Operativni rizik predstavlja rizik gubitka koji nastaje kao posljedica neadekvatnih ili neuspješnih internih procesa, zaposlenih, sistema, ili vanjskih događaja.
Operativni rizik je prisutan u svakom aspektu poslovanja, od svakodnevnih transakcija do strateških odluka upravljačkih tijela.
Upravljanje operativnim rizikom u bankama u Bosni i Hercegovini zasniva se na regulatornom okviru dvije agencije za bankarstvo, usklađenim sa međunarodnim Basel standardima. Basel II okvir iz 2004. godine formalizovao je ovu definiciju i stvorio temelj za sistematsko mjerenje i upravljanje ovim rizikom unutar financijskog sektora.
Današnji Basel IV standardi dodatno su razradili metodologiju i zahtjeve.
U tom kontekstu, regulator ne posmatra operativni rizik samo kao tehničku kategoriju, već kao sastavni dio ukupnog sistema korporativnog upravljanja i upravljanja rizicima a uloga regulatora nije da upravlja rizicima umjesto banke, već da osigura da banka ima znanje, kapacitete i disciplinu da sama upravlja svojim operativnim rizicima na održiv i odgovoran način.
Operativni rizik je jedini rizik koji ne možete eliminisati rastom, on raste zajedno sa organizacijom, kompleksnošću procesa i digitalnom transformacijom
Prema mapi rizika koja se koristi za godišnju identifikaciju rizika za potrebe ICAAP-a i ILAAP-a, banke su obavezne da u analizu uključe svih 13 kategorija operativnog rizika:
Rizik nesavjesnog ponašanja/poslovanja
Rizik internih i eksternih prevara
Odnosi sa radnicima i sigurnost na radnom mjestu
Rizik informacione i komunikacijske tehnologije
Rizik štete na materijalnoj imovini
Rizik izvršenja, isporuke i upravljanja procesima
Pravni rizik
Rizik usklađenosti poslovanja
Rizik eksternalizacije
Rizik finansiranja terorizma/pranja novca
Kibernetski (Cyber) rizik
Rizik modela
Rizik kadrova
Podjela operativnog rizika prema uzroku nastanka pomaže institucijama da fokusiraju napore i resurse tamo gdje su najpotrebniji, umjesto da pokušavaju primjenjivati generičke mjere protiv svih prijetnji i slabosti podjednako.
Procesi
Ovi rizici nastaju zbog nejasnih ili loše definisanih poslovnih procesa. Primjerice, neadekvatno vođena dokumentacija, nepotpune informacije ili neusklađeni postupci mogu rezultirati greškama u odlučivanju ili izvršenju zadataka.
Primjer:
Tokom interne revizije utvrđeno je da se određene izmjene podataka o klijentima (npr. kontakt informacije) ne dokumentuju adekvatno. Iako nije bilo direktnog finansijskog gubitka, događaj je evidentiran kao near-miss operativni rizik, a sa risk i regulaptrne perspektive nalazi ovog tima se smatraju važnim pokazateljem slabosti kontrolnog okruženja.
Kontrole i procedure koje nisu dosljedno primijenjene
Ljudski faktor
Najveći dio operativnih rizika povezan je s ljudskim faktorom, greške, nedostatak obuke, fluktuacija zaposlenih, nesavjesno postupanje ili čak namjerne prevarne radnje. Ovom tipu rizika često se ne posvećuje dovoljno pažnje, ali je statistički jedan od najzastupljenijih uzroka operativnih gubitaka.
Primjer:
Novi zaposlenik u poslovnici pogrešno je unio podatke o datumu dospijeća kredita, što je dovelo do pogrešnog obračuna kamate. Greška je uočena tek nakon prigovora klijenta. Događaj je evidentiran kao operativni gubitak i iskorišten kao osnova za dodatnu obuku zaposlenih i jačanje kontrola unosa podataka.
