Ryzyko jest immanentnym elementem każdej działalności gospodarczej, niezależnie od jej charakteru. W bieżącej działalności można je ograniczać, zmniejszając tym samym potencjalne możliwości generowania dodatkowych zysków lub – aktywnie nim zarządzając – zarabiać.
Bez względu na strategiczne podejście firmy do zarządzania ryzykiem, zawsze istnieje potrzeba jego identyfikacji i oszacowania, z uwzględnieniem różnych typów ryzyka i ich skali w działalności danej firmy.
Banki jako instytucje pośrednictwa finansowego i jednocześnie instytucje zaufania publicznego, są w szczególnej sytuacji.. Z jednej strony podejmowanie ryzyka (kredytowego, rynkowego, płynności finansowej) jest nieodzownym elementem ich działalności zarobkowej, z drugiej bezpieczeństwo funkcjonowania – podstawowym kryterium oceny nadzorczej. Godzenie tych celów materializuje się poprzez politykę zarządzania ryzykiem.
W ostatnim dziesięcioleciu podejście do zarządzania ryzykiem uległo znacznej ewolucji. Dynamiczny rozwój rynku instrumentów pochodnych, globalizacja rynków i coraz bardziej swobodny przepływ kapitałów oraz nowe metody kwantyfikacji ryzyka spowodowały, że ryzyko nie jest postrzegane li tylko i wyłącznie jako źródło ewentualnych strat. Podejmowanie ryzyka na akceptowanym i kontrolowanym poziomie może być źródłem dodatkowych zysków, zaś aktywne zarządzanie ryzykiem – koniecznym wsparciem realizacji strategii biznesowej instytucji.
Poniżej przedstawione zostały podstawowe zasady i przesłanki, które każda instytucja powinna wziąć pod uwagę budując efektywny, nastawiony na wspieranie działalności biznesowej, zintegrowany system zarządzania ryzykiem.
Zasada 1
Instytucja powinna posiadać jasno zdefiniowaną strategię działalności rynkowej, w tym strategie dla poszczególnych linii biznesowych oraz – korespondującą z daną strategią –politykę zarządzania ryzykiem.
Strategia działalności instytucji wyznacza zakres i podejście firmy do danego rodzaju działalności rynkowej. Jasno i kompleksowo zdefiniowana, pozwala na identyfikację głównych ryzyk, z jakimi może się zetknąć firma w trakcie jej realizacji. Ustanowienie właściwych mechanizmów pomiaru, kontroli i zabezpieczania ryzyka może często stanowić o realności realizacji pożądanej strategii biznesowej. Nadto sama strategia działania instytucji winna uwzględniać jej podejście do zarządzania ryzykiem oraz określać skłonność i możliwości firmy do podejmowania ryzyka.
Zasada 2
Zagadnienia zarządzania ryzykiem muszą być traktowane na równi ze strategicznymi, rynkowymi celami działalności instytucji, bowiem realizacja tych ostatnich zależy często od skuteczności przyjętych rozwiązań w obszarze zarządzania ryzykiem.
Skuteczność rozwiązań przyjętych w obszarze zarządzania ryzykiem w znacznym stopniu zależy od wagi, jaką kierownictwo przykłada do samego procesu zarządzania ryzykiem oraz wyników płynących z oceny ryzyka. W bieżącej działalności kierownictwa, szczególnie w bankach, ryzyko powinno być przedmiotem szczególnej uwagi praktycznie w każdym aspekcie działalności operacyjnej, zaś informacje o wielkości ryzyka – nieodłącznym elementem bieżącego procesu decyzyjnego. Dezawuacja istotności zarządzania ryzykiem może wynikać często z jego traktowania jako wąsko pojętego, regulacyjnego wymogu nadzorcy i „ jedynej odpowiedzialności określonej komórki” oraz braku właściwego zaangażowania najwyższego kierownictwa firmy w zarządzanie ryzykiem.
Zasada 3
W firmie powinna istnieć efektywna organizacja systemu zarządzania ryzykiem, z jednoznacznym, zapewniającym efektywny i kompleksowy proces oceny i kontroli ryzyka, systemem podziału kompetencji.
