(Fot. NBP)
Defraudacje, sprzeniewierzenia majątku, obejścia lub łamanie prawa, oszustwa, w tym także kredytowe, bezwartościowe depozyty, pospolite kradzieże, wymuszenia, rabunki, sprzeniewierzenia aktywów lub ich niszczenie, fałszerstwa, oszustwa czekowe, unikanie podatków, przekupstwo, łapówkarstwo, wykorzystanie informacji poufnej, hakerstwo – wszystko to powoduje, iż banki nieustannie narażone są na ryzyko operacyjne.
Kryminalne historie ostatnich lat pełne są informacji o mniej lub bardziej wyrafinowanych przestępstwach. W zeszłym roku pracownik Alior Banku w Tarnowie zgarnął z kont klientów około miliona złotych. Pracował tam niedługo i stosunkowo szybko został złapany. Rozliczający gotówkę w bankomatach innego banku przelewał część z niej na swoje konto, czasem tylko 50 zł, a czasem 3 tys.zł – tak przez pół roku, zanim został nakryty. Ale przypadek pracownika jednego z olkuskich banków, który przez przynajmniej 10 lat przywłaszczył około miliona złotych świadczy, że w systemie organizacyjnym i procedurach były już bardzo poważne luki.
Komisja Nadzoru Finansowego w znowelizowanej właśnie rekomendacji M nie zmienia zasad wyznaczania wymogu kapitałowego z tytułu ryzyka operacyjnego. Chce zmienić natomiast sposób jego postrzegania. Określa ryzyko operacyjne bardzo szeroko. To wszelkie możliwości wystąpienia straty wynikającej z niedostosowania lub zawodności procesów wewnętrznych, ludzi i systemów, lub ze zdarzeń zewnętrznych.
Kiedy 12 lat temu gang salezjanów wyłudził z Kredyt Banku w Legnicy 418 mln zł, dokonanie przestępstwa nie byłoby możliwe, gdyby nie współudział dyrektora tamtejszego oddziału. Jakość kadr i troska o ich kwalifikacje to kolejny wątek, który przewija się przez całą nową rekomendację. Według informacji przedstawionych przez prokuraturę na zakończonym w listopadzie zeszłego roku procesie, bank nie odzyskał dotąd 130 mln zł z wyłudzonej kwoty. To bardzo wysoki koszt błędów, które na pewno popełniono też w samej organizacji.
Bank powinien dołożyć więc wszelkich starań, żeby nie dochodziło do zdarzeń, które mogą narazić na szwank jego reputację i postrzeganie przez klientów – mówi KNF. Oczywiście na plany złodzieji nie ma wpływu, ale ma wpływ na odpowiednie systemy ochrony pieniędzy klientów, ich danych czy dobór i zarządzanie kadrami. Może budować kulturę organizacji służącą bezpieczeństwu, stworzyć odpowiednie systemy przepływu i efektywnego gromadzenia informacji o stratach wynikających z ryzyka operacyjnego, procedury jego pomiaru, monitorowania i metody przeciwdziałania oraz mechanizmy kontroli zarządzania ryzykiem. A to będzie wyzwaniem dla wielu banków.
Pierwsze zadanie czeka zarządy. Oprócz strategii ogólnej, bank powinien stworzyć osobną strategię zarządzania ryzykiem operacyjnym. KNF w nowej rekomendacji podnosi zatem jej rangę. W strategii tej bank powinien jednoznacznie określić, jaki jest jego „apetyt na ryzyko”. A potem już postępować w myśl zdefiniowanych zasad. Gdy strategię dla ryzyka operacyjnego zatwierdzi rada nadzorcza, na żadnym szczeblu decyzyjnym nie wolno przekraczać określonego w niej „apetytu na ryzyko” i wyznaczonych w związku z nim limitów.
