí být schopni podle nich postupovat. Role nezávislého dohledu Zásada 8: Ověřování efektivnosti systému řízení operačního rizika Bankovní dohled má po všech bankách požadovat, aby měly zaveden efektivní systém pro identifikaci, vyhodnocování, sledování a řízení či zmírňování operačního rizika, který bude v souladu s uvedenými zásadami a právními předpisy. Zásada 9: Nezávislé hodnocení řízení operačního rizika Nezávislý dohled má pravidelně provádět nezávislé hodnocení bankovních politik, procesů a postupů z hlediska jejich kvality, efektivnosti, integrity a úplnosti. Lze uvést několik příkladu, co by nezávislé hodnocení operačního rizika orgánem dohledu mohlo zahrnovat: o efektivitu procesů pro řízení operačního rizika a celková kontrola prostředí pro řízení operačního rizika, o metody banky pro monitorování operačního rizika, zahrnující údaje o operačních ztrátách a jiné ukazatele hodnotící potencionální operační riziko, o bankovní procesy pro včasné a efektivní vyřešení události operačního rizika, o efektivnost bankovních procesů na zmírnění operačního rizika, např. pojištění, o bankovní procesy pro vyhodnocení celkové kapitálové přiměřenosti pro operační riziko ve vztahu k rizikovému profilu. Transparentnost banky Zásada 10: Zveřejňování informací o operačním riziku Banka by měla pravidelně uveřejňovat informace o operačním riziku za účelem zvýšení tržní disciplíny, a tedy zefektivnění řízení operačního rizika. Investoři a obchodní partneři by měli znát míru vystavení banky operačnímu riziku, to zda efektivně identifikuje, vyhodnocuje, sleduje a řídí své operační riziko. Doporučení pro efektivní řízení operačního rizika v bankách: 1. definovat své operační riziko, 2. stanovit jednotlivé cíle a priority pro řízení operačního rizika, 3. získat podporu management, 4. identifikovat všechna operační rizika v instituci, 5. budovat databází ztrátových událostí z operačních rizik, 6. odhadnout maximální ztráty nebo distribuci ztrát ke každému riziku, 7. identifikovat vlastníky rizik, 8. zdokumentovat kontrolní a jiné činnosti snižující operační riziko, 9. identifikovat další činnosti snižující pravděpodobnost a výši ztrát z operačního rizika, 10. zvážit efektivnosti těchto činností, 11. porovnat náklady těchto činností s jejich efektem, 12. zajistit, aby vlastník rizika byl i vlastníkem činnosti snižující toto riziko, 13. provádění osvětové činnosti, 14. zainteresovat střední management do řízení operačních rizik, 15. neustále zdokonalovat systém řízení operačního rizika, 16. pravidelně informovat představenstvo, 17. informovat i regulátora, 18. provádět testování systému řízení operačního rizika, 19. zpětně hodnotit výsledky systému řízení operačního rizika a poučit se z nich.[10] Omezování operačního rizika Hlavním cílem řízení operačního rizika by mělo být jeho omezení. Riziko můžeme v zásadě omezit dvěma způsoby: 1. Prevence výskytu. 2. Snižování následků realizace rizika. Schéma – Způsoby omezování operačního rizika Organizační diagram Zdroj: Monika Laušmanová, prezentace Basel II a implementace řízení operačních rizik v České spořitelně, dostupné z http://basel2.czech-ba.cz/basel2/kategorie.asp?idk=107 1. Prevence výskytu rizik Banka má několik možností jak může snížit výskyt operačního rizika. Vždy ale musí zvážit, zda omezení výskytu daného rizika nebude pro banku znamenat výrazné snížení výnosů plynoucí z provádění rizikové operace a zda omezování výskytu rizika nebude nákladnější, než následky jeho realizace. Ukončení činnosti Krajní možností je, že banka vůbec nebude provádět operace, s nimiž je vybrané operační riziko spojeno. Tím se ovšem připravuje o možnosti získání výnosů z této činnosti a musí tedy posoudit, zda riziko je opravdu tak velké , že se nevyplatí jej řídit jiným