Operasyonel Risk Đleri Ölçüm Yöntemleri

advertisement
Bankacılar Dergisi, Sayı 58, 2006
Operasyonel Risk Đleri Ölçüm Yöntemleri
Giriş
Bu çalışma üç bölümden oluşmaktadır. Đlk bölümde operasyonel risklerin ölçülmesi kapsamında ileri ölçüm yöntemlerinde (ĐÖY) kullanılacak modeller için asgari gerekliliklerin neler olduğu üzerinde durulmuştur. Bu kapsamda ilgili genel nitel ve nicel standartlar üzerinde durulmuş ve konuyla ilgili kaynaklar incelenmiştir. Diğer yandan ileri
ölçüm yöntemlerinde kısmi kullanım kriterlerinin “Avrupa Bankacılık Denetim Otoriteleri
Komitesi” (Committee of European Banking Supervisors -CEBS) ve Basel Komite tarafından belirlenen unsurlarının neler olduğu açıklanmıştır.
Đkinci bölümde ise Bankacılık Düzenleme ve Denetleme Kurumu tarafından ileri
ölçüm modellerinin onaylanması ve değerlendirilmesi için ileri ölçüm modelleri başvuru
esasları ve uygulama kriterleri kapsamında bankalarin operasyonel risk yönetiminde ileri
ölçüm yaklaşımlarını kullanabilmesi için örnek bir başvuru rehberi hazırlanmıştır.
Üçüncü bölümde ise ileri ölçüm yöntemini kullanan bir bankada operasyonel risk
ölçüm sisteminin bankaya kayda değer katkılar sağlaması ile ilgili sürecin test edilmesini
tanımlayan “kullanım testi” (use test) kavramı incelenmiştir.
Çalışma ile bankacılık sektöründe operasyonel risk yönetiminde ileri ölçüm yaklaşımlarının kullanılması kapsamında kullanılacak modellerde asgari kriterlerin belirlenmesi, bankaların başvuruda kullanabileceği örnek bir başvuru rehberinin oluşturulması ve
kullanım testi konusunda bankaların yapması gerekenlerin açıklığa kavuşturulması hedeflenmiştir.
1. Đleri Ölçüm Yöntemlerinde Kullanılacak Modeller Đçin Asgari Gereklilikler
(Nitel ve Nicel) Nelerdir? Kısmi Kullanım Nasıl Olmalıdır?
1.1. Đleri Ölçüm Yöntemleri (ĐÖY) için Asgari Gereklilikler
1.1.1. Genel standartlar
Bir bankanın ĐÖY’yi kullanabilmesi için genel anlamda sahip olması gereken asgari
kriterler şu şekilde sıralanabilir:
•
•
•
Risk strateji ve politikalarının tesis edilmesi,
Başarılı ve yeterli bir operasyonel risk yönetimi için; bu fonksiyonun çerçevesinin iyi
oluşturulması, operasyonel risk yönetim çerçevesinin gözetim ve denetiminde yönetim
kurulunun ve üst düzey yönetimin aktif görev alması,
Kavramsal olarak sağlam olan ve bütünlük içinde uygulanan bir operasyonel risk yönetim
sisteminin bulunması; kurulan operasyonel risk yönetimi sisteminin ve yapısının etkinliğinin periyodik olarak denetlenmesi, eksiklik ve yetersizliklerin zamanında tespit edilip
giderilmesinin sağlanması,
153
Operasyonel Risk Çalışma Grubu
•
•
•
Hem büyük faaliyet kollarında hem de iç kontrol ve teftiş alanlarında bu yaklaşımı
uygulamak için yeterli kaynaklara sahip olması; operasyonel risk yönetiminde gerekli olan
veri ihtiyacının ve veri kaynaklarının tespit edilmesi; verinin ne şekilde ve kim tarafından
toplanacağına ve yapılacak analizlere ilişkin prosedürün tesis edilmesi,
Kurumun yapısı, faaliyet alanı ve risk iştahına göre, maruz kaldığı ya da kalabileceği
operasyonel risklerin en kapsamlı şekilde tanımlanması,
Operasyonel riske ilişkin ölçüm ve raporlama sistemlerinin tesis edilmesi
gerekmektedir.
Bir bankanın ĐÖY uygulaması, yasal sermaye hesaplaması amacıyla kullanılmadan
önce, denetim otoritesinin ilk izleme sürecine tâbi olacaktır. Bu süreç, denetim otoritesinin bu
yaklaşımın güvenilir ve uygun olup olmadığını belirlemesine olanak sağlayacaktır. Bir
bankanın içsel ölçüm sistemi; içsel ve ilgili dışsal kayıp verilerinin, senaryo analizinin ve
bankaya özgü iş ortamı ve iç kontrol faktörlerinin birlikte kullanımına dayalı olarak, beklenmeyen kayıpları makul ölçülerde tahmin edebilmelidir. Bankanın ölçüm sistemi, ayrıca,
operasyonel risk için ekonomik sermayenin faaliyet kollarına tahsisini, ilgili faaliyet kollarında operasyonel risk yönetiminin geliştirilmesi için teşvikler yaratacak bir tarzda destekleyebilmelidir. (Basel II, Md. 664-665)
1.2. ĐÖY’nin Kullanılabilmesi Đçin Gereken Nitel Kriterler
1.2.1. Temel Kriterler
i) Operasyonel Risklerin Ayrı Bir Risk Türü Olarak Ele Alınması ve Bağımsız Bir
Operasyonel Risk Yönetim Fonksiyonunun Oluşturulması (Basel II, md. 666, (a))
Yönetim Kurulu’nun rolü;
Bir bankada ileri ölçüm yaklaşımının (ĐÖY) kullanılabilmesi için, bankada ana ortaklık ve iştiraklere yayılmış bütünleşik ve bağımsız bir operasyonel risk yönetimi sisteminin
doğru bir şekilde tesis edilmesi gerekmektedir. Bu nedenle; Yönetim Kurulu, yönetilmesi
gereken ayrı bir risk kategorisi olarak bankanın operasyonel risklerinin önemli özelliklerini
tanımalı, bankanın operasyonel risklerinin yönetimi çerçevesini onaylamalı, periyodik olarak
izlemeli ve gözden geçirmelidir.
Operasyonel risk yönetimi çerçevesi;
•
•
•
•
Bankada operasyonel riskleri nelerin oluşturduğunu açıkça gösteren, geçerli ve uygun bir
operasyonel risk tanımına dayanmalıdır.
Bankanın operasyonel risklerini yönetme isteği ve toleransını kapsamalıdır. Bu risk
yönetme isteği ve toleransı operasyonel risklerin banka dışına hangi ölçüler içinde ve nasıl
transfer edileceğini gösteren politikalar da dahil, bankanın operasyonel riskleri yönetim
faaliyetlerindeki öncelik sırasını ve bu risklerin nasıl yönetileceğini gösteren politikalarla
belirlenmelidir.
Operasyonel riskin değerlendirilmesi, izlenmesi ve kontrol edilmesi/azaltılması ile ilgili
yaklaşımı belirleyen politikaları içermeli ve kapsamalıdır.
Yaklaşımının formalite ve karmaşıklık düzeyi bankanın mevcut risk profiline uyumlu
olmalıdır.
154
Bankacılar Dergisi
Yönetim Kurulu, banka Üst Yönetimine, bu çerçevenin altında yatan prensipler hakkında açıkça yol göstermeli, kılavuzluk yapmalı ve banka Üst Yönetiminin bu doğrultuda
geliştirdiği politikalara onay vermelidir.
Yönetim Kurulu, bankanın operasyonel riskleri yönetim çerçevesi ve yaklaşımını uygulayabilecek bir yönetim yapısı kurmaktan sorumludur. Yönetim Kurulunun; yönetim
sorumlulukları, işlevleri ve raporlama hiyerarşisini açıkça göstermesi ve tanımlaması özel bir
öneme sahiptir. Ayrıca, olası menfaat çatışmalarını önlemek amacıyla operasyonel riskleri
kontrol fonksiyonları, banka bölümleri ve destek fonksiyonları arasında sorumluluk ve
görevlerin açıkça ayrılması, dağıtılması ve hiyerarşik yapının açıkça belirlenmesi de gerekir.
Bu çerçeve, bankanın operasyonel risklerini yönetmek için uygulaması gereken temel
süreçleri de belirlemeli ve düzenlemelidir.
Yönetim Kurulu, bankanın hem yeni ürünler, faaliyetler veya sistemlerle bağlantılı
operasyonel risklerini hem de dış piyasa koşullarındaki değişikliklerden ve diğer çevresel
faktörlerden kaynaklanan operasyonel risklerini iyi yönetmesini sağlamak amacıyla bu
çerçeveyi düzenli olarak izlemeli ve gözden geçirmelidir. Bu gözden geçirme sürecinin bir
amacı da, bankanın faaliyetleri, sistemleri ve süreçlerine uygun olan en iyi operasyonel
riskleri yönetim uygulamalarını izlemek ve değerlendirmek olmalıdır. Gerekirse, Yönetim
Kurulu, önemli operasyonel risklerin hepsinin bu çerçeve kapsamına alınmasını sağlayacak
şekilde, operasyonel riskleri yönetim çerçevesinin bu analiz sonuçlarının ışığında gözden
geçirilmesini ve revize edilmesini sağlamalıdır.
Operasyonel Riskin Yönetiminden Sorumlu Üst Düzey Yönetimin Rolü:
Operasyonel riskin yönetiminden sorumlu Üst Düzey Yönetimin görevleri ise aşağıdaki gibi belirlenebilir;
•
•
•
•
•
•
•
•
•
•
Risk yönetim süreçlerinin sağlamlığını temin etmek,
Oluşturulmuş politikalardaki bankanın operasyonel risk profilini ve operasyonlarını
maddeten etkileyen önemli değişiklik ve politikalara aykırılıklar hakkında Yönetim
Kurulu veya bankanın konuyla ilgili tayin edilmiş Komitesini bilgilendirmek,
Operasyonel risk yönetim fonksiyonu tarafından sağlanan bilgiye dayanarak ana risk
tetikleyicilerini teşhis etmek ve değerlendirmek,
Risk yönetimi biriminin görevlerini tanımlamak ve o birimde çalışanların profesyonel
becerilerinin yeterliliğini değerlendirmek,
ĐÖY ile ilgili 4 anahtar faktör olan;
o iç veri,
o dış veri,
o senaryo analizi,
o faaliyetler ve kontrol ortamını yansıtan faktörlerin
tanımlanması, dokümante edilmesi ve toplanması ile ilgili süreçleri oluşturmak,
Ölçüm metodolojisini oluşturmak ve sonuçlarını takip etmek,
Đzleme ve raporlama sistemlerini oluşturmak, raporlamanın içeriğini tanımlamak,
ĐÖY ile ilgili kriterlerin yerine getirilmesini sağlamak, doğrulamak,
Çıkar çatışmalarındaki potansiyel anlaşmazlıkların tüm kaynaklarını izlemek ve yönetmek,
Tüm çalışanların ilgili politika ve prosedürlerin farkında olmasını temin etmek amacıyla efektif iletişim kanallarını oluşturmak,
155
Operasyonel Risk Çalışma Grubu
• Operasyonel risk yönetimi ve ölçümü süreçleri ve sistemleri hakkındaki Đç Denetim
raporlarını incelemek,
• Bütün önemli ürünler, faaliyetler, süreçler ve sistemlerdeki operasyonel risklerin tespit
edilmesini sağlamak, tanımlamak ve değerlendirmek.
• Yeni bir ürün, faaliyet, süreç veya sistemi uygulamaya girmeden veya sunulmadan
önce, bu yeni ürün, faaliyet, süreç veya sisteme bağlı operasyonel risklerin de uygun
değerlendirme prosedürlerinden geçirilmesini sağlamak.
• Kesintilerin (EL, Bağlılık, Sigorta) hesaplanmasını içeren operasyonel riskin sayısallaştırılması ve faaliyet kollarına dağıtılması süreçleri, test (backtesting) ve kıyaslama
ve tahsis anahtarları için metodolojileri geliştirmek.
Operasyonel risk yönetiminden sorumlu Üst Yönetim, kurallar çerçevesinde bankanın
operasyonel risk ölçüm süreçleri, risk yönetim sistemleri ve bunların tüm parçalarının
istenildiği gibi işlediğini temin etmelidir. Operasyonel Risk Yönetimi Fonksiyonunun yeterli
kaynakları, operasyonel risk yönetimi ve ölçümü metotları ile ilgili becerileri ve bankanın
süreçleri hakkında bilgisi olmalıdır.
ii) Operasyonel Risk Ölçüm Sisteminin Bankanın Günlük Risk Yönetimi
Süreçlerine Entegre Edilmesi (Basel II, md. 666, (b))
Đleri ölçüm yaklaşımını kullanan bir bankada operasyonel risk ölçüm sisteminin çıktısı, bankanın operasyonel risk profilini izleme ve kontrol etme sürecinin ayrılmaz bir parçası
olmalıdır. Bu bilgiler, risk raporlaması, yönetim raporlaması, içsel sermaye tahsisi ve risk
analizinde önemli ve belirleyici rol oynamalıdır. Banka, operasyonel risk yönetimini banka
çapında geliştirmek amacına yönelik teşvikler yaratmak ve operasyonel risk için ayrılacak
sermayeyi büyük faaliyet kollarına tahsis etmek için belirli tekniklere sahip olmalıdır.
Beklenen kayıp ve beklenmeyen kayıp tutarları doğru bir şekilde ölçülmeli ve sermaye tahsisi
ile ilgili verilerin ve kalibrasyonların doğruluğunun teyidi yapılmalı ve uygun bir
sermayeleme sistemi oluşturulmalıdır.
Bankalar, operasyonel risk profillerini ve önemli risklerini düzenli olarak izlemek amacına yönelik bir süreç uygulamalıdırlar. Operasyonel risklerin pro-aktif yönetimine destek
olmak amacıyla, ilgili bilgiler Üst Yönetime ve Yönetim Kuruluna düzenli olarak rapor
edilmeli ve aktarılmalıdır.
Operasyonel riskin yönetimi için etkin bir izleme süreci şarttır. Düzenli izleme faaliyetleri, operasyonel risklerin yönetimi amacıyla uygulanan politikalar, süreçler ve prosedürlerdeki eksiklik ve hataların hızla tespit edilmesi ve düzeltilmesi avantajını sunabilir. Bu
eksiklik ve hataların hızla ve çabuk tespit edilmesi ve düzeltilmesi, bir zarar olayının
potansiyel sıklığını ve/ veya önem düzeyini önemli oranda azaltır.
Operasyonel zarar olaylarını izlemeye ek olarak, bankalar risklerinin arttığı konusunda
erken uyarı veren uygun göstergeleri de tanımlamalı ve kullanmalıdırlar. Bu göstergeler
ileriye dönük olmalıdır ve hızlı büyüme, yeni ürünlerin sunulması, personel devir oranı, işlem
sapmaları ve ihlalleri, sistem kesintileri ve benzeri potansiyel operasyonel risk sebep ve
kaynaklarını yansıtabilir. Eşik değerler bu göstergelere doğrudan doğruya bağlandığında,
etkin ve etkili bir risk izleme süreci, temel ve önemli risklerin saydam bir şekilde tespitine ve
tanımlanmasına yardımcı olabilir ve bankanın bu risk tespitlerine göre uygun tedbirleri
almasına olanak sağlar.
156
Bankacılar Dergisi
Risk izleme sıklığı, hem ilgili riskleri hem de banka ortamındaki değişikliklerin sıklığını ve niteliğini yansıtmalıdır. Đzleme, bankanın faaliyetlerinin tamamlayıcı bir parçası
olmalıdır. Aynen iç denetim ve/veya risk yönetim fonksiyonlarının yaptığı uyum denetimleri
gibi, bu izleme faaliyetlerinin sonuçları da düzenli olarak Üst Yönetim ve Yönetim Kurulu
raporlarına dahil edilmelidir. Denetim otoriteleri tarafından (ve/veya adına) çıkartılan raporlar
da bu izleme fonksiyonuna bilgi kaynağı olabilir ve aynı şekilde, hem Üst Yönetime hem de
Yönetim Kuruluna rapor edilmelidir.
iii) Maruz bulunulan operasyonel riskler ile kayıp deneyimleri ilgili faaliyet
kolu yönetimine, üst düzey yönetime ve yönetim kuruluna düzenli olarak
raporlanmalıdır. bankanın, yönetim raporlarındaki bilgiler esas alınarak gerekli
tedbirleri almak için prosedürleri bulunmalıdır. (Basel II, md. 666, (c))
Banka üst yönetimi; banka bölüm ve departmanları, grup fonksiyonları, operasyonel
risk yönetiminden düzenli raporlar almalıdır. Operasyonel risk raporları, hem iç bilgileri hem
de karar alma için gerekli olabilecek olay ve koşullar hakkında dış piyasa bilgilerini içermeli
ve kapsamalıdır. Raporlar, hem uygun yönetim kademelerine, hem de görev ve ilgi alanlarına
göre bankanın ilgili birim ve bölümlerine dağıtılmalıdır. Raporlar, tespit edilen problem
alanlarını tam olarak yansıtmalı ve mevcut sorunların çözümü için gereken düzeltici tedbirlerin zamanında alınmasını motive etmelidir. Bu risk ve denetim raporlarının yararlı ve
güvenilir olmasını sağlamak amacıyla, yönetim, genel olarak iç kontrollerin ve raporlama
sistemlerinin ilişkilerini, doğru işleyip işlemediğini ve zamanında uygulanıp uygulanmadığını
düzenli olarak kontrol etmelidir. Yönetim, iç raporların yararlı ve güvenilir olup olmadığını
tespit etmek ve değerlendirmek amacıyla, dış kaynakların (denetçi ve murakıplar) hazırladığı
raporları da kullanabilir. Raporlar, mevcut risk yönetim performansını artıracak ve yeni risk
yönetim politikalarını, prosedürlerini ve uygulamalarını geliştirecek şekilde ve bu bakış
açısıyla analiz edilmelidir.
