Operasyonel Risk Kapsamında Bankalararası Veri Gereksinimi ve Paylaşım Esasları: Operasyonel Risk Dış Veri Tabanı

Bankacılar Dergisi, Sayı 58, 2006 Operasyonel Risk Kapsamında Bankalararası Veri Gereksinimi ve Paylaşım Esasları: Operasyonel Risk Dış Veri Tabanı Giriş Bu çalışmada, Basel II metni dikkate alınarak operasyonel risklerin sayısallaştırılarak ölçülmesi ve yönetilmesini esas olmak üzere, bankalararası operasyonel risk kayıp verisi gereksinimi ve paylaşım esasları kapsamında sağlıklı dış kayıp verilerinin toplanarak tek bir havuzda biriktirilmesi, kullanıcı bankalara uygun erişim imkanı sağlanarak kurumsal yapıya en uygun şekilde kullanılmasına yönelik olarak operasyonel risk dış veri tabanı oluşturulması konusu çeşitli yönleriyle değerlendirilmiştir. Bunun yanı sıra bankacılık sektöründe uluslararası uygulamalar esas alınarak veri tabanı tiplerine, iç ve dış veri tabanlarından sağlanan verilerin birlikte kullanımına ilişkin unsurlar detaylı olarak irdelenmiştir. Son bölümde ise Türkiye de bir dış veri tabanı oluşturmasına ilişkin yapılması gereken teknik ve organizasyonel hususlar değerlendirilmiştir. I. Operasyonel Risk Dış Kayıp Verisi-Genel Kapsam 1. Dış Veri Kullanım Alanı Operasyonel risk yönetimine ilişkin temel konulardan biri, operasyonel risk kayıp veri tabanının oluşturulması ve bu verilerin analiz edilmesidir. 26 Haziran 2004 de yayımlanan Basel II metninde (International Convergence of Capital Measurement and Capital Standards - A Revised Framework) de belirtildiği gibi tüm bankaların, kendi operasyonel risk ve kayıp veri tanımlamalarına uygun olarak, kendi iç veri tabanlarını oluşturmaları tavsiye edilmektedir. Operasyonel riski ölçebilmek için ihtiyaç duyulan en önemli unsur, kurumların kendi iç kayıp veri tabanlarını oluşturmuş olmalarıdır. İç veri, operasyonel risklerin ölçümünde kullanılan en uygun ve bankanın kendi bünyesinden sağlanması nedeniyle en güvenilir kaynaktır. Ancak, operasyonel riskin ölçümünde ve yönetiminde iç veri tek başına yeterli bir kaynak değildir. Operasyonel riskin ölçümü ile ilgili olarak yaşanan problemlerin bir çoğunun kaynağında, yeterli verinin olmaması, mevcut verinin kullanıma uygun olmaması gibi sorunlar yatmaktadır. İç verinin yeterli olmadığı durumlarda, dış veri ya da senaryolar kullanılabilmektedir. Dış verinin de en az iç veri kadar toplanıyor ve analiz ediliyor olması ve her iki verinin en etkin şekilde uyumlaştırılabiliyor olması, operasyonel risk ölçümünün gelişmiş yöntemlerle gerçekleştirilmesi için gerekli şartlar arasında yer almaktadır. Bu nedenle, iç verinin belli 189

Operasyonel Risk Çalışma Grubu standartlar içinde bankalar arası paylaşıma sunularak ortak bir havuzda toplanması, ya da kamuya açık verilerin bir araya getirilmesi yolu ile dış kayıp verisinin de ulaşılabilir hale getirilmesi gerekir. Operasyonel risklerin ölçümünde ve yönetiminde dış veri ihtiyacını doğuran nedenlere aşağıda değinilmiştir. 