Sistemski rizici
Digitalizacija poslovanja i oslanjanje na IT sisteme donosi sa sobom brojne izazove: softverski bugovi, neadekvatne sigurnosne mjere ili prekidi u radu kritičnih aplikacija mogu izazvati ozbiljne posljedice.
Primjer:
U jednoj banci došlo je do greške u batch obradi zbog neporavnanja kartičnog i tekućeg računa, što je rezultiralo netačnim obračunom kamate za određeni broj klijenata. Događaj je prijavljen kao operativni incident, a korektivne mjere su uključivale dodatne IT kontrole i unapređenje procesa testiranja prije produkcije.
Eksterni događaji
Vanjski faktori kao što su prirodne katastrofe, politička nestabilnost ili prekidi u eksternalizovanim uslugama koje nisu pod kontrolom institucije, ali mogu imati direktan utjecaj na njeno poslovanje.
Primjer:
Kašnjenje eksternog dobavljača u dostavi bankarskih kartica dovelo je do povećanog broja prigovora klijenata. Iako banka nije direktno uzrokovala problem, regulator bi ovakve situacije tretirao kao operativni rizik eksternalizacije, za koji banka snosi punu odgovornost.
Četiri stuba ORM (Operational Risk Management)
STUB 1
IDENTIFIKACIJA I PROCJENA RIZIKA (RCSA)
Risk and Control Self-Assessment (RCSA) je temeljni alat kojim poslovne linije same identifikuju ključne rizike i ocjenjuju efikasnost kontrola. Rezultat su mape rizika koje prikazuju inherentni i rezidualni rizik za svaki proces.
To se obično radi kroz radionice, razgovore s ključnim zaposlenima, analizu poslovnih procesa i pregled historijskih podataka o incidentima. Proces identifikacije mora biti sveobuhvatan i sistematičan, ako rizik nije prepoznat, ne može se kontrolisati ni mjeriti. Idealan pristup uključuje:
- mapiranje poslovnih procesa,
- uključivanje vlasnika rizika iz svih odjela,
- analizu dosadašnjih incidenata i grešaka,
- identificiranje slabosti u kontrolnim mehanizmima.
STUB 2
PRIKUPLJANJE PODATAKA O GUBICIMA (LDC)
Loss Data Collection (LDC) sistematski bilježi sve operativne gubitke iznad praga prihvatljivosti. Interni podaci se dopunjuju eksternim industrijskim bazama za modeliranje rijetkih ali katastrofalnih događaja
STUB 3
KLJUČNI INDIKATORI RIZIKA (KRI)
Key Risk Indicators su forward-looking metrike koje daju rani signal detorioracije profila rizika. Npr. broj neuspješnih transakcija, stopa fluktuacije zaposlenih, broj neriješenih IT incidenata, procenat propuštenih regulatornih rokova i sl.
STUB 4
ANALIZA SCENARIJA
Testiranje otpornosti na stres i analiza scenarija omogućavaju procjenu potencijalnog uticaja rijetkih, ali visokoimpaktnih događaja (cyber napad, pandemija, geopolitička kriza..). Rezultati direktno ulaze u izračun i procjenu kapitalnih zahtjeva.
Jednom kada su rizici identificirani i procijenjeni, potrebno je odrediti strategije tretmana:
- Izbjegavanje rizika — uklanjanje procesa koji stvara rizik
- Smanjenje rizika — jačanje kontrola, dodatna obuka, automatizacija
- Transfer rizika — osiguranje, outsourcing funkcija
- Prihvatanje rizika — uz kontinuiran monitoring i uspostavljen sistem limita
Ove strategije moraju biti realne i izvedive, uz jasno definirane odgovornosti i resurse.
Izvještavanje
Izvještavanje je ključni završni element procesa upravljanja operativnim rizicima. Bez kvalitetnog i pravovremenog izvještavanja, institucija neće imati adekvatnu transparentnost, niti sposobnost donošenja adekvatnih odluka.
