Folyamat alapú kockázatelemzés, avagy: jobb félni, mint megijedni.

A kockázatokat folyamatok mentén érdemes vizsgálni, ennek a megközelítésnek bizonyos elemeit igyekszem most bemutatni, a kapcsolódási pontokkal. Persze egy ilyen bejegyzés biztos, hogy nem lesz teljes, de idővel folytatom.

A kockázatok kezelésének feltétele, hogy a kockázatok azonosíthatóak legyenek. A kockázatok elemzésének egyik lehetősége a szervezet folyamatainak felmérése. Mivel a szervezeti folyamatok több szervezeti részleg bevonásával kerülnek végrehajtásra, ezért a kockázatok gyakran kevésbé láthatóak. A szervezeti egységek közötti funkcionális függőségi viszonyok lehetnek, de a folyamatok feltárásával azonosíthatóvá vállnak mind az érintett szervezeti egységek, mind az emberek, mind pedig a felhasználandó technológiai megoldások. A folyamatok (és tevékenységek) azonosítása lehetővé teszi a forgatókönyvelemzést, azaz annak vizsgálatát, hogy mi romolhat el, hol mehet valami félre (emlékezzünk Murphy aranyszabályára: ami elromolhat, az el is romlik)?

A forgatókönyvelemzés folyamán támaszkodhatunk múltbéli adatokra, illetve a tevékenységek alapján feltárhatunk új kockázatokat is.

Az adatok hiánya nem jelenti feltétlenül a kockázatok hiányát.

A kockázatok felmérése így két nagyobb megközelítés együttes alkalmazását követelheti meg:

• A top-down megközelítés elsősorban a kockázatok múltbéli (külső és belső) adatokon alapuló értékelése szerint halad, mely feltételezi, hogy csak a múltbéli jelenségek ismétlődnek.
• A bottom-up megközelítés felméri a lehetséges kockázatokat (folyamatalapú, és forgatókönyv alapú megközelítések), de ezek azonosítás sokszor szubjektívnek tekinthető, és szakértői becslések által meghatározott. Ugyanakkor ez a módszer nagyobb teret ad a kockázatok kezelésének azáltal, hogy a kockázati okok pontosabban azonosíthatóak.

Sok esetben a folyamatalapú elemzés során feltárt kockázatokra nincsen múltbéli adatunk, ezért gondolhatnánk azt is, hogy a feltárt kockázat szervezetünk esetében nem releváns. Tipikusan a ritkán jelentkező, de nagy hatású kockázatok esetében hajlamosak a szervezetek arra, hogy ne foglalkozzanak a lehetséges kockázatokkal (itt hadd idézzem egy informatikai vezető mondását: „minden rendszerünk folyamatosan jól, és megbízhatóan működik, nincs szükségünk megelőző intézkedésekre a működés fenntartása érdekében”). Ez a hozzáállás akár jelentős veszteségeket is okozhat, ha egy adott szervezet nem elemezte kellőképpen a lehetséges kockázatokat, illetve azok hatását. Ez sokszor elpocsékolt pénznek tűnik (beleöltük az időt és energiát, és mégsem jelentkezett a kockázat), de hogy néhány közhelyszerű dolgot megemlítsek: jobb félni, mint megijedni, illetve ha az ember esernyőt visz magával nem esik az eső.

