Pojistné rozpravy jsou k přečtení ZDE
Operační riziko vychází ze selhání lidí, procesů, systému nebo ze zásahu vnějších vlivů. Dále sem můžeme zahrnout strategické riziko, reputační riziko nebo compliance riziko. Operační riziko není stejné jako ostatní rizika. Na rozdíl od tradičního vnímání rizika operační riziko prakticky nenabízí možnost zisku (v naprosté většině znamená ztrátu). Událost operačního rizika se může realizovat s nulovým dopadem, pokud zafungují např. kontrolní mechanismy společnosti. Takové situaci se říká „near miss“. Na vážnosti jí však neubírá nulový dopad, protože kromě kontrolních mechanismů může sehrát svoji roli náhoda odhalení události.
Pro operační riziko je charakteristická malá četnost (neplatí vždy, např. frekvence externích podvodů je toho důkazem). Velmi těžko se modeluje z důvodu nedostatku dat, včetně jejich špatné kvality. Proto je nutné při práci a modelování využívat nejen interní databáze operačních rizik, ale také rizikové analýzy lokální či mateřské společnosti, externí databáze operačních rizik nebo pomoc externí společnosti v rámci řízení operačního rizika. Významný problém při řízení operačního rizika může vycházet z rozdílu mezi dobou, ve které se riziko realizuje a stane se z něj ztrátová událost operačního rizika, a dobou, kdy je událost společností objevena. S rostoucím rozdílem výše zmíněných dob narůstá možnost zvýšení ztráty z události.
Mohlo by vás zajímat: Václav Klaus a kolektiv: Nelze přijmout zdravotnický absolutismus
Kategorie operačního rizika
Operační události můžeme rozdělit na dva základní typy. Prvním jsou očekávané případy. Mezi ně řadíme např. pojistné podvody, kde ztráty nejsou příliš vysoké; na druhou stranu jejich četnost relativně vysoká je, společnost s nimi tudíž může počítat do budoucna a jsou již známé. Tím pádem na ně není potřeba tvořit větší množství rizikového kapitálu. Jsou zde však také neočekávané události, často označované jako „black swan“. Tyto extrémní události mají velmi nízkou pravděpodobnost nastání, přesto může být jejich dopad pro společnost až zdrcující.
Co se týče výše zmíněných událostí s velmi nízkou frekvencí, a naopak vysokým dopadem, pojišťovny mají oproti bankám nemalý problém v nedostatku interních dat: daty disponují pouze za posledních pár let, kdežto banky sbírají události operačního rizika oproti pojišťovnám déle. Řízení operačního rizika s omezenou interní databází představuje problém, pokud se společnost s žádnou velkou neočekávanou ztrátou dosud nesetkala nebo také pokud těmto situacím naopak čelila. Tyto události nicméně nastávají pouze jednou za větší počet let, než jaká je zpravidla doba evidence databáze operačních rizik. Tím pádem může pojišťovna nabýt mylné představy o frekvenci realizace rizika.
Kategorie operačního rizika dle Baselu II
Pojišťovny pro definování kategorií operačního rizika většinou využívají směrnici Basel II, která operační riziko dělí na sedm kategorií:
- interní podvody – podvody spáchané buď samotnými zaměstnanci společnosti, nebo za přispění zaměstnanců;
- externí podvody – podvody spáchané klienty, zprostředkovateli, dodavateli nebo outsourcingovými firmami; kybernetický útok;
- personální politika a bezpečnost práce – vztahy se zaměstnanci, bezpečnost práce na pracovišti, diskriminace na pracovišti;
- klienti a produkty – nevhodné podnikatelské nebo tržní praktiky, chyby při tvorbě produktu nového nebo při aktualizaci staršího, selekce klientů a sponzorování, poradenská činnost;
- poškození hmotných aktiv – nehody nebo přírodní katastrofy bez lidského zavinění, události způsobené člověkem;
- přerušení obchodní činnosti a selhání systému – nefunkčnost IT aplikací (pojišťovna kvůli tomu nebude např. schopna sjednávat smlouvy nové nebo naopak dodat servis k těm stávajícím), nefunkčnost IT infrastruktury;
- dodávky, služby, procesy – zachycení transakcí, jejich provádění a údržba, správa klientských aktiv, správa klientské dokumentace, komunikace (monitorování a reporting), prodejci a dodavatelé, obchodní protistrany.
