Konferencja Reforma regulacyjna sektora bankowego priorytety na rok 2014 23 października 2013 Rekomendacje KNF przegląd wybranych zmian Rekomendacja M dotycząca zarządzania ryzykiem w bankach Monika Jezierska, EY Łukasz Moskwa, EY Cele nowelizacji Rekomendacji M kluczowe aspekty zgodności Nowelizacja rekomendacji M ma na celu usystematyzowanie wymogów w zakresie zarządzania ryzykiem Rekomendacja M wprowadza obowiązek weryfikacji kompetencji kierownictwa banku (zarządu banku) oraz oceny adekwatności stosowanych rozwiązań organizacyjnych Główne obszary zmian Rekomendacji M KNF Ustrukturyzowanie zasad zarządzania ryzykiem, w tym formalne wprowadzenie apetytu i tolerancji na ryzyko operacyjne Podejmowanie działań przeciwdziałających ryzyku, w tym w zakresie rozwijania nowych modeli biznesowych i produktów Kontrola ryzyka braku zgodności, w szczególności związanego z klientami i transakcjami Zarządu i Rady Nadzorczej Testów warunków skrajnych Kontrola jakości danych Legenda: Bardzo wysoki Wysoki Średni Niski 2
Ocena zaawansowania banków w zakresie wdrożenia Rekomendacji M Rekomendacje Główny temat Ocena zaawansowania banków Rekomendacja 1 & 2 Rekomendacja 3 & 4 Rekomendacja 5 Rekomendacja 6 Rekomendacja 7 Strategia zarządzania ryzykiem System zarządzania ryzykiem Jednostka ds. zarządzania ryzykiem Spójne zasady zarządzania ryzykiem w jednostkach zależnych Samoocena ryzyka operacyjnego Rekomendacja 9 Testy warunków skrajnych Rekomendacja 11 Plany ciągłości działania Rekomendacja 12 Rekomendacja 13 & 14 Rekomendacja 15 Rekomendacja 16 Transferowanie ryzyka, w tym ubezpieczenia i outsourcing Kontrola ryzyka i funkcja compliance Monitorowanie ryzyka Raportowanie i polityka ujawnień * Jako punkt referencyjny przyjęto stosowania przez banki najlepszych praktyk, w tym wdrożenie zaawansowanych metod pomiaru ryzyka operacyjnego 3 Profil ryzyka w strategii zarządzania ryzykiem Profil ryzyka operacyjnego Skala i struktura ekspozycji na ryzyko operacyjne; do jego ustalenia bank wykorzystuje posiadane informacje na temat zdarzeń operacyjnych (w tym dotyczące ich częstości i dotkliwości) oraz informacje pochodzące z wykorzystywanych narzędzi zarządzania ryzykiem Strategia zarządzania ryzykiem powinna określać m.in. docelowy profil ryzyka operacyjnego banku, uwzględniający skalę i strukturę ryzyka operacyjnego Stan realizacji Większość banków wdrożyła przepisy regulujące proces określania i raportowania bieżącego i docelowego profilu ryzyka operacyjnego Obecnie, z uwagi na krótki okres czasu od wdrożenia, regulacje te w ograniczony sposób przełożyły się na praktykę bankową Wobec powyższego brak do tej pory doświadczeń pozwalających ocenić skuteczność projektowania i realizacji profilu ryzyka Obecny profil ryzyka operacyjnego Docelowy profil ryzyka operacyjnego Profil ryzyka operacyjnego 4
i apetyt na ryzyko operacyjne Praktyki rynkowe Na rynku spotykane jest różne zrozumienie pojęć tolerancja i apetyt na ryzyko operacyjne, zatem definicje również się różnią Pojęcia tolerancji i apetytu bywają używane substytucyjnie jak i komplementarnie Niektóre z banków wprowadziły procesy zarządzania ryzykiem przy pomocy tolerancji/apetytu na ryzyko jeszcze przed znowelizowaniem Rekomendacji M. Dotyczy to głównie banków, które stosują lub zamierzają stosować zaawansowane metody zarządzania ryzykiem (AMA) Wdrożenie procesów dot. tolerancji/apetytu na ryzyko skutkuje silnym wzrostem świadomości organizacji w zakresie zarządzania ryzykiem, co wynika z nałożenia praktycznej odpowiedzialności za zarządzanie ryzykiem na jednostki operacyjne Bank 1 Bank 2 Bank 3 Zarząd Apetyt na ryzyko Kadra kierownicza Limity na ryzyko Apetyt na ryzyko Bank nie definiuje pojęcia apetytu na ryzyko Limity na ryzyko Jednostki operacyjne banku i apetyt na ryzyko 5 Identyfikacja i ocena ryzyka operacyjnego w produktach, procesach i systemach nowe wymogi Doprecyzowanie i rozszerzenie w stosunku do Rekomendacji z 2004 r.