způsobem. Zvláště v poslední době, kdy klienti jsou zvyklí na komplexní produkty a komplexní služby, může mít neposkytování vybrané služby následek odchod klientů ke konkurenci a tedy ztrátu zisku i v jiných oblastech než je pouze tato jedna služba nebo produkt. Banka tedy musí zvážit, jaký celkový dopad bude mít zrušení dané operace na výsledovku. Změna technologie Jinou možností, jak omezit riziko u prováděné operace, je změnit technologii, pomocí níž operaci realizujeme, na technologii bezrizikovou, případně méně rizikovou, než byla ta původní. Je třeba tedy neustále sledovat, jaké technologie trh nabízí, a zda není třeba inovovat stávající vybavení banky. Opět je nutné porovnávat náklady na inovování s náklady, které přináší podstupovaná rizika. Stanovení závazných postupů Dalším nástrojem snížení rizikovosti dané operace může být stanovení závazných postupů, kterými se musí zaměstnanci banky řídit. Banka může stanovit u jednotlivých operací závazný sled úkonů, které zaměstnanec musí dodržet. Zároveň lze využít vnitřní kontrolní systémy např. na základě principu „čtyř očí“, kdy zaměstnanci navzájem dohlíží na správnosti provedených úkonů. Tím, že banka stanoví postupy, jak má být daná operace provedena a kontrolní systémy, které zaměstnance ihned upozorní na chybu, výrazně sníží možnost lidského selhání. Outsourcing Outsourcing znamená, že banka některou službu, kterou doposud prováděla sama, svěří k provádění nějaké externí firmě a od té pak tuto službu nakupuje. Bance tak tedy odpadnou náklady na provádění této služby a jednak operační riziko spojené s jejím prováděním. Toto operační riziko je vlastně přeneseno na podnikatele, od kterého bude banka danou službu či produkt nakupovat. Je ovšem nutné zhodnotit, zda cena za nakupovanou službu nebude příliš vysoká vzhledem ke sníženým nákladům a rizikům. Tím, že banka nakupuje určité produkty od externích dodavatelů, snižuje se množství potřebného personálu, který může být využit v jiných oblastech, odpadá nutnost nákupu technologií pro provádění potřebných operací spojených s daným produktem, není nutné školit zaměstnance na nové postupy a technologie, odpadají rizika spojená s používáním těchto technologií apod. Je nutno si také uvědomit, že převedením služby nebo produktu na externího dodavatele vznikají rizika jiná. Existuje zde možnost, že firma nedodá daný produkt nebo službu včas, produkt nebude mít požadované parametry, firma zkrachuje, dodávky produktu nebo sužby nebudou dostatečně flexibilní atd., což by mohlo bance narušit plynulý chod či narušit jednání s klienty. Problematice outsourcingu bude dále věnovaná samostatná kapitola, která se bude zabývat podrobnějším rozborem outsourcingu v bance. Zabezpečovací systémy Zabezpečovací systémy jsou nezbytnou součástí každé banky. Jedná se především o zabezpečovací systémy na ochranu hmotného majetku, jako např. detektory ohně, poplašná zařízení napojená na policii apod., důležitou roli hrají také zabezpečovací systémy na ochranu dat a různé zálohovací systémy. 2. Omezování následků realizace rizik Banka se při své činnosti nemůže vyhnout všem rizikům, proto musí počítat s tím, že přestože provádí preventivní opatření, dříve či později dojde k realizaci některého rizika. Banka proto musí mít nástroje, pomocí nichž je schopna snížit či omezit následky rizika, které nastane. Banka upravuje míru podstupovaného operačního rizika uplatňováním vhodných postupů omezování výskytu či nepříznivých dopadů výskytu událostí operačního rizika. Banka posoudí jak rizika ovlivnitelná, tak rizika stojící mimo její přímý vliv a rozhodne, zda rizika přijme, omezí jejich dopady, či zda omezí nebo zcela ukončí příslušnou činnost. Banka pro omezování operačního rizika vytvoří a udržuje například postupy pro: a) řízení přístupů zaměstnanců, klientů a dalších oprávněných osob k hmotnému a nehmotnému majetku banky, b) řešení odezvy na případný výskyt bezpečnostních incidentů, c) řešení operačního rizika při zajišťování dodávek zboží a služeb a při outsourcingu, pokud je bankou uplatňován či zvažován.