Bankacılar Dergisi, Sayı 58, 2006 Operasyonel Risk Đleri Ölçüm Yöntemleri Giriş Bu çalışma üç bölümden oluşmaktadır. Đlk bölümde operasyonel risklerin ölçülmesi kapsamında ileri ölçüm yöntemlerinde (ĐÖY) kullanılacak modeller için asgari gerekliliklerin neler olduğu üzerinde durulmuştur. Bu kapsamda ilgili genel nitel ve nicel standartlar üzerinde durulmuş ve konuyla ilgili kaynaklar incelenmiştir. Diğer yandan ileri ölçüm yöntemlerinde kısmi kullanım kriterlerinin “Avrupa Bankacılık Denetim Otoriteleri Komitesi” (Committee of European Banking Supervisors -CEBS) ve Basel Komite tarafından belirlenen unsurlarının neler olduğu açıklanmıştır. Đkinci bölümde ise Bankacılık Düzenleme ve Denetleme Kurumu tarafından ileri ölçüm modellerinin onaylanması ve değerlendirilmesi için ileri ölçüm modelleri başvuru esasları ve uygulama kriterleri kapsamında bankalarin operasyonel risk yönetiminde ileri ölçüm yaklaşımlarını kullanabilmesi için örnek bir başvuru rehberi hazırlanmıştır. Üçüncü bölümde ise ileri ölçüm yöntemini kullanan bir bankada operasyonel risk ölçüm sisteminin bankaya kayda değer katkılar sağlaması ile ilgili sürecin test edilmesini tanımlayan “kullanım testi” (use test) kavramı incelenmiştir. Çalışma ile bankacılık sektöründe operasyonel risk yönetiminde ileri ölçüm yaklaşımlarının kullanılması kapsamında kullanılacak modellerde asgari kriterlerin belirlenmesi, bankaların başvuruda kullanabileceği örnek bir başvuru rehberinin oluşturulması ve kullanım testi konusunda bankaların yapması gerekenlerin açıklığa kavuşturulması hedeflenmiştir. 1. Đleri Ölçüm Yöntemlerinde Kullanılacak Modeller Đçin Asgari Gereklilikler (Nitel ve Nicel) Nelerdir? Kısmi Kullanım Nasıl Olmalıdır? 1.1. Đleri Ölçüm Yöntemleri (ĐÖY) için Asgari Gereklilikler 1.1.1. Genel standartlar Bir bankanın ĐÖY’yi kullanabilmesi için genel anlamda sahip olması gereken asgari kriterler şu şekilde sıralanabilir: • • • Risk strateji ve politikalarının tesis edilmesi, Başarılı ve yeterli bir operasyonel risk yönetimi için; bu fonksiyonun çerçevesinin iyi oluşturulması, operasyonel risk yönetim çerçevesinin gözetim ve denetiminde yönetim kurulunun ve üst düzey yönetimin aktif görev alması, Kavramsal olarak sağlam olan ve bütünlük içinde uygulanan bir operasyonel risk yönetim sisteminin bulunması; kurulan operasyonel risk yönetimi sisteminin ve yapısının etkinliğinin periyodik olarak denetlenmesi, eksiklik ve yetersizliklerin zamanında tespit edilip giderilmesinin sağlanması, 153 Operasyonel Risk Çalışma Grubu • • • Hem büyük faaliyet kollarında hem de iç kontrol ve teftiş alanlarında bu yaklaşımı uygulamak için yeterli kaynaklara sahip olması; operasyonel risk yönetiminde gerekli olan veri ihtiyacının ve veri kaynaklarının tespit edilmesi; verinin ne şekilde ve kim tarafından toplanacağına ve yapılacak analizlere ilişkin prosedürün tesis edilmesi, Kurumun yapısı, faaliyet alanı ve risk iştahına göre, maruz kaldığı ya da kalabileceği operasyonel risklerin en kapsamlı şekilde tanımlanması, Operasyonel riske ilişkin ölçüm ve raporlama sistemlerinin tesis edilmesi gerekmektedir. Bir bankanın ĐÖY uygulaması, yasal sermaye hesaplaması amacıyla kullanılmadan önce, denetim otoritesinin ilk izleme sürecine tâbi olacaktır. Bu süreç, denetim otoritesinin bu yaklaşımın güvenilir ve uygun olup olmadığını belirlemesine olanak sağlayacaktır. Bir bankanın içsel ölçüm sistemi; içsel ve ilgili dışsal kayıp verilerinin, senaryo analizinin ve bankaya özgü iş ortamı ve iç kontrol faktörlerinin birlikte kullanımına dayalı olarak, beklenmeyen kayıpları makul ölçülerde tahmin edebilmelidir. Bankanın ölçüm sistemi, ayrıca, operasyonel risk için ekonomik sermayenin faaliyet kollarına tahsisini, ilgili faaliyet kollarında operasyonel risk yönetiminin geliştirilmesi için teşvikler yaratacak bir tarzda destekleyebilmelidir. (Basel II, Md. 664-665) 1.2. ĐÖY’nin Kullanılabilmesi Đçin Gereken Nitel Kriterler 1.2.1. Temel Kriterler i) Operasyonel Risklerin Ayrı Bir Risk Türü Olarak Ele Alınması ve Bağımsız Bir Operasyonel Risk Yönetim Fonksiyonunun Oluşturulması (Basel II, md. 666, (a)) Yönetim Kurulu’nun rolü; Bir bankada ileri ölçüm yaklaşımının (ĐÖY) kullanılabilmesi için, bankada ana ortaklık ve iştiraklere yayılmış bütünleşik ve bağımsız bir operasyonel risk yönetimi sisteminin doğru bir şekilde tesis edilmesi gerekmektedir. Bu nedenle; Yönetim Kurulu, yönetilmesi gereken ayrı bir risk kategorisi olarak bankanın operasyonel risklerinin önemli özelliklerini tanımalı, bankanın operasyonel risklerinin yönetimi çerçevesini onaylamalı, periyodik olarak izlemeli ve gözden geçirmelidir. Operasyonel risk yönetimi çerçevesi; • • • • Bankada operasyonel riskleri nelerin oluşturduğunu açıkça gösteren, geçerli ve uygun bir operasyonel risk tanımına dayanmalıdır. Bankanın operasyonel risklerini yönetme isteği ve toleransını kapsamalıdır. Bu risk yönetme isteği ve toleransı operasyonel risklerin banka dışına hangi ölçüler içinde ve nasıl transfer edileceğini gösteren politikalar da dahil, bankanın operasyonel riskleri yönetim faaliyetlerindeki öncelik sırasını ve bu risklerin nasıl yönetileceğini gösteren politikalarla belirlenmelidir. Operasyonel riskin değerlendirilmesi, izlenmesi ve kontrol edilmesi/azaltılması ile ilgili yaklaşımı belirleyen politikaları içermeli ve kapsamalıdır. Yaklaşımının formalite ve karmaşıklık düzeyi bankanın mevcut risk profiline uyumlu olmalıdır. 154 Bankacılar Dergisi Yönetim Kurulu, banka Üst Yönetimine, bu çerçevenin altında yatan prensipler hakkında açıkça yol göstermeli, kılavuzluk yapmalı ve banka Üst Yönetiminin bu doğrultuda geliştirdiği politikalara onay vermelidir. Yönetim Kurulu, bankanın operasyonel riskleri yönetim çerçevesi ve yaklaşımını uygulayabilecek bir yönetim yapısı kurmaktan sorumludur. Yönetim Kurulunun; yönetim sorumlulukları, işlevleri ve raporlama hiyerarşisini açıkça göstermesi ve tanımlaması özel bir öneme sahiptir. Ayrıca, olası menfaat çatışmalarını önlemek amacıyla operasyonel riskleri kontrol fonksiyonları, banka bölümleri ve destek fonksiyonları arasında sorumluluk ve görevlerin açıkça ayrılması, dağıtılması ve hiyerarşik yapının açıkça belirlenmesi de gerekir. Bu çerçeve, bankanın operasyonel risklerini yönetmek için uygulaması gereken temel süreçleri de belirlemeli ve düzenlemelidir. Yönetim Kurulu, bankanın hem yeni ürünler, faaliyetler veya sistemlerle bağlantılı operasyonel risklerini hem de dış piyasa koşullarındaki değişikliklerden ve diğer çevresel faktörlerden kaynaklanan operasyonel risklerini iyi yönetmesini sağlamak amacıyla bu çerçeveyi düzenli olarak izlemeli ve gözden geçirmelidir. Bu gözden geçirme sürecinin bir amacı da, bankanın faaliyetleri, sistemleri ve süreçlerine uygun olan en iyi operasyonel riskleri yönetim uygulamalarını izlemek ve değerlendirmek olmalıdır. Gerekirse, Yönetim Kurulu, önemli operasyonel risklerin hepsinin bu çerçeve kapsamına alınmasını sağlayacak şekilde, operasyonel riskleri yönetim çerçevesinin bu analiz sonuçlarının ışığında gözden geçirilmesini ve revize edilmesini sağlamalıdır. Operasyonel Riskin Yönetiminden Sorumlu Üst Düzey Yönetimin Rolü: Operasyonel riskin yönetiminden sorumlu Üst Düzey Yönetimin görevleri ise aşağıdaki gibi belirlenebilir; • • • • • • • • • • Risk yönetim süreçlerinin sağlamlığını temin etmek, Oluşturulmuş politikalardaki bankanın operasyonel risk profilini ve operasyonlarını maddeten etkileyen önemli değişiklik ve politikalara aykırılıklar hakkında Yönetim Kurulu veya bankanın konuyla ilgili tayin edilmiş Komitesini bilgilendirmek, Operasyonel risk yönetim fonksiyonu tarafından sağlanan bilgiye dayanarak ana risk tetikleyicilerini teşhis etmek ve değerlendirmek, Risk yönetimi biriminin görevlerini tanımlamak ve o birimde çalışanların profesyonel becerilerinin yeterliliğini değerlendirmek, ĐÖY ile ilgili 4 anahtar faktör olan; o iç veri, o dış veri, o senaryo analizi, o faaliyetler ve kontrol ortamını yansıtan faktörlerin tanımlanması, dokümante edilmesi ve toplanması ile ilgili süreçleri oluşturmak, Ölçüm metodolojisini oluşturmak ve sonuçlarını takip etmek, Đzleme ve raporlama sistemlerini oluşturmak, raporlamanın içeriğini tanımlamak, ĐÖY ile ilgili kriterlerin yerine getirilmesini sağlamak, doğrulamak, Çıkar çatışmalarındaki potansiyel anlaşmazlıkların tüm kaynaklarını izlemek ve yönetmek, Tüm çalışanların ilgili politika ve prosedürlerin farkında olmasını temin etmek amacıyla efektif iletişim kanallarını oluşturmak, 155 Operasyonel Risk Çalışma Grubu • Operasyonel risk yönetimi ve ölçümü süreçleri ve sistemleri hakkındaki Đç Denetim raporlarını incelemek, • Bütün önemli ürünler, faaliyetler, süreçler ve sistemlerdeki operasyonel risklerin tespit edilmesini sağlamak, tanımlamak ve değerlendirmek. • Yeni bir ürün, faaliyet, süreç veya sistemi uygulamaya girmeden veya sunulmadan önce, bu yeni ürün, faaliyet, süreç veya sisteme bağlı operasyonel risklerin de uygun değerlendirme prosedürlerinden geçirilmesini sağlamak. • Kesintilerin (EL, Bağlılık, Sigorta) hesaplanmasını içeren operasyonel riskin sayısallaştırılması ve faaliyet kollarına dağıtılması süreçleri, test (backtesting) ve kıyaslama ve tahsis anahtarları için metodolojileri geliştirmek. Operasyonel risk yönetiminden sorumlu Üst Yönetim, kurallar çerçevesinde bankanın operasyonel risk ölçüm süreçleri, risk yönetim sistemleri ve bunların tüm parçalarının istenildiği gibi işlediğini temin etmelidir. Operasyonel Risk Yönetimi Fonksiyonunun yeterli kaynakları, operasyonel risk yönetimi ve ölçümü metotları ile ilgili becerileri ve bankanın süreçleri hakkında bilgisi olmalıdır. ii) Operasyonel Risk Ölçüm Sisteminin Bankanın Günlük Risk Yönetimi Süreçlerine Entegre Edilmesi (Basel II, md. 666, (b)) Đleri ölçüm yaklaşımını kullanan bir bankada operasyonel risk ölçüm sisteminin çıktısı, bankanın operasyonel risk profilini izleme ve kontrol etme sürecinin ayrılmaz bir parçası olmalıdır. Bu bilgiler, risk raporlaması, yönetim raporlaması, içsel sermaye tahsisi ve risk analizinde önemli ve belirleyici rol oynamalıdır. Banka, operasyonel risk yönetimini banka çapında geliştirmek amacına yönelik teşvikler yaratmak ve operasyonel risk için ayrılacak sermayeyi büyük faaliyet kollarına tahsis etmek için belirli tekniklere sahip olmalıdır. Beklenen kayıp ve beklenmeyen kayıp tutarları doğru bir şekilde ölçülmeli ve sermaye tahsisi ile ilgili verilerin ve kalibrasyonların doğruluğunun teyidi yapılmalı ve uygun bir sermayeleme sistemi oluşturulmalıdır. Bankalar, operasyonel risk profillerini ve önemli risklerini düzenli olarak izlemek amacına yönelik bir süreç uygulamalıdırlar. Operasyonel risklerin pro-aktif yönetimine destek olmak amacıyla, ilgili bilgiler Üst Yönetime ve Yönetim Kuruluna düzenli olarak rapor edilmeli ve aktarılmalıdır. Operasyonel riskin yönetimi için etkin bir izleme süreci şarttır. Düzenli izleme faaliyetleri, operasyonel risklerin yönetimi amacıyla uygulanan politikalar, süreçler ve prosedürlerdeki eksiklik ve hataların hızla tespit edilmesi ve düzeltilmesi avantajını sunabilir. Bu eksiklik ve hataların hızla ve çabuk tespit edilmesi ve düzeltilmesi, bir zarar olayının potansiyel sıklığını ve/ veya önem düzeyini önemli oranda azaltır. Operasyonel zarar olaylarını izlemeye ek olarak, bankalar risklerinin arttığı konusunda erken uyarı veren uygun göstergeleri de tanımlamalı ve kullanmalıdırlar. Bu göstergeler ileriye dönük olmalıdır ve hızlı büyüme, yeni ürünlerin sunulması, personel devir oranı, işlem sapmaları ve ihlalleri, sistem kesintileri ve benzeri potansiyel operasyonel risk sebep ve kaynaklarını yansıtabilir. Eşik değerler bu göstergelere doğrudan doğruya bağlandığında, etkin ve etkili bir risk izleme süreci, temel ve önemli risklerin saydam bir şekilde tespitine ve tanımlanmasına yardımcı olabilir ve bankanın bu risk tespitlerine göre uygun tedbirleri almasına olanak sağlar. 