Problémem u členění dle katalogu Basel II je, že se jedná o směs různých způsobů klasifikace (podle zavinění – podvody; podle oblasti činnosti – zbytek). Není to vhodná kategorizace pro přiřazení vlastníků rizik, protože každá kategorie obsahuje rizika z různých útvarů a oblastí činnosti. Problémem je i samo vyčlenění externích a interních podvodů v samotných kategoriích, protože k nim dochází ve všech oblastech činnosti, a měly by tedy být včleněny do různých skupin jako ostatní rizika. Při událostech často není zjevné, zda se jednalo o podvod; jednoznačná je vždy jen oblast činnosti, kde k problému došlo. Naopak zavinění a příčina mohou být sporné.
Mohlo by vás zajímat: Tichý Consulting vstupuje do Star Insurance Group
Řízení operačního rizika
Řízení operačního rizika můžeme rozdělit do pěti částí:
- Rizikový apetit: Nejprve si pojišťovna zvolí, resp. předem definuje svůj rizikový apetit, tj. stanoví, která rizika a do jaké míry je ochotna podstoupit. Rizikový apetit si může pojišťovna určit např. přes pravděpodobnosti a dopady operačních rizik nebo poměrovým ukazatelem např. mezi očekávanými ztrátami a alokovaným kapitálem.
- Identifikace operačních rizik: Identifikace operačních rizik následuje hned po definování rizikového apetitu. Pojišťovna disponuje několika možnostmi pro identifikaci operačních rizik: buď přes rizikovou mapu, katalogem událostí operačního rizika, nebo přes hodnotové řetězce (value chain).
- Odhad operačních rizik: Co se týče samotného odhadu, resp. hodnocení, či chceme-li: měření operačních rizik, cílem je rozlišení operačních rizik na významná a nevýznamná, aby ta významná mohla být řízena. V závislosti na datech a jejich náročnosti se pro hodnocení rizik používají různé přístupy: ryze kvalitativní (významné vs. nevýznamné riziko), kvantitativní (zjišťování číselných charakteristik rizik, ideálně přes celá pravděpodobnostní rozdělení) nebo kombinované (spojení obou přístupů). Pro výpočet kapitálu alokovaného na operační riziko můžeme použít buď standardní formuli obsaženou ve směrnici Solventnost II, nebo regulátorem schválený interní model. Interní modely pro operační riziko nejsou u pojišťoven tak časté jako u bank, hlavně z již výše zmíněného důvodu méně rozsáhlé databáze operačních rizik. Pokud pojišťovna disponuje dostatečně robustní databází, může vyvinout model postavený na analýze scénářů. Scénáře si pojišťovna definuje jak na základě vlastní interní databáze operačních rizik, tak i dle možných operačních rizik, která by v budoucnu mohla společnost zasáhnout, protože ne všechna rizika pojišťovnu doposud ohrožovala nebo ne všechna operační rizika, kterým pojišťovna čelila, vyústila v události operačního rizika. Metoda analýzy scénářů se tedy nedívá jen zpětně do minulosti, ale má i forward-looking2 přístup. Další možností, kterou využívají spíše banky, je modelování kapitálu teorií extrémních hodnot. K použití této metody však pojišťovna opět potřebuje dostatečně rozsáhlou databázi operačních rizik.
- Zacházení s operačními riziky a kontrola operačních rizik: Části zacházení s operačními riziky a kontrola operačních rizik odpovídají nakládání s operačními riziky ve smyslu jejich akceptace, zmírnění (mitigace), eliminace nebo transferování rizika z pojišťovny do jiné společnosti a kontroly jejich úrovně. Řízení operačních rizik můžeme v zásadě považovat za řízení rizikových faktorů, jako jsou lidské zdroje, IT systémy a infrastruktura nebo procesy. Řízení operačních rizik tvoří dvě složky: reaktivní a proaktivní přístup. První přístup má za cíl snižování expozice pojišťovny vůči operačnímu riziku volbou, zda operační riziko eliminuje, transferuje, mitiguje nebo si ponechá dříve identifikované operační riziko. Druhý přístup má za cíl snižování expozice pojišťovny vůči operačním rizikům zvyšováním povědomí jednotlivých vlastníků rizik o operačních rizicích během rozhodovacích procesů nebo používáním nástrojů pro řízení (klíčových) rizikových faktorů. Klíčové rizikové indikátory jsou kvantitativní hodnoty odrážející expozici vůči operačnímu riziku v konkrétních procesech nebo produktech, kde by hodnota indikátoru měla korelovat se změnami v úrovni operačního rizika. Jak můžeme vidět, proaktivní přístup realizuje oddělení řízení operačního rizika spíše přes osvětu pojišťovny.
