Szwajcarski bank UBS stracił 2 mld dol. w wyniku działań jednego swojego człowieka. (CC By-SA twicepix)
Przypadek UBS nie jest pierwszym, ani zapewne ostatnim potwierdzeniem, że ryzyko operacyjne w bankach nie jest właściwie rozumiane, zarządzane i monitorowane. Szczególnie niepokojące wydawać się może, że zdarzyło się to w solidnym, globalnym i o „szwajcarskim rodowodzie” banku, gdzie tradycyjnie jakość, reputacja i dyskrecja transakcji nie wymaga rekomendacji.
Tradycyjnie, synonimem ryzyka operacyjnego banku było zwykłe oszustwo pracownika, czy pracowników banku (rogue z ang.), polegające na nadużyciu zakresu, bądź brak kompetencji. Konsekwencją jest strata finansowa banku lub jego klienta. Zarówno dla bankowców, jak i tym bardziej dla klientów banku, ryzyko operacyjne rzadko kojarzyło się z całościowym systemem wewnętrznego, kompleksowego zarządzania wszystkimi ryzykami banku, gdzie właściwie zdefiniowane procesy, przyjęte procedury postępowania powinny gwarantować wysoki poziom bezpieczeństwa klienta operacji bankowych.
W drugiej połowie XX wieku, wskutek dynamicznego rozwoju rynku bankowego, technologii, systemów operacyjnych, infrastruktury technicznej wspomagającej operacje banku, dostrzeżono potrzebę uważniejszego i szerszego zdefiniowania zakresu ryzyka operacyjnego.
Oprócz świadomego działania na szkodę banku lub klienta, z ryzykiem operacyjnym kojarzymy aktualnie wszelkie zdarzenia negatywne (także te z obszaru ryzyka systemowego, rozumienia procesów, przyjętych procedur wewnętrznych), jakie wynikają m.in. z awarii systemu operacyjnego i transakcyjnego banku, terroryzmu, roszczeń odszkodowawczych pracowników banku.
Ryzyko operacyjne, podobnie jak i kredytowe dla wszelkich rodzajów transakcji bankowych zdefiniowane zostało wraz z opracowaniem stosownych rekomendacji, zasad zarządzania ryzykiem, wymogów kapitałowych, przez BIS (Bank for International Settlement) w Bazylei.
Ponieważ BIS jest niekwestionowanym liderem w wyznaczaniu „benchmarków” dla podstawowych parametrów „bezpieczeństwa” funkcjonowania systemu bankowego w świecie a tym samym bezpieczeństwa obrotu, rozliczeń transakcji bankowych – polski nadzór bankowy przyjął referencje BIS, jako fundamentalne dla potrzeb kontroli zarządzania ryzykiem operacyjnym w bankach na rynku polskim.
Ryzyko operacyjne i związane z nim potrzeby adekwatności kapitałowej banku, jest elementem służącym wyliczeniu minimum funduszy własnych banku potrzebnych do zarządzania ryzykiem (ryzyko systemowe rynku, kredytowe, transakcyjne, operacyjne) przeprowadzanych operacji i okresem czasu ich trwania.
Tak zwana Bazylea I, II, III, Capital Adequacy Principles – to regulacje BIS obejmujące także tematykę ryzyka operacyjnego.
Każdy liczący się uczestnik światowego rynku finansowego (bank), przyjmując za podstawę działania rekomendacje BIS, regulacje i obowiązki narzucone przez nadzór bankowy kraju, w którym działa – dokonuje wyboru narzędzi, metod dla zarządzania ryzykiem operacyjnym. W zależności od stopnia konserwatyzmu w podejściu do adekwatności kapitałowej – polski nadzór bankowy jest przykładem „rozważnego” podejścia do zagadnienia ryzyka operacyjnego – mamy różne jakościowo regulacje na różnych rynkach.
Dla porządku przypomnę, że Komitet Nadzoru Bankowego BIS to reprezentacja 29 (wraz z BIS) regulatorów rynku bankowego, głównych rynków świata. Polska ma w Komitecie przedstawiciela z KNF. Stany Zjednoczone, doceniając rolę BIS jako źródła ogólnych rekomendacji dla rynku bankowego, zagadnień adekwatności kapitałowej, w tym dla potrzeb zarządzania ryzykiem operacyjnym, mają w Komitecie przedstawicieli nie tylko nadzoru bankowego (Federal Reserve Bank of New York i Boston), ale i innych nadzorów powołanych dla pełnego monitorowania rynku finansowego US (depozyty, oszczędności, rozliczenia).