156 Bankacılar Dergisi Risk izleme sıklığı, hem ilgili riskleri hem de banka ortamındaki değişikliklerin sıklığını ve niteliğini yansıtmalıdır. Đzleme, bankanın faaliyetlerinin tamamlayıcı bir parçası olmalıdır. Aynen iç denetim ve/veya risk yönetim fonksiyonlarının yaptığı uyum denetimleri gibi, bu izleme faaliyetlerinin sonuçları da düzenli olarak Üst Yönetim ve Yönetim Kurulu raporlarına dahil edilmelidir. Denetim otoriteleri tarafından (ve/veya adına) çıkartılan raporlar da bu izleme fonksiyonuna bilgi kaynağı olabilir ve aynı şekilde, hem Üst Yönetime hem de Yönetim Kuruluna rapor edilmelidir. iii) Maruz bulunulan operasyonel riskler ile kayıp deneyimleri ilgili faaliyet kolu yönetimine, üst düzey yönetime ve yönetim kuruluna düzenli olarak raporlanmalıdır. bankanın, yönetim raporlarındaki bilgiler esas alınarak gerekli tedbirleri almak için prosedürleri bulunmalıdır. (Basel II, md. 666, (c)) Banka üst yönetimi; banka bölüm ve departmanları, grup fonksiyonları, operasyonel risk yönetiminden düzenli raporlar almalıdır. Operasyonel risk raporları, hem iç bilgileri hem de karar alma için gerekli olabilecek olay ve koşullar hakkında dış piyasa bilgilerini içermeli ve kapsamalıdır. Raporlar, hem uygun yönetim kademelerine, hem de görev ve ilgi alanlarına göre bankanın ilgili birim ve bölümlerine dağıtılmalıdır. Raporlar, tespit edilen problem alanlarını tam olarak yansıtmalı ve mevcut sorunların çözümü için gereken düzeltici tedbirlerin zamanında alınmasını motive etmelidir. Bu risk ve denetim raporlarının yararlı ve güvenilir olmasını sağlamak amacıyla, yönetim, genel olarak iç kontrollerin ve raporlama sistemlerinin ilişkilerini, doğru işleyip işlemediğini ve zamanında uygulanıp uygulanmadığını düzenli olarak kontrol etmelidir. Yönetim, iç raporların yararlı ve güvenilir olup olmadığını tespit etmek ve değerlendirmek amacıyla, dış kaynakların (denetçi ve murakıplar) hazırladığı raporları da kullanabilir. Raporlar, mevcut risk yönetim performansını artıracak ve yeni risk yönetim politikalarını, prosedürlerini ve uygulamalarını geliştirecek şekilde ve bu bakış açısıyla analiz edilmelidir. Genel olarak, Yönetim Kurulu, bankanın genel operasyonel risk profilini anlayabilmek ve iş için stratejik ve maddi önemi haiz konular üzerinde odaklanabilmek için yeterli üst düzey bilgiler almalıdır. iv) Bankanın operasyonel risk yönetim sistemi, iyi bir şekilde yazılı hale getirilmelidir. bankanın, operasyonel risk yönetim sistemine ilişkin dahili politika, kontrol ve prosedürlerden oluşan yazılı hale getirilmiş bir sete uyumu sağlama amacına yönelik bir programı bulunmalı ve bu program, uyumsuzluk halinde nelerin yapılacağını gösteren politikaları da içermelidir. (Basel II, md. 666, (d)) Bankaların önemli operasyonel risklerini kontrol etmeye ve/veya azaltmaya yönelik politikaları, süreçleri ve prosedürleri bulunmalıdır. Bankalar, risk sınırlandırma ve kontrol stratejilerini periyodik olarak gözden geçirmeli ve operasyonel risk profillerini, genel risk alma isteği ve profilinin ışığında ve uygun stratejiler kullanarak ayarlamalıdırlar. Tespit edilmiş ve tanımlanmış bütün önemli operasyonel riskleri için, bankanın bu riskleri kontrol altına almak ve/veya azaltmak amacına yönelik uygun prosedürleri uygulamaya ya da riskleri üstlenmeye karar vermesi gerekir. Kontrol altına alınamayan riskler için, bankanın bu riskleri kabul etmeye ya da ilgili bankacılık faaliyetinin düzeyini düşürmeye ya da bu faaliyetten tamamen çekilmeye karar vermesi gerekir. Kontrol süreç ve prosedürleri belirlenmeli ve bankalar risk yönetim sistemine ilişkin iç politikalardan oluşan bir doküman 157 Operasyonel Risk Çalışma Grubu setine uyulmasını sağlamak amacını güden bir sistem uygulamalıdırlar. Bu sistemin asgari olarak aşağıdaki temel unsurları içermesi tercih edilir. • • • • Bankanın belirlediği hedefleri gerçekleştirme düzeyi hakkında üst düzey incelemeler, Yönetim kontrollerine uyulup uyulmadığının kontrolü, Uyumsuzluk ve aykırılık sorunlarının incelenmesi, tespiti ve çözümlenmesine ilişkin politika, süreç ve prosedürler, Uygun bir yönetim seviyesine karşı sorumluluğu sağlamak amacına yönelik onay, izin ve yetkileri düzenleyen bir doküman sistemi. Resmi ve yazılı politika ve prosedürlerin oluşturduğu bir çerçeve kritik öneme sahip olmasına rağmen, sağlam risk yönetim uygulamalarını teşvik eden güçlü bir kontrol kültürüyle desteklenmelidir. Hem Yönetim Kurulu hem de Üst Yönetim, kontrol faaliyetlerinin bankanın düzenli iş ve faaliyetlerinin tamamlayıcı bir parçası olduğu sağlam ve güçlü bir iç kontrol kültürü oluşturmaktan sorumludurlar. Bankanın düzenli iş ve faaliyetlerinin tamamlayıcı bir parçası olan bu kontroller, değişen koşullara hızla adapte olmaya ve gereksiz kontrollerden kaçınmaya olanak sağlar. v) Đç ve/veya dış denetçiler, operasyonel risk yönetim süreçleri ve ölçüm sisteminde düzenli denetimler yapmalıdırlar. Bu denetim, hem ilgili faaliyet kollarının hem de bağımsız operasyonel risk yönetimi fonksiyonunun faaliyetlerini içermelidir. (Basel II, md. 666, (e)) Yönetim Kurulu, bankanın operasyonel risklerin yönetim çerçevesinin, banka organizasyonu içinde bağımsız olan, uygun ve yeterli eğitimden geçirilmiş, yetkili personel tarafından etkili ve kapsamlı bir iç denetime tabi tutulmasını sağlamalıdır. Bu iç denetim fonksiyonu, operasyonel risklerin yönetiminden doğrudan doğruya sorumlu tutulmamalıdır. Yönetim Kurulu (doğrudan doğruya kendisi ya da dolaylı olarak denetim komitesi aracılığıyla), denetim programının kapsamı ve uygulama sıklığının, karşılaşılan risklere uygun olmasını sağlamalıdır. Denetimlerde, bankanın operasyonel risklerinin yönetim çerçevesinin banka içinde etkin bir şekilde uygulanıp uygulanmadığı periyodik olarak tespit edilmeli ve izlenmelidir. Denetim fonksiyonu, operasyonel risklerin yönetim çerçevesinin izlenmesi ve kontrolünü de kapsadığı takdirde ve ölçüde, Yönetim Kurulu, bu denetim fonksiyonunun bağımsızlığının korunmasını sağlamalıdır. Denetim fonksiyonu, operasyonel risklerin yönetiminden sorumlu olanlara önemli girdi ve bilgiler sağlayabilir, fakat kendisi doğrudan doğruya operasyonel risklerin yönetimi sorumluluğunu üstlenmemelidir. Denetçiler, büyüklüğü ne olursa olsun bütün bankaların etkin bir risk yönetim sistemine sahip olup olmadıklarını kontrol etmelidirler. Denetçiler, bankaların kendi büyüklük, karmaşıklık ve risk profillerine uyumlu ve bu dokümanda verilen tavsiye ve önerilere uygun bir operasyonel risk yönetimi çerçevesini oluşturmalarını ve uygulamalarını temin etmelidirler. Denetçiler, bir bankanın operasyonel risklerine ilişkin mevcut politikaları, prosedürleri ve uygulamalarını doğrudan doğruya ya da dolaylı olarak düzenli ve bağımsız bir inceleme ve 158 Bankacılar Dergisi değerlendirmeye tabi tutmalıdırlar. Denetçiler, bankalardaki gelişmelerden sürekli haberdar olmalarına olanak veren uygun mekanizmaların mevcut olmasını da sağlamalıdırlar. Denetçilerin bağımsız bir operasyonel risk denetimi ve değerlendirmesinde ele almaları gereken konular daha ayrıntılı örneklerle aşağıdaki gibidir: • • • • • • • • • • Bankanın risk yönetimi süreci ve genel kontrol ortamının operasyonel risklerinin düzeyine göre etkin ve etkili olup olmadığı, Ölçüm sistemlerinin etkinliği ve ĐÖY kriterlerine uyumu, Đşletme zararlarına ve başka potansiyel operasyonel risk göstergelerine ilişkin veriler de dahil, bankanın operasyonel risk profilini izlemek ve raporlamak amacıyla uyguladığı yöntemler, Bankanın operasyonel risk olaylarının ve zararlarının etkin bir şekilde ve zamanında bertaraf edilmesi ve çözülmesi için uyguladığı prosedürler, Taşeron faaliyetlerini izleme, Bankanın genel operasyonel risk yönetim sürecinin bütünlük ve sağlamlığını sağlamak amacına yönelik iç kontrol, denetim ve izleme çalışmaları, Bankanın sigorta gibi operasyonel riskleri azaltma çabaları ve çalışmalarının etkinliği, Bankanın felaket kurtarma ve iş devamlılığı planlarının kaliteli ve kapsamlı olup olmadığı, Banka sermayesinin operasyonel riskleri için yeterli olup olmadığının belirlenmesi ve bankanın risk profiline uygunsa, bankanın iç sermaye hedeflerine göre değerlendirilmesi, BT altyapısının, veri toplama ve muhafazasının yeterliliğinin değerlendirilmesi. Denetçiler, bankanın bir finans grubunun bir parçası olduğu durumlarda, operasyonel risklerinin grup içinde uyumlu ve uygun bir tarzda yönetilmesini sağlamak amacına yönelik prosedürlerin bulunup bulunmadığına da bakmalıdırlar. Bu inceleme ve değerlendirme sırasında, önceden belirlenmiş usullere uygun olarak, başka denetçilerle işbirliği ve bilgi alışverişi yapmak gerekir. Bazı denetçiler, bu inceleme ve değerlendirme süreçlerinde dış denetçiler kullanmayı tercih ederler. Denetleme süreci içinde tanımlanan ve tespit edilen kusur ve eksiklikler çeşitli eylem ve tedbirlerle giderilir. Denetçiler, bankanın özel koşullarına ve işletme ortamına en uygun araçları kullanmalıdırlar. Denetçiler, operasyonel riskler hakkında güncel bilgi alabilmek için, doğrudan doğruya bankalarla ve dış denetçilerle somut raporlama mekanizmaları kurarlar (örneğin, operasyonel riskler hakkında iç banka yönetim raporları ilgili denetçilere rutin bir şekilde sunulabilir). Pek çok bankada kapsamlı operasyonel risk yönetim süreci ve uygulamalarının hala geliştirilmekte olması nedeniyle, denetçiler, bankadaki son gelişmeleri ve geleceğe yönelik geliştirme planlarını takip ederek ve değerlendirerek, banka içi devamlı geliştirme çabalarını teşvik etme konusunda aktif bir rol üstlenmelidirler. Bankaya kendi çalışmalarının durumu hakkında faydalı bir geri besleme sağlamak amacıyla, bu çabalar başka bankaların çabaları ve çalışmalarıyla karşılaştırılır. Ayrıca, belirli geliştirme çabalarının verimsiz ve etkisiz olmasının sebepleri tespit edilmişse, bu bilgiler de planlama süreci ve çalışmasına destek olmak amacıyla genel ve ana hatlarıyla verilmelidir. Ayrıca, denetçiler, bankanın bölümleri ve departmanları arasında etkin ve etkili bir operasyonel risk yönetimi yapmak, haberleşme yolları ve sorumlulukları açıkça belirlemek ve mevcut uygulamalar hakkında aktif özeleştiri 159 Operasyonel Risk Çalışma Grubu ve değerlendirme yapılmasını ve olası risk azaltma tedbir ve eylemlerinin değerlendirilmesini teşvik etmek amacıyla operasyonel risk yönetimi sürecini kendi organizasyonu içinde ne ölçüde entegre ettiğini de dikkate almalıdırlar. Bankalarda iç denetim fonksiyonları, gerekli beceri ve tecrübelere sahip bireylerden yapılanmalıdır. Bu bireylerin banka stratejisi ve bu stratejinin operasyonel risk tespiti, değerlendirilmesi, izlenmesi, kontrol edilmesi ve azaltılması süreçlerine yakın olması önemlidir. Đç denetim ve operasyonel risk yönetimi fonksiyonunun, özellikle iç denetimin tecrübe ve becerilerinin gelişmiş olduğu operasyonel risk ilişkili bazı faaliyet ve süreçlerde (Örn; süreçlerin analizi, kayıp veri toplama, risk ve kontrol değerlendirmeleri), birlikte çalışmasına müsade edilebilir. Ancak bu ortak çalışma iç denetimin bağımsızlığını tehdit etmemelidir. Đç denetimden öneri veya bilgi sağlanabildiği düzeyde yeni tasarılar, uygulamalar ve operasyonel risk çerçevesinin güncellenmesi operasyonel risk yönetim fonksiyonunun münhasıran sorumluluğu olarak kalır. Đç Denetim günlük operasyonel risk faaliyetlerinin kesinlikle içinde olmamalıdır. vi) Operasyonel Risk Ölçüm Sisteminin Dış Denetçiler ve/veya Denetim Otoriteleri Tarafindan Onaylanması Sürecinde Aşağıdaki Hususlar Önem Arz Etmektedir; • • • • • • • Đç doğrulama ve onay süreçlerinin tatmin edici bir şekilde çalıştığının doğrulanması, (Basel II, md. 666, (e)) Risk ölçüm sistemiyle bağlantılı veri akışları ve süreçlerinin şeffaf ve ulaşılabilir olmasının sağlanması. Özellikle, denetçilerin ve ilgili denetim otoritelerinin bu sistemin detaylı tanımlamalarına ve parametrelerine gerekli gördüklerinde ve uygun usullerle kolay erişebilecek bir konumda olmaları gerekir. (Basel II, md. 666, (e)) Bankaların kendi modellerininin işlerliğini doğrulamak ve değerlendirmek üzere gerekli sorumluluğa sahip olmaları gerekir. Modelin işlerliğinin onaylanması ve değerleme süreci tekrarlanan bir faaliyet olmalıdır. Tek bir onay ve değerleme metodunun olmadığı gözönüne alınmalıdır. Onay süreci nitel ve nicel unsurları içermelidir. Onay süreci ve çıktıları bağımsız denetime tabi olmalıdır. 1.2.2. Diğer Hususlar i. Kullanım Testi Kullanım testi; bankadaki operasyonel risk ölçüm ve yönetim sisteminin birbiriyle entegrasyonunun değerlendirilmesi ile ilgilidir. ĐÖY başvurusunda bulunan bir bankanın içsel operasyonel risk ölçüm sisteminin günlük operasyonel risk yönetimi süreçlerine entegre edilmesi gerekmektedir. Dolayısıyla, ĐÖY’de operasyonel risk ölçümünde kullanılan girdilerin, tekniklerin, uygulamaların ve çıktıların banka içi operasyonel risk yönetimi süreci ve pratiğini geliştirmek için kullanılması gerekmektedir. Bankalarda kullanım testi için belirlenen üst düzey prensipler şu şekilde belirtilebilir; 160 Bankacılar Dergisi • • • • Risk ölçüm sisteminin amacı sadece yasal sermayenin hesaplanması değildir. Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler arttıkça risk ölçüm sistemi de geliştirilmelidir. Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk yönetiminin diğer çıktılarının birlikte değerlendirilmesi gerekir Bankadaki operasyonel risk ölçüm sisteminin bankaya fayda sağlaması gerekir. ii. Banka Đçi Raporlama ile Đlgili Hususlar Operasyonel risk raporlaması iç raporlamanın önemli bir parçasıdır ve operasyonel riskin proaktif yönetimini desteklemelidir. Raporlama Yönetim Kurulu ve Üst Düzey Yönetime, Đç Denetime, Risk Komitesine ve/veya Đç Kontrol Komitesine (eğer kurulmuşsa) ve hatta uygunsa operasyonel risklerin tespiti, değerlendirilmesi, izlenmesi, azaltılması ve kontrol edilmesinden sorumlu iç fonksiyonlara yapılmalıdır. Bu iç fonksiyonlar; iş fonksiyonları, merkezi fonksiyonlar (BT, Planlama ve Yönetim Kontrol, Muhasebe) ve risk fonksiyonları olabilir. Raporlamanın sıklığı, içeriği ve biçimi raporlamanın kime yapıldığı ve bilginin nasıl kullanılacağına bağlı olmalıdır. Olası kullanım alanları, stratejik ve finansal planlama, günlük yönetim, operasyonel risk yönetimi ve ölçümü, piyasa disiplini vs. olabilir. Raporlamanın içerdiği bilgi genişliği, işin ve bankanın doğasına, ölçeğine ve karmaşıklık düzeyine göre değişebilir. Genel kural olarak, iş ne kadar riskliyse, sağlanacak bilgi o kadar detaylı olur. Đç raporlamanın sıklığı ve biçimi risk düzeyi ile uyumlu olmalıdır. Raporlama çerçevesinin tasarımı bankanın sorumluluğundadir. Raporlama çerçevesi, örnek olarak aşağıdaki bilgileri içerebilir: • • • • • • • Yasal ve ekonomik sermaye tahmini, Yönetim ve uygulama değişiklikleri (Örn; iş çevresinde, iş pratiklerinde ve iç kontrol faktörlerinde değişiklikler), Risk azaltma ve transfer stratejileri (Örn; Beklenen kayıp indirimlerinin etkisi, sigorta poliçelerinin ve diğer risk azaltım uygulamalarının maliyet-fayda analizleri ve iş kolu/olay tipi bazında riske maruz tutar ve/veya zararlar) Operasyonel riske maruz tutar (Örn; anahtar operasyonel risk olayları ve tetikleyicilerin tanımlanması, dağılımı, eğilimi, iş kolları boyunca operasyonel riske maruz tutarın yer değiştirmesi), Gerçekleşen iç ve dış zarar olayları (Örn; olay tipi zarar analizi ve eğilim, coğrafi dağılım ve dönemselliğe göre kıyaslanması), Riske duyarlı alanlarının tanımlanması ve değerlendirilmesi (risk değerlendirmeleri, anahtar risk göstergeleri) ve Operasyonel risk yönetimi ve ölçümü süreçleri ve sistemlerinde kalite iyileştirmeleri. iii. Dokümantasyon ĐÖY ile ilgili nitel kriterler, risk yönetimi sisteminin iyi bir şekilde dökümante edilmiş olmasını gerektirmektedir. Güvenilir bir dökümantasyon bankanın faaliyetlerine katkı sağlar ve bankanın maruz kaldığı operasyonel risk düzeyini azaltır. Dökümantasyon, personelin bilinçlenmesini sağlar ve sorumluluklarını anlamasına yardımcı olur. Ayrıca, geniş bir çerçevede aşağıda belirlenen konularda anahtar role sahiptir; 161 Operasyonel Risk Çalışma Grubu • • • • Kurumsal Yönetişim - Güvenilir kurumsal yönetişiminin bir parçası olarak açık bir şekilde dökümante edilmiş raporlama kanallarına gereksinim duyulmaktadır. Đç Denetim – Denetim faaliyetlerinin sağlıklı yapılabilmesi için karar verme süreçleri; açık, şeffaf ve dokümante edilmiş olmalıdır. ĐÖY’ye Geçiş Kriterlerine Uyumun Gösterilmesi – Tüm ilgili kriterlere uyulduğunun açık bir şekilde dokümante edilmiş olması, denetçilerin bu kriterlere uyulduğuna emin olmalarına imkan sağlar. Özkaynak – Sermaye tahsisi ile ilgili stratejilerin ve politikaların dökümante edilmesi eksiksiz sağlanmalıdır. Sonuç olarak bir banka, operasyonel risk yönetiminde dökümantasyon sisteminin yeterliliğini, dökümantasyon sürecinin gelişimi, dökümanların sağlanması ve dağılımını ortaya koyarak gösterebilmelidir. ĐÖY‘de modelin uygulanmasında dökümantasyon büyük öneme sahiptir. Denetim otoritesi ĐÖY başvurusu ve kullanım testinin bir parçası olarak dokümantasyonun yüksek derecede önemli olduğunu görmek ister. iv. Kullanılan Verinin Doğruluğu, Bütünlüğü, Eksiksiz Olması, Dokümantasyonu ĐÖY başvuru sürecinin bir parçası olarak, bir banka kullandığı verinin doğruluğunu, güvenilirliğini ve değerleme tekniklerinin sağlamlığını gösterebilmelidir. Risk ölçüm sisteminde girdi olarak kullanılan verinin miktarı, kalitesi, ve güvenilirliği ĐÖY’de temeldir. Bir bankanın, risk ölçümü için kullandığı ve ĐÖY’nin denetleyici otorite tarafından değerlendirilmesinde kesin olarak belirlenmiş minimum veri standartları olması gerekmektedir. Kullanılan verinin standartı, risk ölçüm sistemininin güvenilirliğini etkileyen en önemli unsurdur. Bankalarda belirli bir düzeyde veri standartı sağlanabilmesi için belirlenen üst düzey prensipler şunlardır; • • • • • Bankalar dört unsur kapsamında (iç kayıp verisi, dış veri, senaryo analizi, faaliyetler ve kontrol faktörleri) ilgili verilerin toplanmasında güvenilir, şeffaf, doğrulanabilir ve işleyen süreçler oluşturmalıdırlar. Bankalar, bu dört uygulamadan verinin toplanması ve modelde kullanılması ile ilgili olarak yeterli düzeyde tecrübe edindiklerini (verinin toplanmasında izlenen yolun belirlenmesi) gösterebilmelidirler. Bankalar, modelde kullanılacak olan verinin doğruluğunun, tutarlılığının, geçerliliğinin ve eksiksiz olmasının sağlanması için uygun standartlar geliştirmelidirler. Bankalar, modelde kullanılacak olan verinin bankanın risk düzeyi ile ilgili ve yeterli düzeyde olmasına yönelik varsayımları destekleyecek şekilde makul bir gözlem süreci geçirerek veri toplamaya devam etmelidirler. Bankalar, yukarıda belirlenen dört uygulama çerçevesinde veri toplarken ortak bir yöntem ve Basel II ile uyumlu bir kategorizasyon ile veri toplamalıdırlar. Yukarıda yer alan maddelerin incelenmesi sonucu veri ile ilgili dokümantasyonun ĐÖY başvurusunda çok önemli olduğu sonucu çıkarılmalıdır. Önemli dokümanlar, örnek olarak şöyledir: • 162 Veri politikası ve sorumluluk beyanı: Bankalar veri politikası oluşturmalıdır. Bankacılar Dergisi • • Bankalar, veri toplaması ve biriktirmesi ile ilgili prosedür ve sistemlerini dokümante etmelidir. Veri sözlüğü: Bankaların düzenleyicinin incelemesine uygun veri tanımları olmalıdır. 1.3. ĐÖY’nin Kullanılabilmesi Đçin Gereken Nicel Kriterler 1.3.1. ĐÖY Sağlamlık Standardı ĐÖY Sağlamlık Standardı 1. Basel II’de herhangi bir operasyonel risk ölçümü yaklaşımı veya istatistiksel dağılım varsayımı belirlemekten kaçınılmıştır. 2. Banka, hangi yaklaşımı benimsemiş olursa olsun, söz konusu yaklaşım, dağılımın kuyruk bölgesine denk gelen ve büyük zarara yol açma potansiyeli olan olayları dikkate almalıdır. 3. Benimsenen yaklaşım, kredi riski hesaplamalarında kullanılan Đçsel Derecelendirmeye Dayalı Yaklaşım (ĐDDY) ile kıyaslanabilecek düzeyde olan bir “sağlamlık standardına” (1 yıllık elde tutma süresi ve 99.9uncu yüzdelik güven aralığı) uymalıdır. 4. Basel II’ye göre bankalar, operasyonel risk modellerinin oluşturulması ve modellerin bağımsız bir taraf tarafından onaylanmasına ilişkin ayrıntılı ve katı prosedürlere sahip olmalıdırlar. 5. Basel II’nin yürürlüğe girmesinden önce, gelişmekte olan ve sektörde benimsenen uygulamaların yanısıra birikmiş veriler ve ĐÖY ile hesaplanan sermaye yükümlülükleri de gözden geçirilecektir. Bu incelemeler doğrultusunda, Komitece gerek görüldüğü takdirde, operasyonel risk ölçümüne ilişkin Basel II’de yer alan hususlarda değişiklik yapılabilecektir. Md.1 Operasyonel riskin sermaye yeterliliği hesaplamalarına ilk kez Basel II ile birlikte dahil edilmiş olması, operasyonel risk verilerinin az oluşu ve finansal risk verilerinden farklı bir yapıya sahip olması gibi nedenlerle, risk yöneticileri henüz operasyonel riskin sayısallaştırılması konusunda bir uzlaşıya varamamışlardır. Bu yüzden Basel II’de herhangi bir operasyonel risk ölçümü yaklaşımı veya istatistiksel dağılım varsayımı belirlemekten kaçınılmıştır. CEBS CP10 (Guidelines on the implementation, validation and assessment of AMA and IRB Approaches) dokümanına göre, bankalar, modelin girdi/girilen bilgi, uygulama, çıktı/sonuç safhalarında tutarlı ve kaliteli olmasını sağlamak amacıyla uygun metod ve prosedürler oluşturmalıdır. CEBS CP10 dokümanına göre, yasal operasyonel risk sermayesinin bulunmasına yönelik model uygulaması, şeffaf ve tutarlı süreçlerle desteklenmelidir. Tercih edilen modele göre, kurumlar aşağıdaki uygulamaları gerçekleştirebilir; 1. Verilerin uygun olabileceği düşünülen olasılık dağılımlarının belirlenmesi. 2. Parametrelerin tahmin edilmesi amacıyla uygun tekniklerin kullanılması. 3. Kullanılan dağılımın verilerle ne kadar eşleştiğinin tespitine yönelik araçların kullanılması (goodness-of-fit testleri gibi) 4. 3. adımda ulaşılan sonucun belli bir dağılımı işaret etmemesi durumunda, en uygun dağılımı seçmek için güvenilir metodların uygulanması. Md.3 Halihazırda kredi riski modelleme teknikleri çok yüksek gelişmişlik düzeyine erişmiştir, ayrıca kredi riskine ilişkin verilerin kıt olmayışı modelleme konusunda yaşanabilecek olan sıkıntıların önüne geçmektedir. Operasyonel risk ölçümü konusunda henüz bu aşamaya gelinmediği düşünülürse, Basel Komitesince ĐÖY için şart koşulmuş olan bu sağlamlık standardına ulaşmanın şimdilik kolay olmadığını söylemek yanlış olmayacaktır. CEBS CP10 (Guidelines on the implementation, validation and assessment of advanced measurement (AMA) and internal ratings based (IRB) approaches) dokümana göre “Đçsel elde tutma süresi”, ‘yasal elde tutma süresi’nden farklı olabilir. Operasyonel risk sınıflarının özelliklerine ve/veya veri toplama sürecine (ör. raporlama sıklığı, iç ve dış verinin sağlanması, vb.) göre ve denetim otoritesi ile mutabık kalınması halinde, bankalar, asgari yasal elde tutma süresi olan 1 yılla uyuşmayan uygun bir içsel elde tutma süresi tanımlayabilirler. Đçsel elde tutma süresinin kayıp dağılımının şeklinde ve dolayısıyla operasyonel risk ölçümünde önemli etkileri olduğu düşünülürse, kurumlar söz konusu süre seçimine büyük önem vermeli ve gerek operasyonel risk sınıflarının gerekse veri toplama sürecinin yapısına uygun olarak bu süreyi belirlemelidirler. 163 Operasyonel Risk Çalışma Grubu Nicel Standartlar 1. 2. 3. 4. 5. 6. Operasyonel risk ölçüm sistemi, Komitenin operasyonel risk tanımının kapsamı ve Basel II’de tanımlanan kayıp olayı türleri ile tutarlı olmalıdır. Yasal sermaye gereksinimi, beklenen zarar ve beklenmeyen zararın toplamına eşit olacaktır. Ancak eğer bir banka, beklenen zararını ölçtüğünü ve faaliyetlerinde beklenen zararı hesaba kattığını denetim otoritesine kanıtlayabilirse, yasal sermaye gereksinimi sadece beklenmeyen zarara eşit olacaktır. Bir bankanın risk ölçüm sistemi, operasyonel riske yol açan başlıca unsurlardan kayıp dağılımının kuyruk bölgesinin şeklini etkileyenleri de kapsayacak şekilde çeşitlendirilmiş olmalıdır. Asgari yasal sermaye yükümlülüğünün hesaplanması için farklı operasyonel risk tahminlerine ilişkin risk ölçüm sonuçlarının toplanması gerekmektedir. Ancak bir banka, eğer söz konusu operasyonel risk tahminlerinin arasında korelasyon olduğunu tespit ettiyse, (korelasyonları belirlemek için kullandığı sistemlerin sağlam olduğunu, doğru uygulandığını ve bu korelasyon tahminlerini etkileyen belirsizliği dikkate aldığını ulusal denetim otoritesine göstermek kaydıyla) risk ölçüm sonuçlarının toplanması sırasında korelasyonların etkisini dikkate alabilecektir. Basel II’de operasyonel risk ölçüm sistemlerinde kullanılmak üzere 4 temel unsur belirlenmiştir. Bunlar içsel veriler, harici veriler, senaryo analizleri ve iş ortamı ve iç kontrol faktörleridir. Bankalar tarafından, bu temel unsurların operasyonel risk ölçüm sistemindeki ağırlığının ne olacağını tespit etmek üzere inandırıcı, şeffaf, iyi bir şekilde dokümante edilmiş ve onaylanabilen bir yaklaşım oluşturulmalıdır. Örneğin, eğer bir faaliyet koluna ilişkin kayıp dağılımının kuyruk alanı geniş ise ve az veri gözlemlenebilmişse, dahili ve harici kayıp olayı verilerine dayanılarak 99.9uncu yüzdelik dilim güven aralığında yapılan tahminler güvenilir olmayabilir. Bu tür durumlarda, risk ölçüm sisteminde senaryo analizi ve iş ortamı ve iç kontrol faktörlerinin ağırlığı artırılabilir. Buna karşılık, esas olarak kayıp verilerine dayanılarak, 99.9’uncu yüzdelik dilim güven aralığında yapılan tahminlerin güvenilir olduğu durumlarda, operasyonel kayıp olayı verilerinin risk ölçüm sistemindeki ağırlığı artırılabilir. Bankanın söz konusu 4 temel unsuru ağırlıklandırmada istikrarlı olması ve diğer unsurlar kapsamında dikkate alınmış risk azaltıcı faktörlerin ve nitel değerlendirmelerin mükerrer sayımını engellemesi gerekmektedir. Basel II’nin bu bölümünde, asgari yasal sermaye yükümlülüğü hesaplamalarında kullanılmak üzere dahili olarak üretilen operasyonel risk ölçütlerinin uyması gereken bir dizi nicel standarda yer verilmiştir. Md.2 Bankanın beklenen zararı hesaba katmasından anlaşılması gereken, taşınan operasyonel risk nedeniyle karşılık ayrılması, fiyatlamaya operasyonel risk primi eklenmesi vb. gibi uygulamalardır. Eğer sermaye veya karşılık ayırmak dışında bir yöntem kullanılıyorsa, ilgili faaliyet kolu ve kayıp türündeki zararların oldukça durağan olması ve net bir şekilde öngörülebilir olması gerekmektedir. Ayrıca beklenen zararın dikkate alındığını denetim otoritesine kanıtlamak amacıyla, söz konusu uygulamaların ve beklenen zarar hesaplamalarının ayrıntılı olarak dokümante edilmesi gerekmektedir. Md.3 Bankaların bu koşulu sağlamak için başlangıç noktaları, Basel II’de tanımlanmış olan 8 faaliyet kolu ve 7 kayıp olayı türünden oluşan 56 hücrelik matris olacaktır. Operasyonel riske yol açan başlıca unsurların belirlenmesi açısından faydalı olacağı düşünülüyorsa, söz konusu matrisin daha ayrıntılı hale getirilerek bölümlere ayrılması seçeneği bankalarca değerlendirilebilir. Md.4 Basel II’de yer alan bu koşulun uygulamaya yansıması şu şekilde olacaktır: Bankalar faaliyet kolları ve kayıp kategorileri arasında var olması muhtemel korelasyonları belirlemeli, söz konusu korelasyon varsayımlarını dokümante etmeli ve modellerde kullanabilmelidirler. Örneğin iki faaliyet koluna ilişkin operasyonel risk tahminleri arasında ters yönlü korelasyon bulunuyorsa, bankanın tutması gereken yasal sermaye düşecektir. Ters yonlu korelasyon varsayımında bulunarak bankaların korelasyon varsayımlarını kendi lehlerine değiştirmeleri mümkün olabileceğinden, bu noktada denetim otoritesinin kontrolü önem kazanmaktadır. CRD Annex X, bölüm 3, paragraf 11de belirtildiği üzere “Kredi kurumu uygun nicel ve nitel tekniklerle korelasyon varsayımlarını doğrulamalıdır.” Ancak CEBS CP10 dokümanında da belirtildiği üzere, yüksek sıklıklı düşük şiddetli olayların korelasyonlarının nicel tekniklerle doğrulanması, dağılımın kuyruk bölümünde bulunan olaylar arası korelasyonlara zor uygulanabilir. 