Podział funkcji w instytucji w zakresie zarządzania ryzykiem w swej podstawowej postaci powinien uwzględniać rozdzielenie funkcji podejmowania ryzyka (operacyjna działalność rynkowa) od funkcji niezależnej oceny i kontroli ryzyka. W bankach zasada ta realizowana jest najczęściej poprzez oddzielenie pionu ryzyka od pionów biznesowych (bezpośrednio odpowiedzialnych za prowadzenie danego rodzaju działalności rynkowej). Podział ten nie oznacza jednoczesnego zdjęcia odpowiedzialności z jednostek pionów biznesowych za podejmowane ryzyko. Praktycznie zawsze decyzje skutkujące powstaniem ekspozycji na ryzyko będą wynikową działalności jednostek pionu biznesowego. W ramach samego pionu ryzyka odpowiedzialność za jego poszczególne rodzaje (ryzyko: kredytowe, rynkowe, operacyjne) jest adresowana do określonych jednostek organizacyjnych, zaś zarządzanie ryzykiem w kategoriach stanowienia (zarządzania) i kontroli limitów jest przypisana najczęściej określonym komitetom (Ryzyka Kredytowego, Ryzyka Operacyjnego, Zarządzania Aktywami i Pasywami, Rynkowego etc.). Bardzo ważną funkcję w procesie zarządzania ryzykiem odgrywa audyt wewnętrzny. W tym zakresie audyt pełni funkcję niezależnej oceny efektywności i skuteczności – stosowanych przez jednostki pionu ryzyka – rozwiązań w zakresie identyfikacji, pomiaru i zarządzania danym rodzajem ryzyka. Zwrotnie, komórki pionu ryzyka stanowią bardzo cenne źródło informacji dla funkcji audytu związanej z kontrolą wewnętrzną danych procesów lub konkretnych przypadków, powodujących powstawanie strat finansowych.
Zasada 4
Instytucja powinna posiadać wiedzę o najistotniejszych rodzajach ryzyka, jakie podejmuje w działalności rynkowej oraz – w procesie zarządzania ryzykiem – uwzględniać wszystkie jego rodzaje i źródła.
Zarządzanie ryzykiem wymaga jego uprzedniej identyfikacji co do rodzaju i źródeł powstawania (czynniki ryzyka) oraz pomiaru wielkości ryzyka. Pomimo toczącej się wciąż dyskusji w literaturze przedmiotu na temat klasyfikacji ryzyka, a najlepsza praktyka dostarcza wielu odmiennych rozwiązań, instytucja powinna posiadać w formie dokumentu klasyfikację podejmowanego ryzyka („mapa ryzyka”) oraz wskazanie najważniejszych źródeł jego powstawania. Zidentyfikowane być powinny dodatkowo te rodzaje ryzyk, które są kluczowe z punktu widzenia ciągłości operacyjnej działalności instytucji. Ocena istotności danego rodzaju ryzyka powinna zawierać związki przyczynowo-skutkowe pomiędzy jego poszczególnymi rodzajami np. ryzyko kredytowe, skutkujące brakiem obsługi zadłużenia wpływa na sytuację płynnościową firmy, ryzyko rynkowe zmiany wartości instrumentu pochodnego wpływa na ekspozycję kredytową z tego instrumentu etc., zaś kluczowe ryzyka w działalności bankowej powinny być – w zakresie bieżącego zarządzania ryzykiem – wsparte planami awaryjnymi.
Zasada 5
Instytucja powinna posiadać jasno zdefiniowane i powszechnie zakomunikowane: politykę, procedury i zasady zarządzania ryzykiem oraz plany awaryjne postępowania w stosunku do ryzyk/ zagrożeń, mogących skutkować przerwaniem ciągłości działania instytucji.
Polityka zarządzania ryzykiem, wewnętrzne procedury i zasady pomiaru, kontroli, ograniczania i zarządzania ryzykiem powinny jasno określać ramy dla sprawnego systemu operacyjnego (bieżącego) zarządzania ryzykiem oraz dostosowywania wielkości podejmowanego ryzyka do bieżącej i przewidywanej sytuacji rynkowej. Instytucja powinna posiadać zidentyfikowane zagrożenia/ ryzyka, mogące skutkować przerwaniem ciągłości działania firmy, zaś mechanizmy zapobiegania powstawaniu takich sytuacji oraz postępowania w przypadku ich wystąpienia, powinny być zdefiniowane w planach awaryjnych. W sposób jednoznaczny powinna być określona odpowiedzialność za zarządzanie danym rodzajem ryzyka, mechanizmy zarządzania, systemu limitów oraz linie raportowania o wielkości ryzyka.