Uloga izvještavanja je višestruka:
- Interno upravljačko izvještavanje — menadžmentu daje precizne podatke o stanju rizika i efektima tretmana
- Regulatorno izvještavanje — ispunjava zahtjeve nadzornih tijela i standarde
- Analitičko izvještavanje — osigurava dublje uvide u uzroke, trendove i efekte
Sada je već jasno da izvještavanje o operativnom riziku mora sadržavati naraciju: jasno, fokusirano na suštinske rizike, povezano sa poslovnim procesima institucije. Strukturirano izvještavanje omogućava ne samo identifikaciju problema nego i efikasnu reakciju i donošenje strateških odluka. Regulator posebno cijeni izvještaje koji ne prikrivaju probleme, već ih jasno identifikuju i prate do zatvaranja.
Ovlaštenja i odgovornosti u procesu ORM
Moderni ORM oslanja se na model tri linije odbrane koji jasno raspoređuje odgovornosti unutar organizacije:
Prva linija odbrane – vlasnici operativnih rizika
Prvu liniju odbrane čine poslovne jedinice i operativni menadžment, odnosno svi organizacioni dijelovi banke koji direktno obavljaju poslovne aktivnosti i procese.
Uloga i odgovornosti prve linije:
- identifikacija operativnih rizika u svojim procesima
- evidentiranje događaja operativnog rizika
- implementacija i izvršavanje kontrolnih mjera
- upravljanje rezidualnim rizikom
- učešće u RCSA procesima
- praćenje KRI indikatora
- predlaganje i provođenje mjera mitigacije
Poslovne linije su vlasnici operativnih rizika. To znači da:
- Risk Management nije vlasnik operativnog rizika → on je kontrolna funkcija
- Odgovornost za gubitke i incidente uvijek ostaje na poslovnoj liniji tj na prvoj liniji odbrane
Jedna od najčešćih grešaka u praksi: da se operativni rizik “prebaci” na funkciju upravljanja rizicima. Funkcija upravljanja rizicima je kontrolna funkcija, i vrši kontrolu uspostavljanjem gore navedenih mehanizama. Vlasnici procesa i sistema moraju biti svjesni operativnih rizika koji proizilaze iz tako uspostavljenih procesa.
Druga linija odbrane – kontrolne funkcije upravljanja rizicima i usklađenosti
Drugu liniju odbrane čine:
- funkcija upravljanja rizicima (Risk Management)
- funkcija usklađenosti (Compliance)
- funkcija informacione sigurnosti
- druge specijalizirane kontrolne funkcije
Uloga Risk Management funkcije:
- razvoj politika i procedura,
- uspostavljanje metodologije upravljanja operativnim rizikom
- koordinacija RCSA procesa
- definisanje KRI indikatora
- konsolidacija baze OR događaja
- analiza trendova i izvještavanje
- izrada OR profila banke
- saradnja u ICAAP-u i ILAAP-u
Druga linija odbrane nadzire kako se tim rizikom upravlja i ima ulogu savjetodavne funkcije i nezavisnog kontrolnog mehanizam u svrhu smanjenja izloženosti toj vrsti rizika i regulatorne usklađenosti.
Treća linija odbrane – interna revizija
Treću liniju odbrane čini Interna revizija, kao potpuno nezavisna funkcija.
Uloga interne revizije:
- nezavisna procjena efikasnosti sistema upravljanja ORM-a
- provjera poštivanja politika i procedura
- revizija RCSA procesa
- revizija baze OR događaja
- ocjena adekvatnosti kontrola
- izvještavanje Upravi i Nadzornom odboru
Njen zadatak je isključivo: da vrši nezavisno testiranje i ocjenu efikasnosti rada prve dvije linije odbrane, uz nezavisno izvještavanje Upravi i Nadzornom odboru.
Uprava banke ima operativnu i izvršnu odgovornost za sistem upravljanja operativnim rizicima.