Eszembe jut a y2k problémakör (2000. év problémája) kapcsán a vállalatok viselkedése. Az 1998-99 évek folyamán több informatikai tanácsadó cég is igen jól megélt abból, hogy a különböző vállalatokat felkészítették a 2000. év eljövetelére, amikor bizonyos régebbi rendszerek várhatóan leálltak volna. Eljött a 2000. év, és igazából nem történt semmi (bát láttam egy B kategóriás katasztrófafilmet a témában, ahol majdnem robbant egy atomerőmű). Nagyon sok vállalatvezető felháborodott, hogy az egész csak a tanácsadói ipar nagy hülyítése volt, hogy mindenki ész nélkül költse a pénzét. A tanácsadók pedig széttárták a kezüket, és büszkén hirdették: „Jó munkát végeztünk”. Ez persze egy olyan kockázati kategória volt, melyre nem állt rendelkezésre benchmark, ugyanakkor ismerni lehetett a kockázat létezését. Így utólag tehát nehéz igazságot tenni, hogy csak a tanácsadói szektor jó marketingmunkájáról, vagy valós kockázatelhárításról volt szó. Hogy megvédjem a tanácsadókat meg kell említeni, hogy különösen a pénzügyi alkalmazások esetében sok nem 2000. év kompatibilis megoldás is volt, melyeket ki kellett szűrni. De hogy hozzak ellenpéldát a másik oldalról is: egy telekommunikációs cég esetében a tanácsadók még a fénymásolókat is felmérték, hogy 2000. év kompatibilisek-e, bár ezen eszközök nem voltak éppen üzletmenet kritikusak (bár az elvárások között szerepelt a teljességi vizsgálat szükségessége).

A folyamat alapú megközelítés lehetővé teszi, hogy ne csak múltbéli kockázatokra keressünk adatokat, hanem olyan kockázatokat is számba vegyünk, melyek még nem fordultak elő szervezetünk esetében. Az ilyen kockázatok felmérésére és kezelésére elsősorban a külső adatbázisokból származó adatokat (benchmark) szokták felhasználni. Külső adatok felhasználását az intézményeknek indokolnia kell, illetve a felhasználáshoz kapcsolódó megfontolásokat évente független szakértőnek kell értékelnie. A felhasználás és megbízhatóság kérdése azért is érdekes lehet, mivel több adatbázis is rendelkezésre áll a különböző kockázatokból adódó veszteségek gyűjtésére, és azok tartalma sokszor eltérést mutat. Így érdemes szűrni az adatokat azok relevanciája alapján, illetve vizsgálni azt, hogy a kockázati kategóriák, vagy üzletágak alatt ugyanazt értjük-e, mint az adatbázis üzemeltetői. Célszerű olyan külső adatokat használni, melyek követik a CRD (Capital Requirements Directive) 7x8-as mátrixot eredményező veszteség és üzletágstruktúráját.

Az eloszlásokra alapuló modellek hasznos kiegészítői a folyamat alapú megközelítésnek, illetve az eloszlásokra alapuló megközelítéseket a feltárt kockázati lehetőséggel lehet kiegészíteni. Így a két megközelítés együttes használata lehet a legjobb (bár egyben a legkomplexebb) megoldás. Ezt a megközelítést a szakirodalom Hybrid Measurement Approach-nak (HMA) nevezi, és természetesen csak a fejlett mérési módszert alkalmazó bankok használhatják.

Előrejelzések

A folyamatalapú megközelítés hozzájárul a kockázatokra vonatkozó indikátorrendszer meghatározásához is. A folyamatokhoz, illetve az ott megjelenő kockázatokhoz kulcs kockázati indikátorokat (Key Risk Indicators – KRI) rendelhetünk, melyek változásával, illetve figyelembevételével becsülhetjük a kockázatokat. Pl: ATM rablások, munkaerő fluktuáció aránya, ügyfélpanaszok száma, szolgáltatások rendelkezésre állása

Ezen indikátorok mintegy füstérzékelőként működnek: jelzik a füstöt, de nem tudjuk, hogy ég az épület, vagy pedig csak odaégett a kenyér a pirítóban? Ennek kiderítése mindig külön vizsgálatot igényel, de „jobb félni, mint megijedni”. Mindenesetre akkor van csak lehetőségünk a kockázatok felmérésére és kezelésére, ha tisztában vagyunk az üzleti folyamatokkal és azok összefüggésrendszerével.

Ebből következően egy adott indikátor többféle kockázatot is előre jelezhet, illetve az indikátorokat nem egyesével, hanem azok együttesének elemzésével szükséges értelmezni.