W czerwcu 2011 r., Komitet Nadzoru Bankowego BIS sformułował i opublikował „Principles for the sound management of operational risk” Fundamentalne zasady sformułowane przez BIS w czerwcu br to:
Odpowiedzialnością zarządu banku (tym samym wcześniej rady nadzorczej banku) jest wypracowanie i wdrożenie kultury zarządzania korporacją, opartej na mocnym i pełnym zarządzaniu ryzykiem. Wiąże się to z odpowiedzialnością zarządu za wdrożenie odpowiednich dla sparametryzowanego ryzyka standardów, które decydują o profesjonalnym i odpowiedzialnym „zachowaniu” banku. Kultura zarządzania ryzykiem operacyjnym dotyczyć ma całej korporacji, wszystkich struktur. Nawiasem mówiąc często niestety zapomina się o tym, że każda jednostka banku, w tym back office to potencjalne źródło negatywnych zdarzeń z obszaru ryzyka operacyjnego.
Należy opracować, wdrożyć i utrzymywać „ramowe zasady” dla potrzeb zarządzania ryzykiem operacyjnym, które winny być w pełni zintegrowane z całym systemem zarządzania wszystkimi procesami w banku.
Mój komentarz do praktyki na rynku bankowym w stosunku do rekomendacji BIS (dotyczy nie tylko Polski) jest taki: nadal brak jest świadomości potrzeby integracji ryzyka operacyjnego z ogólnym systemem zarządzania ryzykiem wszystkich procesów wewnętrznych w banku. Progres zauważalny jest tylko na styku bank-klient-bank. W wielu przypadkach, nadal nie zdefiniowano większości potencjalnych zagrożeń.
Oglądanie się tylko na regulacje nawet najbardziej konserwatywnego nadzoru w obszarze zarządzania ryzykiem operacyjnym, prowadzi donikąd. Banki dzisiaj, takie jak szwajcarski UBS, to instytucje o skali globalnej (mają różne rynki działania, wielość specjalności, rodzajów prowadzonej działalności), które wobec dynamicznych zmian na światowym rynku finansowym winny stale „uszczelniać i poprawiać” swój system zarządzania ryzykiem. Jest paradoksem, że przy wielości i powtarzających się kompetencjach nadzoru (sytuacja banku globalnego działającego na wielu rynkach), umyka podstawowa kwestia konsolidacji ryzyka on line, właściwej alokacji kapitału i kontroli jego przepływu w takich „globalach” jak UBS.
Największym źródłem zagrożenia ryzykiem operacyjnym są nieuczciwe i zazwyczaj nieautoryzowane transakcje w obrocie inwestycyjnym (transakcje portfelowe i „tradeowe”, na rachunek banku lub klienta). Regulacje BIS można traktować jako „benchmark” zarządzania ryzykiem operacyjnym w bankach, ale nie są one jedyne. Warto przypomnieć, że Kongres USA uchwalił i polecił wdrożyć prawo (zasady) obrotu papierami wartościowymi już w 1933 roku(„Securities Act of 1933”).
Prawo to obejmowało restrykcje dla zapobiegania oszustwom w obrocie, nieprawdziwej (fałszywej) reprezentacji i ujawnianiu informacji poufnych, zastrzeżonych w obrocie papierami. Odpowiedzialność w temacie przypisano Securities and Exchange Commission poprzez przyjęcie kolejnego aktu ustawodawczego: Securities Exchange Act of 1934.
4 lipca 1975, wszedł w życie „Securities Acts Ammendments of 1975”, na mocy którego ustanowiono National Market System wraz z przyjęciem zasad, procedur dla krajowego (federacja stanów zjednoczonych Ameryko Płn.) systemu zatwierdzania i rozliczania transakcji „na papierach wartościowych”.
Zarówno amerykańskie, jak i BIS regulacje dla minimalizowania ryzyka operacyjnego, w tym w obrocie papierami wartościowymi, nie zapobiegły niestety tak spektakularnym oszustwom, defraudacjom, jak wybrane przez autora przypadki : Barings Banks, Societte Generale, a ostatnio UBS.
Elementem przestępstwa, który łączy te przypadki jest :
– Sprzedaż i rozliczenie transakcji w „jednym ręku”,
– Niespójny i niekompletny system on line raportowania, administrowania i rozliczenia transakcji,
– Brak „szczelnego” systemu zarządzania ryzykiem operacyjnym,
Powyższe przypadki są ogólnie znane. Skupię się na faktach, o których się mało mówi i które w moim odczuciu były kluczowe dla efektu końcowego.
