Metodološki okvir
Kako bi se omogućila usklađena procjena rizika i odgovora na rizik, kao i dosljedno izvještavanje, koristi se taksonomija operativnih rizika, kao i jedinstvena politika tolerancije rizika.
Taksonomija rizika
Taksonomija rizika obezbjeđuje jasnu i jednostavnu terminologiju za sve operativne rizike. Ona se temelji na tri međusobno povezane komponente: rizični događaji, glavni uzroci i uticaj rizika. Taksonomija glavnih uzroka i rizičnih događaja služi za obezbjeđenje strukturirane procjene rizika, opisivanje rizika kao i njihovo razvrstavanje po prioritetima. Za postizanje dosljedne procjene rizika i izvještavanja o riziku neophodno je da sve organizacione jedinice koriste jedinstvene skale za procjenu uticaja i vjerovatnoće rizika.
Politika tolerancije operativnog rizika
Politika tolerancije predstavlja ustanovljeni princip odgovora na operativni rizik, u zavisnosti od nivoa uticaja i vjerovatnoće rizika. Politika tolerancije rizika organizacionim jedinicama služi kao referentna tačka za procjenu da li određeni rizik zahtijeva odgovor, te koji se rizici dostavljaju nadležnom rukovodiocu – guverneru, viceguverneru ili izvršnom direktoru na odlučivanje.
Politika tolerancije rizika se može grafički predstaviti matricom, korišćenjem skale od pet nivoa za određivanje uticaja i vjerovatnoće.
Uticaj | 5 |
|
|
|
|
|
4 |
|
|
|
|
|
3 |
|
|
|
|
|
2 |
|
|
|
|
|
1 |
|
|
|
|
|
| 1 | 2 | 3 | 4 | 5 |
| Vjerovatnoća |
Za svaki rizik u „crvenoj zoni“ odgovor na rizik i odgovarajući akcioni plan za tretman rizika odobrava nadležni rukovodilac. Za rizike u „žutoj zoni“ odgovor na rizik i odgovarajući akcioni plan za tretman rizika odobrava lice koje organizuje rad u osnovnoj organizacionoj jedinici. Rizici u „zelenoj zoni“ se po pravilu smatraju prihvatljivim i nije neophodno određivati mjere za njihov tretman. Ovi rizici se, međutim, takođe pažljivo prate u kontinuitetu, imajući u vidu da se njihov nivo može povećati.
Proces upravljanja operativnim rizikom
Proces upravljanja operativnim rizikom u Centralnoj banci se sprovodi kroz sljedeće faze:
- identifikacija rizika,
- procjena rizika,
- odgovor na rizik i
- izvještavanje i praćenje rizika.
Osnovne organizacione jedinice identifikuju rizike koji se odnose na njihove najkritičnije poslovne funkcije i procese, uzimajući u obzir međuzavisnosti sa ostalim organizacionim jedinicama. Identifikovani rizici se dosljedno evidentiraju kako bi se omogućio konzistentan pregled i kako bi naredne faze procesa bile efektivne.
Procjena rizika uzima u obzir uticaj i vjerovatnoću kao i postojeće kontrole/kontrolne ciljeve koji predstavljaju osnovu za utvrđivanje načina upravljanja rizikom. U zavisnosti od raspoloživih izvora, procjena rizika može biti kvalitativna (stručno mišljenje) i/ili kvantitativna (statistička analiza koja se zasniva na bazi podataka o incidentima).
Svrha odgovora na rizik i implementacije mjera odgovora na rizik jeste upravljanje rizikom u skladu sa politikom tolerancije rizika. Na određeni rizik se mogu primijeniti sljedeći odgovori na rizik:
- smanjenje (promjena vjerovatnoće ili uticaja rizičnog događaja primjenom odgovarajućih kontrola);
- prihvatanje (tolerisanje rizika, npr. kada postoji ograničena mogućnost da se nešto učini po pitanju rizika ili kada troškovi preduzimanja određenih aktivnosti nisu proporcionalni potencijalnim benefitima);
- prenos (transfer ili dijeljenje rizika putem osiguranja ili ugovornih odnosa);
- izbjegavanje (prestanak ili povlačenje iz rizične aktivnosti).
Kontrole i kontrolni ciljevi predstavljaju ključni mehanizam za modifikaciju i upravljanje rizikom koji obezbjeđuju razumno i isplativo smanjenje nivoa rizika u skladu sa politikom tolerancije rizika.
Priprema se i redovno ažurira odgovarajući akcioni plan, kako bi se obezbijedila usklađenost sa kontrolnim ciljevima, kao i pravilno praćenje napredovanja implementacije. Nakon implementacije akcionog plana, vrši se ponovna procjena rizika. Takođe, kontrolni ciljevi se redovno ažuriraju u cilju obezbjeđenja njihove relevantnosti.
Izvještavanje predstavlja informisanje o ključnim rezultatima procesa upravljanja operativnim rizikom. Svrha konzistentnog izvještavanja o rizicima je da obezbijedi da proces upravljanja rizikom funkcioniše efektivno i efikasno i da se rizikom upravlja u skladu sa politikom tolerancije rizika.
Odgovarajuće informisanje i komunikacija predstavljaju sastavni dio procesa upravljanja rizikom i odnose se na sve njegove faze. Proces mora osigurati da sve zainteresovane strane imaju pristup relevantnim informacijama i dobar pregled stanja rizika.
Upravljanje rizikom predstavlja kontinuirani proces. Stoga, izvještavanje o rizicima nije povezano sa određenom fazom procesa i nije uslovljeno završetkom čitavog ciklusa. Ono ima za cilj da pruži pregled stanja rizika u datom trenutku. Redovni izvještaji, u skladu sa metodologijom, pripremaju se u cilju informisanja nadležnih rukovodilaca o stanju rizika i odgovoru na rizik.
Operativni rizici moraju biti predmet redovnog praćenja. Praćenje rizika predstavlja trajni proces kojim se:
- kontinuirano provjerava status ključnih operativnih rizika i internih kontrola,
- potvrđuje da su operativni rizici u skladu sa politikom tolerancije operativnih rizika,
- obezbjeđuje da se akcioni planovi sprovode planiranom dinamikom,
- analizira poslovno okruženje i najbolje prakse u cilju otkrivanja pojave novih operativnih rizika,
- definišu kontrolni ciljevi,
- incidenti proaktivno prate i o njima izvještava.