* Identyfikacja i ocena ryzyka nowych produktów, procesów i systemów przed ich wprowadzeniem w życie Rozszerzenie procesu Identyfikacja wynikająca z wejścia na nowy rynek, zmian w strukturze organizacyjnej, procesów fuzji lub przejęcia, restrukturyzacji Inwestycja w technologię i zasoby ludzkie przed wprowadzeniem nowych produktów, procesów czy systemów Identyfikacja uwzględniająca zdarzenia operacyjne, wewnętrzne jak i zewnętrzne, a wśród nich także zdarzenia typu near-miss, rapidly recovered loss oraz pending-loss Identyfikacja i ocena ryzyka *Nie całkowicie zgodnej z konwencją Bazylejską (2011) 6
Identyfikacja i ocena ryzyka operacyjnego w produktach, procesach i systemach kluczowe elementy przy wdrożeniu Świadomość konsekwencji źle wdrożonych produktów: Niewłaściwy dobór partnerów i procesów outsourcingowych Świadoma akceptacja poziomu ryzyka operacyjnego - straty operacyjne, ryzyko reputacji, ryzyko zgodności Zaangażowanie jednostki zagrożonej ryzykiem w identyfikację ryzyka Przezwyciężenie syndromu braku odpowiedzialności za cały proces W polskim sektorze bankowym problemy związane z powyższymi elementami świadomości korporacyjnej są nadal duże 7 Kluczowe elementy zgodności z Rekomendacją M Komisji Nadzoru Finansowego Zakres objęcia podmiotów zależnych zarządzaniem ryzykiem Zakres i jakość wykorzystywanych umów o świadczenie usług przez podmioty zewnętrzne (umowy outsourcingowe) Ocena procesów analizy zgodności przy wdrażaniu nowych produktów, usług, systemów 5 Ryzyko compliance 1 Jakość danych Jakość danych gromadzonych w bazie strat, w tym opóźnienia w rejestracji strat, gromadzenie danych dot. zdarzeń near-miss, pending loss itd. Weryfikacja kompetencji kadry odpowiedzialnej za zarządzanie ryzykiem z udziałem jednostek HR Weryfikacja odpowiedzialności za procesy zarządzania produktami, systemami etc. Efektywność realizacji działań naprawczych Kultura organizacyjna 4 Apetyt / tolerancja na ryzyko 3 Procesy zarządzania ryzykiem 2 Poprawność i kompleksowość procesu identyfikacji i oceny Adekwatność profilu ryzyka operacyjnego (bieżącego i docelowego) Racjonalność ale i konserwatyzm testów warunków skrajnych Poprawność raportowania Uregulowanie procesu określania tolerancji i apetytu Proces weryfikacji stopnia wykorzystania tolerancji/apetytu i jego raportowanie Świadome uczestnictwo jednostek w procesie określania, zarządzania apetytem/limitami/tolerancją 8
O czym nie możemy zapomnieć już po wdrożeniu znowelizowanej Rekomendacji M? Działania naprawcze Działania mitygujące ryzyko Transfer ryzyka (w tym ubezpieczenia) Docelowy profil ryzyka operacyjnego /apetyt na ryzyko Wartości progowe strat Zakres wykorzystania ubezpieczeń Działanie ( ACT ) Planowanie ( PLAN ) Zarządzanie ryzykiem jest procesem ciągłym Kontrola ( CHECK ) Realizacja ( DO ) Monitoring nie tylko z poziomu pionu zarządzania ryzykiem Raportowanie ex-post i ex-ante Testy warunków skrajnych Identyfikacja zagrożeń Ocena ryzyka na podstawie analizy wieloźródłowej Weryfikacja wykorzystania tolerancji/apetytu na ryzyko Ocena bieżącego profilu 9 Kontakt Monika Jezierska Menedżer, EY Dział Zarządzania Ryzykiem Finansowym +48 22 557 7530 +48 505 162 226 monika.jezierska@pl.ey.com Łukasz Moskwa Doświadczony Konsultant, EY Dział Zarządzania Ryzykiem Finansowym +48 22 557 7722 +48 508 018 461 lukasz.moskwa@pl.ey.com 10