Operativni rizik je pored kreditnog rizika, rizika likvidnosti te rizika promjene kamatne stope jedan od inherentnih rizika poslovanja svake banke. Operativni rizik je najstariji rizik. Odmah nakon formiranja prvih banaka, tj. prije samog plasiranja plasmana, banke su bile izložene operativnom riziku (jer je npr. trebalo čuvati tuđi novac, paziti da ga netko ne ukrade, čuvati dokumentaciju i sl.).
Puno prije regulatornih nastojanja tretiranja operativnih rizika, ti rizici su bili u fokusu procesa internih kontrola. Osim toga, tehnološki i informatički odjeli smanjivali su mogućnosti provala u sigurnosne sustave – čuvajući sigurnost informacijskog sustava.
Definicija operativnog rizika
Pitanje definiranja operativnog rizika je relativno složeno. Najčešće korištena baselska definicija navodi sljedeće pojavne oblike operativnih rizika:
- Interna prijevara – npr. zaposlenička krađa, pogrešno izvješćivanje, itd.
- Vanjska prijevara – npr. pljačka, krivotvorenje, upad u kompjuterski sustav banke, itd.
- Prakse vezane uz zapošljavanje i zaštitu na radnom mjestu – npr. potraživanja radnika vezana za naknade, kršenje pravila o zdravlju, organizirane radničke sindikalne aktivnosti, itd.
- Klijenti, proizvodi i poslovne prakse – npr. zlouporaba povjerljivih informacija o klijentima, neprimjerene aktivnosti trgovanja na računu banke, pranje novca, itd.
- Oštećenje materijalne imovine – npr. terorizam, vandalizam, potresi, poplave, požari, itd..
- Poremećaj u poslovanju i kvar sustava – npr. kvar hardvera i softvera, telekomunikacijski problemi, itd.
- Izvršavanje, isporuka i upravljanje procesima – npr. pogreške pri unosu podataka, pristupi u upravljanju kolateralom, nepotpuna pravna dokumentacija, itd.
Iako je operativni rizik postojao u bankama od njihova nastanka, u fokusu istraživanja našao se od početka devedesetih godina prošlog stoljeća. Glavni razlozi povećanog interesa su:
- veliki gubici zbog izloženosti operativnom riziku te
- uvođenje regulacije upravljanja operativnim rizikom.
Pokvareni trgovci
Svakako najpoznatiji primjer nastanka operativnog rizika u bankarskoj praksi je primjer Barings banke i njihovog tradera gospodina Leeson-a. Leeson je počeo raditi za Baring Securities 1989. kao djelatnik back-office-a. Imao je samo srednju školu i nešto back-office iskustva iz Coutts Bank-e i Morgan Stanley-a. Kada je Barings Futures Singapore startala s radom poslan je u Singapur da vodi poslove na Singapore International Monetary Exchange (SIMEX) kao floor manager. Leeson je trebao arbitrirati futures ugovore na NIKKEI index između SIMEX-a i Osaka Stock Exchange-a. Logika posla bila je u postojanju različitih cijena istih ugovora na različitim tržištima. Zbog toga je Leesonova pozicija na kraju svakog dana trebala biti jednaka nuli. Međutim, Leeson je formirao odvojeni račun 88888, koji je SIMEX-u bio prijavljen kao račun klijenta, a Barings centrali kao račun grešaka. Zbog toga je Leeson bio u poziciji da različitim stranama prikazuje različite podatke. Centrali u Londonu je svakoga dana prijavljivao sve svoje transakcije osim onih na računu 88888. Do 27. veljače 1995. Nicholas Leeson je izgubio 1,3 mlrd USD, nakon čega je Barings banka bankrotirala. Tako je najstarija engleska trgovačka banka prodana za 1 funtu ING grupi. Događaj je ekraniziran u filmu “Rogue Trader” iz 1999. s Ewanom McGregorom u glavnoj ulozi.