[11] Pojištění Tradiční možnou formou snižování dopadů vybraných událostí operačního rizika je pojištění. Používá se spíše pro málo frekventované ztráty s větším dopadem. Například pojištění proti dopadům málo pravděpodobných, avšak významných událostí operačního rizika stojícím mimo přímý vliv banky, jakými jsou například živelné pohromy či podvody a některé další.V praxi si banka nepojišťuje běžné škody, ale spíše závažnější události. Tím že se banka pojistí, převede riziko na pojišťovnu. Basilejské standardy prezentují pojištění spíše jako doplňkové opatření k základnímu nástroji omezování operačního rizika, kterým jsou opatření kontrolního a bezpečnostního charakteru, s důrazem na prevenci a včasnost reakce na případný výskyt možného operačního rizika. Banka musí u každého rizika zvážit, zda je či není pro ni pojištění výhodné. Musí porovnávat náklady na pojištění s očekávanou výší očekávané ztráty. Očekávaná ztráta je nejistá, proto ji banka musí zvažovat s ohledem na pravděpodobnosti jejího vzniku a její závažnost. Pokud očekávaná ztráta nepřesáhne náklady na pojištění, pak není pro banku výhodné se proti danému riziku pojistit Pro banky a finanční instituce existuje speciální pojistný produkt Bankers Blanket Bond (bankéřova krycí pojistka). Kryje čisté finanční škody způsobené zpronevěrou, škody způsobené odcizením, škody v souvislosti s přepravou peněz, paděláním měny a cenných papírů. Toto pojištění není na českém trhu běžně dostupné, avšak je možnost zajištění krytí na zahraničních pojistných trzích, prostřednictvím pojišťovny MARSH, s. r. o. působící v České republice. Pojištění zpronevěry kryje přímé finanční škody způsobené pojištěnému podvodem včetně krádeže, zpronevěry, vydírání, počítačového podvodu a nečestného jednání. Může se jednat např. o krádež včetně nezákonného přivlastnění finančních prostředků pojištěného třetími osobami nebo zaměstnanci a krádež ostatního majetku zaměstnanci, zpronevěru finančních prostředků či majetku pojištěného osobami, které mají tyto prostředky či majetek ve správě, vydírání spojené s požadavkem na vydání finančních prostředků pod hrozbou sabotáže informačních systémů, počítačový podvod včetně ztráty finančních prostředků, majetku nebo jiné finanční škody způsobené zpracováním dat, jejich smazáním, neoprávněným vložením dat nebo manipulací se softwarem a nečestné jednání zaměstnance, samostatně i ve spolupráci s jinými, jehož záměrem je získat osobní prospěch nebo způsobit pojištěnému škodu. Určité formy nepřímých škod jsou standardně z pojištění vyloučeny, avšak je možnost si je připojistit. Jedná se o ztrátu splatných úroků v důsledku podvodu, výdaje na obnovu dat a softwaru v důsledku počítačového podvodu a škody způsobené počítačovými viry. Toto pojištění je rovněž možné zajistit pouze na zahraničních pojistných trzích. Banky a finanční instituce si mohou dále zprostředkovat pojištění profesní odpovědnosti, které je neméně důležité. [12] Zdroj: http://www.marsh.cz/risk/ Banka dále musí vzít v úvahu nová rizika, která z pojištění vznikají. Vždy zde existuje možnost, že pojišťovna při realizaci daného rizika a vzniku ztráty z nějakého neposkytne pojistné plnění nebo jej neposkytne v plné výši. Dalším problémem může být skutečnost, že pojišťovna potřebuje určitý čas na ověření škody, tedy zda ztráta byla zapříčiněna pojištěným rizikem, jaká je její výše, jaká bude výše výplaty apod., a proto pojistné plnění nastává až delší dobu po