Metodološki okvir


Kako bi se omogućila usklađena procjena rizika i odgovora na rizik, kao i dosljedno izvještavanje, koristi se taksonomija operativnih rizika, kao i jedinstvena politika tolerancije rizika. 


Taksonomija rizika


Taksonomija rizika obezbjeđuje jasnu i jednostavnu terminologiju za sve operativne rizike. Ona se temelji na tri međusobno povezane komponente: rizični događaji, glavni uzroci i uticaj rizika. Taksonomija glavnih uzroka i rizičnih događaja služi za obezbjeđenje strukturirane procjene rizika, opisivanje rizika kao i njihovo razvrstavanje po prioritetima. Za postizanje dosljedne procjene rizika i izvještavanja o riziku neophodno je da sve organizacione jedinice koriste jedinstvene skale za procjenu uticaja i vjerovatnoće rizika.


Politika tolerancije operativnog rizika


Politika tolerancije predstavlja ustanovljeni princip odgovora na operativni rizik, u zavisnosti od nivoa uticaja i vjerovatnoće rizika. Politika tolerancije rizika organizacionim jedinicama služi kao referentna tačka za procjenu da li određeni rizik zahtijeva odgovor, te koji se rizici dostavljaju nadležnom rukovodiocu – guverneru, viceguverneru ili izvršnom direktoru na odlučivanje. 


Politika tolerancije rizika se može grafički predstaviti matricom, korišćenjem skale od pet nivoa za određivanje uticaja i vjerovatnoće.


Uticaj

5






4






3






2






1







1

2

3

4

5


Vjerovatnoća


Za svaki rizik u „crvenoj zoni“ odgovor na rizik i odgovarajući akcioni plan za tretman rizika odobrava nadležni rukovodilac. Za rizike u „žutoj zoni“ odgovor na rizik i odgovarajući akcioni plan za tretman rizika odobrava lice koje organizuje rad u osnovnoj organizacionoj jedinici. Rizici u „zelenoj zoni“ se po pravilu smatraju prihvatljivim i nije neophodno određivati mjere za njihov tretman. Ovi rizici se, međutim, takođe pažljivo prate u kontinuitetu, imajući u vidu da se njihov nivo može povećati.


Proces upravljanja operativnim rizikom


Proces upravljanja operativnim rizikom u Centralnoj banci se sprovodi kroz sljedeće faze:


  • identifikacija rizika, 
  • procjena rizika, 
  • odgovor na rizik i 
  • izvještavanje i praćenje rizika.


Osnovne organizacione jedinice identifikuju rizike koji se odnose na njihove najkritičnije poslovne funkcije i procese, uzimajući u obzir međuzavisnosti sa ostalim organizacionim jedinicama. Identifikovani rizici se dosljedno evidentiraju kako bi se omogućio konzistentan pregled i kako bi naredne faze procesa bile efektivne. 


Procjena rizika uzima u obzir uticaj i vjerovatnoću kao i postojeće kontrole/kontrolne ciljeve koji predstavljaju osnovu za utvrđivanje načina upravljanja rizikom. U zavisnosti od raspoloživih izvora, procjena rizika može biti kvalitativna (stručno mišljenje) i/ili kvantitativna (statistička analiza koja se zasniva na bazi podataka o incidentima). 


Svrha odgovora na rizik i implementacije mjera odgovora na rizik jeste upravljanje rizikom u skladu sa politikom tolerancije rizika. Na određeni rizik se mogu primijeniti sljedeći odgovori na rizik:


  • smanjenje (promjena vjerovatnoće ili uticaja rizičnog događaja primjenom odgovarajućih kontrola);
  • prihvatanje (tolerisanje rizika, npr. kada postoji ograničena mogućnost da se nešto učini po pitanju rizika ili kada troškovi preduzimanja određenih aktivnosti nisu proporcionalni potencijalnim benefitima);
  • prenos (transfer ili dijeljenje rizika putem osiguranja ili ugovornih odnosa);
  • izbjegavanje (prestanak ili povlačenje iz rizične aktivnosti).


Kontrole i kontrolni ciljevi predstavljaju ključni mehanizam za modifikaciju i upravljanje rizikom koji obezbjeđuju razumno i isplativo smanjenje nivoa rizika u skladu sa politikom tolerancije rizika.


Priprema se i redovno ažurira odgovarajući akcioni plan, kako bi se obezbijedila usklađenost sa kontrolnim ciljevima, kao i pravilno praćenje napredovanja implementacije. Nakon implementacije akcionog plana, vrši se ponovna procjena rizika. Takođe, kontrolni ciljevi se redovno ažuriraju u cilju obezbjeđenja njihove relevantnosti. 


Izvještavanje predstavlja informisanje o ključnim rezultatima procesa upravljanja operativnim rizikom. Svrha konzistentnog izvještavanja o rizicima je da obezbijedi da proces upravljanja rizikom funkcioniše efektivno i efikasno i da se rizikom upravlja u skladu sa politikom tolerancije rizika. 


Odgovarajuće informisanje i komunikacija predstavljaju sastavni dio procesa upravljanja rizikom i odnose se na sve njegove faze. Proces mora osigurati da sve zainteresovane strane imaju pristup relevantnim informacijama i dobar pregled stanja rizika. 


Upravljanje rizikom predstavlja kontinuirani proces. Stoga, izvještavanje o rizicima nije povezano sa određenom fazom procesa i nije uslovljeno završetkom čitavog ciklusa. Ono ima za cilj da pruži pregled stanja rizika u datom trenutku. Redovni izvještaji, u skladu sa metodologijom, pripremaju se u cilju informisanja nadležnih rukovodilaca o stanju rizika i odgovoru na rizik. 


Operativni rizici moraju biti predmet redovnog praćenja. Praćenje rizika predstavlja trajni proces kojim se:


  • kontinuirano provjerava status ključnih operativnih rizika i internih kontrola,
  • potvrđuje da su operativni rizici u skladu sa politikom tolerancije operativnih rizika,
  • obezbjeđuje da se akcioni planovi sprovode planiranom dinamikom,
  • analizira poslovno okruženje i najbolje prakse u cilju otkrivanja pojave novih operativnih rizika,
  • definišu kontrolni ciljevi,
  • incidenti proaktivno prate i o njima izvještava.