- Komunikace a monitorování operačních rizik: Poslední částí řízení operačních rizik je pravidelný reporting. Rozumí se jím nejen pravidelný sběr událostí operačního rizika v pojišťovně, ale spíše zajištění průběžného sledování expozice pojišťovny vůči operačnímu riziku a zpětné vazby vedení pojišťovny o stavu operačního rizika vůči předem stanovenému rizikovému apetitu, kterým se kruh řízení operačního rizika uzavírá.
Mohlo by vás zajímat: Podcast: Nové zkoušky jsou věčným soubojem mezi teorií a praxí
Problém kvantifikace operačního rizika
Při řízení operačního rizika naráží pojišťovna na problém jeho přesné kvantifikace. Pokud se budeme bavit např. o spáchaných externích podvodech, vzniklou škodu lze celkem snadno vyčíslit, nebo pokud pojišťovně nefunguje sjednávací aplikace pro pojištění, i zde lze kvantifikovat dopad do zisku. Problém nastává např. u neefektivně či špatně nastavených procesů; zde je kvantifikování dopadu přinejmenším obtížné, neboť neefektivně nastavený proces nemusí mít přímý dopad do zisku pojišťovny. Zmíněný problém působí vrásky např. také při tvorbě scénářů, kde, pokud si vezmeme případný kybernetický útok, bude velmi obtížné dopředu spočítat, jaký dopad bude mít útok na chod a zisk pojišťovny.
Celosvětově nejvýznamnější operační rizika
Za zajímavé lze považovat srovnání 10 nejvýznamnějších operačních rizik v letech 2017–2019 hodnocených manažery největších finančních skupin na světě, kde zároveň můžeme pozorovat, které kategorie operačního rizika dle Baselu II představují pro pojišťovny největší hrozbu (viz tabulka 1).
Z tabulky 1 je patrné, že manažeři, potažmo finanční společnosti se čím dál tím více bojí jakýchkoliv rizik a selhání týkajících se aplikací, systémů a IT infrastruktury, které se v čase dostávají na nejvyšší příčky, odkud postupně vytlačily riziko regulace a riziko outsourcingu. Značnou obavu z jakéhokoliv rizika spjatého s informačními systémy je možné přičíst na vrub narůstající digitalizaci a automatizaci. Pokud se přidržíme českého pojistného trhu, pak se riziko missellingu3 (v roce 2019 hodnoceno jako desáté) může realizovat s vysokým dopadem na riziko spojené s finančním arbitrem a životními pojistnými smlouvami, které může příp. stát tuzemské pojišťovny miliardy korun.
Mohlo by vás zajímat: Téměř půl milionu řidičů v bodovém systému. 40 tisíc je vybodovaných
Vybrané trendy a výzvy v oblasti operačních rizik
Pokud se zastavíme u trendů a výzev, kterým pojišťovny čelí a v rámci operačního rizika budou čelit čím dál tím více, musíme jako první zmínit digitalizaci. Svět se v poslední době digitalizuje stále více, a i v pojišťovnách přetrvává tlak na digitalizaci jak z důvodu úspory, tak z hlediska efektivnosti fungování společnosti. Na druhou stranu přílišná digitalizace s sebou přináší nemalé riziko informačních systémů a aplikací, které, jak můžeme vidět v tabulce 1, nabývá na významu. Tlak na digitalizaci tradičních pojišťoven vyvíjejí insertech společnosti, které operují zejména na digitální úrovni, včetně příchodu umělé inteligence a neuronových sítí.
Negativním trendem a výzvou, jimž pojišťovny a ostatní finanční instituce ve světě čelí, jsou vzrůstající sankce ze strany regulátorů, příp. soudů, jak jsme měli možnost pozorovat na nedávných příkladech společnosti BNP Paribas, která musela zaplatit v přepočtu okolo 200 mld. Kč, nebo společnosti Société Générale, se sankcí 30 mld. Kč. Obrovské sankce také mohou plynout ze směrnice GDPR (maximálně 20 mil. EUR nebo 4 % z celosvětového obratu společnosti). V českém prostředí působí uvedené sankce až astronomicky; na druhou stranu může být otázkou času, kdy i tento „trend“ dorazí do ČR, např. při nedodržení směrnice GDPR.