Strategia powinna obejmować wszystkie linie biznesowe, także prowadzone przez spółki zależne banku, a więc np. asset management, domy maklerskie czy też firmy powołane do udzielania kredytów. Procedury i procesy zarządzania ryzykiem, jego identyfikacji, monitoringu i przeciwdziałania mają być możliwie jednolite w całej strukturze powiązanych podmiotów. KNF mówi bankom: owszem, jeżeli rada nadzorcza się zgodzi, to możecie zapisać w strategii, iż jesteście ryzykantami. Ale nie wolno wam przekraczać zasad, które określicie. Ma to uchronić banki przez owczymi pędami i skutkującą tym nadmierną koncentracją, jakiej przykładem było udzielanie hipotecznych kredytów walutowych.
Ale nie tylko. Kilka lat temu trzy polskie banki ruszyły na Ukrainę, widząc na tamtym rynku dobre perspektywy rozwoju. PKO BP kupił w 2004 r. od Kredyt Banku tamtejszy Kredobank. To przykład koncentracji wielu rozmaitych ryzyk. Polski bank niedoszacował ryzyko polityczne i gospodarcze kraju związane z tą inwestycją. Efekt? Już w końcu 2008 roku, wskutek m.in. znacznego spadku wartości hrywny PKO musiał utworzyć ponad 400 mln zł rezerw z tytułu utraty wartości ukraińskich aktywów. Na koniec III kwartału 2012 wartość kredytów objętych procesami związanymi z postępowaniami windykacyjnymi Kredobanku wynosiła 156 mln zł.
Na Kredobank spadły jednocześnie nieszczęścia związane z ryzykiem: walutowym, kredytowym, koncentracji i stopy procentowej. Do ich katalogu dochodzą jeszcze dwa spory sądowe z ukraińskimi władzami skarbowymi, w których przegrana mogłaby kosztować bank kolejne 73 mln zł. To pochodna ryzyka prawnego. Z nowej rekomendacji KNF wyraźnie wynika, że bank nie może różnych obszarów ryzyka postrzegać osobno. Wszystkie one mogą skoncentrować się w ryzyku operacyjnym. Choć dla liczenia wymogów kapitałowych ryzyka trzeba poszufladkować, to dla zarządzania nimi trzeba postrzegać w sposób zintegrowany. Tak brzmi jedno z głównych przesłań nowej rekomendacji.
KNF zobowiązuje rady nadzorcze banków do oceny, czy w zarządach są osoby mające kompetencje do zarządzania ryzykiem operacyjnym. Rady nadzorcze mogą poprzestać na swym doświadczeniu w tej ocenie, ale mogą też członków zarządu przeegzaminować. W myśl rekomendacji, w banku powinna być specjalna jednostka odpowiedzialna za zarządzanie ryzykiem operacyjnym. Może być usytuowana w pionie audytu wewnętrznego, ale jej zadania mają być ściśle podporządkowane temu celowi. To nie jedyny wymóg, który zwiększy zapotrzebowanie banku na fachowe kadry.
Inny zapis przewiduje publikację informacji na temat podejścia do ryzyka operacyjnego oraz zdarzeń z nim związanych i sposobów zaradzania w sytuacjach krytycznych. Komisja argumentuje to koniecznością „ograniczenia asymetrii informacji pomiędzy bankiem a jego otoczeniem”. Bank, ogłaszając informacje z zakresu adekwatności kapitałowej, ma też pokazywać, że stara się wypełniać zalecenia wynikające z rekomendacji i informować o sumach strat z tytułu ryzyka operacyjnego odnotowanych w danym roku, oraz o klasach zdarzeń, które je spowodowały.
KNF chce, żeby nawet w najmniejszym banku pracowała osoba odpowiedzialna za zarządzanie ryzykiem operacyjnym. Inwestycje w kadry i ich szkolenie, koszty gromadzenia informacji o zdarzeniach operacyjnych, ich przetwarzania i publikowania – pewne jest, że banki będą musiały uwzględnić na to konkretne kwoty. Na dodatek, dla oceny ryzyka i weryfikacji strategii zarządzania nim bank ma przeprowadzać regularnie stress-testy.