164 Bankacılar Dergisi (164.sayfadaki kutunun devamı) Bu gibi durumlarda, tüm ileri ölçüm yaklaşımının ölçümü üzerinde etkisi olan sağlam korelasyon varsayımları, en azından nitel doğrulama teknikleri ve mümkün olması durumunda nicel teknikler ve stres testi analizleri ile kanıtlanabilir. Md.5 Örneğin bir banka kendi faaliyetleri açısından harici verileri fazla anlamlı bulmadığı için harici verilerin modeldeki ağırlığını azaltıp, senaryo analizlerine ağırlık verebilir. Önemli olan, söz konusu yaklaşımını gerekçeleriyle denetim otoritesine açıklayabilmesidir. Md.6 Örneğin eğer bir senaryo analizi sırasında kontrollerin riski azaltıcı etkisi dikkate alındıysa, söz konusu etki “iş ortamı ve iç kontrol faktörleri” kapsamında ikinci kez modele dahil edilmemelidir. CEBS’in CP10 dokümanında sözkonusu 4 temel unsurun nasıl birleştirildiği ve ağırlıklandırıldığının ayrıntılılı şekilde dokümante edilmesi gerektiği belirtilmiştir. 1.3.2. Đçsel Veriler Đçsel kayıp verileri, bankanın risk tahminlerini gerçek kayıp deneyimleri ile ilişkilendirmek açısından önemli rol oynamaktadır. Đçsel Kayıp Verilerinin Kullanım Alanları – Basel Md 670 1. Bankanın operasyonel risk tahmininin temeli olarak 2. Risk ölçüm sisteminin girdi ve çıktılarının doğruluğunu tasdikleme aracı olarak 3. Kayıp deneyimi ile risk yönetimi ve kontrol kararları arasındaki bağlantının oluşturulma aracı olarak Đçsel Kayıp Verilerinin Kullanım Amacına Uygunluğu – Basel Md 671 1. Đçsel kayıp verileri bankanın güncel faaliyetleri, teknolojik süreçleri ve risk yönetimi prosedürleri ile mümkün olduğunca ilişkilendirilebilmiş olmalıdır. 2. Banka, tarihsel kayıp verilerinin amaca uygunluğunun sürüp sürmediğini, muhakemeye dayanan aşma, indirme veya ölçeklendirme gibi durumlar da dahil olmak üzere bu verilerin hangi ölçüler içinde kullanılabileceğini ve bu kararları almaya kimin yetkili olduğunu değerlendirmek üzere yazılı prosedürler hazırlamalıdır. Gözlem Süresi – Basel Md 672 1. Yasal sermaye gereksinimini belirlemek için kullanılan ve dahili olarak üretilen operasyonel risk ölçütü, (içsel kayıp verilerinin doğrudan doğruya kayıp ölçütüne ilişkin modelin kurulması için mi yoksa modeli doğrulamak için mi kullanıldığına bakılmaksızın) en az 5 yıllık içsel kayıp verisine dayandırılmalıdır. 2. Ancak banka ĐÖY uygulamasına ilk kez geçtiğinde 3 yıllık kayıp verisi yeterli olacaktır. 165 Operasyonel Risk Çalışma Grubu Đçsel Kayıp Verisi Toplama Sürecine Đlişkin Standartlar-Basel Md 673 1. Banka, denetim otoritesinin onaylama/doğrulama işlemine yardımcı olmak için, tarihsel içsel kayıp olaylarını Basel II’de belirlenmiş olan 8 ana faaliyet koluna ve 7 kayıp olayı türüne eşleyebilmeli ve talep edilmesi halinde ilgili verileri denetim otoritesine sunabilmelidir. 2. Kayıp verilerinin, faaliyet kolları ve kayıp olayı türlerine ile eşleştirilmesine ilişkin nesnel kriterlerin dokümante edilmesi gerekmektedir. 3. Söz konusu 8 ana faaliyet kolu ve 7 kayıp olayı türü kategorilerini içsel operasyonel risk ölçüm sisteminde hangi ölçülerde uygulayacağına ilişkin karar bankanın kendi ihtiyarındadır. 4. Đçsel kayıp verilerinin kapsamı; 4.a. Đçsel kayıp verileri, bankanın faaliyet gösterdiği coğrafi alanların tümünde, bankanın tüm altsistemlerince maruz kalınan riskleri ve önemlilik arzeden tüm faaliyetleri kapsamalıdır. 4.b. Eğer herhangi bir faaliyet veya maruz kalınan bir risk kapsam dışı bırakılacak olursa, bunların tek başlarına veya toplu olarak bankanın genel risk tahminleri üzerinde önemli bir etki yapmayacağı gösterilebilmelidir. 4.c. Veriler toplanırken, uygun bir brüt kayıp eşik değeri belirlenmelidir (örneğin 10.000 €). 4.d. Uygun eşik değeri, bankadan bankaya değişebileceği gibi aynı banka içindeki farklı faaliyet kolları ve/veya olay türleri arasında da değişiklik gösterebilir. Bununla birlikte, belirli eşik değerler, benzer bankaların kullandığı eşik değerlerle genel olarak uyumlu olmalıdır. 5. Đçsel kayıp verileri, brüt kayıp tutarlarına ilişkin bilgilerin yanısıra, olayın gerçekleştiği tarih, tahsilat tutarı, kayba yol açan unsurlar hakkında açıklayıcı bilgiler de içermelidir. Kayıp tutarı ile kayba ilişkin açıklayıcı bilgilerin detayı doğru orantılı olmalıdır. 6. Banka, zaman içinde bağlantılı olaylardan kaynaklanan kayıp verilerinin yanısıra, merkezi bir birimde (örneğin, bilgi teknolojileri birimi) veya birden fazla faaliyet kolunu kapsayan bir birimde meydana gelen olaylardan kaynaklanan kayıp verilerinin nasıl sınıflandırılacağına ilişkin kriterler belirlemelidir. . 7. Kredi riski ile ilgili olan veya eskiden beri bankanın kredi riski veri tabanında izlenen operasyonel risk kayıpları, asgari yasal sermaye hesaplamalarında kredi riski olarak dikkate alınacaktır. Sonuç olarak, söz konusu kayıplar operasyonel riske esas sermaye yükümlülüğü hesaplamalarına dahil edilmeyecektir. 8. Ancak, içsel operasyonel risk yönetimi amaçlarıyla, bankalar operasyonel risk kapsamına giren, kredi riski ile ilişki olanlar da dahil, tüm önemli operasyonel kayıplarını belirlemelidir. Operasyonel riskle ilişkili önemli kredi riski kayıpları, bir bankanın kendi içsel operasyonel risk veri tabanında ayrıca izlenmelidir. 9. Piyasa riski ile ilgili olan operasyonel risk kayıpları, asgari yasal sermaye hesaplamalarında operasyonel risk olarak dikkate alınacaktır. Söz konusu kayıplar operasyonel riske esas sermaye yükümlülüğü hesaplamalarına dahil edilecektir. 166 Bankacılar Dergisi Md.4c CEBS CP10 dokümanına göre faaliyet kolları ve/veya kayıp olayı türleri itibariyle eşik değerleri belirlenirken, ilgili risk türünün yapısı göz önünde bulundurulabilir, belirlenecek eşik tutarının altındaki kayıp verilerinin toplanması konusunda fayda-maliyet analizi yapılabilir. Bankalar belirledikleri eşik tutarlarının mantıklı olduğunu ve önemli kayıp olayı verilerini dışarıda bırakmadığını denetim otoritelerine kanıtlayabilmelidir. Md.5 Örneğin ĐÖY kapsamında bankalar tarafından tercih edilen bir yöntem olan kayıp dağılımı yaklaşımında, kayıp dağılımlarının oluşturulması için kayıp frekansına ve kayıp tutarına dair bilgilerin var olması yeterli olmaktadır. Bu durumda neden Basel II’nin kayba ilişkin başka açıklayıcı bilgilerin de tutulmasını şart koştuğu sorusu akla gelebilir. Bunun nedeni, Basel II’nin sadece yasal sermaye yeterliliği seviyesine uygun hareket edilmesini sağlamayı amaçlamakla sınırlı kalmayan, bankaların risk yönetimi sistemlerini sağlamlaştırılmasına büyük önem veren bir düzenleme olmasıdır. Tarihsel kayıp olaylarının neden kaynaklandığı, ne kadarının tahsil edilebildiği vs. gibi bilgilerin dikkate alınması daha etkin bir operasyonel risk yönetiminin yolunu açacaktır. CEBS CP10 dokümanında, sigorta poliçelerinin devreye girdiği kayıp olaylarının iç veri tabanında farklı bir yerde izlenmesi gerektiği belirtilmiştir. CEBS’e göre, denetim otoriteleri, bankaların kısa zaman sınırları belirlemelerine ve bu kısa zaman aralığında sigortadan tahsil edilebilen kayıpları brüt kayıp tutarından düşmelerine izin verebileceklerdir. Ancak sözkonusu uygulamanın bankadan bankaya önemli farklılıklar göstermesinin sakıncalı olabileceği düşünülmektedir. Md.6 CEBS CP10 dokümanında, tek bir olay farklı zamanlarda kayıplara neden olduğu takdirde, birbiriyle ilişkili bu olayların sermaye hesaplamasında tek bir olay olarak dikkate alınması gerektiği belirtilmiştir. Merkezi bir birimde veya birden fazla faaliyet kolunu kapsayan bir birimde meydana gelen olaylardan kaynaklanan kayıp verilerinin sınıflandırılması konusunda, CEBS CP10 dokümanında iki örnek verilmiştir. Buna göre, ilgili kayıp olayı en çok hangi faaliyet kolunu etkilediyse, sözkonusu olayın o faaliyet koluna kaydedilmesi tercih edilebilir. Diğer bir seçenek ise, ilgili kayıp olayı verisinin faaliyet kollarına oransal olarak paylaştırılmasıdır. Md.8 Örneğin bir borçlu evini teminat olarak göstermiş ancak ilgili kredi uzmanı, tapuda haciz olup olmadığını incelememişse, kredinin tahsil edilememesi halinde oluşacak zarar operasyonel risk hesaplamalarına dahil edilmeyecektir. Md.9 Örneğin fon yönetiminde görevli bir çalışanın fon alımı sırasında planladığı tutardan farklı bir tutar girişi yaparak hatalı fiyatlamaya neden olması, operasyonel risk kapsamında ele alınacaktır. 1.3.3. Dış Veriler – Basel Md. 674 Dış Verilerin Niteliği 1. 2. 3. 4. Fiili kayıp tutarı hakkındaki bilgileri içermelidir. Olayın meydana geldiği iş operasyonların büyüklüğüne dair bilgileri içermelidir. Kayıp olaylarının sebep ve koşullarına ilişkin bilgileri içermelidir. Gerek duyulması halinde kayıp olayının diğer bankalar için öneminin değerlendirilmesine yardımcı olabilecek başka bilgileri de içermelidir. Dış veriler, herkesçe erişilebilinen haber kaynaklarından veya bankaların ortak operasyonel kayıp veritabanlarından elde edilebilir. Bankanın, dış veriyi kendi modeline dahil etmesinden önce bazı ayarlamalar yapması gerekebilecektir. Dış veriyi elde ettiği işletmenin faaliyetleri ve ölçeği ile kendi faaliyetlerinin ve ölçeğinin uyumlu olup olmadığını değerlendirmeli ve gerekiyorsa ayarlamalar yapmalıdır. Dış Verilerin Kullanımına Yönelik Đç Süreçlerin Tesisi 1. 2. Dış verilerin kullanılması gereken durumların yazılı olarak tesis edilmesi. Dış verilerin hesaplamalarda kullanılabilmesine yönelik yöntemlerin yazılı olarak tesis edilmesi. 167 Operasyonel Risk Çalışma Grubu Dış Verilerin Denetime Tabi Tutulması 1. 2. Dış verilerin kullanımına ilişkin iç süreçlerin düzenli olarak gözden geçirilmesi ve kaydedilmesi. Dış verilerin periyodik olarak bağımsız denetime tabi tutulması. 1.3.4. Senaryo Analizi – Basel Md. 675 Senaryo Analizi 1. 2. 3. Dış verilere dayalı senaryo analizi Đç verilere dayalı senaryo analizi Senaryo analizlerinin doğruluğunun değerlendirmesi süreci Olasılığı düşük ancak etkisi yüksek olaylar göz önünde bulundurulurken harici veriler ile birlikte senaryo analizleri de kullanılmalıdır. Senaryo analizi yapılırken, meydana gelmesi muhtemel olaylar, yöneticilerin ve risk yönetimi uzmanlarının deneyimlerinden faydalanılarak değerlendirilir. Daha sonra, uzmanların bu değerlendirmeleri, örneğin, istatistiksel bir kayıp dağılımının parametreleri olarak ifade edilebilir. Aşağıdaki şekilde senaryo analizinin modele nasıl dahil edilebileceği gösterilmektedir: Senaryoların oluşturulması Senaryoların değerlendirilmesi Parametrelerin belirlenmesi Modelleme CEBS CP10 dokümanına göre, Bankalar, senaryo analizi sürecinin mümkün olduğunca öznellikten uzak ve tarafsız olmasını sağlamalıdır. Özellikle; - Senaryoda kullanılan varsayımlar mümkün olduğunca deneysel kanıtlara dayanmalıdır. Đlgili iç ve dış veriler senaryo oluşturmada kullanılmalıdır. - Uygulanacak senaryo sayısının seçiminde, bankalar gerekli istatistiksel analizleri (ya da diğer analizleri) kullanmalıdırlar - Senaryo analizlerini oluşturmak için yapılan varsayımlar ve senaryo oluşturma süreçleri ayrıntılı olarak dokümante edilmelidir. 1.3.5. Đş Ortamı ve Đç Kontrol Faktörleri – Basel Md. 676 Banka Çapında Risk Değerlendirme Yöntemi 1. Operasyonel risk profilinin tanımlanması 1.a. Operasyonel risk profilini değiştirebilecek olan iş ortamlarının tanımlanması 1.b. Operasyonel risk profilini değiştirebilecek olan iç kontrol faktörlerinin tanımlanması 2. Đş Ortamı ve Đç Kontrol Faktörlerinin risk ölçüm çerçevesinde kullanılması 2.a. Her faktör seçiminin, etkilenen iş alanları hakkında uzman görüşlerini de içeren ve deneyimlere dayanan anlamlı bir risk belirleyicisi olduğunun kanıtlanması gereklidir. Mümkün olan durumlarda, bu faktörler, doğrulanmaları ve onaylanmalarına olanak sağlayacak nicel ölçütlere dönüştürülebilmelidir. 2.b. Bir bankanın risk tahminlerinin faktörlerdeki değişimlere ve çeşitli faktörlerin nispi ağırlığına karşı hassasiyeti sağlam temellere dayanmalıdır. Bu çerçeve,risk kontrollerindeki gelişmelerden kaynaklanan risk değişikliklerinin yanısıra, faaliyetlerin artan karmaşıklığından veya iş hacmindeki artıştan dolayı meydana gelebilecek potansiyel risk artışlarını da yakalayabilmelidir (analize dahil edebilmelidir). 2.c. Ampirik tahminlerdeki ayarlamalar için destekleyici bir gerekçe olarak kullanımı da dahil bütün kullanım amaçları ve çerçevenin kendisi, iyi dokümante edilmeli ve hem banka içinde hem de denetim otoriteleri tarafından bağımsız denetime tâbi tutulmalıdır. 2.d. Zaman içinde bu sürecin ve sonuçlarının, gerçekleşen içsel kayıp olayları ve ilgili dış veriler ile karşılaştırılmak suretiyle doğrulanması/onaylanması ve gereken ayarlamaların yapılması gereklidir. 