Megjegyzendő, hogy a kulcs kockázati indikátorok előrejelző képessége (mely véges) nem biztos, hogy minden kockázatot megfelelően lefed. Ne ringassuk magunkat abba a hitbe, hogy az indikátorok kialakításával kezeltük is a kockázatokat: egyrészről a teljesség sok esetben kérdéses, másrészről a működés, és ezzel együtt a kockázatok is változhatnak. Ugyanakkor a kulcs kockázati indikátorok használata nagy mértékben javíthatja a szervezetek kockázatkezelési lehetőségeit.

A működési kockázatok kezelésének kétféle megközelítése

Tegnap egy megbeszélésen került előtérbe, hogy milyen megközelítési módjai is vannak a működési kockázatok azonosításának és értékelésének. A működési kockázatok modellezésének célja, hogy a kockázatok megfelelőképpen mérje, illetve hogy a kockázatokra elegendő tőkét határozzon meg.

Top-down megközelítés

A megközelítés keretében a kockázatszámítás alapja a múltbéli veszteségadatok számbavétele, azok aggregálása. Ennek keretében modellezzük az időegységre jutó veszteség értékét, illetve a veszteségeloszlást. Ezt a megközelítést LDA (Loss Distribution Approach) néven ismerik.

Az összegyűjtött és elemzett veszteségadatokat statisztikai módszerekkel lehet vizsgálni (eloszlások azonosítása, paraméterek becslése, illeszkedésvizsgálat).

A megközelítés lehetővé teszi, hogy múltbéli kockázati eseményeket azonosítsunk, és ezek jövőbeli előfordulására felkészüljünk. Problémát az jelent, hogy míg a gyakori, de kis hatású kockázatok felmerülése viszonylag jól becsülhető, addig a ritka, de nagy hatású kockázatok igen rosszul becsülhetőek. Az ilyen események becslésekor már érdemes szimulációkat is futtatni, az általunk kialakított modelleken.

A modellépítés ugyanakkor már átvezet a másik megközelítés alkalmazási területére.

Bottom-up megközelítés

A megközelítés alapja, hogy felmérjük az összes lehetséges kockázatot. A Top-Down megközelítéshez képest az előnye abban áll, hogy a felméréssel nem csak a kockázatok értéket tudhatjuk meg, hanem pontosan (az előző módszerhez képest jóval pontosabban) meghatározhatjuk a kockázatok helyét, azok lehetséges okait, illetve feltárhatjuk azokat a kockázatokat is, melyekkel a szervezetnek még nem kellett szembesülnie.

A kockázati értékelés egyik fontos eleme a forgatókönyv- (szcenárió-) elemzés. Ekkor meghatározzuk a lehetséges kockázatokat, azok összefüggéseit, majd felállítjuk a lehetséges forgatókönyveket: legtöbbször optimista, normál és pesszimista megközelítéseket. A háromféle lehetőség vizsgálatára azért van szükség, mivel a kockázatok értékelése eleve becslésen alapul, és maga is bizonytalanságot (kockázatot hordoz). Így a különböző forgatókönyvek hivatottak az ebbéli bizonytalanságot tükrözni.

Ez véleményem szerint egyfajta bottom-up megközelítésnek számít, és a Basel-II iránymutatók alapján külön kategóriaként kezelt SBA (Scenario Based Approach) megközelítés, melyet legtöbbször leszűkítik a stresszesemények (kockázatok) értékelésére, illetve ezekre épített modellre. Ez a top-down megközelítéssel jelentős átfedést mutat. Véleményem szerint a folyamatmodellezésre épülő statisztikai megközelítés jelentené ugyanakkor az LDA és SBA megközelítés hiányzó kiegészítését.

"While LDA models tend to be built on actual loss data and SBA approaches usually rely on constructed (i.e. scenario generated) data, in practice the two methods usually overlap. Hybrid approaches are commonly found, with actual loss data often enriched by constructed data and vice versa."