1.1. Operasyonel Riskin Ölçülmesi Amacıyla Dış Veri Bankaların bir iç kayıp veri tabanı olsa dahi, sadece iç veri tabanı kullanmanın aşağıda yer verilen bazı sakıncaları bulunmaktadır: İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları, kurum içinde gerçekleşmemiş olabilir. Bu durum, bankanın kayba konu alanda faaliyetinin olmamasından ya da kendi risk yönetim sistemleri ve kontrol becerisinin gelişmiş olmasından kaynaklanıyor olabilir. Banka kendi yaşamamış olsa veya yetersiz kayıp olayına sahip olsa dahi, o kayıp kategorisinde oluşabilecek beklenen kayıp tutarını hesaplamak durumundadır. İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları gerçekleşmiş olsa bile bu olayla ilgili geçmişe ait veya kaliteli veri elde edilmesi mümkün olmayabilir. Bankanın bir kayıp kategorisinde yeterli veri kaydı mevcut olsa bile, bu verilerin genel olarak yüksek sıklık ve düşük şiddetli olması halinde, dağılımın uç kısımlarını oluşturan düşük sıklık ve yüksek şiddetli kayıp verileri hakkında, bankanın bir bilgiye sahip olması mümkün olmayabilir. Yukarıda belirtilen nedenlerle, operasyonel risk ölçümünün gerçekçi ve güvenilir olabilmesi için iç kayıp verileri genellikle tek başına yeterli olmamaktadır. İç veri tabanının yetersiz kalacağı bölge aşağıdaki grafikte de gösterilmiştir. Bu sakıncaların giderilebilmesi için, iç veri kadar dış verinin de hazırlanmış ve erişilebilir olması gerekmektedir. Bu noktada, dış kayıp veri tabanı kullanımı ve senaryo analizi devreye alınarak sağlıklı bir ölçümlemenin yapılması sağlanabilir. Olay Sayısı İç Veri Tabanının Yetersiz Kaldığı Bölge Kayıp Tutarı 190

Bankacılar Dergisi Basel Komitesi tarafından yayımlanan son Basel II Metni ile, belirli kriterleri karşılayan bankalara, Gelişmiş Ölçüm Yaklaşımlarını kullanma imkanı verilmiştir. İç veriyi dikkate alan Kayıp Dağılımı Yaklaşımı (LDA), aynı zamanda riske en duyarlı yöntem olarak kabul görmektedir. Kayıp Dağılımı Yaklaşımı, beklenen ve beklenmeyen kayıplara ilişkin objektif tahminlere ulaşabilmek için bankanın operasyonel kayıplarının sıklık (frequency) ve şiddet (severity) tahminleri aracılığıyla ve standart aktüaryel teknikler kullanılarak modellenmesidir. Bu yaklaşım, temel veri olarak kayıp tutarını esas almaktadır. Bunun nedeni, kayıp tutarının en objektif risk göstergesi olması ve her bankanın kendine özgü risk profilini yansıtmasıdır. Bu yaklaşımın aşamalarından biri, tüm iş kollarındaki anahtar risk alanları itibarıyla ayrı ayrı sıklık ve şiddet düzeylerinin tanımlanmasıdır. Sözü edilen sıklık ve şiddet bilgilerinin ise dış veri ile desteklenmesi sağlıklı bir ölçümlemeye temel teşkil edecektir. Bu bilgilerin, özellikle kuyrukta, iç veri ile yeterince karşılanması mümkün görülmemektedir. Olasılık Toplam Kayıp Dağılımı Beklenen Kayıp Beklenmeyen Kayıp Belirli Güven Aralığı Seviyesi Yıllık Toplam Kayıp Ortalama Yukarıdaki kayıp dağılımı eğrisi grafiğinde beklenen ve beklenmeyen operasyonel risk kayıp tutarları ayrı ayrı gösterilmektedir. Özellikle beklenmeyen kayıp tutarının hesaplanmasında dış verinin önemi açıkça görünmektedir. 1.2. Operasyonel Riskin Yönetilmesi Amacıyla Dış Veri Dış veri tabanının kullanımı, operasyonel riskin yönetimi için de oldukça önem taşımaktadır. Bu kapsamda; Bankalar, kendi bünyelerinde yaşanmamış ancak sektörde yaşanan operasyonel risklerden haberdar olabilecekler ve dış veriye bakarak kendi iç verilerinin yeterliliğini değerlendirme ve sektör deneyimini anlama fırsatını bulacaklardır. Bankalar dış veri sayesinde yaşamadıkları bir kayıp olayı hakkında bir öngörüye sahip olacaklar, kayıp olma olasılığı ve kayıp olması halinde oluşacak kayıp tutarı konusunda bilgi sahibi olup, risk yönetim sistemlerini bu doğrultuda geliştirme, sigorta ihtiyaçlarını gerçekçi olarak belirleme, faaliyette bulunmadıkları bir alanda ise karşılaşılabilecek riskleri ve kayıp olaylarını görerek, o alana yapılması olası yatırımlarını değerlendirme fırsatı bulacaklardır. 191