Zasada 6
Bank powinien posiadać politykę zarządzania ryzykiem zgodną ze strategią kapitałową oraz zdolnością do podejmowania ryzyka w relacji do posiadanych funduszy własnych.
Fundusze własne banku stanowią źródło pokrywania tzw. strat nieoczekiwanych, tzn. tych potencjalnych strat, które nie zostają odzwierciedlone w poziomie tworzonych i utrzymywanych rezerw na ryzyko. Banki zobligowane są do utrzymywania kapitału własnego na pokrycie podejmowanego ryzyka w określonej regulacyjnie minimalnej wysokości. Zmiany zasad wyznaczania regulacyjnych (nadzorczych) wymogów kapitałowych zmierzają w kierunku włączania kolejnych ryzyk do kalkulacji adekwatności kapitałowej oraz dopuszczania coraz bardziej wyrafinowanych metod kwantyfikacji ryzyka. Skutkiem tych zmian jest wzrost „uwrażliwienia kapitału” na rodzaj i wielkość podejmowanego ryzyka. Aktualnie w Polsce banki zobligowane są do utrzymywania regulacyjnego wymogu kapitałowego na ryzyko kredytowe oraz ryzyko rynkowe. Propozycje Komitetu Bazylejskiego ds. Nadzoru Bankowego zmierzają do wprowadzenia od 2006r. wymogu utrzymywania kapitału dodatkowo na ryzyko operacyjne. Dopuszcza się jednocześnie już obecnie stosowanie zaawansowanych metod statystycznych (np. value at risk- VAR) do kalkulacji wymogów kapitałowych na ryzyko rynkowe, zaś w propozycjach Nowej Umowy Kapitałowej Komitetu Bazylejskiego również dla ryzyka kredytowego, jak i w części ryzyka operacyjnego, przewidziane zostały możliwości stosowania wewnętrznych modeli pomiaru ryzyka i wyznaczania wymogów kapitałowych na ich podstawie. Modele te, po spełnieniu określonych wymogów ilościowych (poprawność działania modeli) i jakościowych (organizacja systemów zarządzania ryzykiem), będą w dużej mierze pozwalały na ograniczenie wymogów kapitałowych, a więc tym samym na utrzymywanie niższego kapitału na wspieranie działalności bankowej.
Zasada 7
Instytucja powinna posiadać efektywny system oceny, pomiaru i kontroli ryzyka.
Ocena i pomiar ryzyka powinien być kompleksowy i wszechstronny. Oznacza to, że instytucja powinna posiadać zatwierdzone przez kierownictwo metodyki jego kwantyfikacji, zgodne z wymogami strategii biznesowej oraz przyjętą polityką zarządzania ryzykiem. Pomiar ryzyka powinien być prowadzony zarówno dla danego rodzaju ryzyka (kredytowego, rynkowego, operacyjnego), jak i w ujęciu globalnym (łącznym).
W sferze pomiaru ryzyka obserwuje się w okresie ostatniego dziesięciolecia dynamiczny rozwój oraz coraz szersze zastosowanie w praktyce modeli statystycznych i zaawansowanych metod z obszaru inżynierii finansowej. Wdrażanie rozwiązań z obszaru najlepszej praktyki wiąże się często z koniecznością poniesienia znacznych nakładów na pozyskanie szczegółowych danych finansowych (wewnętrznych i rynkowych) oraz kosztów zatrudnienia wysoko kwalifikowanej kadry. Dlatego tak istotne jest, przed rozpoczęciem budowy kosztownej infrastruktury do zarządzania ryzykiem, określenie polityki zarządzania ryzykiem, obszarów w których firma chce zarządzać ryzykiem zgodnych z najlepszą praktyką bankową oraz kreować przewagi konkurencyjne z tym związane.
Zasada 8
Instytucja powinna posiadać efektywny system limitów ryzyka, uwzględniający przyjęte rozwiązania w zakresie jego pomiaru oraz zewnętrzne uwarunkowania działalności rynkowej.