168 Bankacılar Dergisi 1.4. Đleri Ölçüm Yaklaşımlarında Kısmi Kullanım 1.4.1. Basel II’de Kısmi Kullanım 647. Uluslararası faal bankaların ve operasyonel risk seviyesi yüksek olan bankaların (örneğin, uzmanlaşmış işlem bankaları), Temel Gösterge Yaklaşımdan daha gelişmiş olan ve ilgili kuruluşun risk profiline uygun olan bir yaklaşım kullanmaları beklenmektedir. Belirli asgari kriterlere uyulması şartıyla, bir bankanın faaliyetlerinin belli kısımları için Temel Gösterge veya Standart Yaklaşımı ve diğer kısımları için ĐÖY’yi kullanmalarına izin verilir (680 ilâ 683. paragraflara bakınız). 680. Bir bankanın, faaliyetlerinin bir kısmı için ĐÖY’yi, diğer faaliyetleri için de Temel Gösterge Yaklaşımını veya Standart Yaklaşımı kullanmasına (kısmi kullanım), aşağıda sayılan yükümlülüklere uyması şartıyla izin verilecektir: • • • • Bankanın global ve konsolide operasyonlarının bütün operasyonel riskleri kapsanmalıdır; Bankanın ĐÖY kapsamı içindeki bütün operasyonları, ĐÖY yaklaşımının kullanılmasına ilişkin nitel kriterlere uygun olmalı; diğer daha basit yaklaşımlardan birinin kullanıldığı operasyonları ise o yaklaşımla ilgili kabul edilebilirlik kriterlerine uygun olmalıdır; ĐÖY uygulama tarihinde, bankanın operasyonel risklerinin önemli bir kısmının ĐÖY kapsamında olması gereklidir; ve Banka, ĐÖY’yi operasyonlarının önemsiz bir kısmı hariç hepsine uygulamayı hedeflediği zaman programını da içeren bir planı ilgili denetim otoritesine ibraz etmelidir. Bu plan, zaman içinde ĐÖY yaklaşımına geçmenin fizibilitesi ve uygulanabilirliğine dayanmalı ve başka hiç bir sebebe dayanmamalıdır. 681. Denetim otoritesinin iznine tâbi olarak kısmi kullanımı seçen bir banka, operasyonlarının hangi kısımlarında ĐÖY yaklaşımını uygulayacağına, ilgili faaliyet kolları, hukuki yapı, coğrafi veya başka dahili faktörlere göre karar verebilir. 682. Denetim otoritesinin iznine tâbi olarak, bir banka ĐÖY dışında bir yaklaşımı global ve konsolide bazda kullanmak ve uygulamak istediği takdirde ve 680. paragrafın üçüncü ve/ veya dördüncü koşuluna uymuyorsa, o banka, sınırlı durum ve koşullarda: • bir ĐÖY yaklaşımını daima kısmi olarak uygulayabilir ve • ĐÖY’nin faaliyet gösterdiği ülkenin denetim otoritesi tarafından onaylanmış olması ve bankanın kendi kurulu bulunduğu ülkenin denetim otoritesi tarafından kabul edilebilir olması şartıyla, bir iştirakinde yaptığı bir ĐÖY hesaplamasının sonuçlarını, global ve konsolide operasyonel risk sermaye yükümlülüğü hesaplamasına dahil edebilir. 683. 682. paragrafta belirtilen nitelikteki izinler sadece istisnai olarak verilmelidir. Bu istisnai izinler, genellikle, bir bankanın bu koşullara uymasına bankanın yabancı ülkelerdeki iştiraklerinin tâbi olduğu denetim otoritelerinin uygulama kararlarının engel olduğu durumlarla sınırlı tutulmalıdır. 169 Operasyonel Risk Çalışma Grubu 1.4.2. CEBS’de (Committee of European Banking Supervisors)Kısmi Kullanım CEBS (Committee of European Banking Supervisors) tarafından hazırlanan ve 11 Temmuz 2005 tarihinde yayımlanan CP 10 nolu (ĐÖY ve ĐDD Yaklaşımları Đçin Uygulama, Onay ve Değerlendirme Rehberleri) istişare dökümanında konsolide ve solo bazda kısmi kullanım halleri aşağıdaki tablolar yardımıyla özetlenmiştir. Tablo 1: Konsolide bazda kısmi kullanım kombinasyonları ve konsolide sermaye ihtiyacı TGY = Temel Gösterge Yöntemi SY = Standart Yöntem ASY = Alternatif Standart Yöntem AMA =Đleri Ölçüm Yaklaşımı Konsolide Seviyede Kullanılan Yaklaşım Đştirak/Đşkolu Seviyesinde Kullanılan Yaklaşım Đştirak/Đşkolu A Lokal Olarak TGY Kullanıyorsa Đştirak/Đşkolu B Lokal Olarak SY veya ASY Kullanıyorsa Đştirak/Đşkolu C Lokal Olarak ĐÖY Kullanıyorsa TGY Kısmi kullanım kabul edilmez Kısmi kullanım kabul edilebilir SY veya ASY AMA Kısmi kullanım Kısmi kullanım kabul edilebilir kabul edilebilir Kısmi kullanım kabul edilebilir Kısmi kullanım kabul edilebilir - Tablo 2: Solo bazda kısmi kullanım kombinasyonları ve solo sermaye ihtiyacı Solo Seviyede Kullanılan Yaklaşım Đşkolu/Şube Seviyesinde Kullanılan Yaklaşım Đşkolu/Şube A Lokal Olarak TGY Kullanıyorsa Đşkolu/Şube B Lokal Olarak SY veya ASY Kullanıyorsa Đşkolu/Şube C Lokal Olarak ĐÖY Kullanıyorsa TGY SY veya ASY AMA Kısmi kullanım Kısmi kullanım genellikle kabul kabul edilmez edilmez* Kısmi kullanım Kısmi kullanım kabul edilmez kabul edilebilir Kısmi kullanım Kısmi kullanım kabul edilmez kabul edilmez - (*) ĐÖY'nin gerektirdiği yüksek risk yönetim standartlarının ilgili birimde kullanımını arttırmak üzere bazı ülkeler, en azından CRD tarafından Standart Metot için gerekli tutulan risk yönetim standartlarının iştiraklerin TGY kullanan işkolu/şubelerinde uygulanması halinde, kısmi kullanımı kabul edebilirler. 1.4.3. • 170 Bankacılık Düzenleme ve Denetleme Kurumu Tarafından Açıklık Getirilmesinin Uygun Olduğu Düşünülen ve Bankalar Tarafından Yapılabilecek Hususlar Bir bankanın, faaliyetlerinin bir kısmı için ĐÖY’yi, diğer faaliyetleri için de Temel Gösterge Yaklaşımını veya Standart Yaklaşımı kullanmasına (kısmi kullanım) ilişkin kullanım izni için düzenleyici otoriteye sunması gereken açıklayıcı planının detayları belirlenmelidir. Bankacılar Dergisi Bu konuda CEBS tarafından hazırlanan dökümanda açıklayıcı planda bir zaman tablosu bulunması ve uygulama sırası olması beklenmektedir. Zaman tablosu ĐÖY uygulamasının luzumsuz olarak uzamasına yol açmayacak kadar kısa; yönetim, veri, metodoloji ve sonuçların kalitesini sağlayacak kadar uzun olmalıdır. Uygulama sırası banka tarafından belirlenebilir ve düzenleyici otorite ile anlaşmak kaydıyla örneğin kalan en riskli operasyonlar ile başlanabilir. • Düzenleyici Otoritenin kısmi kullanım izin verme ve kısmi kullanım kullanma opsiyonlarını belirleme kriterleri tespit edilmeli ve bankalar ile önceden paylaşılmalıdır. • Satın alma ya da birleşme gibi önemli bir finansal ve organizasyonel değişiklik olduğu hallerde planda güncelleme/değişiklik olması doğaldır. Bu gibi koşullarda düzenleyici otoritenin planda olan değişiklik karşısında nasıl bir izleme ve onay süreci uygulayacağı açıklanmalıdır. • Bankaların, kısmi kullanım kombinasyonlarının ve açıklayıcı planın zaman planı, anlam ve önemine ilişkin hususlarının tutarlılığını uygun şekilde ve zamanında izlenmesini sağlayan sistem ve prosedürleri olmalıdır. II. Operasyonel Risk Đleri Ölçüm Modellerinin Onaylanması ve Değerlendirilmesi Đçin Đleri Ölçüm Modelleri Başvuru Esasları ve Uygulama Kriterleri Kapsamında Örnek Bir Başvuru Rehberi Đleri Ölçüm Yaklaşımı (ĐÖY) için başvuran Banka Yetkilileri Banka: Eksiksiz bir başvuru formu aşağıdaki maddeleri kapsamalıdır: Başvuru rehberinde yer alan bölümlerle ilgili BDDK’nın ek bilgi ve doküman taleplerinin karşılanması Risk Yönetiminden sorumlu Yönetim Kurulu Üyesinin imzalamak suretiyle başvuru yapan yetkililerin beyan ve imzalarının bulunduğu E bölümünün tasdiki Tüm bilgiler aksi belirtilmedikçe elektronik formatta (CD Rom veya elektronik posta) gönderilmeli, E bölümünde yer alan dokümanlar kağıt ortamında aşağıdaki iletişim adresine gönderilmelidir. Bankacılık Düzenleme ve Denetleme Kurumu Atatürk Bulvarı No:191 B Blok 06680 KAVAKLIDERE/ANKARA Başvuru için E-Posta Adresi: @bddk.org.tr Yabancı Ortaklı Bankalar, yetkililerce imzalanmış başvuru formunu göndermek suretiyle başvuru ve onay sürecinde sundukları bilgilerin diğer ülkelerdeki düzenleyici otoritelerle paylaşılmasını peşinen kabul eder. 171 Operasyonel Risk Çalışma Grubu Đleri Ölçüm Yaklaşımlarının (Đöy) Kullanılabilmesi Đçin Başvuru Rehberi Đçerik Başvuru Rehberi, Bankaların, Đleri Ölçüm Yaklaşımları (ĐÖY) kullanma iznini alabilmek için BDDK’ya başvurularında gerçekleştirmeleri gereken adımları belirler. Uygulama Kapsamı Başvuru Rehberi operasyonel risk yönetiminde ileri ölçüm yaklaşımlarını kullanmak isteyen üçüncü ülkelerdeki Türk iştiraklerinin, yerli Türk Bankacılık gruplarının, konsolide otoritesi BDDK merkezi Türkiye olan uluslararası bankacılık grupları için BDDK tarafından talep edilen bilgileri kapsamaktadır. Banka veya Bankacılık Grupları operasyonel risk sermaye hesaplamalarında ileri ölçüm yaklaşımlarını kısmen uygulamayı öngördüğünde başvuru rehberi sadece ileri ölçüm yaklaşımlarını uygulamak isteyen bankalara uygulanır. Başvuru Rehberinin Temel Unsurları ĐÖY başvuru süreci iki kısımdan meydana gelmektedir. Đlk kısım başvuru rehberi ışığında bankaların başvurusunun ve gerekli bilgilerinin sunulmasından oluşmaktadır. Đkinci kısım ise BDDK olarak birinci kısımdan elde edilen veriler doğrultusunda detay bilgilerin istenmesi ve analizi sürecini kapsamaktadır. Birinci bölümde, bankanın ĐÖY uygulamaları ve yönetim gibi bir kaç önemli alanda yaklaşımları konusunda özet bilgi ile birlikte ĐÖY’ün içerdiği nitel ve nicel gereklilikler ve bankanın ĐÖY modeli ile ilgili detaylı bilgiler yer alacaktır. Bu bölüm, bankanın Risk Yönetiminden Sorumlu Yönetim Kurulu Üyesi tarafından imzalanacaktır. Đlk bölümden elde edilecek veriler BDKK’ya bankanın ĐÖY başvurusunu değerlendirme imkanı tanıyacaktır. Bankanın vereceği söz konusu bilgiler sayesinde aşağıdaki hedeflere ulaşılması sağlanacaktır. • Banka tarafından hangi işlerin gerçekleştirildiğini anlamak ve konulan kurallar çerçevesinde yeterli strateji ve uygulama imkanlarına sahip olunduğunu onaylamak • ĐÖY perspektifi çerçevesinde hangi alanlara yoğunlaşılması gerektiğini belirlemek • Bankalardan ortak veriler alarak sektör çapında karşılaştırmalar yapabilmek Đlk kısım için özet ve yönetici düzeyinde bilgiler istenecektir. Bilgilerin yönetici düzeyinde olmasından kastedilen Üst Yönetim ve Yönetim Kuruluna sunulabilecek şekil, kapsam ve ayrıntıda olmasıdır. Bankalar başvurularında başvuruyla ilgili adı geçen ilgili iç dokümanlarının bir listesini (kısa içerikleriyle birlikte) başvuruya eklemelidir. Bankalar başvurularında istenen bilgilerin birbirleri arasındaki bağlantılarına ve bilgilerin birbirleri arasında tutarlı olduğuna dikkat etmelidir. Örneğin; A bölümünde yer alan 172 Bankacılar Dergisi uygulama planı ile B bölümünde yer alan ĐÖY farklılık analizi arasında bağlantı olduğuna dikkat edilmelidir. Yabancı ortaklı bankaların başvurusu durumunda, sunulan bilgiler başvuru sürecinin güçlendirilmesi amacıyla diğer düzenleme ve denetleme kurumlarıyla paylaşılabilecektir. Bölüm A – Üst düzey açıklama ve uygulama planları: Bu bölümde bankanın ĐÖY kapsamında üst düzey açıklama ile uygulama planlarını sunması gerekmektedir. Genel Eğer istenilen şekilde banka tarafından daha evvel bu bölümde veya ilerleyen bölümlerde talep edilen bilgi/veri gönderilmiş ise ve bu bilgiler/veriler halen güncel ise, tekrar gönderilmesi yerine sadece atıf yapılabilir. A1. Başvurunun özet gerekçesi A.2. Uygulama kapsamının kısa açıklaması, kısmi ĐÖY kullanımı olup olmadığı, önemli iştiraklerin listesi ve operasyonel risk yönetimi yaklaşımları (Münferit ĐÖY yaklaşımı, grup bankalarının kullandığı ortak model veya daha basit bir yaklaşım) ve gelecekte ĐÖY başvurusunu etkileyebilecek, yapıda veya organizasyonda gerçekleştirilmesi planlanan değişikliklerin detayı A.3. Başvurunun solo kullanım veya konsolide kullanım için olduğu, konsolide kullanım içinse hangi organizasyon/iştiraklerin dahil edildiği A.4. Konsolide grup şirketlerinin (bankacılık ve finansla ilgili) listesi A.5. Uygulamaya geçme takvimini de içeren ĐÖY uygulama planının bir kopyası, başvuru yapılan yurtdışı iştiraklerin uygulama modelleri A.6. ĐÖY yaklaşımı için bankada iletişim kurulacak kişi Yapı Bu bölüm operasyonel risk yönetimi ve sermaye yükümlülüğü çerçevesinde banka yapısının açıklanmasını amaçlar. Bankanın yapısı hakkında açıklamalar şu hususları kapsamalıdır. A.7. Banka veya bankacılık grubunun organizasyonel yapısı A.8. Bankanın ortaklık yapısı A.9. Yönetim Kurulu ve Üst Düzey Yönetimin yapısının kısa açıklaması A.10. Đç Denetimin risk yönetimi ve sermaye yükümlülüğü çerçevesinde rolü A.11. Dış Denetimin risk yönetimi ve sermaye yükümlülüğü çerçevesinde rolü 173 Operasyonel Risk Çalışma Grubu Bölüm B – Bankanın kendi ĐÖY süreçlerinin Basel II’de yer alan asgari ĐÖY standartlarıyla karşılaştırılması: Bu bölümde banka kendi ĐÖY süreçleri ile Basel II’de yer alan asgari ĐÖY standartlarına ne kadar uyum gösterdiğini kapsamlı bir şekilde açıklayacaktır. Burada istenilen ĐÖY’lerinin bütün sonuçlarının sunulması yerine bankanın belirlediği istisnalar ile öz değerlendirmenin genişliği ve derinliği hakkında bilgi edinmektir. Bankanın gerçekleştirdiği ĐÖY uygulamasının kapsamı ve kalitesi düzenleyici ve denetleyici gözden geçirme sürecinin kapsamını da etkileyecektir. Bankaların ilk olarak ĐÖY kriterlerine uyum sağladıklarını göstermek amacıyla öncelikle aşağıda belirtilen bilgileri iletmeleri gerekmektedir: B1. Nitel ve nicel kriterlerin nasıl yerine getirildiği hakkında kısa açıklama ile birlikte, uygulamaya geçmeden evvel gerçekleştirilen test çalışmaları hakkında bilgiler Bölüm C – Önemli alanlarda bankanın yaklaşımı: Bu bölümde operasyonel risk yönetim ve ölçüm sistemlerinin doğrulaması uygulanması gibi önemli alanlarda bankanın yaklaşımının özet olarak açıklanması beklenmektedir. Yönetim A bölümünde operasyonel risk yönetimi kapsamında üst düzey açıklama istenirken bu bölümde operasyonel risk yönetimi kapsamında bankanın daha detaylı veri/bilgi vermesi beklenmektedir. Verilecek bilgiler şu hususları içermelidir: C.1. Operasyonel Risk Yönetiminde Bankanın politika ve stratejilerinin kısa açıklaması C.2. Operasyonel Risk Yönetiminde Banka Yönetim Kurulunun rolünün kısaca açıklanması (Yönetim Kurulunun görev ve yetkilerini hangi alt komiteye veya yönetime delege ettiği açıkça belirtimelidir.) C.3. Bağımsız Risk Yönetim Fonksiyonunun rolünün açıklaması, Risk Yönetim Biriminin görev ve sorumlulukları, Yönetim Kurulu ve Üst Yönetimin operasyonel risk yönetimindeki rolü, operasyonel risk yönetiminde iç ve dış denetimin rolü C.4. Banka içinde yapılan operasyonel risk raporlamalarına ilişkin açıklama (raporlamaların içeriği, sıklığı ve kime raporlandığı) C.5. Operasyonel risk yönetimi sürecindeki karar mekanizmalarının kısa açıklaması ĐÖY’ün Günlük Faaliyetlerde Kullanımı C.6. Bankanın Günlük risk yönetimi sürecinde operasyonel risk yönetimi sisteminin kullanımına ilişkin açıklamalar Veri Yönetimi ve Entegrasyonu – ĐÖY Standartlarına Uyum Bu bölümde Bankanın, verilerin tamlığı, doğruluğu ve uygunluğunu sağlamak için uyguladığı politika, süreç ve uygulama usullerini açıklaması gerekmektedir. 