Operasyonel Risk Çalışma Grubu Yerel denetim otoriteleri, dış veri tabanına erişimlerinin olması durumunda, dış veri tabanını inceleyerek ya da gözlemleyerek, sektörde sıklıkla maruz kalınan operasyonel risk konularından haberdar olabilecek, gerekli görecekleri tedbirleri alabileceklerdir. Özetle, dış veri tabanları, bankaların tipik kayıp olaylarının ne olduğunu görebildikleri, ortak veri tabanında yaşanan olayların kendi bankalarında da görülme olasılığının olup olmadığını sorgulayabildikleri, benzer olaylarda yaşanan kayıp tutarlarını, en yüksek zararı doğuran operasyonel riskleri, risklere açık iş alanlarının hangileri olduğunu, yaşanan kayıpların iş üzerindeki etkilerini, uygulanan iç kontrol ve kullanılan risk göstergelerinin geçerliliğini izleyebildikleri ve bu bilgiler ışığında kendi veri tabanlarını, risk izleme ve yönetim şekillerini değerlendirebildikleri önemli kaynaklardır. 2. Dış Veri Tabanı Tipleri Operasyonel risk uygulamalarında dünyada genel olarak iki tip dış veri tabanı kullanılmaktadır. Bunlar; Konsorsiyum Tabanlı (Consortium-Based) Dış Veri Tabanları, Kamuya Açık (Publicly Released) Dış Veri Tabanlarıdır. 2.1. Konsorsiyum Tabanlı Dış Veri Tabanı Üye bankaların bir anlaşma çerçevesinde ilettikleri verileri bir konsorsiyum bünyesinde toplayan veri tabanlarıdır. Finansal kuruluşların oluşturduğu konsorsiyum tabanlı veri tabanlarında, bilgilerin kaynağını konsorsiyuma dahil bankaların kendi verileri oluşturmaktadır. Konsorsiyum, kayıp verinin toplanması, kontrol edilerek filtrelenmesi, ölçeklendirilmesi, işlenmesi, değerlendirilmesi ve üye bankalara iletilmesi sürecinin organize edilmesinden sorumludur. Bu tür veri havuzları bir çok ülkede ulusal ve uluslararası düzeyde oluşturulmaktadır. Bunlara örnek olarak aşağıdaki veri tabanları mevcuttur: ORX (Operational Risk Data Exchange Association) GOLD (Global Operational Loss Database) DIPO (Database Italiano delle Perdite Operative) Avantajları: Gizlilik: Konsorsiyum üyesi bankalar arasında yapılan anlaşma dahilinde belirlenen ilkeler, bankaların operasyonel riske ilişkin olarak kamuya açıklamak istemedikleri verilerin gizliliğinin korunması açısından son derece önemlidir. Veri tabanı güvenliği, güvenli veri aktarımı konuları hassasiyetle ele alınmalıdır. Güvenilirlik: Veri transferi, uyumlaştırma ve ölçeklendirme gibi konularda doğru ilkeler ortaya konduğu takdirde bu tür verilerin güvenilirliğinin de artması beklenir. Burada güvenilirliğin sağlanmasında, bankaların verilerini doğru ve açık olarak iletmeleri ve başlangıçta yapılan iş kolu ve kayıp veri sınıflamasının tutarlı olması büyük önem taşımaktadır. Özellikle Türkiye gibi ülkelerde yüksek enflayon yaşanmış dönemler için enflasyon düzeltmelerinin, uluslararası konsosiyumlara dahil olunması durumunda kur dönüşümlerinin ve bankalar arasındaki ölçek farklılıklarının da giderilmiş olması gerekmektedir. Filtreleme ve ölçekleme doğru yapıldığı takdirde güvenilirlik artacaktır. Bu tür veri tabanı yönetimleri, bu 192