realizaci ztráty, což může zapříčinit ohrožení likvidity banky, pokud nemá žádné náhradní zdroje financování. Důležitým předpokladem efektivního pojištění je oboustranná shoda a porozumění rozsahu pojištění. Banka i pojišťovna musí mít jasno v tom, jaká rizika a do jaké míry jsou pojištěna a jaké jsou další podmínky pojistné smlouvy. Zvýšenou pozornost je třeba zaměřit na jaká rizika se pojištění vztahuje, která jsou ze smlouvy vyloučena a jaké jsou další podmínky pojistné smlouvy (např. výše pojistné částky, výše spoluúčasti banky na krytí ztrát, pojistná doba atd.). Banka musí dodržovat podmínky stanovené ve smlouvě pojišťovnou k ochraně před realizací daného typu rizika. Takovými podmínkami mohou být například stanovení postupů, kontrolních procesů, zabezpečovací prvky v bance, spoluúčast na vzniklé ztrátě. Banka je tak nucena snižovat pravděpodobnost vzniku ztráty a podílet se na jejím pokrytí, čímž se pojišťovna snaží omezit možnost morálního hazardu ze strany banky. Z nejasností v pojistné smlouvě mohou v budoucnu, kdy banka bude požadovat výplatu pojistného plnění, vyplynout právní spory, a tedy další dodatečné náklady pro banku. Banka se snaží snížit množství regulatorního kapitálu, neboť kapitál, který musí držet v hotovosti ji nepřináší žádný výnos. Pokud se banka pojistí proti určitému typu rizika a dojde k jeho realizaci, pokrytí ztráty plynoucí z toho rizika přechází na pojistitele. Pokud by tedy bylo schválenou regulatorním orgánem, banka si může snížit kapitálový požadavek o celou výši pojistné částky. Pokud regulátor povolí snížení kapitálového požadavku, může banka dodatečně uvolněné prostředky použít ve svých transakcích a zvýšit tak své výnosy. Graficky nám tuto skutečnost popisuje následující obrázek rozložení ztrát operačního rizika. Graf: Snížení držby kapitálu v důsledku pojištění Zdroj: Magdalena Středová, Přístupy k měření operačního rizika (projekt ČBA) Následující graf zobrazuje rozdělení jednoho typu ztráty, proti kterému se banka rozhodne pojistit. Jak vidíme na horním grafu, předtím než se pojistí, musí banka držet kapitálový požadavek v celém rozsahu neočekávané ztráty. Na spodním grafu vidím, jak se sníží potřeba držby ekonomického kapitálu, pokud se banka pojistí. Tmavě šedá část ukazuje novou výši ekonomického kapitálu, který je nutný k pokrytí neočekávaných ztrát, světle šedá oblast ukazuje velikost pojistné částky sjednané s pojišťovnou, tzn. velikost neočekávané ztráty u daného typu rizika, která bude při vzniku ztrátové události pokryta pojistným plněním od pojišťovny Tato úvaha je ale spíše teoretická, neboť regulatorní úřad nepovoluje snížení kapitálového požadavku o celou sjednanou pojistnou částku. Snížení kapitálového požadavku může být povoleno pouze v případě, že pojistná doba, případně zbytková doba trvání pojištění je stejně dlouhá nebo delší než období na které se vytváří kapitálový požadavek, tzn. většinou jeden rok. Regulatorní úřad také musí posoudit, jaká je možnost zrušení kontraktu ze strany pojišťovny. Jestliže tato možnost existuje a výpovědní lhůta je kratší než jeden rok, nemůže být kapitálový požadavek snížen o celou výši pojistné částky. Pokud banka nesníží svůj kapitálový požadavek, pak by byly částečně pokryty i katastrofální ztráty. S ohledem na kvalitu pojišťovací společnosti a na kvalitu pojistné smlouvy mohou banky snížit velikost kapitálového požadavku z operačního rizika maximálně o 20% původního kapitálového požadavku. Podrobnější podmínky jsou rozvedeny v Návrhu vyhlášky k Basel II.