Genel olarak, Yönetim Kurulu, bankanın genel operasyonel risk profilini anlayabilmek
ve iş için stratejik ve maddi önemi haiz konular üzerinde odaklanabilmek için yeterli üst
düzey bilgiler almalıdır.
iv) Bankanın operasyonel risk yönetim sistemi, iyi bir şekilde yazılı hale getirilmelidir.
bankanın, operasyonel risk yönetim sistemine ilişkin dahili politika, kontrol ve prosedürlerden oluşan yazılı hale getirilmiş bir sete uyumu sağlama amacına yönelik
bir programı bulunmalı ve bu program, uyumsuzluk halinde nelerin yapılacağını
gösteren politikaları da içermelidir. (Basel II, md. 666, (d))
Bankaların önemli operasyonel risklerini kontrol etmeye ve/veya azaltmaya yönelik
politikaları, süreçleri ve prosedürleri bulunmalıdır. Bankalar, risk sınırlandırma ve kontrol
stratejilerini periyodik olarak gözden geçirmeli ve operasyonel risk profillerini, genel risk
alma isteği ve profilinin ışığında ve uygun stratejiler kullanarak ayarlamalıdırlar.
Tespit edilmiş ve tanımlanmış bütün önemli operasyonel riskleri için, bankanın bu
riskleri kontrol altına almak ve/veya azaltmak amacına yönelik uygun prosedürleri uygulamaya ya da riskleri üstlenmeye karar vermesi gerekir. Kontrol altına alınamayan riskler için,
bankanın bu riskleri kabul etmeye ya da ilgili bankacılık faaliyetinin düzeyini düşürmeye ya
da bu faaliyetten tamamen çekilmeye karar vermesi gerekir. Kontrol süreç ve prosedürleri
belirlenmeli ve bankalar risk yönetim sistemine ilişkin iç politikalardan oluşan bir doküman
157
Operasyonel Risk Çalışma Grubu
setine uyulmasını sağlamak amacını güden bir sistem uygulamalıdırlar. Bu sistemin asgari
olarak aşağıdaki temel unsurları içermesi tercih edilir.
•
•
•
•
Bankanın belirlediği hedefleri gerçekleştirme düzeyi hakkında üst düzey incelemeler,
Yönetim kontrollerine uyulup uyulmadığının kontrolü,
Uyumsuzluk ve aykırılık sorunlarının incelenmesi, tespiti ve çözümlenmesine ilişkin
politika, süreç ve prosedürler,
Uygun bir yönetim seviyesine karşı sorumluluğu sağlamak amacına yönelik onay, izin ve
yetkileri düzenleyen bir doküman sistemi.
Resmi ve yazılı politika ve prosedürlerin oluşturduğu bir çerçeve kritik öneme sahip
olmasına rağmen, sağlam risk yönetim uygulamalarını teşvik eden güçlü bir kontrol kültürüyle desteklenmelidir. Hem Yönetim Kurulu hem de Üst Yönetim, kontrol faaliyetlerinin
bankanın düzenli iş ve faaliyetlerinin tamamlayıcı bir parçası olduğu sağlam ve güçlü bir iç
kontrol kültürü oluşturmaktan sorumludurlar. Bankanın düzenli iş ve faaliyetlerinin tamamlayıcı bir parçası olan bu kontroller, değişen koşullara hızla adapte olmaya ve gereksiz
kontrollerden kaçınmaya olanak sağlar.
v) Đç ve/veya dış denetçiler, operasyonel risk yönetim süreçleri ve ölçüm sisteminde
düzenli denetimler yapmalıdırlar. Bu denetim, hem ilgili faaliyet kollarının hem de
bağımsız operasyonel risk yönetimi fonksiyonunun faaliyetlerini içermelidir. (Basel II,
md. 666, (e))
Yönetim Kurulu, bankanın operasyonel risklerin yönetim çerçevesinin, banka organizasyonu içinde bağımsız olan, uygun ve yeterli eğitimden geçirilmiş, yetkili personel
tarafından etkili ve kapsamlı bir iç denetime tabi tutulmasını sağlamalıdır. Bu iç denetim
fonksiyonu, operasyonel risklerin yönetiminden doğrudan doğruya sorumlu tutulmamalıdır.
Yönetim Kurulu (doğrudan doğruya kendisi ya da dolaylı olarak denetim komitesi aracılığıyla), denetim programının kapsamı ve uygulama sıklığının, karşılaşılan risklere uygun
olmasını sağlamalıdır. Denetimlerde, bankanın operasyonel risklerinin yönetim çerçevesinin
banka içinde etkin bir şekilde uygulanıp uygulanmadığı periyodik olarak tespit edilmeli ve
izlenmelidir.
Denetim fonksiyonu, operasyonel risklerin yönetim çerçevesinin izlenmesi ve kontrolünü de kapsadığı takdirde ve ölçüde, Yönetim Kurulu, bu denetim fonksiyonunun bağımsızlığının korunmasını sağlamalıdır. Denetim fonksiyonu, operasyonel risklerin yönetiminden
sorumlu olanlara önemli girdi ve bilgiler sağlayabilir, fakat kendisi doğrudan doğruya
operasyonel risklerin yönetimi sorumluluğunu üstlenmemelidir.
Denetçiler, büyüklüğü ne olursa olsun bütün bankaların etkin bir risk yönetim sistemine sahip olup olmadıklarını kontrol etmelidirler.
Denetçiler, bankaların kendi büyüklük, karmaşıklık ve risk profillerine uyumlu ve bu
dokümanda verilen tavsiye ve önerilere uygun bir operasyonel risk yönetimi çerçevesini
oluşturmalarını ve uygulamalarını temin etmelidirler.
Denetçiler, bir bankanın operasyonel risklerine ilişkin mevcut politikaları, prosedürleri
ve uygulamalarını doğrudan doğruya ya da dolaylı olarak düzenli ve bağımsız bir inceleme ve
158
Bankacılar Dergisi
değerlendirmeye tabi tutmalıdırlar. Denetçiler, bankalardaki gelişmelerden sürekli haberdar
olmalarına olanak veren uygun mekanizmaların mevcut olmasını da sağlamalıdırlar.
Denetçilerin bağımsız bir operasyonel risk denetimi ve değerlendirmesinde ele almaları gereken konular daha ayrıntılı örneklerle aşağıdaki gibidir:
•
•
•
•
•
•
•
•
•
•
Bankanın risk yönetimi süreci ve genel kontrol ortamının operasyonel risklerinin
düzeyine göre etkin ve etkili olup olmadığı,
Ölçüm sistemlerinin etkinliği ve ĐÖY kriterlerine uyumu,
Đşletme zararlarına ve başka potansiyel operasyonel risk göstergelerine ilişkin veriler
de dahil, bankanın operasyonel risk profilini izlemek ve raporlamak amacıyla uyguladığı yöntemler,
Bankanın operasyonel risk olaylarının ve zararlarının etkin bir şekilde ve zamanında
bertaraf edilmesi ve çözülmesi için uyguladığı prosedürler,
Taşeron faaliyetlerini izleme,
Bankanın genel operasyonel risk yönetim sürecinin bütünlük ve sağlamlığını sağlamak
amacına yönelik iç kontrol, denetim ve izleme çalışmaları,
Bankanın sigorta gibi operasyonel riskleri azaltma çabaları ve çalışmalarının etkinliği,
Bankanın felaket kurtarma ve iş devamlılığı planlarının kaliteli ve kapsamlı olup
olmadığı,
Banka sermayesinin operasyonel riskleri için yeterli olup olmadığının belirlenmesi ve
bankanın risk profiline uygunsa, bankanın iç sermaye hedeflerine göre değerlendirilmesi,
BT altyapısının, veri toplama ve muhafazasının yeterliliğinin değerlendirilmesi.
Denetçiler, bankanın bir finans grubunun bir parçası olduğu durumlarda, operasyonel
risklerinin grup içinde uyumlu ve uygun bir tarzda yönetilmesini sağlamak amacına yönelik
prosedürlerin bulunup bulunmadığına da bakmalıdırlar. Bu inceleme ve değerlendirme
sırasında, önceden belirlenmiş usullere uygun olarak, başka denetçilerle işbirliği ve bilgi
alışverişi yapmak gerekir. Bazı denetçiler, bu inceleme ve değerlendirme süreçlerinde dış
denetçiler kullanmayı tercih ederler.
Denetleme süreci içinde tanımlanan ve tespit edilen kusur ve eksiklikler çeşitli eylem
ve tedbirlerle giderilir. Denetçiler, bankanın özel koşullarına ve işletme ortamına en uygun
araçları kullanmalıdırlar. Denetçiler, operasyonel riskler hakkında güncel bilgi alabilmek için,
doğrudan doğruya bankalarla ve dış denetçilerle somut raporlama mekanizmaları kurarlar
(örneğin, operasyonel riskler hakkında iç banka yönetim raporları ilgili denetçilere rutin bir
şekilde sunulabilir).
Pek çok bankada kapsamlı operasyonel risk yönetim süreci ve uygulamalarının hala
geliştirilmekte olması nedeniyle, denetçiler, bankadaki son gelişmeleri ve geleceğe yönelik
geliştirme planlarını takip ederek ve değerlendirerek, banka içi devamlı geliştirme çabalarını
teşvik etme konusunda aktif bir rol üstlenmelidirler. Bankaya kendi çalışmalarının durumu
hakkında faydalı bir geri besleme sağlamak amacıyla, bu çabalar başka bankaların çabaları ve
çalışmalarıyla karşılaştırılır. Ayrıca, belirli geliştirme çabalarının verimsiz ve etkisiz olmasının sebepleri tespit edilmişse, bu bilgiler de planlama süreci ve çalışmasına destek olmak
amacıyla genel ve ana hatlarıyla verilmelidir. Ayrıca, denetçiler, bankanın bölümleri ve
departmanları arasında etkin ve etkili bir operasyonel risk yönetimi yapmak, haberleşme
yolları ve sorumlulukları açıkça belirlemek ve mevcut uygulamalar hakkında aktif özeleştiri
159
Operasyonel Risk Çalışma Grubu
ve değerlendirme yapılmasını ve olası risk azaltma tedbir ve eylemlerinin değerlendirilmesini
teşvik etmek amacıyla operasyonel risk yönetimi sürecini kendi organizasyonu içinde ne
ölçüde entegre ettiğini de dikkate almalıdırlar.
Bankalarda iç denetim fonksiyonları, gerekli beceri ve tecrübelere sahip bireylerden
yapılanmalıdır. Bu bireylerin banka stratejisi ve bu stratejinin operasyonel risk tespiti,
değerlendirilmesi, izlenmesi, kontrol edilmesi ve azaltılması süreçlerine yakın olması
önemlidir.
Đç denetim ve operasyonel risk yönetimi fonksiyonunun, özellikle iç denetimin tecrübe
ve becerilerinin gelişmiş olduğu operasyonel risk ilişkili bazı faaliyet ve süreçlerde (Örn;
süreçlerin analizi, kayıp veri toplama, risk ve kontrol değerlendirmeleri), birlikte çalışmasına
müsade edilebilir. Ancak bu ortak çalışma iç denetimin bağımsızlığını tehdit etmemelidir. Đç
denetimden öneri veya bilgi sağlanabildiği düzeyde yeni tasarılar, uygulamalar ve
operasyonel risk çerçevesinin güncellenmesi operasyonel risk yönetim fonksiyonunun
münhasıran sorumluluğu olarak kalır. Đç Denetim günlük operasyonel risk faaliyetlerinin
kesinlikle içinde olmamalıdır.
vi) Operasyonel Risk Ölçüm Sisteminin Dış Denetçiler ve/veya Denetim Otoriteleri
Tarafindan Onaylanması Sürecinde Aşağıdaki Hususlar Önem Arz Etmektedir;
•
•
•
•
•
•
•
Đç doğrulama ve onay süreçlerinin tatmin edici bir şekilde çalıştığının doğrulanması,
(Basel II, md. 666, (e))
Risk ölçüm sistemiyle bağlantılı veri akışları ve süreçlerinin şeffaf ve ulaşılabilir
olmasının sağlanması. Özellikle, denetçilerin ve ilgili denetim otoritelerinin bu sistemin
detaylı tanımlamalarına ve parametrelerine gerekli gördüklerinde ve uygun usullerle kolay
erişebilecek bir konumda olmaları gerekir. (Basel II, md. 666, (e))
Bankaların kendi modellerininin işlerliğini doğrulamak ve değerlendirmek üzere gerekli
sorumluluğa sahip olmaları gerekir.
Modelin işlerliğinin onaylanması ve değerleme süreci tekrarlanan bir faaliyet olmalıdır.
Tek bir onay ve değerleme metodunun olmadığı gözönüne alınmalıdır.
Onay süreci nitel ve nicel unsurları içermelidir.
Onay süreci ve çıktıları bağımsız denetime tabi olmalıdır.
1.2.2. Diğer Hususlar
i. Kullanım Testi
Kullanım testi; bankadaki operasyonel risk ölçüm ve yönetim sisteminin birbiriyle entegrasyonunun değerlendirilmesi ile ilgilidir.
ĐÖY başvurusunda bulunan bir bankanın içsel operasyonel risk ölçüm sisteminin günlük operasyonel risk yönetimi süreçlerine entegre edilmesi gerekmektedir. Dolayısıyla,
ĐÖY’de operasyonel risk ölçümünde kullanılan girdilerin, tekniklerin, uygulamaların ve
çıktıların banka içi operasyonel risk yönetimi süreci ve pratiğini geliştirmek için kullanılması
gerekmektedir.
Bankalarda kullanım testi için belirlenen üst düzey prensipler şu şekilde belirtilebilir;
160
Bankacılar Dergisi
•
•
•
•
Risk ölçüm sisteminin amacı sadece yasal sermayenin hesaplanması değildir.
Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler arttıkça risk ölçüm
sistemi de geliştirilmelidir.
Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk yönetiminin diğer
çıktılarının birlikte değerlendirilmesi gerekir
Bankadaki operasyonel risk ölçüm sisteminin bankaya fayda sağlaması gerekir.
ii. Banka Đçi Raporlama ile Đlgili Hususlar
Operasyonel risk raporlaması iç raporlamanın önemli bir parçasıdır ve operasyonel
riskin proaktif yönetimini desteklemelidir. Raporlama Yönetim Kurulu ve Üst Düzey
Yönetime, Đç Denetime, Risk Komitesine ve/veya Đç Kontrol Komitesine (eğer kurulmuşsa)
ve hatta uygunsa operasyonel risklerin tespiti, değerlendirilmesi, izlenmesi, azaltılması ve
kontrol edilmesinden sorumlu iç fonksiyonlara yapılmalıdır. Bu iç fonksiyonlar; iş fonksiyonları, merkezi fonksiyonlar (BT, Planlama ve Yönetim Kontrol, Muhasebe) ve risk fonksiyonları olabilir. Raporlamanın sıklığı, içeriği ve biçimi raporlamanın kime yapıldığı ve bilginin
nasıl kullanılacağına bağlı olmalıdır. Olası kullanım alanları, stratejik ve finansal planlama,
günlük yönetim, operasyonel risk yönetimi ve ölçümü, piyasa disiplini vs. olabilir.
Raporlamanın içerdiği bilgi genişliği, işin ve bankanın doğasına, ölçeğine ve karmaşıklık düzeyine göre değişebilir. Genel kural olarak, iş ne kadar riskliyse, sağlanacak bilgi o
kadar detaylı olur. Đç raporlamanın sıklığı ve biçimi risk düzeyi ile uyumlu olmalıdır.