Bankacılar Dergisi tür ölçeklendirme ve ölçüm metodolojilerinde sadece uygulayıcı değil, aynı zamanda hem uygulamacılardan oluşmaları hem de ortak geniş veri tabanları sayesinde yeni yöntemler sunma konusunda öncü olmalıdırlar. Verim: Konsorsiyum tabanlı dış veriler, kamuya açık veri tabanına göre daha düşük eşik taşıması nedeniyle geniş bir örneklem fırsatı yaratarak daha kesin bir modelleme imkanı sağlar. Esneklik: Konsorsiyum tabanlı dış veri tabanları gerek düzenleme değişiklikleri, gerek sektörel gelişimler nedeniyle ortaya çıkacak ihtiyaçlara karşı daha esnek olmaları nedeniyle tercih edilebilmektedir. Rekabet koşulları nedeniyle gelişmeleri takip etmeleri, kendilerini yenilemeleri ve yeni uygulamaları bünyelerine adapte etmeleri gerekmektedir. Bu konularda konsorsiyum üyesi bankaların beklentileri de belirleyici olmaktadır. Dezavantajları: Kapsam: Veriler konsorsiyum üyeleri ile sınırlıdır. Konsorsiyum üyesi olmayan bankaların kamuya mal olan bilgilerinin bu veri tabanlarına yansımaması nedeniyle şiddeti yüksek, sıklığı düşük olayların oranı, olması gerektiğinden daha düşük çıkmaktadır. Buna bağlı olarak modelleme kuyruk değerlerini yeteri kadar içeremeyebilir. Bankaların operasyonel kayıplarını gizli tutmaya eğilimli olmaları nedeniyle, dış veri tabanlarına tüm kayıp tutarları yansımayabilir. Maliyet: Veri toplamak için gerekli alt yapının belirli bir maliyeti olması, konsorsiyuma katılan bankalar için bir dezavantaj olabilmektedir. Heterojenlik: Dış verilerin kaynağı olan bankaların faaliyetlerinin içerikleri ve yoğunlukları, kontrol sistemleri ile bilanço büyüklükleri farklılıklar arz etmektedir. Kontrol sistemleri zayıf bankaların kayıp verileri daha fazla olacağı için, güçlü kontrol sistemleri oluşturmuş ve operasyonel riskleri düşük olan bankaların veri tabanında temsil edilme oranı daha düşük olacaktır. Güvenilirlik: Konsorsiyum üyesi bankaların kasıtlı olarak yanıltıcı ve hileli bilgi vermeleri, verilerin doğru sonuç vermemesine neden olacaktır. Güvenilirlik konusundaki diğer bir dezavantaj ise bu verilerin konsorsiyum tarafından usulsüz kullanılabilme olasılığıdır. Bu tür veri tabanında güvenilirliğin sürekliliği için konsorsiyumun belirli periyotlarla dış denetimden geçmesi tavsiye edilmektedir. Zaman: Kamuya açık dış veri tabanı oluşturulma sürecine göre daha uzun bir süreç gerektirir. 2.2. Kamuya Açık Dış Veri Tabanı Kamuya açık dış veri tabanları, sadece kamuya duyurulan çok yüksek şiddetteki kayıp olaylarını içerir. Bu tür veriler mahkeme kayıtlarından, haber raporlarından, borsa kayıtları gibi kamuya açık kaynaklardan elde edilir. Bu tipteki veri tabanları için kayıp eşiği konsorsiyum tabanlı veri tabanlarından çok daha yüksektir. 193

Operasyonel Risk Çalışma Grubu Avantajları: Maliyet: Kamuya açık verilerden oluşan dış veri kaynakları zaman, iş gücü ve finansal açıdan daha düşük maliyetlidir. Zaman: Konsorsiyum tabanlı dış veri tabanına göre oluşturulma süreci daha kısadır. Güvenilirlik: Kamuya açık kaynaklardan elde edilen dış veriler olması nedeniyle güvenilirliği yüksektir. Amaca Uygunluk: Genelde bu tür veri kaynakları, sıklığı düşük, şiddeti yüksek verileri içermekte ve ölçüm sürecinde, iç veriden daha düşük verim sağlamakla birlikte, geniş çapta kuyruk olaylarının ölçüme katılmasını ve beklenmeyen kayıp miktarının daha tutarlı hesaplanması sağladığı için olumlu bulunmaktadır. Dezavantajları: Kapsam: Veri eşiğinin yüksek olması ve sadece sıklığı düşük, şiddeti yüksek verileri içermesi nedeniyle, sadece bu verilerin kullanılması durumunda, modelleme için yeterli olmamaktadır. Amaca Uygunluk: Konsorsiyum tabanlı dış veri tabanına göre verinin adeti ve çeşitliliği daha azdır. Operasyonel riskin ölçümü ve yönetilmesi amacıyla kullanımı kısıtlıdır. 