174 Bankacılar Dergisi C.7. Bankanın iç ve dış kayıp verisi toplama yöntemi ile genel olarak kayıp veri yönetiminin özeti C.8. Özellikle yasal sermaye hesaplanmasında verilerin doğruluk, tamlık ve uygunluğu başta olmak üzere Basel II’de yer alan veri standartlarına uyumun nasıl sağlandığının kısa açıklaması Doğrulama Bu bölümde banka operasyonel risk ölçüm modelinin doğrulamasını nasıl gerçekleştirdiğine dair bilgilendirme yapması gerekmektedir. Söz konusu bilgilendirme aşağıdaki hususları içermelidir. C.9. Operasyonel Risk Ölçüm modeli ile ilgili kapsamın, dokümantasyonun ve modelin etkinliğinin izlenmesi C.10. Kullanılan doğrulama tekniğinin yeterliliğine ilişkin açıklama Bölüm D- Banka tarafından uygulanan ĐÖY modelinin detayları: Bu bölümde bankanın kullanmış olduğu ĐÖY’ün model ve metodolijisi hakkında ayrıntılı bilgiler verilmesi gerekmektedir. Kullanılan model hakkında özet açıklama şu hususları içermelidir; D.1. Kullanılan model/modellerin yapısı, faaliyet kolları bazında kullanılan model ve metodolojilerin açıklanması D.2. Modelde kullanılan başlıca varsayımlar ve girdiler Temel Girdilerin (Đç Kayıp Verisi, Dış Kayıp Verisi, Senaryo Analizi, faaliyet ortamı ve iç kontrol faktörleri) ĐÖY modelinde nasıl kullanıldığının açıklanması gerekmektedir. Söz konusu açıklama aşağıdaki hususları içermelidir. D.3. ĐÖY modelinde kullanılan temel girdilerin ağırlıklandırılması D.4. Modelde kullanılan girdilerin Basel II tarafından öngörülmüş kriterleri karşıladıklarının banka tarafından nasıl sağlandığının özet açıklaması D.5. Modelde kullanılan parametreler ve varsayımlar D.6.Modelde kullanılan girdilerin ve parametrelerinin güvenilir olup olmadığını belirlemek amacıyla bankanın gerçekleştirdiği çalışmaların özet açıklaması D.7. Aynı anda birden çok faaliyet kolunu ilgilendiren kayıpların nasıl dağıtıldığına dair özet açıklama D.8. Önemli risk tetikleyicilerinin kısa açıklaması 175 Operasyonel Risk Çalışma Grubu Operasyonel Risk Sermayesini hesaplamak için bankanın kullandığı korelasyon yaklaşımının açıklanması gerekmektedir. Söz konusu açıklama aşağıdaki hususları içermelidir. D.9. Toplam operasyonel risk sermayesinin belirlenmesinde korelasyonların kullanılmasının gerekçeleri D.10. Korelasyonların tahmininde kullanılan metodların açıklaması ve Bankanın korelasyon varsayımlarını kontrol etmesi ve doğrulaması sürecinin açıklaması D.11. Korelasyonların modele nasıl dahil edildiğinin açıklaması ĐÖY uygulayan bankanın sigorta kullanımına olan yaklaşımını açıklaması gerekmektedir. Söz konusu açıklama aşağıdaki hususları içermelidir: D.12 Bankanın tüm ilgili kriterler dikkate alınarak sigortalamanın etkisinin çalışmalarda nasıl yer verildiği D.13. Sermaye hesabını etkileyen diğer risk transfer yöntemleri varsa açıklaması Bankacılık grubu çapında kullanılan ĐÖY modelinden sermaye ayrılması Gruba ait farklı iştiraklerde, özellikle önemli iştirakler başta olmak üzere operasyonel risk sermaye ayrılması için kullanılan modellerin açıklanması gerekmektedir. Önemli iştirakler için bağımsız münferit ĐÖY modelleri uygulanarak mı yoksa grup çapında uygulanan genel ĐÖY modeli vasıtasıyla mı operasyonel risk sermayesinin ayrıldığı belirtilmelidir. Eğer sermaye ayrımı grup tarafından gerçekleştiriliyorsa, operasyonel risk sermaye ayrım metodolojisinin gerekçesi ve özet açıklamasının yapılması gerekir. Bölüm E-Onaylama: Bu bölüm bankanın Risk Yönetiminden Sorumlu Yönetim Kurulu Üyesi tarafından imzalanmalıdır. Kabul Beyanı Bu başvuru formunu iletmek suretiyle; • • • • Toplu başvuru yapan tüm yasal kuruluşlar adına başvuruyu imzaladığımı Tüm bilgi ve tecrübelerime dayanarak başvuruda yer alan bilgilerin doğru ve objektif olduğunu ve böyle olması için tüm önlemleri aldığımı BDDK’nın onaylama sürecinde talep edeceği doküman ve bilgilerin en kısa sürede iletileceğini Başvuru formunda yer alan bilgi ve dokümanlarda herhangi bir değişiklik olduğu takdirde BDDK’nın en kısa sürede bilgilendirileceğini, aksi bir durumda başvuru sürecinin uzayacağını ............................Bankası adına kabul ettiğimi bildiririm. Tarih: 176 Đmzalayan kişinin ismi soyadı: Đmzalayan kişinin ünvanı: Đmza: Bankacılar Dergisi III. Kullanım Testi 1.1 Kullanım Testi ile Đlgili Genel Çerçevenin Belirlenmesi 1.1.1 Kullanım Testinin Tanımlanması ve Amacı Risk yönetimi ve risk ölçümü farklı kavramlardır. Risk ölçümü, risk yönetiminin altında bir alt kümedir. Risk tanımlandıktan sonra bu risk değerlendirilir, analiz edilir, ölçülür ve riskin azaltılması için kontrol faktörleri ya da korunma yöntemleri devreye girer. Risk ölçüm sonuçları risk yönetim sürecine dahil edilmediği sürece risk ölçümü anlamını yitirecektir. Piyasa, kredi ve operasyonel risk ölçüm sonuçlarını değerlendirerek risk yönetim sürecine dahil eden bankalar, üst yönetim, risk yönetimi ve sermaye yeterliliği açısından kanuni denetlemeye, kreditörlere ve derecelendirme kuruluşlarına, kar hedefi açısından da hissedarlara karşı sorumluluklarını en verimli şekilde yerine getirebilir. Bu bankalar, aldıkları risklerden doğabilecek kayıpları sermayeleri ile karşılaştırarak pozisyon limitleri belirlerler ve risk yönetimini öz kaynak yönetimi içerisine dahil etmiş olurlar. Bu bankalar riske ayarlı ölçütlerle en karlı ürünler ve iş kollarına yatırım yaparlar ve riske ayarlı fiyatlama belirlerler. Uygun ve sağlıklı risk kontrol ve transfer kararlarını verirler ve risk odaklı yönetim stratejilerine odaklanırlar. Đleri ölçüm yöntemini kullanan bir bankada operasyonel risk ölçüm sisteminin bankaya kayda değer katkılar sağlaması ile ilgili sürecin test edilmesi Kullanım Testi kavramını ifade etmektedir. Bu anlamda bankalar için Kullanım Testi, risk yönetimi ve raporlaması, sermaye yönetimi, stratejik planlama, risk azaltımı ve performans ölçümü süreçlerinde, operasyonel risk ölçüm sistemlerinden yararlanma sürecini içerir. Bu sürecin bir bölümü Basel II kuralları içerisinde, Yapısal Blok 1 kapsamında, Đleri Ölçüm Yaklaşımını kullanacak bir bankadaki nitel kriterler ile örtüşür. 1.1.2 . Operasyonel Risk Yönetiminde Kullanım Testi Uygulamasının Diğer Risk Türleri ile Karşılaştırılması Operasyonel risk ölçüm sonuçlarından operasyonel risk yönetimi sistemi içerisinde yararlanılması hususunun değerlendirilmesi için piyasa riski ölçümünün piyasa riski yönetimi sistemi içerisinde kullanımı ile karşılaştırma yapılabilir. Piyasadaki pozisyonlarla ilgili risklerin doğru bir şekilde ölçülmesi ve hızla değişen pozisyonlara ve risk düzeyine bağlı olarak, limitleme ya da pozisyonun kapatılması vb. yöntemler ile piyasa riskinin ölçümü ve yönetiminin ilişkisi kolaylıkla günlük düzeyde sağlanabilir. Operasyonel riskte ise durum daha farklıdır. Operasyonel riskte ölçüm sonuçlarının operasyonel risk yönetimine direkt olarak aktarılması zordur. Bunun nedeni ise bankadaki operasyonel riskler ile ilgili pozisyonların piyasa riski kadar açık bir şekilde belirlenememesi ve operasyonel risk ölçümündeki zorluklardır. Bunların yanı sıra bir bankanın operasyonel risk profili kolaylıkla değişmez ya da yapılan değişiklikler kısa bir zaman içerisinde etkili 177 Operasyonel Risk Çalışma Grubu olmayabilir. Bu nedenle operasyonel riskte yönetim pratiği, ölçüm ile birlikte diğer kalitatif çalışmalara da dayanmaktadır. 1.2. Đleri Ölçüm Yaklaşımlarında Kullanım Testi 1.2.1 ĐÖY ile standart yaklaşımların karşılaştırılması Standart yaklaşımı kullanan bir bankada operasyonel riskin değerlendirilmesi ile ilgili sistemin risk yönetimi sürecine entegre edilmesi gerekmektedir. Standart yaklaşımda, ileri ölçüm yaklaşımlarından farklı olarak kullanılan metot gereği operasyonel risk ölçüm sonuçları ile risk yönetim süreçlerinin birbirine entegrasyonu gerekli değildir. Operasyonel riske maruz tutarın düşürülmesinin yolu ya brüt gelirin azaltılması ya da faaliyetlerin daha düşük ß faktörlü bir iş koluna aktarılmasıdır. Bu durumda uygun anahtar risk göstergelerinin takip edilmesi, bankanın kayıp verilerinin takip edilmesi ve değerlendirilmesi, özdeğerlendirme çalışmaları, denetim faaliyetleri ve uygun bir operasyonel risk yönetimi çerçevesinin oluşturulması standart yaklaşımı kullanan bir bankadaki gereklilikler olarak ortaya çıkmaktadır. 1.2.2. ĐÖY kullanan bankalar için kullanım testinin kapsamı ĐÖY başvurusunda bulunan bir bankanın içsel operasyonel risk ölçüm sisteminin günlük düzeyde operasyonel risk yönetimi süreçlerine entegre edilmesi gerekmektedir. Bu entegrasyon kapsamında dikkat edilmesi gereken husus operasyonel risk ölçüm sonuçlarından daha çok ölçüm sisteminden bahsediliyor olmasıdır. 1.2.3. FSA taslak kullanım testi prensipleri FSA tarafından ‘Kullanım Testi’ için 4 esas ilke, üst düzey prensipler şeklinde taslak belirlenmiştir.1 • • • • Risk ölçüm sisteminin amacı sadece yasal sermayenin bulunması değildir. Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler arttıkça risk ölçüm sistemi de geliştirilmelidir. Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk yönetiminin diğer çıktılarının birlikte değerlendirilmesi gerekir. Bankadaki operasyonel risk ölçüm sisteminin bankaya faydalar sağlaması gerekir. FSA tarafından sadece üst düzey prensipler belirlenmesinin nedeni bankalardaki operasyonel risk yönetimi çerçevesinin çok geniş olması ve bankaların örnekler ve çeşitli açıklamalarla inisiyatiflerinin daralmasının söz konusu olabilmesi ihtimalidir. Her ilke için alınabilecek örnek aksiyonlar aşağıda belirlenmiştir. Örnekler, ilkelere uyum sağlanabilmesi için uygun yöntemleri belirlemektedir. 1.2.4. Risk ölçüm sisteminin amacı sadece yasal sermayenin hesaplanması değildir. Risk ölçüm sisteminin amacı sadece sermaye yükümlülüğünün bulunması olmamalıdır. Güvenilir bir risk ölçüm sistemi çerçevesinde sadece aşağıdaki örneklerle sınırlı kalmamak üzere; 178 Bankacılar Dergisi • • Operasyonel risk ölçüm sisteminin, kurum yapısı dahilinde farklı faaliyet kollarındaki operasyonel risklerin yönetilmesinde kullanıldığının gösterilmesi, Operasyonel risk ölçümünde kullanılan girdilerin, tahminlerin, varsayımların, tekniklerin, uygulamaların ve çıktıların karar alma süreçlerinde, örneğin stratejik karar alma mekanizmalarında kullanıldığının gösterilmesi, gerekmektedir. Operasyonel risk ölçüm sonuçlarının değerlendirilerek, bu sonuçların banka içindeki farklı faaliyet kollarındaki ve banka içindeki karar alma mekanizmalarına dahil edilmesi sürecindeki en önemli adımlar, ölçüm sonuçlarının performans sistemlerine dahil edilmesi ve faaliyet kollarında risk azaltımı ve kontrol kararlarını etkilemesidir. 