Bank powinien posiadać szeroki zakres limitów, ograniczających wielkość podejmowanego ryzyka. Z punktu widzenia charakteru limitów mogą one mieć postać: limitów zaangażowania lub pozycji, ograniczających skalę danego rodzaju działalności, limitów ryzyka, ograniczających wielkość narażenia firmy na dany rodzaj ryzyka, limitów typu stop loss, ograniczających akceptowalny poziom straty na danym aktywie lub grupie aktywów, limitów typu trigger, stanowiących swoistego rodzaju sygnały ostrzegawcze narażenia na potencjalne straty.
Zasada 9
Instytucja powinna posiadać miarodajny system oceny efektywności działalności rynkowej, pozwalający na porównanie zyskowności skorygowanej o ryzyko różnych rodzajów działalności oraz optymalną alokację kapitału.
Podejmowanie ryzyka jest nieodłącznym elementem działalności zarobkowej, zaś kapitał firmy musi być alokowany do obszarów działalności, gwarantujących realizację maksymalną stopę zwrotu przy określonym, akceptowalnym poziomie ryzyka. Bezpośrednie porównanie stóp zwrotu z często różnych rodzajów działalności nie jest najczęściej podejściem pozwalającym na identyfikację najbardziej efektywnej inwestycji. Właściwa ocena efektywności – różnych co do rodzaju – działalności wymaga korygowania osiągniętych wyników o wielkość ryzyka, jakie towarzyszyło realizacji tego wyniku. W praktyce bankowej szeroko stosowane są już miary efektywności skorygowane o ryzyko, prezentujące stopę zwrotu z kapitału lub aktywa skorygowaną o wielkość ponoszonego ryzyka np. RORAC (return on risk adjusted capital), RAROC (risk adjusted return on capital), RARORAC (risk adjusted return on risk adjusted capital), etc. Miary te pozwalają na właściwą ocenę efektywności wykorzystania kapitału ekonomicznego zaangażowanego w dany rodzaj działalności, a więc ostatecznie na podejmowanie optymalnych decyzji o sposobie angażowania kapitału. Wdrożenie systemu pomiaru rentowności skorygowanej o ryzyko wymaga uprzedniego wdrożenia metod kalkulacji kapitału narażonego na ryzyko (tzw. kapitału ekonomicznego), systemu pomiaru wyniku zarządczego opartego o system transferowej ceny funduszy oraz modele alokacji kosztów działania na dany rodzaj działalności.
Zasada 10
Instytucja powinna posiadać mechanizmy i procedury uwzględniania kosztu ponoszonego ryzyka w prowadzonej polityce cenowej oraz polityce zarządzania wynikiem w danym rodzaju działalności biznesowej.
Systemy oceny ryzyka powinny pozwalać na szacowanie kosztu ponoszonego ryzyka, adekwatne do rodzaju prowadzonej działalności, segmentu klientów, produktu. Koszt ryzyka, w takim zakresie w jakim dotyczy ona danego rodzaju działalności, powinien być uwzględniany przez jednostki biznesowe w realizowanym wyniku i stopie zysku.
Zasada 11
Instytucja musi posiadać odpowiednio wyszkoloną kadrę oraz system pozwalający zapewnić odpowiednią „świadomość ryzyka” na wszystkich szczeblach organizacji, zgodnie z przyjętą mapą ryzyka.
Nie można mówić o zintegrowanym systemie zarządzania ryzykiem bez wdrożenia świadomości podejmowanego ryzyka jako elementu kultury organizacji w każdej jednostce firmy, w stopniu dostosowanym do wagi danej jednostki w korporacyjnym systemie zarządzania ryzykiem. Narzędziem pomocnym w budowie takiego podejścia może być certyfikacja z zakresu zarządzania ryzykiem, prowadzona przez WIB. Certyfikacja została przygotowana ze szczególnym uwzględnieniem potrzeb banków, ale może też być z powodzeniem wykorzystywana przez inne przedsiębiorstwa. Certyfikacja ma strukturę stopniową, w której pierwszy stopień koncentruje się na szerokiej i przekrojowej wiedzy ze wszystkich obszarów ryzyka, co pozwala na integrację procesów zarządzania ryzykiem i rentownością w całej organizacji. Drugi stopień, w podziale na dwie specjalizacje, wymaga wiedzy specjalistycznej i technicznej, niezbędnej do modelowania i praktycznego zarządzania ryzykiem.
Mariola Szymańska Koszczyc, Ryszard Jezierski