3. Dış Veri Tabanları Uluslararası Uygulamalar 3.1. Konsorsiyum Tabanlı Dış Veri Tabanları Uygulamada konsolide veri tabanları, operasyonel riskin sayısallaştırılmasına ve karşılaştırılmasına yönelik (benchmarking) veri hizmetleri ile tahminsel faktörler hakkında bilgi toplanması, kayıp olaylarının raporlanması, risk analizi, operasyonel risk kayıp olaylarının incelenmesi ve senaryo analizi gibi imkanlar sunmaktadır. Güvenli bir ortamda, üyelerin gizliliğini koruyacak biçimde kaliteli verinin paylaşımının sağlanması amaçlanır. Üyelerden gelen verinin kaliteli olmasını teminen, verinin önceden belirlenen standartlara uygun olması gerekir. Bu amaçla her kayıp olayın bildiriminde zorunlu olan bilgi setinin hazırlanması, raporlanacak bilgilerin tanımlanması; veri tabanının oluşturulması, verilerin depolanması ve kullanılmasıyla ilgili detay prosedürlerin belirlenmesi; veri onaylama, temizleme ve ölçümüne ilişkin standartların ve kullanılan analiz metodlarının açıklandığı bir rehberin oluşturulduğu görülmektedir. Konsorsiyuma katılmak isteyen bir bankanın veri toplama ve gönderme kapasitesini kanıtlaması beklenir. Veri toplama kapasitesini kanıtlayan bankalardan toplanan veriler, kontrol ve onaylama sürecinden geçirilir. Anonim, temiz ve ölçeklendirilmiş kayıp verisi, analizler ve standart raporlar üyelere dağıtılır. Veriler önceden belirlenen eşik değeri dikkate alınarak toplanır. 194

Bankacılar Dergisi Verilerin toplanıp dağıtılması sırasında, verinin temin edildiği üyenin gizliliği ilkesi benimsenmektedir. Bu nedenle, veriler bağımsız bir yetkili tarafından, kaybı bildiren bankanın kimliğinin gizliliği korunacak biçimde ölçeklendirilir. İngiliz ve İtalyan Bankalar Birlikleri, konsorsiyum tabanlı GOLD ve DIPO veri tabanları örneklerinde olduğu gibi, veri tabanı organizasyonlarında tarafsız merciler olarak aktif görev almaktadırlar. Uygulamalarda veri gönderimi, yılda dört defa, üç ayda bir gerçekleştirilir. Kayıp o- laylarının tespiti ve tahsilatların sonuçlanması ve detaylı hazırlanan dönemsel bilançolar göz önüne alındığında bu süre makul gözükmektedir. 3.2. Kamuya Açık Dış Veri Tabanları Kamuya açık dış veri tabanlarındaki veriler, kullanıcıların operasyonel riskleri anlamalarını, kayıp olasılıklarını analiz etmelerini, veri tabanındaki kayıpları kendi bankalarına göre ölçeklendirerek operasyonel risk profillerini belirlemelerini ve riske maruz sermayeyi hesaplamalarını sağlar. Operasyonel kayıpların sıklık ve şiddetleri ile ilgili grafiksel analizler kayıp olaylarına dair açıklamalar, idari yönetim ve risk yöneticilerine operasyonel risk kaynaklarını anlama ve sayısallaştırma konusunda yol gösterecek ölçütler sunar. OpVar Sistemi, Monte Carlo Simulasyonu, En Çok Olabilirlik Kestirimi Yaklaşımı, sigorta fayda analizi, iç ve dış veri tabanlarını birleştirme teknikleri gibi birçok teknik/araç sunar. Veri tabanları yılda 4 ya da 2 kere güncellenmektedir. 