1.2.5. Stratejik kararların alınmasında ve performans sistemlerinde operasyonel risk ölçüm sonuçlarının değerlendirilmesi ve risk ölçümünün farklı faaliyet kollarının yönetimine dahil edilmesi Bankalar farklı faaliyet kolları için performans ölçümlemesi yaparken aktif bazında net gelir oranı gibi değerlendirme kriterlerini ele alabilirler. Ancak her faaliyetin farklı riskleri söz konusudur. Sadece bir aktifin getirisinin, aktife oranını ele almak yeterli değildir. Aynı zamanda bu aktifin riskinin de ele alınması ve sermaye bütçelemesinin, risk faktörünün de göz önüne alınarak yapılması gerekmektedir. Bankalarda kurumsal etkinlik ve karlılığın sağlanması bakımından risk ve getiri arasındaki ilişki optimal noktada belirlenmelidir. Risk ölçüm sistemleri ile risk yönetim sistemlerinin ilişkisini sağlam bir şekilde kurmuş olan bankalar riskleri detaylı inceler, olası krizlerde kayıplarını daha önceden belirler, bu kayıpları minimize etmek için önceden önlemler alır, aldıkları risk ile kazançları karşılaştırır ve riske rağmen yatırım kararı alıp almayacaklarını önceden değerlendirirler ya da stratejik planlarını bu doğrultuda yaparlar. Bunları yapan bankalar, riske maruz değer hesaplamaları yapar, beklenen/beklenmeyen kayıp tutarlarını değerlendirir, ekonomik sermaye, RAROC2 ve Sharpe Rasyosu gibi analitik metodolojileri uygularlar. Bu bankalar, ölçümlerle riskleri izleyen ve raporlayan, kriz senaryolarında alınan riski sermaye kaynakları çerçevesinde değerlendiren ve bunların yanı sıra risk ölçümlerinin riski kontrol etmek ve yönetmek açısından kullanılabilmesi amacıyla banka içinde gerekli organizasyonu, politika ve süreçleri oluşturmuş bankalardır. Bu bankalar faaliyet kollarındaki aktivitelerini daha güvenilir şekilde devam ettirecek sermayeyi sağlamakta ve banka genelinde sermaye bütçelemesi yapmak ve bir kaldıraç oranı belirlemektedir. RAROC performans ölçümü geliştirmek amacıyla geliştirilmiştir. RAROC tarzı metodolojiler banka içinde her faaliyetin ayrı ayrı belirli bir kredi derecelendirmesi almasını da sağlayabilir. RAROC = NetGetiri − Risk EkonomikSe rmaye 179 Operasyonel Risk Çalışma Grubu Sharpe Rasyosu = Getiri S tan dartSapma Performans sistemlerine operasyonel riskin dahil edilmesi ile birlikte operasyonel risk stratejik karar alma mekanizmalarına dahil olmuş olacaktır. Ancak, operasyonel risk olayları her gün gerçekleşen olaylar olmadığı için operasyonel riskte günlük ölçümlerin performans sistemine sokulması zordur. Günlük düzeyde olmayan ancak belirli peryotlarla güncellenen operasyonel risk sermaye ihtiyacının performans sistemine girmesi ise iş kollarındaki performans eşiğini yükseltecektir. Bu durumda operasyonel riskin dahil olduğu bir performans sisteminde eşik değerlerinin tekrar analiz edilmesi gerekmektedir. Operasyonel riskin dahil edildiği bir performans sisteminde iş kollarının yöneticileri de operasyonel risklerini azaltma yönünde gayret göstereceklerdir ve kurum genelinde operasyonel risk kültürünün yaygınlaşması ve operasyonel risk yönetiminin daha dağınık bir hal alması sağlanmış olacaktır. Operasyonel risk yönetimine odaklanmış olan risk yönetimi merkezi ile karlılık kriterlerine yoğunlaşmış çevre teşkilat içerisinde çalışan yöneticiler arasındaki friksiyonun da azalması sağlanmış olacaktır. 1.2.6. Ölçüm sonuçlarının değerlendirilmesi ve sigorta kullanımı Risk azaltım sürecinde sigorta yapılması açısından değerlendirildiğinde, operasyonel risk ölçüm sonuçları sigorta yapılacak alanların daha geniş bir bakış açısıyla değerlendirilmesini sağlar. Ölçüm işleminin Basel II kapsamındaki sekiz faaliyet kolu kapsamında ve kayıp türleri bazında yapıldığı değerlendirilirse sigorta işlemleri için geniş bir perspektif sağlanacağı belirtilebilir. Operasyonel risk ölçüm sonuçlarının değerlendirilmesi sonucu operasyonel risklerin yoğunlaştığı noktalarda operasyonel risklerden doğacak zararların sınırlandırılması amacıyla, risklerin üçüncü taraflara transferi amacıyla kullanılabilecek en uygun araç sigortadır. Bankalar, operasyonel risklerin olumsuz etkilerinden korunmak amacıyla sigorta ürünleri satın almakta ve kontrol altına alınması güç olan olayların şiddetini azaltma yoluna gitmektedir. Bankalarca en yaygın olarak kullanılan sigorta ürünleri başta Banker’s Blanket Bond Poliçesi olmak üzere; Yönetici ve Çalışan Sorumlulukları, Đstihdam Uygulamaları Yükümlülükleri ve Mesleki Sorumluluklar Poliçeleri, Elektronik Suçlar Poliçeleri olarak sıralanabilir. Banker’s Blanket Bond Poliçesi, emniyeti suistimal sonucu, banka personelinin haksız parasal kazanç sağlaması veya hırsızlık, soygun gibi dış kaynaklı olaylar, sahte çek, kalp para gibi sahtekarlıklar sonucu bankanın uğrayacağı zararları teminat altına almaktadır. Elektronik ve bilgisayar kaynaklı suçlar da son yıllarda poliçelerin kapsamına alınmıştır. Yönetici ve Çalışan Sorumlulukları poliçesi, banka üst yöneticilerinin hatalarından, kusurlarından ötürü yasal mercilere karşı maddi sorumlulukları kapsamaktadır. Đstihdam Uygulamaları Yükümlülükleri Poliçesi, banka yönetimlerinin, personel tarafından ayrımcılık, işten çıkarılma, terfi ettirilmeme gibi nedenlerle mahkemeye verilmesi sonucu uğranılacak zararları teminat altına almaktadır. Mesleki sorumluluk poliçesi çalışan hatalarından ötürü oluşan karşı tarafın zararlarının tazmini amacıyla kullanılmaktadır. 180 Bankacılar Dergisi Yetkisiz alım-satımları ve organizasyonel yükümlülükleri sigortalayan poliçeler de yeni düzenlenmeye başlanan poliçelerden bazılarıdır. Bankalar, riskleri bünyelerinde taşımanın maliyeti ile sigorta kullanımının maliyetini karşılaştırmalı ve kendileri için optimum olanı tercih etmelidir. Diğer taraftan risklerin sigorta şirketine transfer edilmesi, bankaların yönetmesi gereken yeni bir risk doğurmaktadır. Sigorta kapsamında ortaya çıkan bir zararın, sigorta şirketi tarafından ödenmesi zaman alabilmekte, zararın yüksek olduğu bazı durumlarda ise şirketin ödeme yapması imkansız hale gelebilmektedir. Sigorta şirketinin yükümlülüğünü yerine getirmediği veya getiremediği durumlarda bankaların karşısına karşı taraf riski çıkmaktadır. Basel Komitesi’nin Haziran 2004 tarihli uzlaşısına göre, bankalar operasyonel risk asgari sermaye gereksinimi hesabında gelişmiş ölçüm yaklaşımları kullanmaları halinde, hesaplanan sermaye gereksiniminin azami % 20’si oranında sigortanın risk azaltıcı etkisinden yararlanabilmektedir. Ancak, bankaların bu tür bir avantajı kullanabilmeleri için; • • • • Sigorta sağlayıcısının asgari ödeme yeteneğinin A ratingi (veya dengi) olması, Sigorta poliçesinin bir yıldan az geçerlilik süresine sahip olmaması, Sigorta poliçesinin feshi için ihbar süresinin minimum 90 gün olması ve Sigortanın, üçüncü bir firma tarafından sağlanması aksi takdirde sigortalanan risklerin reinsurance kapsamında başka taraflara iletilmesi gibi bir dizi kriteri yerine getirmeleri gerekmektedir. 1.2.7. Ölçüm sonuçlarının değerlendirilerek limitleme kararı alınması Operasyonel risklere yönelik limit tesisi ve takibi, bankaların iç uygulama olarak yararlanabilecekleri araçlardan biridir. Operasyonel risk limitleri, bankaların tolere edebilecekleri maksimum operasyonel risk seviyesini ifade etmekte; operasyonel risklerin izlenmesi, sınırlandırılması ve kontrol edilmesi amacıyla kullanılmaktadır. Gelişmiş teknikler yardımıyla belirlenen limitler, yaygın olarak piyasa ve kredi riski yönetiminde uygulanmaktadır. Operasyonel riskler için tesis edilen limitler, operasyonel risk verilerinin görece dinamik olmayan doğası ve operasyonel risk kayıp verilerinin yetersizliği nedeniyle daha basit yapıdadır. Ancak, bankaların tolere edebileceği operasyonel risk düzeyinin belirlenmesinde, operasyonel kayıp veri tabanının imkan verdiği ölçüde senaryo analizleri ve stres testleri gibi yöntemler kullanılabilmektedir. Operasyonel risk limitleri, belirli bir zaman diliminde taşınabilecek toplam risk olarak veya tek bir işlem bazında belirlenebilmektedir. Limitlerin hangi faaliyet süreçlerinde ve hangi düzeyde tesis edileceği, bankaların risk iştahına ve stratejisine bağlıdır. Bu doğrultuda, bankalar, risk yaratma olasılığı düşük faaliyetler de dahil olmak üzere, kurum çapında tüm faaliyet süreçlerinde veya tercihen kritik faaliyet süreçlerinde limit kullanımına gidebilmektedirler. Limit kullanımı, limit ihlallerine ilişkin prosedürlerin geliştirilmediği durumlarda etkinliğini kaybetmektedir. Bu nedenle limit ihlalleri izlenmelidir. Đhlal durumunda alınması gereken aksiyonlara ve uygulanacak cezai yaptırımlara ilişkin prosedürler geliştirilmeli ve 181 Operasyonel Risk Çalışma Grubu bankaların risk politikaları, risk limitlerinin saptanma usullerinin yanı sıra limit ihlallerinin oluşması durumunda izlenecek yolları da içermelidir. 1.2.8. Dış kaynak kullanımı Dış kaynak kullanımı daha önce firmanın kendisi tarafından gerçekleştirilen fonksiyonların başka bir firmadan temin edilmesi olarak tanımlanabilir. Yoğun rekabet ve yüksek risk karşısında daha üretken ve düşük maliyetli üretim örgütü arayışı, duyarlı ilişkiler çerçevesinde "dış kaynak kullanımı" kavramını ortaya çıkartmıştır. Operasyonel risklerin paylaşılması açısından etkin bir yol olduğu gibi firmaların dış kaynak kullanımının önemli diğer nedenleri şöyle belirtilebilir; • • • • • • • Đşletme maliyetlerinin kontrolü ve düşürülmesi, Firmanın çekirdek fonksiyonlarının gelişmesi, Firma kaynaklarını başka alanlara kaydırma rahatlığı, Başka kaynaklara ulaşma fırsatı, Yeniden yapılanma gerekliliğinin farkına varılması, Fonksiyonların yönetiminde zorlanılması, Başarılı dış kaynak kullanımının temel faktörleri şunlardır; • • • • • • • • • Firma amacının anlaşılması, Stratejik vizyon ve planlama, Doğru tedarikçinin seçimi, Sürdürülebilirlik, Uygun sözleşme, Bireyler ve gruplar arası açık iletişim, Gerekli desteğin sağlanması ve gerekli özenin gösterilmesi, Dış kaynak kullanımı nedeniyle personel çıkarılması söz konusu ise gerekli özenin gösterilmesi, Dış uzmanların kullanımı, Bankalarda özellikle bilgi işlem alanında dış kaynak kullanımı şeklinde iş yaptırma uygulamaları son yıllarda artış göstermektedir. Bazı hizmetlerin tedarikçi firmalara yaptırılması, bankaların temel faaliyet alanlarına eğilmelerini sağlamakta ve sabit harcamalarda bulunulmasını, söz konusu hizmetler için uzman ve kaynak ayrılmasını önlemektedir. Dış kaynak kullanımı, bankaların risk profillerine olumlu etkiler yapmaktadır. Bankalar, tedarikçi firmalara yaptırdıkları faaliyetlerin yerine getirilmesi sürecinde ortaya çıkabilecek operasyonel risklerden korunmuş olmaktadır. Ancak, hizmetlerin tedarikçi firmalara yaptırılması, nihai sorumluluğun bankalarda olduğu gerçeğini değiştirmemektedir. Tedarikçi seçimindeki etkili faktörler ise şunlardır; • • • • 182 Kalite taahhüdü, Fiyat, Referanslar, Sözleşme şartlarında esneklik, Bankacılar Dergisi • • • • Katma değer sağlama kabiliyeti, Kültürel uyum, Mevcut ilişkiler, Bulunduğu yer. Tedarikçi firma ile yürütülen faaliyetler genelde uzun bir dönem devam ettiğinden seçilecek firmanın sağlamlığı, itibarı ve güvenilirliği önceden değerlendirilmelidir. Đş yaptırılacak olan firma ile sözleşme yapılması ve sözleşme unsurlarının banka haklarını azami düzeyde koruması sağlanmalıdır. Sözleşme unsurlarının banka haklarını koruması durumunda bile, tedarikçi firma tarafından hizmetin yarıda bırakılması, tamamlanmaması gibi durumlarda iş sürekliliğinin kesintiye uğrayacağı ve müşteri memnuniyetsizliğinin ortaya çıkacağı göz önüne alınmalıdır. Tedarikçi firma, talep edilen faaliyetleri yerine getirirken, bankanın gizli bilgilerine ulaşabilmekte, banka yapısına ilişkin unsurları öğrenebilmektedir. Bu nedenle tedarikçi firmanın banka içindeki yetki ve sorumluluklarının belirlenmesi ve firmanın banka tarafından kontrol altında olduğunu hissetmesi önem taşımaktadır. Dış kaynak kullanımına karar verilirken göz önünde bulundurulması gereken riskler ise aşağıda belirtilmektedir: • • • • • • • • Kontrol gücünün azalması Güvenlik riskleri Tedarikçinin kalite beceri düzeyinin yetersiz olması Maliyetlerde yükselme Kurumsal kapasitenin azalması Tedarikçinin finansal durumunda değişiklik olması Banka kaynaklarıyla üretime dönüş Tedarikçi firmanın yaşayabileceği diğer operasyonel riskler 1.2.9. Bankada risk yönetimi teknik ve çözümlerinden elde edilen tecrübeler arttıkça risk ölçüm sistemi de geliştirilmelidir. Modelin kullanımı ve girdiler ile çıktıların analiz edilmesi ile ilgili tecrübeler arttıkça modelden yararlanma düzeyinin artması ve gerekli değişikliklerin yapılması gerekmektedir. Buna istinaden; Risk ölçüm sisteminde kullanılan verilerin risk düzeyi ile ilgili ve yeterli düzeyde olduğunun ve faaliyetleri tam olarak yansıttığının gösterilmesi, • Risk ölçüm sisteminin devamlı olarak daha sağlam ve hassas ölçüm sonuçları ürettiğinin gösterilmesi. gerekmektedir. • Beklenen kayıp ve beklenmeyen kayıp tutarları doğru bir şekilde ölçülmeli ve sermaye tahsisi ile ilgili verilerin ve kalibrasyonların doğruluğunun teyidi yapılmalı ve uygun bir sermayeleme sistemi oluşturulmalıdır. Yurt dışında ĐÖY kullanan bankalarda ihtiyatlı bir yaklaşım çerçevesinde, ĐÖY sonuçlarını kullanmak yerine Banka içinde faaliyet kollarına sermaye tahsisinde farklı ölçütler kullanabilmektedir. Ancak, Kullanım Testinin bir gereği olarak bu ölçütlerin oluşturduğu 183 Operasyonel Risk Çalışma Grubu sermaye tahsisi süreci ile ĐÖY sonuçları da paralellik içermelidir. ĐÖY sonuçlarına göre bir faaliyetin operasyonel risk düzeyi artıyorsa, kullanılan içsel sermaye tahsisi sürecinde de o faaliyet koluna daha yüksek düzeyde sermaye ayrılması gerekir. 1.2.10. Bir bankadaki operasyonel riskin ölçüm sonuçları ile operasyonel risk yönetiminin diğer çıktılarının birlikte değerlendirilmesi gerekir. Bir bankanın operasyonel risk ölçüm sistemi anahtar unsurlara sahip olmalıdır. Bunlar; • • • • iç kayıp verisi, dış veri, senaryo analizi, Đş ortamı ve iç kontrol faktörleri, olarak belirtilebilir. Tüm bu öğeler ölçüm içerisinde belirli rollere sahip olmakla birlikte, bu öğelerden bağımsız olarak operasyonel risk yönetimi içerisinde direkt olarak yararlanılması da gerekmektedir. Ölçüm sonuçlarının karar mekanizmalarını net bir şekilde doğrudan etkilediğinin gösterilmesi zorluk taşıyacaktır. Bu nedenle, ölçüm sonuçları ile birlikte karar verme süreçlerinde yukarıdaki dört anahtar faktöre ek olarak, öz değerlendirme, anahtar risk göstergeleri, senaryo analizleri, gibi kalitatif çalışmaların sonuçları günlük karar verme mekanizmalarına dahil edilmelidir. Bankaların; • • • Bu dört uygulamadan verinin toplanması ve modelde kullanılması ile ilgili olarak yeterli düzeyde tecrübe edindiklerini (verinin toplanmasında izlenen yolun belirlenmesi) göstermeleri, Süreçlerin ve kontrollerin geliştirilmesi ile ilgili kararların nasıl alındığını göstermeleri, Operasyonel risk yönetimi ile ilgili hedeflerin ve faaliyetlerin kurum içi iletişim kanalları ile nasıl gerçekleştirdiklerini göstermeleri gerekmektedir. 