Raporlama çerçevesinin tasarımı bankanın sorumluluğundadir. Raporlama çerçevesi, örnek
olarak aşağıdaki bilgileri içerebilir:
•
•
•
•
•
•
•
Yasal ve ekonomik sermaye tahmini,
Yönetim ve uygulama değişiklikleri (Örn; iş çevresinde, iş pratiklerinde ve iç kontrol
faktörlerinde değişiklikler),
Risk azaltma ve transfer stratejileri (Örn; Beklenen kayıp indirimlerinin etkisi, sigorta
poliçelerinin ve diğer risk azaltım uygulamalarının maliyet-fayda analizleri ve iş kolu/olay tipi bazında riske maruz tutar ve/veya zararlar)
Operasyonel riske maruz tutar (Örn; anahtar operasyonel risk olayları ve tetikleyicilerin
tanımlanması, dağılımı, eğilimi, iş kolları boyunca operasyonel riske maruz tutarın yer
değiştirmesi),
Gerçekleşen iç ve dış zarar olayları (Örn; olay tipi zarar analizi ve eğilim, coğrafi dağılım
ve dönemselliğe göre kıyaslanması),
Riske duyarlı alanlarının tanımlanması ve değerlendirilmesi (risk değerlendirmeleri,
anahtar risk göstergeleri) ve
Operasyonel risk yönetimi ve ölçümü süreçleri ve sistemlerinde kalite iyileştirmeleri.
iii. Dokümantasyon
ĐÖY ile ilgili nitel kriterler, risk yönetimi sisteminin iyi bir şekilde dökümante edilmiş
olmasını gerektirmektedir. Güvenilir bir dökümantasyon bankanın faaliyetlerine katkı sağlar
ve bankanın maruz kaldığı operasyonel risk düzeyini azaltır. Dökümantasyon, personelin
bilinçlenmesini sağlar ve sorumluluklarını anlamasına yardımcı olur. Ayrıca, geniş bir
çerçevede aşağıda belirlenen konularda anahtar role sahiptir;
161
Operasyonel Risk Çalışma Grubu
•
•
•
•
Kurumsal Yönetişim - Güvenilir kurumsal yönetişiminin bir parçası olarak açık bir
şekilde dökümante edilmiş raporlama kanallarına gereksinim duyulmaktadır.
Đç Denetim – Denetim faaliyetlerinin sağlıklı yapılabilmesi için karar verme süreçleri;
açık, şeffaf ve dokümante edilmiş olmalıdır.
ĐÖY’ye Geçiş Kriterlerine Uyumun Gösterilmesi – Tüm ilgili kriterlere uyulduğunun
açık bir şekilde dokümante edilmiş olması, denetçilerin bu kriterlere uyulduğuna emin
olmalarına imkan sağlar.
Özkaynak – Sermaye tahsisi ile ilgili stratejilerin ve politikaların dökümante edilmesi
eksiksiz sağlanmalıdır.
Sonuç olarak bir banka, operasyonel risk yönetiminde dökümantasyon sisteminin yeterliliğini, dökümantasyon sürecinin gelişimi, dökümanların sağlanması ve dağılımını ortaya
koyarak gösterebilmelidir. ĐÖY‘de modelin uygulanmasında dökümantasyon büyük öneme
sahiptir. Denetim otoritesi ĐÖY başvurusu ve kullanım testinin bir parçası olarak dokümantasyonun yüksek derecede önemli olduğunu görmek ister.
iv. Kullanılan Verinin Doğruluğu, Bütünlüğü, Eksiksiz Olması, Dokümantasyonu
ĐÖY başvuru sürecinin bir parçası olarak, bir banka kullandığı verinin doğruluğunu,
güvenilirliğini ve değerleme tekniklerinin sağlamlığını gösterebilmelidir. Risk ölçüm
sisteminde girdi olarak kullanılan verinin miktarı, kalitesi, ve güvenilirliği ĐÖY’de temeldir.
Bir bankanın, risk ölçümü için kullandığı ve ĐÖY’nin denetleyici otorite tarafından değerlendirilmesinde kesin olarak belirlenmiş minimum veri standartları olması gerekmektedir.
Kullanılan verinin standartı, risk ölçüm sistemininin güvenilirliğini etkileyen en önemli
unsurdur.
Bankalarda belirli bir düzeyde veri standartı sağlanabilmesi için belirlenen üst düzey
prensipler şunlardır;
•
•
•
•
•
Bankalar dört unsur kapsamında (iç kayıp verisi, dış veri, senaryo analizi, faaliyetler
ve kontrol faktörleri) ilgili verilerin toplanmasında güvenilir, şeffaf, doğrulanabilir ve
işleyen süreçler oluşturmalıdırlar.
Bankalar, bu dört uygulamadan verinin toplanması ve modelde kullanılması ile ilgili
olarak yeterli düzeyde tecrübe edindiklerini (verinin toplanmasında izlenen yolun belirlenmesi) gösterebilmelidirler.
Bankalar, modelde kullanılacak olan verinin doğruluğunun, tutarlılığının, geçerliliğinin ve eksiksiz olmasının sağlanması için uygun standartlar geliştirmelidirler.
Bankalar, modelde kullanılacak olan verinin bankanın risk düzeyi ile ilgili ve yeterli
düzeyde olmasına yönelik varsayımları destekleyecek şekilde makul bir gözlem süreci
geçirerek veri toplamaya devam etmelidirler.
Bankalar, yukarıda belirlenen dört uygulama çerçevesinde veri toplarken ortak bir
yöntem ve Basel II ile uyumlu bir kategorizasyon ile veri toplamalıdırlar.
Yukarıda yer alan maddelerin incelenmesi sonucu veri ile ilgili dokümantasyonun
ĐÖY başvurusunda çok önemli olduğu sonucu çıkarılmalıdır. Önemli dokümanlar, örnek
olarak şöyledir:
•
162
Veri politikası ve sorumluluk beyanı: Bankalar veri politikası oluşturmalıdır.
Bankacılar Dergisi
•
•
Bankalar, veri toplaması ve biriktirmesi ile ilgili prosedür ve sistemlerini dokümante
etmelidir.
Veri sözlüğü: Bankaların düzenleyicinin incelemesine uygun veri tanımları olmalıdır.
1.3. ĐÖY’nin Kullanılabilmesi Đçin Gereken Nicel Kriterler
1.3.1. ĐÖY Sağlamlık Standardı
ĐÖY Sağlamlık Standardı
1.
Basel II’de herhangi bir operasyonel risk ölçümü yaklaşımı veya istatistiksel dağılım varsayımı belirlemekten kaçınılmıştır.
2.
Banka, hangi yaklaşımı benimsemiş olursa olsun, söz konusu yaklaşım, dağılımın kuyruk bölgesine
denk gelen ve büyük zarara yol açma potansiyeli olan olayları dikkate almalıdır.
3.
Benimsenen yaklaşım, kredi riski hesaplamalarında kullanılan Đçsel Derecelendirmeye Dayalı Yaklaşım
(ĐDDY) ile kıyaslanabilecek düzeyde olan bir “sağlamlık standardına” (1 yıllık elde tutma süresi ve
99.9uncu yüzdelik güven aralığı) uymalıdır.
4.
Basel II’ye göre bankalar, operasyonel risk modellerinin oluşturulması ve modellerin bağımsız bir taraf
tarafından onaylanmasına ilişkin ayrıntılı ve katı prosedürlere sahip olmalıdırlar.
5.
Basel II’nin yürürlüğe girmesinden önce, gelişmekte olan ve sektörde benimsenen uygulamaların
yanısıra birikmiş veriler ve ĐÖY ile hesaplanan sermaye yükümlülükleri de gözden geçirilecektir. Bu
incelemeler doğrultusunda, Komitece gerek görüldüğü takdirde, operasyonel risk ölçümüne ilişkin
Basel II’de yer alan hususlarda değişiklik yapılabilecektir.
Md.1 Operasyonel riskin sermaye yeterliliği hesaplamalarına ilk kez Basel II ile birlikte dahil edilmiş olması, operasyonel
risk verilerinin az oluşu ve finansal risk verilerinden farklı bir yapıya sahip olması gibi nedenlerle, risk yöneticileri henüz
operasyonel riskin sayısallaştırılması konusunda bir uzlaşıya varamamışlardır. Bu yüzden Basel II’de herhangi bir
operasyonel risk ölçümü yaklaşımı veya istatistiksel dağılım varsayımı belirlemekten kaçınılmıştır.
CEBS CP10 (Guidelines on the implementation, validation and assessment of AMA and IRB Approaches) dokümanına göre,
bankalar, modelin girdi/girilen bilgi, uygulama, çıktı/sonuç safhalarında tutarlı ve kaliteli olmasını sağlamak amacıyla uygun
metod ve prosedürler oluşturmalıdır.
CEBS CP10 dokümanına göre, yasal operasyonel risk sermayesinin bulunmasına yönelik model uygulaması, şeffaf ve tutarlı
süreçlerle desteklenmelidir. Tercih edilen modele göre, kurumlar aşağıdaki uygulamaları gerçekleştirebilir;
1. Verilerin uygun olabileceği düşünülen olasılık dağılımlarının belirlenmesi.
2. Parametrelerin tahmin edilmesi amacıyla uygun tekniklerin kullanılması.
3. Kullanılan dağılımın verilerle ne kadar eşleştiğinin tespitine yönelik araçların kullanılması (goodness-of-fit testleri gibi)
4. 3. adımda ulaşılan sonucun belli bir dağılımı işaret etmemesi durumunda, en uygun dağılımı seçmek için güvenilir
metodların uygulanması.
Md.3 Halihazırda kredi riski modelleme teknikleri çok yüksek gelişmişlik düzeyine erişmiştir, ayrıca kredi riskine ilişkin
verilerin kıt olmayışı modelleme konusunda yaşanabilecek olan sıkıntıların önüne geçmektedir. Operasyonel risk ölçümü
konusunda henüz bu aşamaya gelinmediği düşünülürse, Basel Komitesince ĐÖY için şart koşulmuş olan bu sağlamlık
standardına ulaşmanın şimdilik kolay olmadığını söylemek yanlış olmayacaktır.
CEBS CP10 (Guidelines on the implementation, validation and assessment of advanced measurement (AMA) and internal
ratings based (IRB) approaches) dokümana göre “Đçsel elde tutma süresi”, ‘yasal elde tutma süresi’nden farklı olabilir.
Operasyonel risk sınıflarının özelliklerine ve/veya veri toplama sürecine (ör. raporlama sıklığı, iç ve dış verinin sağlanması,
vb.) göre ve denetim otoritesi ile mutabık kalınması halinde, bankalar, asgari yasal elde tutma süresi olan 1 yılla uyuşmayan
uygun bir içsel elde tutma süresi tanımlayabilirler. Đçsel elde tutma süresinin kayıp dağılımının şeklinde ve dolayısıyla
operasyonel risk ölçümünde önemli etkileri olduğu düşünülürse, kurumlar söz konusu süre seçimine büyük önem vermeli ve
gerek operasyonel risk sınıflarının gerekse veri toplama sürecinin yapısına uygun olarak bu süreyi belirlemelidirler.
163
Operasyonel Risk Çalışma Grubu
Nicel Standartlar
1.
2.
3.
4.
5.
6.
Operasyonel risk ölçüm sistemi, Komitenin operasyonel risk tanımının kapsamı ve Basel II’de
tanımlanan kayıp olayı türleri ile tutarlı olmalıdır.
Yasal sermaye gereksinimi, beklenen zarar ve beklenmeyen zararın toplamına eşit olacaktır. Ancak
eğer bir banka, beklenen zararını ölçtüğünü ve faaliyetlerinde beklenen zararı hesaba kattığını denetim otoritesine kanıtlayabilirse, yasal sermaye gereksinimi sadece beklenmeyen zarara eşit olacaktır.
Bir bankanın risk ölçüm sistemi, operasyonel riske yol açan başlıca unsurlardan kayıp dağılımının
kuyruk bölgesinin şeklini etkileyenleri de kapsayacak şekilde çeşitlendirilmiş olmalıdır.
Asgari yasal sermaye yükümlülüğünün hesaplanması için farklı operasyonel risk tahminlerine ilişkin
risk ölçüm sonuçlarının toplanması gerekmektedir. Ancak bir banka, eğer söz konusu operasyonel
risk tahminlerinin arasında korelasyon olduğunu tespit ettiyse, (korelasyonları belirlemek için kullandığı sistemlerin sağlam olduğunu, doğru uygulandığını ve bu korelasyon tahminlerini etkileyen
belirsizliği dikkate aldığını ulusal denetim otoritesine göstermek kaydıyla) risk ölçüm sonuçlarının
toplanması sırasında korelasyonların etkisini dikkate alabilecektir.
Basel II’de operasyonel risk ölçüm sistemlerinde kullanılmak üzere 4 temel unsur belirlenmiştir.
Bunlar içsel veriler, harici veriler, senaryo analizleri ve iş ortamı ve iç kontrol faktörleridir. Bankalar
tarafından, bu temel unsurların operasyonel risk ölçüm sistemindeki ağırlığının ne olacağını tespit
etmek üzere inandırıcı, şeffaf, iyi bir şekilde dokümante edilmiş ve onaylanabilen bir yaklaşım oluşturulmalıdır. Örneğin, eğer bir faaliyet koluna ilişkin kayıp dağılımının kuyruk alanı geniş ise ve az
veri gözlemlenebilmişse, dahili ve harici kayıp olayı verilerine dayanılarak 99.9uncu yüzdelik dilim
güven aralığında yapılan tahminler güvenilir olmayabilir. Bu tür durumlarda, risk ölçüm sisteminde
senaryo analizi ve iş ortamı ve iç kontrol faktörlerinin ağırlığı artırılabilir. Buna karşılık, esas olarak
kayıp verilerine dayanılarak, 99.9’uncu yüzdelik dilim güven aralığında yapılan tahminlerin güvenilir olduğu durumlarda, operasyonel kayıp olayı verilerinin risk ölçüm sistemindeki ağırlığı artırılabilir.
Bankanın söz konusu 4 temel unsuru ağırlıklandırmada istikrarlı olması ve diğer unsurlar kapsamında dikkate alınmış risk azaltıcı faktörlerin ve nitel değerlendirmelerin mükerrer sayımını engellemesi
gerekmektedir.
Basel II’nin bu bölümünde, asgari yasal sermaye yükümlülüğü hesaplamalarında kullanılmak üzere dahili olarak üretilen operasyonel risk ölçütlerinin uyması gereken bir dizi nicel standarda yer verilmiştir.
Md.2 Bankanın beklenen zararı hesaba katmasından anlaşılması gereken, taşınan operasyonel risk nedeniyle
karşılık ayrılması, fiyatlamaya operasyonel risk primi eklenmesi vb. gibi uygulamalardır. Eğer sermaye veya karşılık
ayırmak dışında bir yöntem kullanılıyorsa, ilgili faaliyet kolu ve kayıp türündeki zararların oldukça durağan olması ve
net bir şekilde öngörülebilir olması gerekmektedir. Ayrıca beklenen zararın dikkate alındığını denetim otoritesine
kanıtlamak amacıyla, söz konusu uygulamaların ve beklenen zarar hesaplamalarının ayrıntılı olarak dokümante edilmesi
gerekmektedir.
Md.3 Bankaların bu koşulu sağlamak için başlangıç noktaları, Basel II’de tanımlanmış olan 8 faaliyet kolu ve
7 kayıp olayı türünden oluşan 56 hücrelik matris olacaktır. Operasyonel riske yol açan başlıca unsurların belirlenmesi
açısından faydalı olacağı düşünülüyorsa, söz konusu matrisin daha ayrıntılı hale getirilerek bölümlere ayrılması
seçeneği bankalarca değerlendirilebilir.
Md.4 Basel II’de yer alan bu koşulun uygulamaya yansıması şu şekilde olacaktır: Bankalar faaliyet kolları ve
kayıp kategorileri arasında var olması muhtemel korelasyonları belirlemeli, söz konusu korelasyon varsayımlarını
dokümante etmeli ve modellerde kullanabilmelidirler. Örneğin iki faaliyet koluna ilişkin operasyonel risk tahminleri
arasında ters yönlü korelasyon bulunuyorsa, bankanın tutması gereken yasal sermaye düşecektir. Ters yonlu korelasyon
varsayımında bulunarak bankaların korelasyon varsayımlarını kendi lehlerine değiştirmeleri mümkün olabileceğinden,
bu noktada denetim otoritesinin kontrolü önem kazanmaktadır.