4. Dış Verinin İç Veri İle Birlikte Kullanımı Dikkat Edilmesi Gereken Hususlar Operasyonel risk sermayesinin hesaplamasında iç ve dış verinin birlikte kullanılması ile ilgili olarak öncelikle iki temel noktanın üzerinde durulması faydalı olacaktır. 4.1.Verinin Geçerliliği Bankanın kendi yapısına uygun dış veriyi kullanması operasyonel risk ölçümlerinin doğruluğu açısından önemlidir. Bir bankanın operasyonel risklerden kaynaklanan kayıplarının temel sebeplerinden birisi iç kontrol sistemi ve kendi iç süreçlerinde meydana gelen aksaklıklardır. Her bankanın işleyişi farklı olacağından, bir bankanın kayıp verisi bir diğeri için geçerli olmayabilir. Örneğin, kontrol faaliyetleri güçlü olan bankaların kayıp dağılımlarında kuyruğun ortalamadan daha ince olması beklenir. Bu nedenle, dış verinin gruplara ayırılması ve sadece ilgili grubun verilerinin kullanılması ya da her bir dış veri için uzman görüşüne başvurularak uygun olmayan verilerin veri setinden ayıklanması faydalı olacaktır. 195

Operasyonel Risk Çalışma Grubu 196 4.2. Veriyi Sağlayan Bankanın Büyüklüğü ve Ölçeklendirme Bilgi paylaşımında bulunacak bankaların farklı yapı ve büyüklükte olmaları, toplanan kayıpların belirli bir sınıflandırmaya tabi tutulmasını gerektirecektir. Verinin geçerliliğinin belirlenmesinde kullanılan gruplama yöntemi burada da kullanılabilir. Bir başka yöntem ise banka büyüklüğü ve veri sıklığı arasındaki ilişkiyi belirlemek amacıyla bir regresyon analizi yapmaktır. Banka büyüklüğü ve kayıp olayı şiddet verisi arasındaki ilişki de aynı şekilde belirlenebilir. Bunun için bankalar çeşitli kriterler bazında ölçeklendirilerek gruplandırılabilir. Ölçeklendirmede; Bildirimi Yapan Bankanın Büyüklüğü (Aktifler, Gelirler, Karlılık,Şube sayısı...) Kaybın Gerçekleştiği İş Kolunun Büyüklüğü (Aktif Toplamı, Gelir/Gider Toplamı) Çevresel / Fiziki Faktörler İç denetim ortamı (müfettiş ve iç kontrol elemanı sayıları, iç kontrolün şube ve birimlerin tümünde etkin olup olmadığı, denetim sıklığı vb.) gibi kriterler dikkate alınabilir. Hem dış verinin geçerliliğinin hem de dış veriyi sağlayan bankanın büyüklüğünün dış veriyi kullanacak banka için uygun olup olmadığının tespitinde birden fazla yöntem uygulanabilir. Her yöntemin avantaj ve dezavantajları olabilir. Önemli olan her bankanın kendi yöntemini oluşturması, bu yöntemi yazılı hale getirmesi ve düzenli olarak gözden geçirmesidir. II. Dış Veri Ve Türkiye Değerlendirmesi 1. Türkiye de Dış Veri Tabanının Kapsamının Belirlenmesi Dış veri tabanı kurulmasına ilişkin çalışmalara başlamadan önce, Türkiye uygulamasında karar verilmesi gereken ilk husus, dış veri tabanının, bankaların bir araya gelerek oluşturduğu konsorsiyuma dayalı bir veri tabanı mı ya da kamuya açık verilere dayalı bir veri tabanı mı olacağıdır. Ülkemizde bankaların yararlanabileceği ortak bir dış veri tabanı oluşturulmasına ilişkin süreçte, karar verilmesi gereken ikinci husus ise, konsorsiyuma dayalı bir veri tabanı söz konusu olursa kapsamının ne olacağıdır; Bankaların kendi iç veri tabanlarından beslenen geniş kapsamlı bir dış veri tabanı mı? Bankaların ortaklaşa belirledikleri kayıp kategorilerinde topladıkları iç verilerinden oluşturulan, daha dar kapsamlı bir dış veri tabanı mı? Bu aşamada seçim yapılırken göz önünde bulundurulması gereken en önemli husus, dış verinin hangi amaçla kullanılacağıdır. Operasyonel Riskin Ölçümü: Dış verinin, gelişmiş ölçüm yaklaşımlarından biri olan kayıp dağılımı yaklaşımında operasyonel riskin ölçümü amacıyla kullanılması söz ko-