(forrás: CEBS)

Természetesen mindkét modellnek megvannak a maga előnyei és hiányosságai, ezért logikusnak tűnne, hogy a két megközelítés kombinációját kelljen megvalósítani. Ugyanakkor pont itt érhető el a különbség: míg a top-down megközelítés viszonylag jól számolható, és becsülhető (bár nem deríti fel az okokat), addig egy pontosabb és körültekintőbb bottom-up megközelítés jelentősebb energiabefektetést és munkát igényelne.

Amennyiben a folyamat alapú kockázatfelméréshez már konkrét modelleket, becsléseket (SBA) tudunk megfogalmazni, úgy kockázatfelmérésünk pontosabb lehet. Hátránya ennek idő és energiaigénye, ráadásul nagyobb energiát inkább csak a nagyobb kockázatokra érdemes fordítani (és érdemes itt is szem előtt tartani a 20/80 szabályt).

Pénzintézetek operatív kockázatai

A pénzintézetek számára mérvadó Basel II ajánlásrendszer 2004-es publikálása, annak 2006-2007 folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak. Gondoljunk csak a közelmúlt Société Générale csalására, amikor is 4,9 milliárd euró veszett el egy alkalmazott szabálytalan tranzakciói miatt.

A Basel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Basel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre.

Az operatív kockázatok között a hagyományos PPT modell (people, process, technology) elemei mellett szerepet kap a külső környezet fenyegetése is.

Bár a Basel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését.

A működési kockázatok kezelését érdemes folyamatmodell mentén végezni: a pénzintézeti folyamatok feltérképezésével nem csak a sebezhető pontok (informatikai rendszerek, szabályozási hiányosságok) azonosíthatóak, hanem a folyamat maga is racionalizálható, ellenőrzési pontok beiktatásával biztonságosabbá, ugyanakkor hatékonyabbá is tehető. A folyamatrendszer kezelésének automatizálásával, illetve az egyes tevékenységekhez kapcsolódó adatok elemzésével a kockázatok (és hibák) könnyen azonosíthatóvá, így kezelhetővé válnak.

Megjegyzendő, hogy egy működési kockázatokat kezelő rendszer kiépítése korán sem egyszerű, és koránt sem gyors folyamat. A pénzintézetek legtöbb esetben tanácsadó cégek segítségét veszik igénybe, hogy kiépítsék ezt a rendszert. Ez elég racionális döntés, mivel a szakértőket elég bérbevenniük, mintsem állományba.

Az IT Business 2008. 7. számában jelent meg egy cikk, mely a tanácsadók szükségességéről értekezik. Ebben Szalkai Gergely a Credigen IT vezetőjének véleménye szerint "nagyobb, profilt vagy a működést technológiai szempontból is érintő változás esetén kell tanácsadóhoz fordulni segítségért". A pénzintézetek esetében arról van szó, hogy olyan új kockázati terület kezelését kell megoldani, mellyel eddig nem foglalkoztak, sőt nem is igazán kívántak foglalkozni.

Ugyanakkor tanácsadók alkalmazása kihívást is jelent: egy pénzintézet érdeke, hogy életképes kilépési (exit) stratégiával rendelkezzen egy ilyen projekt esetében is: a projekt folyamán a pénzintézetben ki kell jelölni a kockázatmenedzsment felelőseit, és az ő aktív bevonásukkal kell végrehajtani a projektet. A projektfolyamat során a tanácsadók által alkalmazott módszereket, megközelítéseket át kell venniük, majd a projekt lezárulta után alkalmazni.

A már említett IT Business cikkben Futó Iván, a Budapesti Corvinus Egyetem professzora úgy vélekedik, hogy "a projekt során erőteljesen törekedni kellene arra, hogy a belső munkatársak mindazt a tudást megszerezzék, amelylyel a működtetést és az esetleges későbbi módosításokat már külső támogatás nélkül is el tudják végezni. Amennyiben erre nincs mód, akkor azonban már áttévedünk az outsourcing területére."