[13] Hmotná odpovědnost zaměstnanců Banka by měla důsledně vymezit svým zaměstnancům pravomoci, povinnosti a také z toho plynoucí odpovědnosti. Zaměstnanci jsou povinni dodržovat veškeré předpisy banky, včetně bankou stanovených závazných postupů a limitů pro svou činnost. Pokud zaměstnanci tato pravidla nedodrží a bance z toho důvodu vznikne ztráta, má možnost, na základě smlouvy o hmotné zodpovědnosti uzavřené se zaměstnancem, požadovat po něm náhradu této škody. Dopad vzniklého operačního rizika se tedy sníží o výši škody uhrazenou jejím zaměstnavatelem. Havarijní plány Havarijní plány hrají důležitou roli při snižování následků realizace rizik, mají stanovit jak zaměstnanci mají postupovat při vzniku mimořádných událostí, aby došlo co k nejrychlejšímu obnovení činnosti banky a minimalizovaly se tak její finanční ztráty. Jedná se o seznam plánů, které mají zmírnit dopad události, proto by plány měly být k dispozici pověřeným osobám (krizovým manažerům) nejlépe ve strukturované, přehledné podobě. K zajištění dobré funkce krizového managementu napomůže, když alespoň jedna osoba z této skupiny má plány k dispozici u sebe a také když bude zajištěna dostupnost lidí z krizového managementu. Zároveň by měla existovat ke každému plánu evidence jeho nácviku a výsledků cvičení. Sama úroveň procvičování záleží již na bance. Plán může být například procvičen pouze formou pohovoru, při němž se zjistí, zda krizový management ví, jak postupovat, nebo částečnou či kompletní simulací krizové situace. Obecně platí, že v praxi by se měl každý plán procvičovat alespoň jednou ročně. To bohužel mnohé banky opomíjí. Procvičení plánu by měla napomoci odhalit nedostatky v plánech a tím přispět ke zlepšení řízení operačního rizika. ------------------------------- [1] Návrh vyhlášky implementující Basel II, , příloha č. 26, str. 334 – 343 , Rozsah údajů pravidel obezřetného podnikání uveřejňovaných na individuálním základě [2] Opatření české národní banky č. 2 ze dne 3. února 2004 K vnitřnímu řídícímu a kontrolnímu systému banky, dostupné z http://www.cnb.cz/www.cnb.cz/cz/legislativa/predpisy_bd/rizeni_rizik/index.html [3] Zdroj: Observed range of practice in key elements of Advanced Measurement Approaches (AMA), – Basel Committee on Banking Suervision, October 2006, dostupné na http://www.bis.org/publ/bcbs131.pdf [4] Zdroj:návrh Working Group on Operational Risk, Institute of International Finance a Australian and New Zeland Banking Group Limited [5] Opatření české národní banky č. 2 ze dne 3. února 2004 K vnitřnímu řídícímu a kontrolnímu systému banky, dostupné z http://www.cnb.cz/www.cnb.cz/cz/legislativa/predpisy_bd/rizeni_rizik/index.html [6] Citace: Opatření české národní banky č. 2 ze dne 3. února 2004 K vnitřnímu řídícímu a kontrolnímu systému banky, dostupné z http://www.cnb.cz/www.cnb.cz/cz/legislativa/predpisy_bd/rizeni_rizik/index.html [7] Zdroj: Basel Commitee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, Bank for International Settlements, February 2003 [8] Opatření české národní banky č. 2 ze dne 3. února 2004 K vnitřnímu řídícímu a kontrolnímu systému banky, dostupné z http://www.cnb.cz/www.cnb.cz/cz/legislativa/predpisy_bd/rizeni_rizik/index.html [9] Zdroj: Basel Commitee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, Bank for International Settlements, February 2003, dostupné z http://www.bis.org/bcbs/index.htm [10] Zdroj: Monika Laušmanová, prezentace Basel II a implementace řízení operačních rizik v České spořitelně, dostupné z http://basel2.czech-ba.cz/basel2/kategorie.asp?idk=107 [11] Opatření české národní banky č. 2 ze dne 3. února 2004 K vnitřnímu řídícímu a kontrolnímu systému banky, dostupné z http://www.cnb.cz/www.cnb.cz/cz/legislativa/predpisy_bd/rizeni_rizik/index.html [12] Zdroj: http://www.marsh.cz/risk/ [13] Zdroj: Návrh vyhlášky implementující Basel II, příloha č.22, odst. IV., strana 323 http://www.cnb.cz/www.cnb.cz/cz/dohled_fin_trh/bankovni_dohled/bankovni_dohled/vyhlaska_basel_II/index.html