Bankacılar Dergisi nusu ise bu yaklaşımda öncelikli olarak iç veri kullanıldığından, bankaların kendi iç veri tabanlarını oluşturmaları gereklidir. Ayrıca operasyonel riskler için senaryo oluşturma ve öz değerlendirme çalışmaları için de referans değerler olarak dış veri tabanlarından faydalanılabilir. Operasyonel Riskin Yönetilmesi: Dış verinin operasyonel riskin yönetilmesi amacıyla kullanımı söz konusu ise, bankaların kendi iç veri tabanlarını oluşturmalarını beklemeden belirledikleri bazı risk kategorilerinde kayıp verilerini paylaşmaları faydalı olabilecektir. Bu tür bir dış veri tabanının ileride bankaların kendi iç veri tabanlarını oluşturmaları sonrasında, operasyonel riskin ölçümünde de kullanılabilmesi için özellikle sıklığı düşük, şiddeti büyük olan olay tiplerine odaklı, dar kapsamlı bir veri tabanı o- luşturulması tercih edilebilir. Dış olaylardan kaynaklanan risklerin tüm bankaları etkileyebileceği ve bankalar açısından paylaşılmasının daha kolay olabileceği düşüncesinden hareketle, ilk aşamada bu tür risklere ilişkin kayıp verilerinin toplanması uygun olabilecektir. Dış dolandırıcılık olayları ve doğal felaketlerden kaynaklanan kayıplar buna örnek olarak gösterilebilir. Dış dolandırıcılık olaylarında, halen bankalar arasında paylaşılan dolandırıcılık girişimlerine ilişkin bildirime benzer bir sistemin uygulanması mümkündür. Sektörde bir dış veri tabanı oluşturulması çalışması başlatılması durumunda, öncelikle sektördeki tüm bankaların iç veri tabanı oluşturma konusunda ne aşamada olduklarının düzenlenecek yeni bir anket yardımıyla tespit edilmesi dış veri tabanının kapsamının ne olacağına ilişkin yukarıda belirtilen soruların sağlıklı olarak cevaplandırılması açısından yararlı olacaktır. 2. Türkiye de Dış Veri Tabanı Uygulaması Türkiye de dış veri tabanı oluşturulması sürecinde, öncelikli olarak toplanacak verilerin hangi çatı altında birleştirileceğinin, dış veri tabanının oluşturulması ve bilgi paylaşımının takibi sorumluluklarının hangi kurum tarafından üstlenileceğinin belirlenmesi gerekecektir. Dış veri tabanı oluşturulmasında uluslararası uygulamaların, banka ortaklı özerk firmalar (konsorsiyumlar) ve kamuya açık veriler toplayan özel firmalar kurulması şeklinde oluştuğu görülmektedir. Dış veri tabanı tiplerine göre ülkemizde nasıl bir yapı kurulması gerektiği konusundaki durum değerlendirmesi aşağıda sunulmuştur. 2.1. Konsorsiyum Tabanlı Dış Veri Tabanı Konsorsiyum tabanlı dış veri tabanının kurulması aşamasında dikkat edilmesi gereken hususların başında gizlilik gelmektedir. Operasyonel risk kayıpları genelde, içeriği itibarıyla kurumların başkaları tarafından bilinmesini istemeyebilecekleri tecrübelerini içerecektir. Bu nedenle bankalar operasyonel kayıplarını paylaşırken, bu bilgilerin tam gizlilik esasına dayalı olarak saklanıp kullanıma sunulacağından emin olmak isteyeceklerdir. Bunun yanı sıra katılımcı bankalar, konsorsiyum yönetiminin, toplanacak verilerin güvenilirliğini (tam ve doğru olmasını) filtreleme ve ölçekleme gibi yöntemlerle sağlamasını bekleyeceklerdir. 197