CRD Annex X, bölüm 3, paragraf 11de belirtildiği üzere “Kredi kurumu uygun nicel ve nitel tekniklerle
korelasyon varsayımlarını doğrulamalıdır.” Ancak CEBS CP10 dokümanında da belirtildiği üzere, yüksek sıklıklı düşük
şiddetli olayların korelasyonlarının nicel tekniklerle doğrulanması, dağılımın kuyruk bölümünde bulunan olaylar arası
korelasyonlara zor uygulanabilir.
164
Bankacılar Dergisi
(164.sayfadaki kutunun devamı)
Bu gibi durumlarda, tüm ileri ölçüm yaklaşımının ölçümü üzerinde etkisi olan sağlam korelasyon varsayımları, en
azından nitel doğrulama teknikleri ve mümkün olması durumunda nicel teknikler ve stres testi analizleri ile kanıtlanabilir.
Md.5 Örneğin bir banka kendi faaliyetleri açısından harici verileri fazla anlamlı bulmadığı için harici verilerin modeldeki ağırlığını azaltıp, senaryo analizlerine ağırlık verebilir. Önemli olan, söz konusu yaklaşımını gerekçeleriyle denetim
otoritesine açıklayabilmesidir.
Md.6 Örneğin eğer bir senaryo analizi sırasında kontrollerin riski azaltıcı etkisi dikkate alındıysa, söz konusu etki
“iş ortamı ve iç kontrol faktörleri” kapsamında ikinci kez modele dahil edilmemelidir.
CEBS’in CP10 dokümanında sözkonusu 4 temel unsurun nasıl birleştirildiği ve ağırlıklandırıldığının ayrıntılılı şekilde dokümante edilmesi gerektiği belirtilmiştir.
1.3.2. Đçsel Veriler
Đçsel kayıp verileri, bankanın risk tahminlerini gerçek kayıp deneyimleri ile
ilişkilendirmek açısından önemli rol oynamaktadır.
Đçsel Kayıp Verilerinin Kullanım Alanları – Basel Md 670
1. Bankanın operasyonel risk tahmininin temeli olarak
2. Risk ölçüm sisteminin girdi ve çıktılarının doğruluğunu tasdikleme aracı olarak
3. Kayıp deneyimi ile risk yönetimi ve kontrol kararları arasındaki bağlantının oluşturulma aracı
olarak
Đçsel Kayıp Verilerinin Kullanım Amacına Uygunluğu – Basel Md 671
1. Đçsel kayıp verileri bankanın güncel faaliyetleri, teknolojik süreçleri ve risk yönetimi prosedürleri ile mümkün olduğunca ilişkilendirilebilmiş olmalıdır.
2. Banka, tarihsel kayıp verilerinin amaca uygunluğunun sürüp sürmediğini, muhakemeye dayanan aşma, indirme veya ölçeklendirme gibi durumlar da dahil olmak üzere bu verilerin hangi
ölçüler içinde kullanılabileceğini ve bu kararları almaya kimin yetkili olduğunu değerlendirmek üzere yazılı prosedürler hazırlamalıdır.
Gözlem Süresi – Basel Md 672
1. Yasal sermaye gereksinimini belirlemek için kullanılan ve dahili olarak üretilen operasyonel
risk ölçütü, (içsel kayıp verilerinin doğrudan doğruya kayıp ölçütüne ilişkin modelin kurulması için mi yoksa modeli doğrulamak için mi kullanıldığına bakılmaksızın) en az 5 yıllık içsel
kayıp verisine dayandırılmalıdır.
2. Ancak banka ĐÖY uygulamasına ilk kez geçtiğinde 3 yıllık kayıp verisi yeterli olacaktır.
165
Operasyonel Risk Çalışma Grubu
Đçsel Kayıp Verisi Toplama Sürecine Đlişkin Standartlar-Basel Md 673
1. Banka, denetim otoritesinin onaylama/doğrulama işlemine yardımcı olmak için, tarihsel içsel kayıp
olaylarını Basel II’de belirlenmiş olan 8 ana faaliyet koluna ve 7 kayıp olayı türüne eşleyebilmeli ve
talep edilmesi halinde ilgili verileri denetim otoritesine sunabilmelidir.
2. Kayıp verilerinin, faaliyet kolları ve kayıp olayı türlerine ile eşleştirilmesine ilişkin nesnel kriterlerin
dokümante edilmesi gerekmektedir.
3. Söz konusu 8 ana faaliyet kolu ve 7 kayıp olayı türü kategorilerini içsel operasyonel risk ölçüm
sisteminde hangi ölçülerde uygulayacağına ilişkin karar bankanın kendi ihtiyarındadır.
4. Đçsel kayıp verilerinin kapsamı;
4.a. Đçsel kayıp verileri, bankanın faaliyet gösterdiği coğrafi alanların tümünde, bankanın tüm altsistemlerince maruz kalınan riskleri ve önemlilik arzeden tüm faaliyetleri kapsamalıdır.
4.b. Eğer herhangi bir faaliyet veya maruz kalınan bir risk kapsam dışı bırakılacak olursa, bunların tek
başlarına veya toplu olarak bankanın genel risk tahminleri üzerinde önemli bir etki yapmayacağı
gösterilebilmelidir.
4.c. Veriler toplanırken, uygun bir brüt kayıp eşik değeri belirlenmelidir (örneğin 10.000 €).
4.d. Uygun eşik değeri, bankadan bankaya değişebileceği gibi aynı banka içindeki farklı faaliyet kolları
ve/veya olay türleri arasında da değişiklik gösterebilir. Bununla birlikte, belirli eşik değerler, benzer
bankaların kullandığı eşik değerlerle genel olarak uyumlu olmalıdır.
5. Đçsel kayıp verileri, brüt kayıp tutarlarına ilişkin bilgilerin yanısıra, olayın gerçekleştiği tarih, tahsilat
tutarı, kayba yol açan unsurlar hakkında açıklayıcı bilgiler de içermelidir. Kayıp tutarı ile kayba ilişkin
açıklayıcı bilgilerin detayı doğru orantılı olmalıdır.
6. Banka, zaman içinde bağlantılı olaylardan kaynaklanan kayıp verilerinin yanısıra, merkezi bir birimde
(örneğin, bilgi teknolojileri birimi) veya birden fazla faaliyet kolunu kapsayan bir birimde meydana
gelen olaylardan kaynaklanan kayıp verilerinin nasıl sınıflandırılacağına ilişkin kriterler belirlemelidir.
.
7. Kredi riski ile ilgili olan veya eskiden beri bankanın kredi riski veri tabanında izlenen operasyonel risk
kayıpları, asgari yasal sermaye hesaplamalarında kredi riski olarak dikkate alınacaktır. Sonuç olarak, söz
konusu kayıplar operasyonel riske esas sermaye yükümlülüğü hesaplamalarına dahil edilmeyecektir.
8. Ancak, içsel operasyonel risk yönetimi amaçlarıyla, bankalar operasyonel risk kapsamına giren, kredi
riski ile ilişki olanlar da dahil, tüm önemli operasyonel kayıplarını belirlemelidir. Operasyonel riskle
ilişkili önemli kredi riski kayıpları, bir bankanın kendi içsel operasyonel risk veri tabanında ayrıca
izlenmelidir.
9. Piyasa riski ile ilgili olan operasyonel risk kayıpları, asgari yasal sermaye hesaplamalarında
operasyonel risk olarak dikkate alınacaktır. Söz konusu kayıplar operasyonel riske esas sermaye
yükümlülüğü hesaplamalarına dahil edilecektir.
166
Bankacılar Dergisi
Md.4c CEBS CP10 dokümanına göre faaliyet kolları ve/veya kayıp olayı türleri itibariyle eşik değerleri belirlenirken, ilgili risk türünün yapısı göz önünde bulundurulabilir, belirlenecek eşik tutarının altındaki kayıp verilerinin toplanması
konusunda fayda-maliyet analizi yapılabilir. Bankalar belirledikleri eşik tutarlarının mantıklı olduğunu ve önemli kayıp olayı
verilerini dışarıda bırakmadığını denetim otoritelerine kanıtlayabilmelidir.
Md.5 Örneğin ĐÖY kapsamında bankalar tarafından tercih edilen bir yöntem olan kayıp dağılımı yaklaşımında, kayıp dağılımlarının oluşturulması için kayıp frekansına ve kayıp tutarına dair bilgilerin var olması yeterli olmaktadır. Bu
durumda neden Basel II’nin kayba ilişkin başka açıklayıcı bilgilerin de tutulmasını şart koştuğu sorusu akla gelebilir. Bunun
nedeni, Basel II’nin sadece yasal sermaye yeterliliği seviyesine uygun hareket edilmesini sağlamayı amaçlamakla sınırlı
kalmayan, bankaların risk yönetimi sistemlerini sağlamlaştırılmasına büyük önem veren bir düzenleme olmasıdır. Tarihsel
kayıp olaylarının neden kaynaklandığı, ne kadarının tahsil edilebildiği vs. gibi bilgilerin dikkate alınması daha etkin bir
operasyonel risk yönetiminin yolunu açacaktır.
CEBS CP10 dokümanında, sigorta poliçelerinin devreye girdiği kayıp olaylarının iç veri tabanında farklı bir yerde
izlenmesi gerektiği belirtilmiştir. CEBS’e göre, denetim otoriteleri, bankaların kısa zaman sınırları belirlemelerine ve bu kısa
zaman aralığında sigortadan tahsil edilebilen kayıpları brüt kayıp tutarından düşmelerine izin verebileceklerdir. Ancak
sözkonusu uygulamanın bankadan bankaya önemli farklılıklar göstermesinin sakıncalı olabileceği düşünülmektedir.
Md.6 CEBS CP10 dokümanında, tek bir olay farklı zamanlarda kayıplara neden olduğu takdirde, birbiriyle ilişkili
bu olayların sermaye hesaplamasında tek bir olay olarak dikkate alınması gerektiği belirtilmiştir.
Merkezi bir birimde veya birden fazla faaliyet kolunu kapsayan bir birimde meydana gelen olaylardan kaynaklanan
kayıp verilerinin sınıflandırılması konusunda, CEBS CP10 dokümanında iki örnek verilmiştir. Buna göre, ilgili kayıp olayı en
çok hangi faaliyet kolunu etkilediyse, sözkonusu olayın o faaliyet koluna kaydedilmesi tercih edilebilir. Diğer bir seçenek
ise, ilgili kayıp olayı verisinin faaliyet kollarına oransal olarak paylaştırılmasıdır.
Md.8 Örneğin bir borçlu evini teminat olarak göstermiş ancak ilgili kredi uzmanı, tapuda haciz olup olmadığını incelememişse, kredinin tahsil edilememesi halinde oluşacak zarar operasyonel risk hesaplamalarına dahil edilmeyecektir.
Md.9 Örneğin fon yönetiminde görevli bir çalışanın fon alımı sırasında planladığı tutardan farklı bir tutar girişi yaparak hatalı fiyatlamaya neden olması, operasyonel risk kapsamında ele alınacaktır.
1.3.3. Dış Veriler – Basel Md. 674
Dış Verilerin Niteliği
1.
2.
3.
4.
Fiili kayıp tutarı hakkındaki bilgileri içermelidir.
Olayın meydana geldiği iş operasyonların büyüklüğüne dair bilgileri içermelidir.
Kayıp olaylarının sebep ve koşullarına ilişkin bilgileri içermelidir.
Gerek duyulması halinde kayıp olayının diğer bankalar için öneminin değerlendirilmesine yardımcı
olabilecek başka bilgileri de içermelidir.
Dış veriler, herkesçe erişilebilinen haber kaynaklarından veya bankaların ortak operasyonel kayıp veritabanlarından elde
edilebilir. Bankanın, dış veriyi kendi modeline dahil etmesinden önce bazı ayarlamalar yapması gerekebilecektir. Dış veriyi
elde ettiği işletmenin faaliyetleri ve ölçeği ile kendi faaliyetlerinin ve ölçeğinin uyumlu olup olmadığını değerlendirmeli ve
gerekiyorsa ayarlamalar yapmalıdır.
Dış Verilerin Kullanımına Yönelik Đç Süreçlerin Tesisi
1.
2.
Dış verilerin kullanılması gereken durumların yazılı olarak tesis edilmesi.
Dış verilerin hesaplamalarda kullanılabilmesine yönelik yöntemlerin yazılı olarak tesis edilmesi.
167
Operasyonel Risk Çalışma Grubu
Dış Verilerin Denetime Tabi Tutulması
1.
2.
Dış verilerin kullanımına ilişkin iç süreçlerin düzenli olarak gözden geçirilmesi ve kaydedilmesi.
Dış verilerin periyodik olarak bağımsız denetime tabi tutulması.
1.3.4. Senaryo Analizi – Basel Md. 675
Senaryo Analizi
1.
2.
3.
Dış verilere dayalı senaryo analizi
Đç verilere dayalı senaryo analizi
Senaryo analizlerinin doğruluğunun değerlendirmesi süreci
Olasılığı düşük ancak etkisi yüksek olaylar göz önünde bulundurulurken harici veriler ile birlikte senaryo analizleri de
kullanılmalıdır. Senaryo analizi yapılırken, meydana gelmesi muhtemel olaylar, yöneticilerin ve risk yönetimi uzmanlarının
deneyimlerinden faydalanılarak değerlendirilir. Daha sonra, uzmanların bu değerlendirmeleri, örneğin, istatistiksel bir kayıp
dağılımının parametreleri olarak ifade edilebilir. Aşağıdaki şekilde senaryo analizinin modele nasıl dahil edilebileceği
gösterilmektedir:
Senaryoların
oluşturulması
Senaryoların
değerlendirilmesi
Parametrelerin
belirlenmesi
Modelleme
CEBS CP10 dokümanına göre, Bankalar, senaryo analizi sürecinin mümkün olduğunca öznellikten uzak ve tarafsız olmasını
sağlamalıdır. Özellikle;
- Senaryoda kullanılan varsayımlar mümkün olduğunca deneysel kanıtlara dayanmalıdır. Đlgili iç ve dış veriler senaryo
oluşturmada kullanılmalıdır.
- Uygulanacak senaryo sayısının seçiminde, bankalar gerekli istatistiksel analizleri (ya da diğer analizleri) kullanmalıdırlar
- Senaryo analizlerini oluşturmak için yapılan varsayımlar ve senaryo oluşturma süreçleri ayrıntılı olarak dokümante
edilmelidir.
1.3.5. Đş Ortamı ve Đç Kontrol Faktörleri – Basel Md. 676
Banka Çapında Risk Değerlendirme Yöntemi
1. Operasyonel risk profilinin tanımlanması
1.a. Operasyonel risk profilini değiştirebilecek olan iş ortamlarının tanımlanması
1.b. Operasyonel risk profilini değiştirebilecek olan iç kontrol faktörlerinin tanımlanması
2. Đş Ortamı ve Đç Kontrol Faktörlerinin risk ölçüm çerçevesinde kullanılması
2.a. Her faktör seçiminin, etkilenen iş alanları hakkında uzman görüşlerini de içeren ve deneyimlere dayanan
anlamlı bir risk belirleyicisi olduğunun kanıtlanması gereklidir. Mümkün olan durumlarda, bu faktörler,
doğrulanmaları ve onaylanmalarına olanak sağlayacak nicel ölçütlere dönüştürülebilmelidir.
2.b. Bir bankanın risk tahminlerinin faktörlerdeki değişimlere ve çeşitli faktörlerin nispi ağırlığına karşı
hassasiyeti sağlam temellere dayanmalıdır. Bu çerçeve,risk kontrollerindeki gelişmelerden kaynaklanan risk
değişikliklerinin yanısıra, faaliyetlerin artan karmaşıklığından veya iş hacmindeki artıştan dolayı meydana
gelebilecek potansiyel risk artışlarını da yakalayabilmelidir (analize dahil edebilmelidir).
2.c. Ampirik tahminlerdeki ayarlamalar için destekleyici bir gerekçe olarak kullanımı da dahil bütün kullanım
amaçları ve çerçevenin kendisi, iyi dokümante edilmeli ve hem banka içinde hem de denetim otoriteleri
tarafından bağımsız denetime tâbi tutulmalıdır.
2.d. Zaman içinde bu sürecin ve sonuçlarının, gerçekleşen içsel kayıp olayları ve ilgili dış veriler ile karşılaştırılmak suretiyle doğrulanması/onaylanması ve gereken ayarlamaların yapılması gereklidir.
168
Bankacılar Dergisi
1.4. Đleri Ölçüm Yaklaşımlarında Kısmi Kullanım
1.4.1. Basel II’de Kısmi Kullanım
647. Uluslararası faal bankaların ve operasyonel risk seviyesi yüksek olan bankaların
(örneğin, uzmanlaşmış işlem bankaları), Temel Gösterge Yaklaşımdan daha gelişmiş olan ve
ilgili kuruluşun risk profiline uygun olan bir yaklaşım kullanmaları beklenmektedir. Belirli
asgari kriterlere uyulması şartıyla, bir bankanın faaliyetlerinin belli kısımları için Temel
Gösterge veya Standart Yaklaşımı ve diğer kısımları için ĐÖY’yi kullanmalarına izin verilir
(680 ilâ 683. paragraflara bakınız).