1.2.11. Đç veriler Đç kayıp verilerini izlemek, güvenilir bir risk ölçüm sisteminin geliştirilmesinin ve işlerliğinin olmazsa olmaz bir önkoşuludur. Đç kayıp verileri, bir bankanın yaptığı risk tahminlerinin fiili kayıp deneyimiyle bağlantısı için de yaşamsal öneme sahiptir. Bu, iç kayıp verilerinin ampirik risk tahminlerinin temeli olarak ya da bankanın risk ölçüm sisteminin girdileri ve çıktılarını doğrulama aracı olarak ya da kayıp deneyimleri ile risk yönetim ve kontrol kararları arasında bir bağlantı olarak kullanılması da dahil, çeşitli farklı yollarla sağlanabilir. Bankanın cari iş faaliyetleri, teknolojik süreçleri ve risk yönetim prosedürleri ile açıkça ilişkilendirilmiş iç kayıp verileri amaca en uygun verilerdir. Bu nedenle, banka, muhake184 Bankacılar Dergisi meye dayanan aşma, indirme veya yükseltme veya başka ayarlamaların yapılabildiği durumlar da dahil, tarihsel kayıp verilerinin amaca uygunluğunun sürüp sürmediğini, bu verilerin hangi ölçüler içinde kullanılabileceğini ve bu kararları almaya kimin yetkili olduğunu değerlendirmelidir. Banka, kayıpları belirlenmiş faaliyet kollarına ve olay türlerine tahsis etmek için yazılı hale getirilmiş objektif kriterler uygulamalıdır. Bununla birlikte, bu kategorileri iç operasyonel risk ölçüm sisteminde hangi ölçülerde uygulayacağına ilişkin karar bankanın kendi ihtiyarındadır. Bir bankanın iç kayıp verileri kapsamlı olmalı ve ilgili bütün alt-sistemler ve coğrafi alanlardaki alakalı bütün önemli faaliyetleri ve riskleri kapsamalıdır. Operasyonel riskin yönetimi için etkin bir izleme süreci şarttır. Düzenli izleme faaliyetleri, operasyonel risklerin yönetimi amacıyla uygulanan politikalar, süreçler ve prosedürlerdeki eksiklik ve hataların hızla tespit edilmesi ve düzeltilmesi avantajını sunabilir. Bu eksiklik ve hataların hızla ve çabuk tespit edilmesi ve düzeltilmesi, bir zarar olayının potansiyel sıklığını ve/veya önem düzeyini önemli oranda azaltabilir. 1.2.12. Dış veriler Bir bankanın operasyonel risk ölçüm sisteminde, özellikle bankanın sık olmamakla birlikte potansiyel olarak ciddi kayıplara maruz kalabileceğine inanmak için sebepler varsa, amaca uygun diş veriler de (halka açık veriler ve/veya bir veri tabanında toplanan ve diğer bankaların da verilerini içeren sektör verileri) kullanılmalıdır. Bu dış veriler; fiili kayıp miktarı hakkındaki verileri, olayın meydana geldiği iş operasyonlarının büyüklüğüne dair bilgileri, kayıp olaylarının sebep ve koşullarına ilişkin bilgileri veya kayıp olayının diğer bankalar için öneminin değerlendirilmesine yardımcı olabilecek başka bilgileri de içermelidir. Bir banka, yüksek tutarlı kayıp olaylarıyla ilgili maruz bulunduğu risk düzeyini değerlendirmek amacıyla, dış verilerle bağlantılı olarak senaryo analizi yöntemini kullanabilir. Örneğin, bu uzman değerlendirmeleri, varsayılan bir istatistiksel kayıp dağılımının parametreleri olarak ifade edilebilir. Ayrıca, senaryo analizi, bankanın operasyonel risk ölçümü çerçevesi içinde kullanılan korelasyon varsayımlarından sapmaların etkisini değerlendirmek ve özellikle, birden fazla eş zamanlı operasyonel risk kayıp olayından kaynaklanabilecek olası zararları değerlendirmek amacıyla da kullanılmalıdır. Zaman içinde bu değerlendirmelerin makul değerlendirmeler olarak kalmalarını sağlamak için fiilen gerçekleşen kayıp olayı deneyimleriyle karşılaştırılmak suretiyle doğrulanması ve gerekirse yeniden değerlendirilmesi gereklidir. 1.2.13. Senaryo analizi Bir banka, yüksek tutarlı kayıp olaylarıyla ilgili maruz bulunduğu risk düzeyini değerlendirmek amacıyla, dış verilerle bağlantılı olarak bir uzman görüşüne dayalı senaryo analizi yöntemini kullanabilir. Bu yaklaşım, yüksek tutarlı kayıp olayları hakkında gerekçelere dayanan değerlendirmeler yapabilmek için, deneyimli yöneticiler ve risk yönetim uzmanlarının bilgisine dayanır. Örneğin, bu uzman değerlendirmeleri, varsayılan bir istatistiksel kayıp dağılımının parametreleri olarak ifade edilebilir. Ayrıca, senaryo analizi, bankanın operasyonel risk ölçümü çerçevesi içinde kullanılan korelasyon varsayımlarından sapmaların etkisini değerlendirmek ve özellikle, birden fazla eş zamanlı operasyonel risk kayıp olayından 185 Operasyonel Risk Çalışma Grubu kaynaklanabilecek olası zararları değerlendirmek amacıyla da kullanılmalıdır. Zaman içinde bu değerlendirmelerin makul değerlendirmeler olarak kalmalarını sağlamak için fiilen gerçekleşen kayıp olayı deneyimleriyle karşılaştırılmak suretiyle doğrulanması ve gerekirse yeniden değerlendirilmesi gereklidir. 1.2.14. Đş ortamı ve iç kontrol faktörleri Bir bankanın banka-çapında risk değerlendirme yöntemi, fiilen gerçekleşen veya senaryoya dayanan kayıp verilerini kullanmanın yanı sıra, bankanın operasyonel risk profilini değiştirebilecek olan temel iş ortamı ve iç kontrol faktörlerini de kapsamalıdır. Bu faktörler, bankanın risk değerlendirmelerini daha geleceğe dönük yapacak; bankanın kontrol ve çalışma ortamlarının kalitesini daha doğrudan yansıtacak; sermaye değerlendirmelerinin risk yönetim hedeflerine uyumlu olmasına yardımcı olacak ve operasyonel risk profillerindeki hem iyileşmeleri hem de kötüleşme ve bozulmaları daha çabuk tespit edecektir. Yasal sermaye hesaplaması amaçlarıyla kullanılabilmesi için, bu faktörlerin bir bankanın risk ölçüm çerçevesinde kullanımı aşağıdaki standartlara uygun olmalıdır: Her faktör seçiminin, etkilenen iş alanları hakkında uzman görüşlerini de içeren ve deneyimlere dayanan anlamlı bir risk belirleyicisi olduğunun kanıtlanması gereklidir. Mümkün olan durumlarda, bu faktörler, doğrulanmaları ve onaylanmalarına olanak sağlayacak nicel ölçütlere dönüştürülebilmelidir. Bir bankanın risk tahminlerinin faktörlerdeki değişimlere ve çeşitli faktörlerin nispi ağırlığına karşı hassasiyeti sağlam temellere dayanmalıdır. Bu çerçeve, risk kontrollerindeki gelişmelerden kaynaklanan risk degişikliklerinin yani sıra, faaliyetlerin artan karmaşıklığından veya iş hacmindeki artıştan dolayı meydana gelebilecek potansiyel risk artışlarını da yakalayabilmelidir (analize dahil edebilmelidir). Ampirik tahminlerdeki ayarlamalar için destekleyici bir gerekçe olarak kullanımı da dahil bütün kullanım amaçları ve çerçevenin kendisi, iyi dokümante edilmeli ve hem banka içinde hem de denetim otoriteleri tarafından bağımsız denetime tâbi tutulmalıdır. Zaman içinde bu sürecin ve sonuçlarının, gerçekleşen iç kayıp olayları ve ilgili dış veriler ile karşılaştırılmak suretiyle doğrulanması/onaylanması ve gereken ayarlamaların yapılması gereklidir. Đş ortamı ve iç kontrol faktörlerinin değerlendirilmesi açısından diğer kalitatif çalışmalardan da yararlanılması gerekmektedir. Bunlar anahtar risk göstergeleri, skorkart ve öz-değerlendirme çalışmalarıdır. Bankalar risklerinin arttığı konusunda erken uyarı veren uygun göstergeleri de tanımlamalı ve kullanmalıdırlar. Anahtar risk göstergeleri olarak tanımlanan olan bu göstergeler ileriye dönük olmalıdır ve hızlı büyüme, yeni ürünlerin sunulması, personel devir oranı, işlem sapmaları ve ihlalleri, sistem kesintileri ve benzeri potansiyel operasyonel risk sebep ve kaynaklarını yansıtabilir. Eşik değerler bu göstergelere doğrudan doğruya bağlandığında, etkin ve etkili bir risk izleme süreci, temel ve önemli risklerin saydam bir şekilde tespitine ve tanımlanmasına yardımcı olabilir ve bankanın bu risk tespitlerine göre uygun tedbirleri almasına olanak sağlar. Öz değerlendirme çalışmaları kurum çalışanlarının aktif katılımı ile bankanın risklerinin değerlendirilmesidir. Kontrol listelerinin oluşturulması, karşılıklı görüşmeler, çalışma grupları oluşturulması, elektronik oylama ya da web-tabanlı anketlerden yararlanılması ile öz 186 Bankacılar Dergisi değerlendirme çalışmaları yapılabilir. Öz değerlendirme sonucunda, farklı birimlerden çalışanların katılımıyla bankalardaki riskler bizzat çalışanlarca belirlenmiş olur. Operasyonel risklerin belirlenebilmesi ve gerekli önlemlerin alınabilmesi açısından etkili bir yöntemdir. Bankaların risklilik düzeylerinin daha önce belirlenen risk göstergeleri çerçevesinde değerlendirilmesi ve bankaların uygulamakta oldukları kontrol uygulamalarının kapsam ve kalitesinin temel operasyon süreçleri bağlamında değerlendirilmesi amacıyla yapılan kalitatif çalışmalardan birisi de skorkart çalışmasıdır. Operasyonel risklerin daha iyi tanımlanıp anlaşılmasını sağlayarak, risk kültürünün organizasyon genelinde anlaşılıp desteklenmesini sağlamak ve bütünleşik risk yönetiminin tüm banka organizasyonuna entegrasyonu sürecinde bir yol haritası sağlamak hedefleriyle yapılır. Skorkartlar sayesinde, çeşitli faaliyet kollarında risk profili ve risk kontrol çerçevesi belirlenmeye çalışılır. Bu yaklaşımda, faaliyet kolu/birimi yöneticisi/yöneticileri tarafından skorkartlar kullanılır. 1.2.15. Bankadaki operasyonel risk ölçüm sisteminin bankaya faydalar sağlaması gerekir. Bu madde kapsamında; • • Yönetimin risk ölçüm sisteminde üretilen bilgi sonucunda aksiyon aldığının gösterilmesi, Operasyonel risk ölçüm sisteminin, kurum genelinde şeffaflığı, operasyonel riske duyarlılığı ve operasyonel risk yönetimi deneyimini artırdığının ve kurum içinde operasyonel risk yönetim sistemini geliştirmek üzere teşvik yarattığının gösterilmesi. gerekmektedir. 1.3. Sonuç ĐÖY kullanan bir bankanın ölçüm sonuçlarını sadece sermaye hesaplarında kullanması yeterli değildir. Bu sonuçlardan günlük düzeyde operasyonel risk yönetimi içerisinde karar alma süreçlerinde yararlanılması gerekir. Stratejik kararlarda ve risk azatlımı sürecinde bu sonuçlardan faydalanılabilinir. Ancak, operasyonel risk ölçümlerinin günlük operasyonel risk yönetimi sürecinde (Kullanım Testi) kullanılması kolay değildir. Ayrıca, kayıp değerlerini esas alan kantitatif yaklaşımlarda model çıktılarının geçmiş operasyonel risk profilini yansıtacağı açıktır. Bu yaklaşımlarda kayıp olaylarının fark edilmesi ve modele bu olaylarla ilgili bilgilerin girişinin çeşitli nedenlerle gecikmesi sonucu model sonuçlarının mevcut risk profilini yansıtma düzeyi de azalır. Bu nedenle banka tarafından yeni uygulanmaya başlanan kontrol, limitleme gibi risk azaltıcı faktörler ölçüm sürecinde değerlendirilmemiş olacaktır. Sermaye modellerinin en fazla üç ayda bir çalıştırılarak hesaplamaların yapılacağı da düşünülürse özellikle anahtar risk göstergeleri ve kayıp verisi değerlerinin günlük operasyonel risk yönetimi sürecinde kullanılması beklenir. Özetle stratejik kararların alınması sürecinde operasyonel risk ölçüm sonuçlarının kalitatif çalışmalarla desteklenmesi gerektiği belirtilebilir. Dipnotlar 1 The “Use Test”; Operational Risk Corporate Governance Expert Group, FSA, 04.07.2005 RAROC = Risk Adjusted Return on Capital = Birim Ekonomik Sermaye Başına Düşen Riskten Arındırılmış Net Getiri 2 187 Operasyonel Risk Çalışma Grubu Kaynakça 188 FSA, (2005), Operational Risk Corporate Governance Expert Group-FSA, “The Use Test”. Committee of Europan Banking Supervisors, “Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches”, CP 10, 11.07.2005 Douglas Hoffman, (2002), “Managing Operational Risk – 20 Firmwide Best Practice Strategies”. Cruz, Marcelo G. (2002), “Modeling, Measuring and Hedging Operational Risk”. BIS, (2004), “Sermaye Ölçümü ve Sermaye Standartlarının Uluslararası Düzeyde Birbirleriyle Uyumlaştırılması (Yeni Basel Sermaye Uzlaşısı)”, Basel Bankacılık Denetim Komitesi, Haziran 2004 BIS, (2003) “Sound Practices for the Management and Supervision of Operational Risk”, Basel Bankacılık Denetim Komitesi, Şubat 2003. CRUZ, Marcelo G. (2003), ”Modeling, Measuring and Hedging Operational Risk”. Deloitte&Touche, (2002), Risk Yönetimi Haber Bülteni Sayı:8. Sümer Özdemir, Deniz (2004), “ Operasyonel Risk Yönetiminde Risk Azaltım Teknikleri” Risk Yöneticieri Derneği Haber Bülteni, Ekim 2004. Marshal, Christopher Lee, (2001), “Measuring and Managing Operational Risks in Financial Institutions: Tools, Techniques and other Resources”. TBB (2004), Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Grubu-Operasyonel Risk Alt Çalışma Grubu Çalışmaları. CEBS, (2005), Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches- CEBS CP10- 11 July 2005 AMA Requirements List- Deutsche Bundesbank FSA (2005), Strengthening capital standards (CP05/3)-FSA- January. Basel Bankacılık Denetim Komitesi tarafından hazırlanan ve Türkçeye çevirilen “Sermaye Ölçümü ve Sermaye Standartlarının Uluslararası Düzeyde Birbirleriyle Uyumlaştırılması (Yeni Basel Sermaye Uzlaşısı)”-Haziran 2004. Basel Bankacılık Denetim Komitesi tarafından hazırlanan “Sound Practices for the Management and Supervision of Operational Risk”. EC, Capital Requirements Directive - Commission of the European Communities CEBS, (2005), Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches- CEBS CP10- 11 July 2005.