Ključne odgovornosti Uprave:
- uspostavljanje sistema upravljanja ORM
- donošenje politika i procedura
- osiguranje adekvatnih resursa
- implementacija regulatornih zahtjeva
- praćenje OR profila banke
- razmatranje OR izvještaja
- donošenje odluka o mjerama mitigacije
- integracija OR u poslovne odluke
Uprava je odgovorna za: funkcionisanje sistema u praksi, a ne samo formalno postojanje. Vrlo često u praksi se, za proaktivno upravljanje operativnim rizicima, formira Odbor za upravljanje operativnim rizicima sa predstavnicima rukovodilaca svih organizacionih jedinica pod sponzorstvom člana Uprave najčešće CRO.
Nadzorni odbor i odbori Nadzornog odbora imaju stratešku i nadzornu ulogu.
Ključne odgovornosti NO:
- odobravanje politike upravljanja OR
- nadzor nad sistemom upravljanja rizicima
- razmatranje izvještaja o OR
- ocjena adekvatnosti kapitala za OR
- osiguranje nezavisnosti kontrolnih funkcija
Uprava i Nadzorni odbor snose krajnju odgovornost za efikasnost sistema upravljanja operativnim rizicima.
Operativni rizik nije samo „tehnički problem upravljačkih funkcija“, on predstavlja suštinski izazov svakog poslovanja. Njegovo pravovremeno prepoznavanje, procjena i tretman zahtijevaju strukturiran pristup, promišljene kontrole i, iznad svega, jasne i relevantne indikatore rizika. Važno je znati i to da svi zaposlenici igraju ključnu ulogu u sprečavanju operativnih rizika.
Zašto je dobar proces važan?
Bez jasne metodologije, operativni rizici ostaju „nevidljivi“ sve dok se ne manifestuju kroz incident ili gubitak.
Time se:
- povećava šansa za ozbiljne financijske gubitke
- narušava reputacija organizacije
- gubi povjerenje regulatora i klijenata
S druge strane, organizacije koje uspješno integrišu upravljanje operativnim rizicima u svoju strategiju:
- brže i bolje upravljaju promjenama
- smanjuju broj neželjenih (štetnih) događaja
- grade kulturu odgovornosti i transparentnosti.
Važno je istaći i to da se proces ne završava tretmanom.
Izvještavanje je ono što omogućava instituciji da uči, poboljšava svoje procese i postane otpornija.
U svijetu gdje su promjene brze, transparentnost i sposobnost pravovremenog odgovora postaju najvažniji asset organizacije.
Vrste gubitaka kao posljedica operativnog rizika
Gubitak vremena – usljed ispravki grešaka u sistemu, knjiženjima i sl., a koji nije moguće kvantificirati;
Granični kreditni gubitak – predstavljaju proceduralne i kolateralne greške, prodajne prakse, pravna mišljenja i sl.;
Oportunitetni gubitak – je prihod koji bi bio zarađen da je izbjegnut događaj koji je izazvan OR;
Operativni dobitak – događaj operativnog rizika koji je rezultirao dobitkom;
Ostali gubici – gubici koji su proizašli iz događaja OR sa nedefinisanim utjecajem na glavnu knjigu i/ili koji se ne odnose direktno na sam događaj;
Efektivni gubitak – otpisi, kazne zbog kršenja zakona i obavezujućih pravila, sudske i vansudske odluke i nagodbe, izostanak naknada, gubici i oštećenja na imovini;
Rezervacija potencijalnog gubitka – primjer sudski sporovi u toku sa klijentima, zaposlenicima, dobavljačima i sl.;
Brzo nadoknađeni gubitak – u roku od npr.5 dana od dana nastanka, primjer je prenos novca klijentu dva puta, nakon čega je vraćen, nadoknađeni blagajnički manjkovi osim u slučaju ulaska 5 dana u novi finansijski godišnji obračun kada se tretira kao efektivni gubitak;
Izbjegnuti gubitak (potencijalni) – koji se mogao pretrpjeti ali je na vrijeme izbjegnut, nema greške, nema incidenta postoji samo mogućnost da se desi;
Near miss – događaj koji je mogao rezultirati gubitkom, ali je spriječen prije nego što je nastala stvarna finansijska šteta, događaji koji su spriječeni pravovremenom kontrolom.