680. Bir bankanın, faaliyetlerinin bir kısmı için ĐÖY’yi, diğer faaliyetleri için de Temel Gösterge Yaklaşımını veya Standart Yaklaşımı kullanmasına (kısmi kullanım), aşağıda
sayılan yükümlülüklere uyması şartıyla izin verilecektir:
•
•
•
•
Bankanın global ve konsolide operasyonlarının bütün operasyonel riskleri kapsanmalıdır;
Bankanın ĐÖY kapsamı içindeki bütün operasyonları, ĐÖY yaklaşımının kullanılmasına
ilişkin nitel kriterlere uygun olmalı; diğer daha basit yaklaşımlardan birinin kullanıldığı
operasyonları ise o yaklaşımla ilgili kabul edilebilirlik kriterlerine uygun olmalıdır;
ĐÖY uygulama tarihinde, bankanın operasyonel risklerinin önemli bir kısmının ĐÖY
kapsamında olması gereklidir; ve
Banka, ĐÖY’yi operasyonlarının önemsiz bir kısmı hariç hepsine uygulamayı hedeflediği
zaman programını da içeren bir planı ilgili denetim otoritesine ibraz etmelidir. Bu plan,
zaman içinde ĐÖY yaklaşımına geçmenin fizibilitesi ve uygulanabilirliğine dayanmalı ve
başka hiç bir sebebe dayanmamalıdır.
681. Denetim otoritesinin iznine tâbi olarak kısmi kullanımı seçen bir banka, operasyonlarının hangi kısımlarında ĐÖY yaklaşımını uygulayacağına, ilgili faaliyet kolları, hukuki
yapı, coğrafi veya başka dahili faktörlere göre karar verebilir.
682. Denetim otoritesinin iznine tâbi olarak, bir banka ĐÖY dışında bir yaklaşımı global ve konsolide bazda kullanmak ve uygulamak istediği takdirde ve 680. paragrafın üçüncü
ve/ veya dördüncü koşuluna uymuyorsa, o banka, sınırlı durum ve koşullarda:
•
bir ĐÖY yaklaşımını daima kısmi olarak uygulayabilir ve
•
ĐÖY’nin faaliyet gösterdiği ülkenin denetim otoritesi tarafından onaylanmış olması ve
bankanın kendi kurulu bulunduğu ülkenin denetim otoritesi tarafından kabul edilebilir
olması şartıyla, bir iştirakinde yaptığı bir ĐÖY hesaplamasının sonuçlarını, global ve konsolide operasyonel risk sermaye yükümlülüğü hesaplamasına dahil edebilir.
683. 682. paragrafta belirtilen nitelikteki izinler sadece istisnai olarak verilmelidir. Bu
istisnai izinler, genellikle, bir bankanın bu koşullara uymasına bankanın yabancı ülkelerdeki
iştiraklerinin tâbi olduğu denetim otoritelerinin uygulama kararlarının engel olduğu durumlarla sınırlı tutulmalıdır.
169
Operasyonel Risk Çalışma Grubu
1.4.2. CEBS’de (Committee of European Banking Supervisors)Kısmi Kullanım
CEBS (Committee of European Banking Supervisors) tarafından hazırlanan ve 11
Temmuz 2005 tarihinde yayımlanan CP 10 nolu (ĐÖY ve ĐDD Yaklaşımları Đçin Uygulama,
Onay ve Değerlendirme Rehberleri) istişare dökümanında konsolide ve solo bazda kısmi
kullanım halleri aşağıdaki tablolar yardımıyla özetlenmiştir.
Tablo 1:
Konsolide bazda kısmi kullanım kombinasyonları ve konsolide sermaye ihtiyacı
TGY = Temel Gösterge Yöntemi
SY = Standart Yöntem
ASY = Alternatif Standart Yöntem
AMA =Đleri Ölçüm Yaklaşımı
Konsolide Seviyede Kullanılan Yaklaşım
Đştirak/Đşkolu Seviyesinde
Kullanılan Yaklaşım
Đştirak/Đşkolu A Lokal Olarak
TGY Kullanıyorsa
Đştirak/Đşkolu B Lokal Olarak
SY veya ASY Kullanıyorsa
Đştirak/Đşkolu C Lokal Olarak
ĐÖY Kullanıyorsa
TGY
Kısmi kullanım
kabul edilmez
Kısmi kullanım
kabul edilebilir
SY veya ASY
AMA
Kısmi kullanım Kısmi kullanım
kabul edilebilir kabul edilebilir
Kısmi kullanım
kabul edilebilir
Kısmi kullanım
kabul edilebilir -
Tablo 2:
Solo bazda kısmi kullanım kombinasyonları ve solo sermaye ihtiyacı
Solo Seviyede Kullanılan Yaklaşım
Đşkolu/Şube Seviyesinde
Kullanılan Yaklaşım
Đşkolu/Şube A Lokal Olarak
TGY Kullanıyorsa
Đşkolu/Şube B Lokal Olarak
SY veya ASY Kullanıyorsa
Đşkolu/Şube C Lokal Olarak
ĐÖY Kullanıyorsa
TGY
SY veya ASY
AMA
Kısmi kullanım
Kısmi kullanım genellikle kabul
kabul edilmez edilmez*
Kısmi kullanım
Kısmi kullanım
kabul edilmez kabul edilebilir
Kısmi kullanım Kısmi kullanım
kabul edilmez kabul edilmez -
(*) ĐÖY'nin gerektirdiği yüksek risk yönetim standartlarının ilgili birimde kullanımını arttırmak üzere bazı
ülkeler, en azından CRD tarafından Standart Metot için gerekli tutulan risk yönetim standartlarının iştiraklerin
TGY kullanan işkolu/şubelerinde uygulanması halinde, kısmi kullanımı kabul edebilirler.
1.4.3.
•
170
Bankacılık Düzenleme ve Denetleme Kurumu Tarafından Açıklık
Getirilmesinin Uygun Olduğu Düşünülen ve Bankalar Tarafından
Yapılabilecek Hususlar
Bir bankanın, faaliyetlerinin bir kısmı için ĐÖY’yi, diğer faaliyetleri için de Temel
Gösterge Yaklaşımını veya Standart Yaklaşımı kullanmasına (kısmi kullanım) ilişkin
kullanım izni için düzenleyici otoriteye sunması gereken açıklayıcı planının detayları
belirlenmelidir.
Bankacılar Dergisi
Bu konuda CEBS tarafından hazırlanan dökümanda açıklayıcı planda bir zaman tablosu
bulunması ve uygulama sırası olması beklenmektedir. Zaman tablosu ĐÖY uygulamasının
luzumsuz olarak uzamasına yol açmayacak kadar kısa; yönetim, veri, metodoloji ve sonuçların kalitesini sağlayacak kadar uzun olmalıdır. Uygulama sırası banka tarafından belirlenebilir
ve düzenleyici otorite ile anlaşmak kaydıyla örneğin kalan en riskli operasyonlar ile başlanabilir.
•
Düzenleyici Otoritenin kısmi kullanım izin verme ve kısmi kullanım kullanma
opsiyonlarını belirleme kriterleri tespit edilmeli ve bankalar ile önceden paylaşılmalıdır.
•
Satın alma ya da birleşme gibi önemli bir finansal ve organizasyonel değişiklik olduğu
hallerde planda güncelleme/değişiklik olması doğaldır. Bu gibi koşullarda düzenleyici
otoritenin planda olan değişiklik karşısında nasıl bir izleme ve onay süreci uygulayacağı açıklanmalıdır.
•
Bankaların, kısmi kullanım kombinasyonlarının ve açıklayıcı planın zaman planı,
anlam ve önemine ilişkin hususlarının tutarlılığını uygun şekilde ve zamanında izlenmesini sağlayan sistem ve prosedürleri olmalıdır.
II.
Operasyonel Risk Đleri Ölçüm Modellerinin Onaylanması ve
Değerlendirilmesi Đçin Đleri Ölçüm Modelleri Başvuru Esasları ve
Uygulama Kriterleri Kapsamında Örnek Bir Başvuru Rehberi
Đleri Ölçüm Yaklaşımı (ĐÖY) için başvuran Banka Yetkilileri
Banka:
Eksiksiz bir başvuru formu aşağıdaki maddeleri kapsamalıdır:
Başvuru rehberinde yer alan bölümlerle ilgili BDDK’nın ek bilgi ve doküman taleplerinin karşılanması
Risk Yönetiminden sorumlu Yönetim Kurulu Üyesinin imzalamak suretiyle başvuru
yapan yetkililerin beyan ve imzalarının bulunduğu E bölümünün tasdiki
Tüm bilgiler aksi belirtilmedikçe elektronik formatta (CD Rom veya elektronik posta)
gönderilmeli, E bölümünde yer alan dokümanlar kağıt ortamında aşağıdaki iletişim
adresine gönderilmelidir.
Bankacılık Düzenleme ve Denetleme Kurumu
Atatürk Bulvarı No:191 B Blok 06680 KAVAKLIDERE/ANKARA
Başvuru için E-Posta Adresi: @bddk.org.tr
Yabancı Ortaklı Bankalar, yetkililerce imzalanmış başvuru formunu göndermek suretiyle başvuru ve onay sürecinde sundukları bilgilerin diğer ülkelerdeki düzenleyici otoritelerle
paylaşılmasını peşinen kabul eder.
171
Operasyonel Risk Çalışma Grubu
Đleri Ölçüm Yaklaşımlarının (Đöy) Kullanılabilmesi Đçin Başvuru Rehberi
Đçerik
Başvuru Rehberi, Bankaların, Đleri Ölçüm Yaklaşımları (ĐÖY) kullanma iznini alabilmek için BDDK’ya başvurularında gerçekleştirmeleri gereken adımları belirler.
Uygulama Kapsamı
Başvuru Rehberi operasyonel risk yönetiminde ileri ölçüm yaklaşımlarını kullanmak
isteyen üçüncü ülkelerdeki Türk iştiraklerinin, yerli Türk Bankacılık gruplarının, konsolide
otoritesi BDDK merkezi Türkiye olan uluslararası bankacılık grupları için BDDK tarafından
talep edilen bilgileri kapsamaktadır. Banka veya Bankacılık Grupları operasyonel risk
sermaye hesaplamalarında ileri ölçüm yaklaşımlarını kısmen uygulamayı öngördüğünde
başvuru rehberi sadece ileri ölçüm yaklaşımlarını uygulamak isteyen bankalara uygulanır.
Başvuru Rehberinin Temel Unsurları
ĐÖY başvuru süreci iki kısımdan meydana gelmektedir. Đlk kısım başvuru rehberi ışığında bankaların başvurusunun ve gerekli bilgilerinin sunulmasından oluşmaktadır. Đkinci
kısım ise BDDK olarak birinci kısımdan elde edilen veriler doğrultusunda detay bilgilerin
istenmesi ve analizi sürecini kapsamaktadır.
Birinci bölümde, bankanın ĐÖY uygulamaları ve yönetim gibi bir kaç önemli alanda
yaklaşımları konusunda özet bilgi ile birlikte ĐÖY’ün içerdiği nitel ve nicel gereklilikler ve
bankanın ĐÖY modeli ile ilgili detaylı bilgiler yer alacaktır. Bu bölüm, bankanın Risk
Yönetiminden Sorumlu Yönetim Kurulu Üyesi tarafından imzalanacaktır.
Đlk bölümden elde edilecek veriler BDKK’ya bankanın ĐÖY başvurusunu değerlendirme imkanı tanıyacaktır. Bankanın vereceği söz konusu bilgiler sayesinde aşağıdaki
hedeflere ulaşılması sağlanacaktır.
•
Banka tarafından hangi işlerin gerçekleştirildiğini anlamak ve konulan kurallar çerçevesinde yeterli strateji ve uygulama imkanlarına sahip olunduğunu onaylamak
•
ĐÖY perspektifi çerçevesinde hangi alanlara yoğunlaşılması gerektiğini belirlemek
•
Bankalardan ortak veriler alarak sektör çapında karşılaştırmalar yapabilmek
Đlk kısım için özet ve yönetici düzeyinde bilgiler istenecektir. Bilgilerin yönetici düzeyinde olmasından kastedilen Üst Yönetim ve Yönetim Kuruluna sunulabilecek şekil, kapsam
ve ayrıntıda olmasıdır.
Bankalar başvurularında başvuruyla ilgili adı geçen ilgili iç dokümanlarının bir listesini (kısa içerikleriyle birlikte) başvuruya eklemelidir.
Bankalar başvurularında istenen bilgilerin birbirleri arasındaki bağlantılarına ve bilgilerin birbirleri arasında tutarlı olduğuna dikkat etmelidir. Örneğin; A bölümünde yer alan
172
Bankacılar Dergisi
uygulama planı ile B bölümünde yer alan ĐÖY farklılık analizi arasında bağlantı olduğuna
dikkat edilmelidir.
Yabancı ortaklı bankaların başvurusu durumunda, sunulan bilgiler başvuru sürecinin
güçlendirilmesi amacıyla diğer düzenleme ve denetleme kurumlarıyla paylaşılabilecektir.
Bölüm A – Üst düzey açıklama ve uygulama planları:
Bu bölümde bankanın ĐÖY kapsamında üst düzey açıklama ile uygulama planlarını
sunması gerekmektedir.
Genel
Eğer istenilen şekilde banka tarafından daha evvel bu bölümde veya ilerleyen bölümlerde talep edilen bilgi/veri gönderilmiş ise ve bu bilgiler/veriler halen güncel ise, tekrar
gönderilmesi yerine sadece atıf yapılabilir.
A1. Başvurunun özet gerekçesi
A.2. Uygulama kapsamının kısa açıklaması, kısmi ĐÖY kullanımı olup olmadığı, önemli iştiraklerin listesi ve operasyonel risk yönetimi yaklaşımları (Münferit ĐÖY yaklaşımı,
grup bankalarının kullandığı ortak model veya daha basit bir yaklaşım) ve gelecekte ĐÖY
başvurusunu etkileyebilecek, yapıda veya organizasyonda gerçekleştirilmesi planlanan
değişikliklerin detayı
A.3. Başvurunun solo kullanım veya konsolide kullanım için olduğu, konsolide kullanım içinse hangi organizasyon/iştiraklerin dahil edildiği
A.4. Konsolide grup şirketlerinin (bankacılık ve finansla ilgili) listesi
A.5. Uygulamaya geçme takvimini de içeren ĐÖY uygulama planının bir kopyası, başvuru yapılan yurtdışı iştiraklerin uygulama modelleri
A.6. ĐÖY yaklaşımı için bankada iletişim kurulacak kişi
Yapı
Bu bölüm operasyonel risk yönetimi ve sermaye yükümlülüğü çerçevesinde banka yapısının açıklanmasını amaçlar. Bankanın yapısı hakkında açıklamalar şu hususları kapsamalıdır.
A.7. Banka veya bankacılık grubunun organizasyonel yapısı
A.8. Bankanın ortaklık yapısı
A.9. Yönetim Kurulu ve Üst Düzey Yönetimin yapısının kısa açıklaması
A.10. Đç Denetimin risk yönetimi ve sermaye yükümlülüğü çerçevesinde rolü
A.11. Dış Denetimin risk yönetimi ve sermaye yükümlülüğü çerçevesinde rolü
173
Operasyonel Risk Çalışma Grubu
Bölüm B – Bankanın kendi ĐÖY süreçlerinin Basel II’de yer alan asgari ĐÖY
standartlarıyla karşılaştırılması:
Bu bölümde banka kendi ĐÖY süreçleri ile Basel II’de yer alan asgari ĐÖY standartlarına ne kadar uyum gösterdiğini kapsamlı bir şekilde açıklayacaktır. Burada istenilen
ĐÖY’lerinin bütün sonuçlarının sunulması yerine bankanın belirlediği istisnalar ile öz
değerlendirmenin genişliği ve derinliği hakkında bilgi edinmektir. Bankanın gerçekleştirdiği
ĐÖY uygulamasının kapsamı ve kalitesi düzenleyici ve denetleyici gözden geçirme sürecinin
kapsamını da etkileyecektir. Bankaların ilk olarak ĐÖY kriterlerine uyum sağladıklarını
göstermek amacıyla öncelikle aşağıda belirtilen bilgileri iletmeleri gerekmektedir:
B1. Nitel ve nicel kriterlerin nasıl yerine getirildiği hakkında kısa açıklama ile birlikte,
uygulamaya geçmeden evvel gerçekleştirilen test çalışmaları hakkında bilgiler
Bölüm C – Önemli alanlarda bankanın yaklaşımı:
Bu bölümde operasyonel risk yönetim ve ölçüm sistemlerinin doğrulaması uygulanması gibi önemli alanlarda bankanın yaklaşımının özet olarak açıklanması beklenmektedir.