Niektóre banki stosują rozmaite ubezpieczenia przed ryzykiem, także operacyjnym. Na tym jedynie nie wolno polegać – mówi KNF, która dopuszcza transfer ryzyka, ale stoi na stanowisku, że nie może on być alternatywą dla skutecznego zarządzania. Bank nie może też niedoceniać ryzyka, jakie niesie ze sobą outsourcing. Dlatego powinien tworzyć plany awaryjne na wypadek, kiedy zleceniobiorca zawiedzie. „Bank odpowiada za czynności zlecone tak, jakby sam je wykonywał” – pisze w rekomendacji nadzorca. „Posiadanie planów, zapewniających poziom usług dla klientów na akceptowanym przez nich poziomie, ma kluczowe znaczenie dla reputacji banku” – dodaje.
Ryzyko operacyjne pojawia się we wszystkich obszarach działalności. Jest szczególnie duże przy wprowadzaniu na rynek nowych produktów. Przekonał się o tym Alior Bank, który w zeszłym roku stworzył Alior Sync, produkt mający być nie tylko rachunkiem dostępnym przez internet, ale „wirtualnym oddziałem”. Żeby zachęcić klientów do zakładania rachunków wprowadził money-back – zwrot 5 proc. przelewanych środków. Szybko jednak okazało się, że przynajmniej niektórzy klienci dokonują fikcyjnych transakcji. Oczywiście z jednej strony było to oszustwo. Z drugiej strony – bank nie doszacował ryzyka operacyjnego.
To jednak nie wszystko. Alior Sync zwracał również 5 proc. kwoty przelewów do operatorów stron hazardowych. A tego zabrania prawo. Alior szybko się z tego wycofał, jak też z kliku innych operacji dającej money-back, jak np. płatności za bilety lotnicze. Przypuszczać można, że wielu klientów w ten sposób zawiódł. „Bank powinien przykładać szczególną wagę do identyfikacji ryzyka operacyjnego w sytuacji, gdy (…) tworzy nowe produkty” – czytamy w rekomendacji M.
KNF poświęca cały jeden rozdział rekomendacji wytłumaczeniu sprawy pozornie oczywistej – jak istotna jest zgodność działań banku z obowiązującym prawem. Działy prawne powołane są po to, by chronić interesy biznesowe banku. Ale czy faktycznie działają zawsze w ich interesie, gdy np. przygotowują niekorzystne dla klientów umowy? Przypadek kilku już rozstrzygnięć sądów w znanej sprawie opcji walutowych dowodzi, że nie zawsze tak jest.
Dlatego – twierdzi KNF – w banku powinna działać w pełni niezależna komórka ds. zarządzania ryzykiem braku zgodności. Szczególnie powinna zwracać uwagę na to, czy tworzone produkty nie służą obchodzeniu obowiązujących przepisów. Chodzi też o to, żeby banki nie współpracowały z firmami łamiącymi prawo. A ostatnia afera Amber Gold pokazuje, że przecież ktoś rozliczał jej transakcje, choć była na liście ostrzeżeń. Nadzorca uważa tę sprawę za tak istotną, że nie waha się dać szefowi takiej komórki uprawnienia do raportowania bezpośrednio do rady nadzorczej.
Komisja wydając rekomendację M chce w pewnym sensie bronić banki przed nimi samymi. Albo też innymi słowy – zmienić paradygmat prowadzonego przez nie biznesu. Dodajmy – w duchu „pokryzysowym”. Nie na darmo co rozdział powraca słowo „reputacja”, podkreślane jest zaufanie klientów, przejrzystość, ograniczenie „asymetrii pomiędzy bankiem a jego otoczeniem”. Zarządzanie ryzykiem operacyjnym w takim duchu, jak chce tego nadzorca, będzie więc kosztować sporo pracy i pieniędzy. Ale biznes dzięki temu może być budowany na bardziej pewnych fundamentach.
OF
W styczniu 2020 roku Wielka Brytania formalnie opuściła Unię Europejską. Oczekiwane korzyści z brexitu, poza odzyskaniem suwerenności w zakresie kształtowania prawa i zewnętrznych relacji gospodarczych, jednak się nie zmaterializowały. Widoczny jest natomiast spadek wydajności i konkurencyjności brytyjskiej gospodarki, co wpływa także na kondycję rynku pracy.