Tip gubitka | Uloga |
Stvarni gubitak | Kapital |
Near miss | Rana upozorenja |
Potencijalni | Preventiva |
Kapitalna izdvajanja i izloženost operativnom riziku
Uzimajući u obzir da je banka primarno orjentisana na profitabilnost uz prudencijalno upravljanje kapitalom i likvidnosti, operativni rizik značajno utječe na te procese.
Svrha upravljanja operativnim rizikom je povećanje ekonomske i tržišne vrijednosti imovine i kapitala banaka. Što znači da ciljevi Banaka moraju biti: pregled i kontrola kvalitete podataka, kontrola i monitoring, mjerenje izloženosti operativnom riziku, izrada izvještaja o učestalosti i težini operativnih rizika te unaprijeđivanje metoda procjene, mjerenja i svođenje operativnih rizika na minimum u cilju zaštite kapitala.
Agencije za bankarstvo u BiH implementiraju Basel II/III standarde adaptacijom EU direktiva (CRD/CRR) uzimajući u obzir specifičnosti domaćeg tržišta. Banke u BiH dužne su održavati minimalni koeficijent adekvatnosti kapitala od 12% (viši od Basel minimuma od 8%) dodano uključujući regulatorne i supervizorske buffere. Banke su obavezne izračunavati poseban kapitalni zahtjev za operativni rizik.
Kapitalni zahtjev za operativni rizik direktno umanjuje raspoloživi kapital banke za kredit i rast. Razumijevanje kvantitativnih efekata ključno je za strateško planiranje i optimizaciju kapitalnog modela.
Udio kapitalnih zahtjeva za operativni rizik se kreće od oko 6,3% do 9,4%. Prosječni udio operativnog rizika iznosi oko 7,8% ukupnih kapitalnih zahtjeva.
Pristupi
Kompleksnost
Kapitalni zahtjev
Primjena
BIA Basic Indicator
Niska
15% × 3-god. prosj. bruto prihoda
Male banke (Basel II i uglavnom banke u BiH)
TSA Standardised
Srednja
β faktori po poslovnim linijama (12–18%)
Srednje banke (Basel II, potencijalno neke banke u BiH)
AMA Advanced
Visoka
Interni modeli (LDA, scenariji)
G-SIB (Basel II, ukinut Baselom IV)
SMA Stand. Measurement
Srednja-visoka
BIC × ILM
EU banke od 2025. (Basel IV/CRR3)
Business Indicator (BI) = Kamatna komponenta (ILDC) + Servisna komponenta(SC) + Finansijska komponenta(FC). BIC se dobiva primjenom marginalnih stopa: 12% za BI ispod 1 mlrd EUR, dodatnih 15% za raspon 1–30 mlrd EUR, te 18% iznad 30 mlrd EUR.
Internal Loss Multiplier (ILM) = ln(e − 1 + (LC/BIC)^0.8) gdje je LC prosječni historijski gubitak pomnožen s 15. Europska komisija u CRR3 daje diskreciju supervizorima da postave ILM = 1 za manje banke, eliminirajući penalizaciju za institucije s niskim ili nepostojećim historijskim gubicima.
AI i operativni rizici
Upotreba umjetne inteligencije (AI) značajno mijenja ulogu upravljanja operativnim rizicima u institucijama, jer AI djeluje i kao moćan alat za poboljšanje, ali i kao izvor novih rizika.