Yönetim
A bölümünde operasyonel risk yönetimi kapsamında üst düzey açıklama istenirken bu
bölümde operasyonel risk yönetimi kapsamında bankanın daha detaylı veri/bilgi vermesi
beklenmektedir. Verilecek bilgiler şu hususları içermelidir:
C.1. Operasyonel Risk Yönetiminde Bankanın politika ve stratejilerinin kısa açıklaması
C.2. Operasyonel Risk Yönetiminde Banka Yönetim Kurulunun rolünün kısaca açıklanması (Yönetim Kurulunun görev ve yetkilerini hangi alt komiteye veya yönetime delege
ettiği açıkça belirtimelidir.)
C.3. Bağımsız Risk Yönetim Fonksiyonunun rolünün açıklaması, Risk Yönetim Biriminin görev ve sorumlulukları, Yönetim Kurulu ve Üst Yönetimin operasyonel risk yönetimindeki rolü, operasyonel risk yönetiminde iç ve dış denetimin rolü
C.4. Banka içinde yapılan operasyonel risk raporlamalarına ilişkin açıklama (raporlamaların içeriği, sıklığı ve kime raporlandığı)
C.5. Operasyonel risk yönetimi sürecindeki karar mekanizmalarının kısa açıklaması
ĐÖY’ün Günlük Faaliyetlerde Kullanımı
C.6. Bankanın Günlük risk yönetimi sürecinde operasyonel risk yönetimi sisteminin
kullanımına ilişkin açıklamalar
Veri Yönetimi ve Entegrasyonu – ĐÖY Standartlarına Uyum
Bu bölümde Bankanın, verilerin tamlığı, doğruluğu ve uygunluğunu sağlamak için
uyguladığı politika, süreç ve uygulama usullerini açıklaması gerekmektedir.
174
Bankacılar Dergisi
C.7. Bankanın iç ve dış kayıp verisi toplama yöntemi ile genel olarak kayıp veri yönetiminin özeti
C.8. Özellikle yasal sermaye hesaplanmasında verilerin doğruluk, tamlık ve uygunluğu başta olmak üzere Basel II’de yer alan veri standartlarına uyumun nasıl sağlandığının kısa
açıklaması
Doğrulama
Bu bölümde banka operasyonel risk ölçüm modelinin doğrulamasını nasıl gerçekleştirdiğine dair bilgilendirme yapması gerekmektedir. Söz konusu bilgilendirme aşağıdaki
hususları içermelidir.
C.9. Operasyonel Risk Ölçüm modeli ile ilgili kapsamın, dokümantasyonun ve modelin etkinliğinin izlenmesi
C.10. Kullanılan doğrulama tekniğinin yeterliliğine ilişkin açıklama
Bölüm D- Banka tarafından uygulanan ĐÖY modelinin detayları:
Bu bölümde bankanın kullanmış olduğu ĐÖY’ün model ve metodolijisi hakkında ayrıntılı bilgiler verilmesi gerekmektedir.
Kullanılan model hakkında özet açıklama şu hususları içermelidir;
D.1. Kullanılan model/modellerin yapısı, faaliyet kolları bazında kullanılan model ve
metodolojilerin açıklanması
D.2. Modelde kullanılan başlıca varsayımlar ve girdiler
Temel Girdilerin (Đç Kayıp Verisi, Dış Kayıp Verisi, Senaryo Analizi, faaliyet ortamı
ve iç kontrol faktörleri) ĐÖY modelinde nasıl kullanıldığının açıklanması gerekmektedir. Söz
konusu açıklama aşağıdaki hususları içermelidir.
D.3. ĐÖY modelinde kullanılan temel girdilerin ağırlıklandırılması
D.4. Modelde kullanılan girdilerin Basel II tarafından öngörülmüş kriterleri karşıladıklarının banka tarafından nasıl sağlandığının özet açıklaması
D.5. Modelde kullanılan parametreler ve varsayımlar
D.6.Modelde kullanılan girdilerin ve parametrelerinin güvenilir olup olmadığını belirlemek amacıyla bankanın gerçekleştirdiği çalışmaların özet açıklaması
D.7. Aynı anda birden çok faaliyet kolunu ilgilendiren kayıpların nasıl dağıtıldığına
dair özet açıklama
D.8. Önemli risk tetikleyicilerinin kısa açıklaması
175
Operasyonel Risk Çalışma Grubu
Operasyonel Risk Sermayesini hesaplamak için bankanın kullandığı korelasyon yaklaşımının açıklanması gerekmektedir. Söz konusu açıklama aşağıdaki hususları içermelidir.
D.9. Toplam operasyonel risk sermayesinin belirlenmesinde korelasyonların kullanılmasının gerekçeleri
D.10. Korelasyonların tahmininde kullanılan metodların açıklaması ve Bankanın
korelasyon varsayımlarını kontrol etmesi ve doğrulaması sürecinin açıklaması
D.11. Korelasyonların modele nasıl dahil edildiğinin açıklaması
ĐÖY uygulayan bankanın sigorta kullanımına olan yaklaşımını açıklaması gerekmektedir. Söz konusu açıklama aşağıdaki hususları içermelidir:
D.12 Bankanın tüm ilgili kriterler dikkate alınarak sigortalamanın etkisinin çalışmalarda nasıl yer verildiği
D.13. Sermaye hesabını etkileyen diğer risk transfer yöntemleri varsa açıklaması
Bankacılık grubu çapında kullanılan ĐÖY modelinden sermaye ayrılması
Gruba ait farklı iştiraklerde, özellikle önemli iştirakler başta olmak üzere operasyonel
risk sermaye ayrılması için kullanılan modellerin açıklanması gerekmektedir. Önemli
iştirakler için bağımsız münferit ĐÖY modelleri uygulanarak mı yoksa grup çapında uygulanan genel ĐÖY modeli vasıtasıyla mı operasyonel risk sermayesinin ayrıldığı belirtilmelidir.
Eğer sermaye ayrımı grup tarafından gerçekleştiriliyorsa, operasyonel risk sermaye ayrım
metodolojisinin gerekçesi ve özet açıklamasının yapılması gerekir.
Bölüm E-Onaylama:
Bu bölüm bankanın Risk Yönetiminden Sorumlu Yönetim Kurulu Üyesi tarafından
imzalanmalıdır.
Kabul Beyanı
Bu başvuru formunu iletmek suretiyle;
•
•
•
•
Toplu başvuru yapan tüm yasal kuruluşlar adına başvuruyu imzaladığımı
Tüm bilgi ve tecrübelerime dayanarak başvuruda yer alan bilgilerin doğru ve objektif
olduğunu ve böyle olması için tüm önlemleri aldığımı
BDDK’nın onaylama sürecinde talep edeceği doküman ve bilgilerin en kısa sürede
iletileceğini
Başvuru formunda yer alan bilgi ve dokümanlarda herhangi bir değişiklik olduğu
takdirde BDDK’nın en kısa sürede bilgilendirileceğini, aksi bir durumda başvuru sürecinin uzayacağını
............................Bankası adına kabul ettiğimi bildiririm.
Tarih:
176
Đmzalayan kişinin ismi soyadı: Đmzalayan kişinin ünvanı:
Đmza:
Bankacılar Dergisi
III. Kullanım Testi
1.1 Kullanım Testi ile Đlgili Genel Çerçevenin Belirlenmesi
1.1.1 Kullanım Testinin Tanımlanması ve Amacı
Risk yönetimi ve risk ölçümü farklı kavramlardır. Risk ölçümü, risk yönetiminin altında bir alt kümedir. Risk tanımlandıktan sonra bu risk değerlendirilir, analiz edilir, ölçülür
ve riskin azaltılması için kontrol faktörleri ya da korunma yöntemleri devreye girer. Risk
ölçüm sonuçları risk yönetim sürecine dahil edilmediği sürece risk ölçümü anlamını yitirecektir.
Piyasa, kredi ve operasyonel risk ölçüm sonuçlarını değerlendirerek risk yönetim sürecine dahil eden bankalar, üst yönetim, risk yönetimi ve sermaye yeterliliği açısından kanuni
denetlemeye, kreditörlere ve derecelendirme kuruluşlarına, kar hedefi açısından da hissedarlara karşı sorumluluklarını en verimli şekilde yerine getirebilir. Bu bankalar, aldıkları risklerden
doğabilecek kayıpları sermayeleri ile karşılaştırarak pozisyon limitleri belirlerler ve risk
yönetimini öz kaynak yönetimi içerisine dahil etmiş olurlar. Bu bankalar riske ayarlı ölçütlerle
en karlı ürünler ve iş kollarına yatırım yaparlar ve riske ayarlı fiyatlama belirlerler. Uygun ve
sağlıklı risk kontrol ve transfer kararlarını verirler ve risk odaklı yönetim stratejilerine
odaklanırlar.
Đleri ölçüm yöntemini kullanan bir bankada operasyonel risk ölçüm sisteminin bankaya kayda değer katkılar sağlaması ile ilgili sürecin test edilmesi Kullanım Testi kavramını
ifade etmektedir.
Bu anlamda bankalar için Kullanım Testi, risk yönetimi ve raporlaması, sermaye yönetimi,
stratejik planlama, risk azaltımı ve performans ölçümü süreçlerinde, operasyonel risk ölçüm
sistemlerinden yararlanma sürecini içerir. Bu sürecin bir bölümü Basel II kuralları içerisinde,
Yapısal Blok 1 kapsamında, Đleri Ölçüm Yaklaşımını kullanacak bir bankadaki nitel kriterler
ile örtüşür.
1.1.2 . Operasyonel Risk Yönetiminde Kullanım Testi Uygulamasının Diğer Risk
Türleri ile Karşılaştırılması
Operasyonel risk ölçüm sonuçlarından operasyonel risk yönetimi sistemi içerisinde
yararlanılması hususunun değerlendirilmesi için piyasa riski ölçümünün piyasa riski yönetimi
sistemi içerisinde kullanımı ile karşılaştırma yapılabilir.
Piyasadaki pozisyonlarla ilgili risklerin doğru bir şekilde ölçülmesi ve hızla değişen
pozisyonlara ve risk düzeyine bağlı olarak, limitleme ya da pozisyonun kapatılması vb.
yöntemler ile piyasa riskinin ölçümü ve yönetiminin ilişkisi kolaylıkla günlük düzeyde
sağlanabilir.
Operasyonel riskte ise durum daha farklıdır. Operasyonel riskte ölçüm sonuçlarının
operasyonel risk yönetimine direkt olarak aktarılması zordur. Bunun nedeni ise bankadaki
operasyonel riskler ile ilgili pozisyonların piyasa riski kadar açık bir şekilde belirlenememesi
ve operasyonel risk ölçümündeki zorluklardır. Bunların yanı sıra bir bankanın operasyonel
risk profili kolaylıkla değişmez ya da yapılan değişiklikler kısa bir zaman içerisinde etkili
177
Operasyonel Risk Çalışma Grubu
olmayabilir. Bu nedenle operasyonel riskte yönetim pratiği, ölçüm ile birlikte diğer kalitatif
çalışmalara da dayanmaktadır.
1.2. Đleri Ölçüm Yaklaşımlarında Kullanım Testi
1.2.1 ĐÖY ile standart yaklaşımların karşılaştırılması
Standart yaklaşımı kullanan bir bankada operasyonel riskin değerlendirilmesi ile ilgili
sistemin risk yönetimi sürecine entegre edilmesi gerekmektedir. Standart yaklaşımda, ileri
ölçüm yaklaşımlarından farklı olarak kullanılan metot gereği operasyonel risk ölçüm
sonuçları ile risk yönetim süreçlerinin birbirine entegrasyonu gerekli değildir. Operasyonel
riske maruz tutarın düşürülmesinin yolu ya brüt gelirin azaltılması ya da faaliyetlerin daha
düşük ß faktörlü bir iş koluna aktarılmasıdır. Bu durumda uygun anahtar risk göstergelerinin
takip edilmesi, bankanın kayıp verilerinin takip edilmesi ve değerlendirilmesi, özdeğerlendirme çalışmaları, denetim faaliyetleri ve uygun bir operasyonel risk yönetimi
çerçevesinin oluşturulması standart yaklaşımı kullanan bir bankadaki gereklilikler olarak
ortaya çıkmaktadır.
1.2.2. ĐÖY kullanan bankalar için kullanım testinin kapsamı
ĐÖY başvurusunda bulunan bir bankanın içsel operasyonel risk ölçüm sisteminin günlük
düzeyde operasyonel risk yönetimi süreçlerine entegre edilmesi gerekmektedir. Bu entegrasyon kapsamında dikkat edilmesi gereken husus operasyonel risk ölçüm sonuçlarından daha
çok ölçüm sisteminden bahsediliyor olmasıdır.
1.2.3. FSA taslak kullanım testi prensipleri
FSA tarafından ‘Kullanım Testi’ için 4 esas ilke, üst düzey prensipler şeklinde taslak
belirlenmiştir.1
•
•
•
•
Risk ölçüm sisteminin amacı sadece yasal sermayenin bulunması değildir.
Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler arttıkça risk
ölçüm sistemi de geliştirilmelidir.
Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk yönetiminin
diğer çıktılarının birlikte değerlendirilmesi gerekir.
Bankadaki operasyonel risk ölçüm sisteminin bankaya faydalar sağlaması gerekir.
FSA tarafından sadece üst düzey prensipler belirlenmesinin nedeni bankalardaki
operasyonel risk yönetimi çerçevesinin çok geniş olması ve bankaların örnekler ve çeşitli
açıklamalarla inisiyatiflerinin daralmasının söz konusu olabilmesi ihtimalidir. Her ilke için
alınabilecek örnek aksiyonlar aşağıda belirlenmiştir. Örnekler, ilkelere uyum sağlanabilmesi
için uygun yöntemleri belirlemektedir.
1.2.4. Risk ölçüm sisteminin amacı sadece yasal sermayenin hesaplanması değildir.
Risk ölçüm sisteminin amacı sadece sermaye yükümlülüğünün bulunması olmamalıdır. Güvenilir bir risk ölçüm sistemi çerçevesinde sadece aşağıdaki örneklerle sınırlı kalmamak üzere;
178
Bankacılar Dergisi
•
•
Operasyonel risk ölçüm sisteminin, kurum yapısı dahilinde farklı faaliyet kollarındaki
operasyonel risklerin yönetilmesinde kullanıldığının gösterilmesi,
Operasyonel risk ölçümünde kullanılan girdilerin, tahminlerin, varsayımların, tekniklerin, uygulamaların ve çıktıların karar alma süreçlerinde, örneğin stratejik karar alma
mekanizmalarında kullanıldığının gösterilmesi,
gerekmektedir.
Operasyonel risk ölçüm sonuçlarının değerlendirilerek, bu sonuçların banka içindeki
farklı faaliyet kollarındaki ve banka içindeki karar alma mekanizmalarına dahil edilmesi
sürecindeki en önemli adımlar, ölçüm sonuçlarının performans sistemlerine dahil edilmesi ve
faaliyet kollarında risk azaltımı ve kontrol kararlarını etkilemesidir.
1.2.5. Stratejik kararların alınmasında ve performans sistemlerinde operasyonel
risk ölçüm sonuçlarının değerlendirilmesi ve risk ölçümünün farklı
faaliyet kollarının yönetimine dahil edilmesi
Bankalar farklı faaliyet kolları için performans ölçümlemesi yaparken aktif bazında
net gelir oranı gibi değerlendirme kriterlerini ele alabilirler. Ancak her faaliyetin farklı riskleri
söz konusudur. Sadece bir aktifin getirisinin, aktife oranını ele almak yeterli değildir. Aynı
zamanda bu aktifin riskinin de ele alınması ve sermaye bütçelemesinin, risk faktörünün de
göz önüne alınarak yapılması gerekmektedir.
Bankalarda kurumsal etkinlik ve karlılığın sağlanması bakımından risk ve getiri arasındaki ilişki optimal noktada belirlenmelidir.