Rostoucí digitalizace a automatizace zejména velkých pojišťoven mohou vést k problému, že manažeři operačního rizika a specialisté na danou oblast nebudou schopni odhadnout pravý dopad nefunkčnosti a ochromení společnosti. Pokud do toho započteme rekordně nízkou nezaměstnanost na českém trhu, spojenou s nedostatkem kvalitních zaměstnanců, může ztráta klíčového zaměstnance znamenat chaos a velice obtížné řízení operačního rizika zejména v oblasti informačních technologií a procesů. Riziko ztráty klíčových zaměstnanců můžeme nalézt v roce 2018 u udržení talentovaných zaměstnanců.
Mohlo by vás zajímat: Koronavirus a pojištění. Čekat lze zdražení i omezení krytí rizik
Sociální sítě a média hrají v našich životech čím dál tím významnější roli. Na jednu stranu pojišťovnám poskytují vhodnou možnost sebeprezentace, např. více ekologickým přístupem, a prodejní platformu, na druhou stranu s tím ruku v ruce vzrůstá reputační riziko. Jsme svědky situací, kde nezvládnutý zákaznický servis nebo necitlivě řešené pojistné události mohou na sociálních sítích zvednout vlnu nevole a odklonu od značky pojišťovny a způsobit ztrátu potenciálního zisku nebo hodnoty společnosti. Praxe ukazuje, že po poskytnutí nevhodného vyjádření společnosti nebo po odvysílání kompromitujícího videa padají akcie významných celosvětových firem až o desítky procent.
Závěr
Pojišťovny jsou v řízení operačního rizika v závěsu za bankami, nicméně zvlášť v posledních letech se na něj začínají více zaměřovat. Při řízení a kvantifikaci operačního rizika bude vždy problém s dostatkem relevantních dat, příp. s odhadováním realizace operačního rizika do budoucna. Jak můžeme vidět z tabulky 1, finanční společnosti kategorizují jako nejvýznamnější operační rizika kybernetické riziko a narušení chodu informačních systémů jakýmkoliv způsobem, což můžeme považovat za daň digitalizace a automatizace. V současné době tedy pojišťovny čelí tlaku plynoucímu z potenciálního ohrožení informačních systémů, tlaku ze strany regulátorů v podobě směrnice Solventnost II nebo IFRS 17, přísnějším pokutám a sankcím nebo vlivu sociálních médií.
Pojistné rozpravy jsou k přečtení ZDE
Ing. Michal Vyskočil
Vysoká škola ekonomická v Praze
Článek byl zpracován v rámci projektu IG 102029.
Použité zdroje
- Basel II: Revised international capital framework. [on-line]. Dostupné z: http://www.bis.org/publ/bcbsca.htm.
- Brealey, Richard A. – Allen, Richard – Myers, Stewart C. Teorie a praxe firemních financí. Brno: BizBooks, 2014, 1095 s.
- Ducháčková, E. – Daňhel, J. Pojistné trhy – změny v postavení pojišťovnictví v globální éře. Praha: Professional publishing, 2012, 252 s.
- Dutta, K. – Babbel, D. (2014). Scenario Analysis in the Measurement of Operational Risk Capital: A Change of Measure Approach. The Journal of Risk and Insurance, 81(2), 303–334. Retrieved from: http://www.jstor.org/stable/24546806.
- Research Paper on Operational Risk, Canadian Institute for Actuaries. [on-line]. Dostupné z: http://www.cia-ica.ca/ docs/default-source/2014/214118e.pdf.
- Rippel, M. – Teplý, P. (2008). Operational Risk – Scenario Analysis. IES Working Paper 15/2008. IES FSV. Charles University.
- Solvency II Directive. [on-line]. Dostupné z: https://eiopa. europa.eu/regulation-supervision/insurance/solvency-ii.
- The Implementation and the Consequences of Basel II. [on-line]. Dostupné z: http://www.fh-vie.ac.at/var/em_ plain_site/storage/original/application/6a56ff041d93723eeb897754ea45241e.pdf.
- Top 10 operational risks for 2017. [on-line]. Dostupné na: https://www.risk.net/risk-management/5424761/top- 10-operational-risks-for-2018.
- Top 10 operational risks for 2018. [on-line]. Dostupné na: https://www.risk.net/risk-management/5424761/top- 10-operational-risks-for-2018.
- Top 10 operational risks for 2019. [on-line]. Dostupné na: https://www.risk.net/risk-management/6470126/top-10-op-risks-2019/.
Komentáře
Přidat komentář