AI kao tehnologija koja pomaže redefinira ulogu upravljanja operativnim rizicima. Zahvaljujući AI, timovi za upravljanje rizicima mogu prebaciti fokus s reaktivnog rješavanja problema na proaktivno predviđanje i ublažavanje rizika. AI omogućuje automatsku analizu ogromnih količina podataka u stvarnom vremenu kako bi se identificirali anomalije, predvidjeli kvarovi sistema i prepoznale potencijalne prevare brže i točnije nego što je to moguće ljudskim naporima.
Ovo automatizira mnoge rutinske zadatke, omogućujući stručnjacima za rizike da se usredotoče na složenije, strateške odluke. Na primjer, umjesto ručnog pregleda transakcija za sumnjive obrasce, AI modeli mogu automatski označiti visoko rizične transakcije za daljnju analizu, čime se poboljšava učinkovitost i smanjuje vjerojatnost ljudske pogreške.
Međutim, AI je istodobno i značajan izvor novih operativnih rizika. To znači da uloga upravljanja rizicima mora obuhvatiti nove vještine i strategije kako bi se nosila s jedinstvenim izazovima koje AI donosi:
Rizik pristranosti i diskriminacije: AI modeli mogu nenamjerno perpetuirati postojeće pristranosti u historijskim podacima, što dovodi do nepravednih ili diskriminatornih ishoda u odlukama o zapošljavanju, odobravanju kredita ili pružanju usluga. Risk manageri moraju imati vještine za testiranje i audit AI modela na prisutnost ovakvih pristranosti.
Pitanja objašnjivosti i transparentnosti (rizik “crne kutije”): Složeni AI modeli, posebno duboko učenje, često funkcioniraju kao “crne kutije”, gdje je teško objasniti kako su došli do određene odluke. Ovo stvara rizik u pogledu regulatorne usklađenosti i odgovornosti. Risk manageri moraju se zalagati za razvoj i implementaciju objašnjivih AI tehnika.
Sigurnosni rizici specifični za AI: AI sistemi mogu biti mete novih vrsta cyber napada, kao što su “adversarial attack” (suprotstavljeni napadi) koji su dizajnirani da prevare AI modele ili napadi trovanja podacima koji kompromitiraju obuku AI modela. Upravljanje rizicima mora uključivati kibernetičku sigurnost specifičnu za AI.
Rizik od ovisnosti i prekomjernog povjerenja: Preveliko oslanjanje na automatizirane AI odluke može stvoriti rizik ako sustav zakaže ili donese pogrešnu odluku u nepredviđenim okolnostima. Risk manageri moraju dizajnirati sisteme s odgovarajućim razinama ljudskog nadzora i mehanizmima za preuzimanje kontrole.
Dakle, uloga upravljanja operativnim rizicima prelazi s tradicionalnog fokusa na infrastrukturu i procese na sveobuhvatnije upravljanje rizicima koje je data-driven i tehnološki napredno. To zahtijeva usvajanje novih vještina i znanja kako bi se učinkovito iskoristile prednosti AI tehnologije dok se istodobno aktivno identificiraju, procjenjuju i ublažavaju jedinstveni rizici koje ona donosi. Uspješno upravljanje ovim novim rizicima ključno je za održavanje povjerenja u institucije i osiguranje odgovorne primjene AI.
Cilj upravljanja operativnim rizicima nije i ne smije biti “traženje krivaca“ već prikupljanje realnih i stvarnih podataka o gubicima za događaje operativnog rizika i njihovim uzrocima nastanka, te time dodatno poboljšavati procese u svrhu mitigacije rizika. Pravovremenom i ispravnom prijavom događaja operativnog rizika osigurava se dobro postavljen okvir upravljanja operativnim rizicima kao dio cjelokupnog upravljanja rizicima, što znači da je to jedan kontinuiran proces koji se sastoji od gore navedenih međusobno povezanih koraka.
Tekst pripremile Alisa Bećirbegović i Vildana Hajdarević, uz AI alate.
Ukoliko primijetite grešku ili nedosljednost, molimo vas da nas obavijestite putem e-maila: contact@riska.ba