Risk ölçüm sistemleri ile risk yönetim sistemlerinin ilişkisini sağlam bir şekilde kurmuş olan bankalar riskleri detaylı inceler, olası krizlerde kayıplarını daha önceden belirler, bu
kayıpları minimize etmek için önceden önlemler alır, aldıkları risk ile kazançları karşılaştırır
ve riske rağmen yatırım kararı alıp almayacaklarını önceden değerlendirirler ya da stratejik
planlarını bu doğrultuda yaparlar. Bunları yapan bankalar, riske maruz değer hesaplamaları
yapar, beklenen/beklenmeyen kayıp tutarlarını değerlendirir, ekonomik sermaye, RAROC2 ve
Sharpe Rasyosu gibi analitik metodolojileri uygularlar. Bu bankalar, ölçümlerle riskleri
izleyen ve raporlayan, kriz senaryolarında alınan riski sermaye kaynakları çerçevesinde
değerlendiren ve bunların yanı sıra risk ölçümlerinin riski kontrol etmek ve yönetmek
açısından kullanılabilmesi amacıyla banka içinde gerekli organizasyonu, politika ve süreçleri
oluşturmuş bankalardır.
Bu bankalar faaliyet kollarındaki aktivitelerini daha güvenilir şekilde devam ettirecek
sermayeyi sağlamakta ve banka genelinde sermaye bütçelemesi yapmak ve bir kaldıraç oranı
belirlemektedir. RAROC performans ölçümü geliştirmek amacıyla geliştirilmiştir. RAROC
tarzı metodolojiler banka içinde her faaliyetin ayrı ayrı belirli bir kredi derecelendirmesi
almasını da sağlayabilir.
RAROC =
NetGetiri − Risk
EkonomikSe rmaye
179
Operasyonel Risk Çalışma Grubu
Sharpe Rasyosu =
Getiri
S tan dartSapma
Performans sistemlerine operasyonel riskin dahil edilmesi ile birlikte operasyonel risk
stratejik karar alma mekanizmalarına dahil olmuş olacaktır. Ancak, operasyonel risk olayları
her gün gerçekleşen olaylar olmadığı için operasyonel riskte günlük ölçümlerin performans
sistemine sokulması zordur. Günlük düzeyde olmayan ancak belirli peryotlarla güncellenen
operasyonel risk sermaye ihtiyacının performans sistemine girmesi ise iş kollarındaki
performans eşiğini yükseltecektir. Bu durumda operasyonel riskin dahil olduğu bir performans sisteminde eşik değerlerinin tekrar analiz edilmesi gerekmektedir.
Operasyonel riskin dahil edildiği bir performans sisteminde iş kollarının yöneticileri
de operasyonel risklerini azaltma yönünde gayret göstereceklerdir ve kurum genelinde
operasyonel risk kültürünün yaygınlaşması ve operasyonel risk yönetiminin daha dağınık bir
hal alması sağlanmış olacaktır. Operasyonel risk yönetimine odaklanmış olan risk yönetimi
merkezi ile karlılık kriterlerine yoğunlaşmış çevre teşkilat içerisinde çalışan yöneticiler
arasındaki friksiyonun da azalması sağlanmış olacaktır.
1.2.6. Ölçüm sonuçlarının değerlendirilmesi ve sigorta kullanımı
Risk azaltım sürecinde sigorta yapılması açısından değerlendirildiğinde, operasyonel
risk ölçüm sonuçları sigorta yapılacak alanların daha geniş bir bakış açısıyla değerlendirilmesini sağlar. Ölçüm işleminin Basel II kapsamındaki sekiz faaliyet kolu kapsamında ve kayıp
türleri bazında yapıldığı değerlendirilirse sigorta işlemleri için geniş bir perspektif sağlanacağı
belirtilebilir.
Operasyonel risk ölçüm sonuçlarının değerlendirilmesi sonucu operasyonel risklerin
yoğunlaştığı noktalarda operasyonel risklerden doğacak zararların sınırlandırılması amacıyla,
risklerin üçüncü taraflara transferi amacıyla kullanılabilecek en uygun araç sigortadır.
Bankalar, operasyonel risklerin olumsuz etkilerinden korunmak amacıyla sigorta ürünleri
satın almakta ve kontrol altına alınması güç olan olayların şiddetini azaltma yoluna gitmektedir.
Bankalarca en yaygın olarak kullanılan sigorta ürünleri başta Banker’s Blanket Bond
Poliçesi olmak üzere; Yönetici ve Çalışan Sorumlulukları, Đstihdam Uygulamaları Yükümlülükleri ve Mesleki Sorumluluklar Poliçeleri, Elektronik Suçlar Poliçeleri olarak sıralanabilir.
Banker’s Blanket Bond Poliçesi, emniyeti suistimal sonucu, banka personelinin haksız
parasal kazanç sağlaması veya hırsızlık, soygun gibi dış kaynaklı olaylar, sahte çek, kalp para
gibi sahtekarlıklar sonucu bankanın uğrayacağı zararları teminat altına almaktadır. Elektronik
ve bilgisayar kaynaklı suçlar da son yıllarda poliçelerin kapsamına alınmıştır.
Yönetici ve Çalışan Sorumlulukları poliçesi, banka üst yöneticilerinin hatalarından,
kusurlarından ötürü yasal mercilere karşı maddi sorumlulukları kapsamaktadır.
Đstihdam Uygulamaları Yükümlülükleri Poliçesi, banka yönetimlerinin, personel tarafından ayrımcılık, işten çıkarılma, terfi ettirilmeme gibi nedenlerle mahkemeye verilmesi
sonucu uğranılacak zararları teminat altına almaktadır. Mesleki sorumluluk poliçesi çalışan
hatalarından ötürü oluşan karşı tarafın zararlarının tazmini amacıyla kullanılmaktadır.
180
Bankacılar Dergisi
Yetkisiz alım-satımları ve organizasyonel yükümlülükleri sigortalayan poliçeler de
yeni düzenlenmeye başlanan poliçelerden bazılarıdır.
Bankalar, riskleri bünyelerinde taşımanın maliyeti ile sigorta kullanımının maliyetini
karşılaştırmalı ve kendileri için optimum olanı tercih etmelidir.
Diğer taraftan risklerin sigorta şirketine transfer edilmesi, bankaların yönetmesi gereken yeni bir risk doğurmaktadır. Sigorta kapsamında ortaya çıkan bir zararın, sigorta şirketi
tarafından ödenmesi zaman alabilmekte, zararın yüksek olduğu bazı durumlarda ise şirketin
ödeme yapması imkansız hale gelebilmektedir. Sigorta şirketinin yükümlülüğünü yerine
getirmediği veya getiremediği durumlarda bankaların karşısına karşı taraf riski çıkmaktadır.
Basel Komitesi’nin Haziran 2004 tarihli uzlaşısına göre, bankalar operasyonel risk asgari sermaye gereksinimi hesabında gelişmiş ölçüm yaklaşımları kullanmaları halinde,
hesaplanan sermaye gereksiniminin azami % 20’si oranında sigortanın risk azaltıcı etkisinden
yararlanabilmektedir. Ancak, bankaların bu tür bir avantajı kullanabilmeleri için;
•
•
•
•
Sigorta sağlayıcısının asgari ödeme yeteneğinin A ratingi (veya dengi) olması,
Sigorta poliçesinin bir yıldan az geçerlilik süresine sahip olmaması,
Sigorta poliçesinin feshi için ihbar süresinin minimum 90 gün olması ve
Sigortanın, üçüncü bir firma tarafından sağlanması aksi takdirde sigortalanan risklerin
reinsurance kapsamında başka taraflara iletilmesi gibi bir dizi kriteri yerine getirmeleri
gerekmektedir.
1.2.7. Ölçüm sonuçlarının değerlendirilerek limitleme kararı alınması
Operasyonel risklere yönelik limit tesisi ve takibi, bankaların iç uygulama olarak yararlanabilecekleri araçlardan biridir. Operasyonel risk limitleri, bankaların tolere edebilecekleri maksimum operasyonel risk seviyesini ifade etmekte; operasyonel risklerin izlenmesi,
sınırlandırılması ve kontrol edilmesi amacıyla kullanılmaktadır.
Gelişmiş teknikler yardımıyla belirlenen limitler, yaygın olarak piyasa ve kredi riski
yönetiminde uygulanmaktadır. Operasyonel riskler için tesis edilen limitler, operasyonel risk
verilerinin görece dinamik olmayan doğası ve operasyonel risk kayıp verilerinin yetersizliği
nedeniyle daha basit yapıdadır. Ancak, bankaların tolere edebileceği operasyonel risk
düzeyinin belirlenmesinde, operasyonel kayıp veri tabanının imkan verdiği ölçüde senaryo
analizleri ve stres testleri gibi yöntemler kullanılabilmektedir.
Operasyonel risk limitleri, belirli bir zaman diliminde taşınabilecek toplam risk olarak
veya tek bir işlem bazında belirlenebilmektedir. Limitlerin hangi faaliyet süreçlerinde ve
hangi düzeyde tesis edileceği, bankaların risk iştahına ve stratejisine bağlıdır. Bu doğrultuda,
bankalar, risk yaratma olasılığı düşük faaliyetler de dahil olmak üzere, kurum çapında tüm
faaliyet süreçlerinde veya tercihen kritik faaliyet süreçlerinde limit kullanımına gidebilmektedirler.
Limit kullanımı, limit ihlallerine ilişkin prosedürlerin geliştirilmediği durumlarda etkinliğini kaybetmektedir. Bu nedenle limit ihlalleri izlenmelidir. Đhlal durumunda alınması
gereken aksiyonlara ve uygulanacak cezai yaptırımlara ilişkin prosedürler geliştirilmeli ve
181
Operasyonel Risk Çalışma Grubu
bankaların risk politikaları, risk limitlerinin saptanma usullerinin yanı sıra limit ihlallerinin
oluşması durumunda izlenecek yolları da içermelidir.
1.2.8. Dış kaynak kullanımı
Dış kaynak kullanımı daha önce firmanın kendisi tarafından gerçekleştirilen fonksiyonların başka bir firmadan temin edilmesi olarak tanımlanabilir. Yoğun rekabet ve yüksek
risk karşısında daha üretken ve düşük maliyetli üretim örgütü arayışı, duyarlı ilişkiler
çerçevesinde "dış kaynak kullanımı" kavramını ortaya çıkartmıştır. Operasyonel risklerin
paylaşılması açısından etkin bir yol olduğu gibi firmaların dış kaynak kullanımının önemli
diğer nedenleri şöyle belirtilebilir;
•
•
•
•
•
•
•
Đşletme maliyetlerinin kontrolü ve düşürülmesi,
Firmanın çekirdek fonksiyonlarının gelişmesi,
Firma kaynaklarını başka alanlara kaydırma rahatlığı,
Başka kaynaklara ulaşma fırsatı,
Yeniden yapılanma gerekliliğinin farkına varılması,
Fonksiyonların yönetiminde zorlanılması,
Başarılı dış kaynak kullanımının temel faktörleri şunlardır;
•
•
•
•
•
•
•
•
•
Firma amacının anlaşılması,
Stratejik vizyon ve planlama,
Doğru tedarikçinin seçimi,
Sürdürülebilirlik,
Uygun sözleşme,
Bireyler ve gruplar arası açık iletişim,
Gerekli desteğin sağlanması ve gerekli özenin gösterilmesi,
Dış kaynak kullanımı nedeniyle personel çıkarılması söz konusu ise gerekli özenin
gösterilmesi,
Dış uzmanların kullanımı,
Bankalarda özellikle bilgi işlem alanında dış kaynak kullanımı şeklinde iş yaptırma
uygulamaları son yıllarda artış göstermektedir. Bazı hizmetlerin tedarikçi firmalara yaptırılması, bankaların temel faaliyet alanlarına eğilmelerini sağlamakta ve sabit harcamalarda
bulunulmasını, söz konusu hizmetler için uzman ve kaynak ayrılmasını önlemektedir.
Dış kaynak kullanımı, bankaların risk profillerine olumlu etkiler yapmaktadır.
Bankalar, tedarikçi firmalara yaptırdıkları faaliyetlerin yerine getirilmesi sürecinde ortaya
çıkabilecek operasyonel risklerden korunmuş olmaktadır. Ancak, hizmetlerin tedarikçi
firmalara yaptırılması, nihai sorumluluğun bankalarda olduğu gerçeğini değiştirmemektedir.
Tedarikçi seçimindeki etkili faktörler ise şunlardır;
•
•
•
•
182
Kalite taahhüdü,
Fiyat,
Referanslar,
Sözleşme şartlarında esneklik,
Bankacılar Dergisi
•
•
•
•
Katma değer sağlama kabiliyeti,
Kültürel uyum,
Mevcut ilişkiler,
Bulunduğu yer.
Tedarikçi firma ile yürütülen faaliyetler genelde uzun bir dönem devam ettiğinden seçilecek firmanın sağlamlığı, itibarı ve güvenilirliği önceden değerlendirilmelidir. Đş yaptırılacak olan firma ile sözleşme yapılması ve sözleşme unsurlarının banka haklarını azami
düzeyde koruması sağlanmalıdır. Sözleşme unsurlarının banka haklarını koruması durumunda
bile, tedarikçi firma tarafından hizmetin yarıda bırakılması, tamamlanmaması gibi durumlarda
iş sürekliliğinin kesintiye uğrayacağı ve müşteri memnuniyetsizliğinin ortaya çıkacağı göz
önüne alınmalıdır.
Tedarikçi firma, talep edilen faaliyetleri yerine getirirken, bankanın gizli bilgilerine
ulaşabilmekte, banka yapısına ilişkin unsurları öğrenebilmektedir. Bu nedenle tedarikçi
firmanın banka içindeki yetki ve sorumluluklarının belirlenmesi ve firmanın banka tarafından
kontrol altında olduğunu hissetmesi önem taşımaktadır. Dış kaynak kullanımına karar
verilirken göz önünde bulundurulması gereken riskler ise aşağıda belirtilmektedir:
•
•
•
•
•
•
•
•
Kontrol gücünün azalması
Güvenlik riskleri
Tedarikçinin kalite beceri düzeyinin yetersiz olması
Maliyetlerde yükselme
Kurumsal kapasitenin azalması
Tedarikçinin finansal durumunda değişiklik olması
Banka kaynaklarıyla üretime dönüş
Tedarikçi firmanın yaşayabileceği diğer operasyonel riskler
1.2.9. Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler
arttıkça risk ölçüm sistemi de geliştirilmelidir.
Modelin kullanımı ve girdiler ile çıktıların analiz edilmesi ile ilgili tecrübeler arttıkça
modelden yararlanma düzeyinin artması ve gerekli değişikliklerin yapılması gerekmektedir.
Buna istinaden;
Risk ölçüm sisteminde kullanılan verilerin risk düzeyi ile ilgili ve yeterli düzeyde
olduğunun ve faaliyetleri tam olarak yansıttığının gösterilmesi,
• Risk ölçüm sisteminin devamlı olarak daha sağlam ve hassas ölçüm sonuçları ürettiğinin gösterilmesi.
gerekmektedir.
•
Beklenen kayıp ve beklenmeyen kayıp tutarları doğru bir şekilde ölçülmeli ve sermaye
tahsisi ile ilgili verilerin ve kalibrasyonların doğruluğunun teyidi yapılmalı ve uygun bir
sermayeleme sistemi oluşturulmalıdır.
Yurt dışında ĐÖY kullanan bankalarda ihtiyatlı bir yaklaşım çerçevesinde, ĐÖY sonuçlarını kullanmak yerine Banka içinde faaliyet kollarına sermaye tahsisinde farklı ölçütler
kullanabilmektedir. Ancak, Kullanım Testinin bir gereği olarak bu ölçütlerin oluşturduğu
183
Operasyonel Risk Çalışma Grubu
sermaye tahsisi süreci ile ĐÖY sonuçları da paralellik içermelidir. ĐÖY sonuçlarına göre bir
faaliyetin operasyonel risk düzeyi artıyorsa, kullanılan içsel sermaye tahsisi sürecinde de o
faaliyet koluna daha yüksek düzeyde sermaye ayrılması gerekir.
1.2.10. Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk
yönetiminin diğer çıktılarının birlikte değerlendirilmesi gerekir.
Bir bankanın operasyonel risk ölçüm sistemi anahtar unsurlara sahip olmalıdır.
Bunlar;
•
•
•
•
iç kayıp verisi,
dış veri,
senaryo analizi,
Đş ortamı ve iç kontrol faktörleri,
olarak belirtilebilir.
Tüm bu öğeler ölçüm içerisinde belirli rollere sahip olmakla birlikte, bu öğelerden bağımsız olarak operasyonel risk yönetimi içerisinde direkt olarak yararlanılması da gerekmektedir. Ölçüm sonuçlarının karar mekanizmalarını net bir şekilde doğrudan etkilediğinin
gösterilmesi zorluk taşıyacaktır. Bu nedenle, ölçüm sonuçları ile birlikte karar verme
süreçlerinde yukarıdaki dört anahtar faktöre ek olarak, öz değerlendirme, anahtar risk
göstergeleri, senaryo analizleri, gibi kalitatif çalışmaların sonuçları günlük karar verme
mekanizmalarına dahil edilmelidir.
