Zasady zarządzania ryzykiem operacyjnym w bankach: Rekomendacja M Komisji Nadzoru Bankowego
Rekomendacja 1
Członkowie organów banku rady nadzorczej i zarządu banku powinni być świadomi ważnych aspektów ryzyka operacyjnego w banku, jako odrębnego i podlegającego zarządzaniu rodzaju ryzyka i powinni znać profil ryzyka wynikającego z działalności banku.
Rekomendacja 2
Rada nadzorcza w ramach wypełniania swoich funkcji zatwierdza (akceptuje) opracowane przez zarząd założenia strategii prowadzenia działalności. Założenia te powinny uwzględniać występowanie ryzyka operacyjnego wynikającego z działalności banku, a w szczególności określać ogólne zasady zarządzania tym ryzykiem. Rada nadzorcza powinna dokonywać okresowej oceny realizacji przez zarząd założeń strategii (w szczególności w odniesieniu do zasad zarządzania ryzykiem operacyjnym banku). W tym celu zarząd banku powinien okresowo przedkładać radzie nadzorczej syntetyczną informację na temat skali i rodzajów ryzyka operacyjnego, na które narażony jest bank, prawdopodobieństwa jego występowania, jego skutków i metod zarządzania ryzykiem operacyjnym.
Rekomendacja 3
Zarząd banku odpowiada za opracowanie i wdrożenie strategii zarządzania ryzykiem, w tym za zorganizowanie i funkcjonowanie procesu zarządzania ryzykiem operacyjnym oraz jeśli to konieczne wprowadzanie niezbędnych korekt w celu usprawnienia tego procesu. Zasady i procedury zarządzania ryzykiem operacyjnym powinny obejmować pełen zakres działalności banku.
Rekomendacja 4
Kontrola i ocena systemu zarządzania ryzykiem operacyjnym oraz jego regularne przeglądy powinny być dokonywane przez komórkę audytu wewnętrznego, niezależną pod względem operacyjnym i zatrudniającą kompetentny, odpowiednio wyszkolony personel. Rada nadzorcza sprawuje nadzór nad kontrolą systemu zarządzania ryzykiem operacyjnym oraz ocenia jej adekwatność i skuteczność.
Rekomendacja 5
W banku powinny w jasny sposób zostać określone kompetencje oraz schematy podległości służbowej w obszarze zarządzania ryzykiem operacyjnym na różnych szczeblach organizacyjnych.
Rekomendacja 6
W banku powinien istnieć udokumentowany proces identyfikacji i oceny zagrożeń związanych z ryzykiem operacyjnym dla wszystkich istotnych obszarów działalności banku oraz wszelkich nowych produktów, procesów i systemów. Identyfikacja i ocena ryzyka operacyjnego wynikającego z nowych produktów, zachodzących procesów i wykorzystywanych systemów powinny nastąpić przed ich wprowadzeniem w życie i zastosowaniem. Bank powinien posiadać udokumentowany proces: oceny wrażliwości banku na zidentyfikowane zagrożenia, badania ich możliwego wpływu na wynik z działalności oraz określenia możliwych zabezpieczeń.
Rekomendacja 7
Wdrożony w banku system regularnego monitorowania zdarzeń operacyjnych powinien umożliwiać obserwację profilu ryzyka operacyjnego oraz regularne przekazywanie zarządowi informacji w tym zakresie.
Rekomendacja 8
Bank powinien dokonywać okresowej weryfikacji skuteczności funkcjonowania wdrożonego systemu zarządzania ryzykiem operacyjnym oraz jego adekwatności do aktualnego profilu ryzyka banku.
Rekomendacja 9
Bank powinien posiadać plany utrzymania ciągłości działania (w tym plany awaryjne), zapewniające nieprzerwane działanie banku na określonym poziomie, uwzględniające kategorie i czynniki ryzyka operacyjnego.
Rekomendacja 10
Bank powinien ujawniać otoczeniu rynkowemu informacje umożliwiające dokonanie oceny podejścia banku do zarządzania ryzykiem operacyjnym.