Najstarszy bank inwestycyjny Zjednoczonego Królestwa (UK), założony w 1762 roku, upadł w 1995 r. Do upadku Barings Bank doprowadził nieadekwatny do skali i miejsca (Singapur) prowadzonej działalności inwestycyjnej system zarządzania ryzykiem operacyjnym, w tym brak rozliczenia transakcji w czasie rzeczywistym.
Z upadkiem banku łączy się – niestety słusznie – działalność jednego człowieka, pracownika Barings Bank, Nicholasa (Nick) Leesona.
W wieku 25 lat, Nick Leeson został mianowany general managerem na rynku „futures” w Singapurze. Poprzednio pracował w banku Coutts (prywatny bank, który zasłynął m.in. z obsługi rodziny królewskiej w Anglii). Mając odmowę licencji brokerskiej w Anglii, zarówno Barings Bank, jak i zainteresowany zataili ten fakt przy aplikacji Leesona o licencje brokera w Singapurze.
Pierwsze nieautoryzowane transakcje Nicka (1992) przyniosły zysk dla Barings i bonus dla Leesona. O tym ile i jak (technika przestępstw) doprowadził do straty finansowej zakończonej upadkiem banku, różne źródła i nn sam różnie informują. Odsyłam do takich publikacji jak m.in. Rogue Trader (autobiografia), publikacje New York Times, archiwa nadzoru bankowego w UK (Financial Services Authority i Bank of England) .
Wszyscy pamiętamy „rachunek korekt” Barings Bank o numerze 88888, na którym Nick Leeson „ukrywał” swoje straty. Mówiąc o „wyjątkowości” Nicka zapominamy, że to Barings Bank stworzył Nickowi system, w którym sam sprzedawał deale i sam je rozliczał. Czy na rynku Wielkiej Brytanii, który jest referencyjnym dla banków w świecie (jakość i „dojrzałość” tzw. prudentials i corporate governance), w banku z taką tradycją działania, „specjalistycznym” banku inwestycyjnym – możliwe było działanie w pojedynkę Nicka Leesona?
„To big to fall” – ta maksyma okazała się prawdziwa w przypadku defraudacji, jaka miała miejsce w Societe Generale w 2008 r. Mimo czterokrotnie wyższej niż w przypadku Barings Bank straty (około 4,9 mld euro). Miejscem oszustwa był Paryż. Rogue traderem okazał się 31-letni Francuz, Jerome Kerviel, W interpretacji SG, oszustwo Kerviela oparte było na prostych ale „ukrytych” transakcjach (ang. concealed) w systemie złożonych i zróżnicowanych technik jakie stosował. Deale dotyczyły obrotu akcjami i instrumentami dłużnymi. Kerviel „specjalizował” się w transakcjach futures.
Co zaszokowało Nicka Leesona – warto zwrócić uwagę na komentarz dla BBC – to skala oszustwa Kerviela. Co do popełniania oszustw w bankowości inwestycyjnej ( po 16 latach od upadku Barings) Leeson stwierdził w 2008 roku, że:„rogue trading is probably a daily occurence within financial markets”. Nic się nie zmieniło.
UBS – przypadek z września 2011 r.
Miejscem „zdarzenia” jest tym razem Londyn. Strate poniósł szwajcarski bank UBS, Jej wielkość wynosi 2 mld dolarów USA. Sprawcą okazał się 31-letni Kweku Adobli, trader w UBS AG. „Specjalizacją” Adobli był obrót funduszami inwestycyjnymi (SG Exchange traded funds).
– Wiek: nie więcej niż 31 lat w momencie wykrycia oszustwa,
– Skala oszustwa – od 1 do 5 mld euro,
– Specjalizacja – operacje futures,
– Miejsce przestępstwa – poza siedzibą centrali banku,
– Globalny charakter i znacząca (bądź jak w przypadku Barings dominująca) działalność inwestycyjna,
– Przeprowadzanie operacji na rachunek banku – interes klientów nie został naruszony,
Rogue traderów różni właściwie tylko jedno: długość okresu, w którym przeprowadzali nieuczciwe, nieautoryzowane transakcje (najdłużej Barings). W każdym z przytoczonych przypadków, rozumienie i zarządzanie ryzykiem operacyjnym było niewłaściwe.
Autor jest specjalistą w zakresie bankowości, finansów, makroekonomii. Pracował w Banku Handlowym i w Grupie KBC Polska.
W styczniu 2020 roku Wielka Brytania formalnie opuściła Unię Europejską. Oczekiwane korzyści z brexitu, poza odzyskaniem suwerenności w zakresie kształtowania prawa i zewnętrznych relacji gospodarczych, jednak się nie zmaterializowały. Widoczny jest natomiast spadek wydajności i konkurencyjności brytyjskiej gospodarki, co wpływa także na kondycję rynku pracy.