Bankaların;
•
•
•
Bu dört uygulamadan verinin toplanması ve modelde kullanılması ile ilgili olarak
yeterli düzeyde tecrübe edindiklerini (verinin toplanmasında izlenen yolun belirlenmesi) göstermeleri,
Süreçlerin ve kontrollerin geliştirilmesi ile ilgili kararların nasıl alındığını göstermeleri,
Operasyonel risk yönetimi ile ilgili hedeflerin ve faaliyetlerin kurum içi iletişim kanalları ile nasıl gerçekleştirdiklerini göstermeleri
gerekmektedir.
1.2.11. Đç veriler
Đç kayıp verilerini izlemek, güvenilir bir risk ölçüm sisteminin geliştirilmesinin ve işlerliğinin olmazsa olmaz bir önkoşuludur. Đç kayıp verileri, bir bankanın yaptığı risk tahminlerinin fiili kayıp deneyimiyle bağlantısı için de yaşamsal öneme sahiptir. Bu, iç kayıp
verilerinin ampirik risk tahminlerinin temeli olarak ya da bankanın risk ölçüm sisteminin
girdileri ve çıktılarını doğrulama aracı olarak ya da kayıp deneyimleri ile risk yönetim ve
kontrol kararları arasında bir bağlantı olarak kullanılması da dahil, çeşitli farklı yollarla
sağlanabilir.
Bankanın cari iş faaliyetleri, teknolojik süreçleri ve risk yönetim prosedürleri ile açıkça ilişkilendirilmiş iç kayıp verileri amaca en uygun verilerdir. Bu nedenle, banka, muhake184
Bankacılar Dergisi
meye dayanan aşma, indirme veya yükseltme veya başka ayarlamaların yapılabildiği durumlar
da dahil, tarihsel kayıp verilerinin amaca uygunluğunun sürüp sürmediğini, bu verilerin hangi
ölçüler içinde kullanılabileceğini ve bu kararları almaya kimin yetkili olduğunu değerlendirmelidir.
Banka, kayıpları belirlenmiş faaliyet kollarına ve olay türlerine tahsis etmek için yazılı
hale getirilmiş objektif kriterler uygulamalıdır. Bununla birlikte, bu kategorileri iç
operasyonel risk ölçüm sisteminde hangi ölçülerde uygulayacağına ilişkin karar bankanın
kendi ihtiyarındadır.
Bir bankanın iç kayıp verileri kapsamlı olmalı ve ilgili bütün alt-sistemler ve coğrafi
alanlardaki alakalı bütün önemli faaliyetleri ve riskleri kapsamalıdır.
Operasyonel riskin yönetimi için etkin bir izleme süreci şarttır. Düzenli izleme faaliyetleri, operasyonel risklerin yönetimi amacıyla uygulanan politikalar, süreçler ve prosedürlerdeki eksiklik ve hataların hızla tespit edilmesi ve düzeltilmesi avantajını sunabilir. Bu
eksiklik ve hataların hızla ve çabuk tespit edilmesi ve düzeltilmesi, bir zarar olayının
potansiyel sıklığını ve/veya önem düzeyini önemli oranda azaltabilir.
1.2.12. Dış veriler
Bir bankanın operasyonel risk ölçüm sisteminde, özellikle bankanın sık olmamakla
birlikte potansiyel olarak ciddi kayıplara maruz kalabileceğine inanmak için sebepler varsa,
amaca uygun diş veriler de (halka açık veriler ve/veya bir veri tabanında toplanan ve diğer
bankaların da verilerini içeren sektör verileri) kullanılmalıdır. Bu dış veriler; fiili kayıp
miktarı hakkındaki verileri, olayın meydana geldiği iş operasyonlarının büyüklüğüne dair
bilgileri, kayıp olaylarının sebep ve koşullarına ilişkin bilgileri veya kayıp olayının diğer
bankalar için öneminin değerlendirilmesine yardımcı olabilecek başka bilgileri de içermelidir.
Bir banka, yüksek tutarlı kayıp olaylarıyla ilgili maruz bulunduğu risk düzeyini değerlendirmek amacıyla, dış verilerle bağlantılı olarak senaryo analizi yöntemini kullanabilir.
Örneğin, bu uzman değerlendirmeleri, varsayılan bir istatistiksel kayıp dağılımının parametreleri olarak ifade edilebilir. Ayrıca, senaryo analizi, bankanın operasyonel risk ölçümü
çerçevesi içinde kullanılan korelasyon varsayımlarından sapmaların etkisini değerlendirmek
ve özellikle, birden fazla eş zamanlı operasyonel risk kayıp olayından kaynaklanabilecek olası
zararları değerlendirmek amacıyla da kullanılmalıdır. Zaman içinde bu değerlendirmelerin
makul değerlendirmeler olarak kalmalarını sağlamak için fiilen gerçekleşen kayıp olayı
deneyimleriyle karşılaştırılmak suretiyle doğrulanması ve gerekirse yeniden değerlendirilmesi
gereklidir.
1.2.13. Senaryo analizi
Bir banka, yüksek tutarlı kayıp olaylarıyla ilgili maruz bulunduğu risk düzeyini değerlendirmek amacıyla, dış verilerle bağlantılı olarak bir uzman görüşüne dayalı senaryo analizi
yöntemini kullanabilir. Bu yaklaşım, yüksek tutarlı kayıp olayları hakkında gerekçelere
dayanan değerlendirmeler yapabilmek için, deneyimli yöneticiler ve risk yönetim uzmanlarının bilgisine dayanır. Örneğin, bu uzman değerlendirmeleri, varsayılan bir istatistiksel kayıp
dağılımının parametreleri olarak ifade edilebilir. Ayrıca, senaryo analizi, bankanın
operasyonel risk ölçümü çerçevesi içinde kullanılan korelasyon varsayımlarından sapmaların
etkisini değerlendirmek ve özellikle, birden fazla eş zamanlı operasyonel risk kayıp olayından
185
Operasyonel Risk Çalışma Grubu
kaynaklanabilecek olası zararları değerlendirmek amacıyla da kullanılmalıdır. Zaman içinde
bu değerlendirmelerin makul değerlendirmeler olarak kalmalarını sağlamak için fiilen
gerçekleşen kayıp olayı deneyimleriyle karşılaştırılmak suretiyle doğrulanması ve gerekirse
yeniden değerlendirilmesi gereklidir.
1.2.14. Đş ortamı ve iç kontrol faktörleri
Bir bankanın banka-çapında risk değerlendirme yöntemi, fiilen gerçekleşen veya senaryoya dayanan kayıp verilerini kullanmanın yanı sıra, bankanın operasyonel risk profilini
değiştirebilecek olan temel iş ortamı ve iç kontrol faktörlerini de kapsamalıdır. Bu faktörler,
bankanın risk değerlendirmelerini daha geleceğe dönük yapacak; bankanın kontrol ve çalışma
ortamlarının kalitesini daha doğrudan yansıtacak; sermaye değerlendirmelerinin risk yönetim
hedeflerine uyumlu olmasına yardımcı olacak ve operasyonel risk profillerindeki hem
iyileşmeleri hem de kötüleşme ve bozulmaları daha çabuk tespit edecektir. Yasal sermaye
hesaplaması amaçlarıyla kullanılabilmesi için, bu faktörlerin bir bankanın risk ölçüm
çerçevesinde kullanımı aşağıdaki standartlara uygun olmalıdır:
Her faktör seçiminin, etkilenen iş alanları hakkında uzman görüşlerini de içeren ve deneyimlere dayanan anlamlı bir risk belirleyicisi olduğunun kanıtlanması gereklidir. Mümkün
olan durumlarda, bu faktörler, doğrulanmaları ve onaylanmalarına olanak sağlayacak nicel
ölçütlere dönüştürülebilmelidir.
Bir bankanın risk tahminlerinin faktörlerdeki değişimlere ve çeşitli faktörlerin nispi
ağırlığına karşı hassasiyeti sağlam temellere dayanmalıdır. Bu çerçeve, risk kontrollerindeki
gelişmelerden kaynaklanan risk degişikliklerinin yani sıra, faaliyetlerin artan karmaşıklığından veya iş hacmindeki artıştan dolayı meydana gelebilecek potansiyel risk artışlarını da
yakalayabilmelidir (analize dahil edebilmelidir).
Ampirik tahminlerdeki ayarlamalar için destekleyici bir gerekçe olarak kullanımı da
dahil bütün kullanım amaçları ve çerçevenin kendisi, iyi dokümante edilmeli ve hem banka
içinde hem de denetim otoriteleri tarafından bağımsız denetime tâbi tutulmalıdır.
Zaman içinde bu sürecin ve sonuçlarının, gerçekleşen iç kayıp olayları ve ilgili dış veriler ile karşılaştırılmak suretiyle doğrulanması/onaylanması ve gereken ayarlamaların
yapılması gereklidir. Đş ortamı ve iç kontrol faktörlerinin değerlendirilmesi açısından diğer
kalitatif çalışmalardan da yararlanılması gerekmektedir. Bunlar anahtar risk göstergeleri, skorkart ve öz-değerlendirme çalışmalarıdır.
Bankalar risklerinin arttığı konusunda erken uyarı veren uygun göstergeleri de tanımlamalı ve kullanmalıdırlar. Anahtar risk göstergeleri olarak tanımlanan olan bu göstergeler
ileriye dönük olmalıdır ve hızlı büyüme, yeni ürünlerin sunulması, personel devir oranı, işlem
sapmaları ve ihlalleri, sistem kesintileri ve benzeri potansiyel operasyonel risk sebep ve
kaynaklarını yansıtabilir. Eşik değerler bu göstergelere doğrudan doğruya bağlandığında,
etkin ve etkili bir risk izleme süreci, temel ve önemli risklerin saydam bir şekilde tespitine ve
tanımlanmasına yardımcı olabilir ve bankanın bu risk tespitlerine göre uygun tedbirleri
almasına olanak sağlar.
Öz değerlendirme çalışmaları kurum çalışanlarının aktif katılımı ile bankanın risklerinin değerlendirilmesidir. Kontrol listelerinin oluşturulması, karşılıklı görüşmeler, çalışma
grupları oluşturulması, elektronik oylama ya da web-tabanlı anketlerden yararlanılması ile öz
186
Bankacılar Dergisi
değerlendirme çalışmaları yapılabilir. Öz değerlendirme sonucunda, farklı birimlerden
çalışanların katılımıyla bankalardaki riskler bizzat çalışanlarca belirlenmiş olur. Operasyonel
risklerin belirlenebilmesi ve gerekli önlemlerin alınabilmesi açısından etkili bir yöntemdir.
Bankaların risklilik düzeylerinin daha önce belirlenen risk göstergeleri çerçevesinde
değerlendirilmesi ve bankaların uygulamakta oldukları kontrol uygulamalarının kapsam ve
kalitesinin temel operasyon süreçleri bağlamında değerlendirilmesi amacıyla yapılan kalitatif
çalışmalardan birisi de skorkart çalışmasıdır. Operasyonel risklerin daha iyi tanımlanıp
anlaşılmasını sağlayarak, risk kültürünün organizasyon genelinde anlaşılıp desteklenmesini
sağlamak ve bütünleşik risk yönetiminin tüm banka organizasyonuna entegrasyonu sürecinde
bir yol haritası sağlamak hedefleriyle yapılır. Skorkartlar sayesinde, çeşitli faaliyet kollarında
risk profili ve risk kontrol çerçevesi belirlenmeye çalışılır. Bu yaklaşımda, faaliyet kolu/birimi
yöneticisi/yöneticileri tarafından skorkartlar kullanılır.
1.2.15. Bankadaki operasyonel risk ölçüm sisteminin bankaya faydalar sağlaması
gerekir.
Bu madde kapsamında;
•
•
Yönetimin risk ölçüm sisteminde üretilen bilgi sonucunda aksiyon aldığının gösterilmesi,
Operasyonel risk ölçüm sisteminin, kurum genelinde şeffaflığı, operasyonel riske
duyarlılığı ve operasyonel risk yönetimi deneyimini artırdığının ve kurum içinde
operasyonel risk yönetim sistemini geliştirmek üzere teşvik yarattığının gösterilmesi.
gerekmektedir.
1.3. Sonuç
ĐÖY kullanan bir bankanın ölçüm sonuçlarını sadece sermaye hesaplarında kullanması
yeterli değildir. Bu sonuçlardan günlük düzeyde operasyonel risk yönetimi içerisinde karar
alma süreçlerinde yararlanılması gerekir. Stratejik kararlarda ve risk azatlımı sürecinde bu
sonuçlardan faydalanılabilinir. Ancak, operasyonel risk ölçümlerinin günlük operasyonel risk
yönetimi sürecinde (Kullanım Testi) kullanılması kolay değildir. Ayrıca, kayıp değerlerini
esas alan kantitatif yaklaşımlarda model çıktılarının geçmiş operasyonel risk profilini
yansıtacağı açıktır. Bu yaklaşımlarda kayıp olaylarının fark edilmesi ve modele bu olaylarla
ilgili bilgilerin girişinin çeşitli nedenlerle gecikmesi sonucu model sonuçlarının mevcut risk
profilini yansıtma düzeyi de azalır. Bu nedenle banka tarafından yeni uygulanmaya başlanan
kontrol, limitleme gibi risk azaltıcı faktörler ölçüm sürecinde değerlendirilmemiş olacaktır.
Sermaye modellerinin en fazla üç ayda bir çalıştırılarak hesaplamaların yapılacağı da
düşünülürse özellikle anahtar risk göstergeleri ve kayıp verisi değerlerinin günlük operasyonel
risk yönetimi sürecinde kullanılması beklenir. Özetle stratejik kararların alınması sürecinde
operasyonel risk ölçüm sonuçlarının kalitatif çalışmalarla desteklenmesi gerektiği belirtilebilir.
Dipnotlar
1
The “Use Test”; Operational Risk Corporate Governance Expert Group, FSA, 04.07.2005
RAROC = Risk Adjusted Return on Capital = Birim Ekonomik Sermaye Başına Düşen Riskten Arındırılmış
Net Getiri
2
187
Operasyonel Risk Çalışma Grubu
Kaynakça
188
FSA, (2005), Operational Risk Corporate Governance Expert Group-FSA, “The Use Test”.
Committee of Europan Banking Supervisors, “Guidelines on the implementation, validation and assessment
of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches”, CP 10, 11.07.2005
Douglas Hoffman, (2002), “Managing Operational Risk – 20 Firmwide Best Practice Strategies”.
Cruz, Marcelo G. (2002), “Modeling, Measuring and Hedging Operational Risk”.
BIS, (2004), “Sermaye Ölçümü ve Sermaye Standartlarının Uluslararası Düzeyde Birbirleriyle Uyumlaştırılması (Yeni Basel Sermaye Uzlaşısı)”, Basel Bankacılık Denetim Komitesi, Haziran 2004
BIS, (2003) “Sound Practices for the Management and Supervision of Operational Risk”, Basel Bankacılık
Denetim Komitesi, Şubat 2003.
CRUZ, Marcelo G. (2003), ”Modeling, Measuring and Hedging Operational Risk”.
Deloitte&Touche, (2002), Risk Yönetimi Haber Bülteni Sayı:8.
Sümer Özdemir, Deniz (2004), “ Operasyonel Risk Yönetiminde Risk Azaltım Teknikleri” Risk Yöneticieri
Derneği Haber Bülteni, Ekim 2004.
Marshal, Christopher Lee, (2001), “Measuring and Managing Operational Risks in Financial Institutions:
Tools, Techniques and other Resources”.
TBB (2004), Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Grubu-Operasyonel Risk
Alt Çalışma Grubu Çalışmaları.
CEBS, (2005), Guidelines on the implementation, validation and assessment of Advanced Measurement
(AMA) and Internal Ratings Based (IRB) Approaches- CEBS CP10- 11 July 2005
AMA Requirements List- Deutsche Bundesbank
FSA (2005), Strengthening capital standards (CP05/3)-FSA- January.
Basel Bankacılık Denetim Komitesi tarafından hazırlanan ve Türkçeye çevirilen “Sermaye Ölçümü ve
Sermaye Standartlarının Uluslararası Düzeyde Birbirleriyle Uyumlaştırılması (Yeni Basel Sermaye
Uzlaşısı)”-Haziran 2004.
Basel Bankacılık Denetim Komitesi tarafından hazırlanan “Sound Practices for the Management and
Supervision of Operational Risk”.
EC, Capital Requirements Directive - Commission of the European Communities
CEBS, (2005), Guidelines on the implementation, validation and assessment of Advanced Measurement
(AMA) and Internal Ratings Based (IRB) Approaches- CEBS CP10- 11 July 2005.
Download