Primjeri gubitaka zbog operativnih rizika javili su se i u hrvatskoj bankarskoj praksi. Slušaj Riječke banke i afere s kasnije osuđenim trgovcem devizama Edom Nodilom tipičan je primjer gubitaka zbog operativnih rizika. U ožujku 2002. godine otkrivene su mnoge nepravilnosti u radu i poslovanju front i back office-a Sektora riznice Riječke banke. Prema kasnijim saznanjima, inkriminirane radnje u banci su vrlo vjerojatno započele još 1997. godine. Gubici su kroz godine nastajali na poslovima diferencijalnih arbitraža te margin trading-a. Kod poslova diferencijalnih arbitraža trgovac kupovinom određene valute procjenjuje njezinu aprecijaciju u odnosu na onu valutu koju je prodao. Obje strane transakcije se zatvaraju u valuti spot (dva radna dana od dana trgovanja). Poslovi margin trading-a u Riječkoj banci rađeni su s kućama Carr Futures (iz grupe Credit Agricole) te Swiss Finance. Kod poslova margin trading-a dealer deponira određeni iznos sredstava na računu kod kuće sa kojom trguje te na osnovu tog depozita trguje u iznosima koji su nputa veći od depozita. Dakle, u slučaju da depozit iznosi 1.000.000 USD te da je n=40 maksimalna izloženost može biti 40.000.000 USD. Svi gubici po takvim poslovima se naplaćuju iz depozita, dok se s druge strane svi dobici dodaju na depozit. Prema službenim podacima koje je 8. osžujka 2002. objavio HNB, gubitak Riječke banke d.d. je iznosio oko 97,8 mln USD.
Rizici novog doba
Jedan od glavnih aspekata operativnih rizika odnosi se na tzv. Cyber rizike ili rizike napada na bankovne IT sustave. Banke su u novije vrijeme značajno izložene ovakvim napadima na njihove IT sustave koji mogu rezultirati značajnim gubicima. Jedan od najinteresantnijih primjera ovakvih događaja bio je iz 2017. godine – slučaj Equifax-a (jednog od najvećih svjetskih kreditnih registara). Naime, hackeri su kroz cyber napad ukrali povjerljive podatke o čak 147 milijuna korisnika kreditnih proizvioda iz SAD-a. Ovo je za sada slučaj najveće “krađe” povjerljivih podataka. Cijela priča je završena samo prije nekoliko dana kada je kompanija Equifax platila kaznu od oko 18 milijuna dolara.
Ovakvi primjeri odnosno pokušaji modernih “pljački” postaju svakodnevnica banaka na svim tržištima. Banke zbog toga troše značajna sredstva da bi preduhitrile ovakve napade. U vremenima rasta internetskog prometa ovakav fokus je još značajniji. Interesantno je spomenuti da je MMF prošle godine objavio podatak da bi globalno banke zbog ovakvih napada mogle u samo jednoj godini izgubiti oko 350 milijardi američkih dolara.
Reakcije regulatora
Potaknut takvim iskustvima, Baselski odbor za nadzor banaka je prije dvadesetak godina u svom konzultativnom dokumentu naveo kako vjeruje da je operativni rizik jedan od važnijih rizika u bankarstvu te da banke trebaju održavati kapitalne rezerve za tu vrstu izloženosti riziku. Na tom tragu, u okviru Basela II uvedeni su kapitalni zatjevi za operativni rizik. U hrvatskim bankama oni su drugi najvažniji konzument kapitala nakon kreditnih rizika.
Na kraju, upravljanje operativnim rizicima treba staviti u aktualni kontekst – kontekst pandemije covid-19 te nedavnog potresa u Zagrebu. Oba slučaja su tipični primjeri operativnog rizika te su banke dodatno podsjetile koliko je značajno kvalitetno i proaktivno upravljanje ovim rizičnim izloženostima. A da nije riječ o teoriji, svjedoči slučaj jedne banke koja neko vrijeme nakon potresa nije mogla omogućiti pristup sefovima u jednoj od glavnih poslovnica. Stoga, zbog ranijih i aktualnih dogadjaja sve banke još uvijek djeluju u nekoj vrsti tzv. “business continuity” moda. Riječ je o načinu poslovanja u stresnim situacijama kada banke nastoje očuvati (i biti fokusirane prije svega na) ključne poslovne procese. Ostaje za nadati se da će ovo razdoblje trajati što kraće – za dobro svih nas.