Operasyonel Risk Çalışma Grubu Bu görevi üstlenecek kurumun bilgilerin paylaşımı, saklanması ve kullanıma sunulması aşamalarında gerekli alt yapıya sahip ve bu süreçlerin en rahat şekilde işlemesini sağlayabilecek kabiliyette olması gerekmektedir. Söz konusu kurumun yapısı, banka ortaklı özerk bir yapı şeklinde olabilir. Bu yapı TBB nin yönetici olarak görev alacağı bir şekilde de oluşturulabilir. TBB desteği ile kurulabilecek ya da TBB nin yöneticiliğini üstlenebileceği bir yapı, benzer şekilde konsorsiyum tabanlı dış veri tabanları olan GOLD da (Global Operational Loss Database) BBA (British Bankes Association) ve DIPO da (Database Italiano delle Perdite Operative) ABI (Associazione Bancaria Italiana) temsilcilerinin yönetimde yeraldığı organizasyon yapılarında görülmektedir. 2.2. Kamuya Açık Dış Veri Tabanı Bu tür bir veri tabanının kurulabilmesi için ilk aşamada, büyük kayıp olaylarını kamuya açık kaynaklardan araştıracak ve önceden belirlenen kriterlere uygun kayıp olaylarının veri tabanına girişini gerçekleştirecek bir ekibe gereksinim duyulacaktır. Türkiye de bu tür bir veri tabanı kurulmak istenirse bunu gerçekleştirecek en uygun kurumun, yurt dışı uygulamalarda da olduğu gibi, bu tür bir ekibin maliyetini karşılayabilecek özerk bir kurum olacağı düşünülmektedir. Bankalar belirli bir ücret karşılığında bu kurumun oluşturduğu veri tabanından faydalanabilirler. Yurt dışındaki uygulamalarda bu tür veri tabanlarının, özel firmalar tarafından, operasyonel riskin ölçümüne yönelik yazılımlarla birlikte bir paket olarak, kurulum ve kullanım aşamalarında danışmanlık da sağlanarak bankalara sunulduğu görülmektedir. Bu şekilde sektörün operasyonel riskin ölçümüne yönelik bilgisinin artması da beklenen olumlu bir sonuç olacaktır. Veri tabanında toplanan veriler kamuya açıklanan veriler olduğundan gizlilik bir sorun teşkil etmemekte, dolayısıyla kayıp olay tipine, iş koluna ya da istenilen herhangi başka bir kritere göre arama ve filtreleme yapmaya olanak sağlayan excel ya da access tabanlı bir veri tabanı uygun olmaktadır. 2.3. Veri Tabanı Hakkında Karar Verilmesi Gereken Genel Hususlar Veri tabanı dış denetime tabi olup olmama durumu, Veri tabanı BDDK kontrolü: Denetim otoritesinin bu veri tabanını ne şekilde izleyeceği, banka verileri görüntüleyip görüntüleyemeyeceği, Veri tabanı oluşturulmasında danışmanlık alımı, Veri tabanı konsorsiyumunda TBB nin görevi, Sektörde iç veri tabanı çalışmalarının durumunu tespit etmek üzere bir anket yapılması Verinin doğru ve tutarlı olup olmadığının kontrolü için, olay tipi bazında muhasebe skontlarının standart hale getirilmesi hususuna katılıp katınılmadığı gibi hususlar netleştirilmelidir. 3. Dış Veri Tabanı Oluşturma Sürecinin Temel Aşamaları Türkiye uygulamasında dış veri tabanı oluşturulmasına yönelik olarak öncelikle yapılması gerekenler ve temel aşamaları aşağıda kısaca belirtilmiştir: 198

Bankacılar Dergisi Dış veri tabanı kurulmasına yönelik ilk adımı atmak üzere bankalar bir araya gelmelidir. Dış veri tabanının nasıl bir yapıda kurulacağı belirlenmelidir. Konsorsiyum şeklinde kurulacaksa yönetiminin nasıl oluşturulucağına, Türkiye de yerleşik kamuya açık bir veri tabanı kurulacak ise operasyonel risk verisi toplayan uluslararası kurumlardan biri tarafından mı ya da yeni kurulacak özerk bir kuruluş tarafından mı oluşturulacağına karar verilmelidir. Veri tabanının konsorsiyum şeklinde kurulması halinde, katılımcı bankaların hükümlerine ortaklaşa karar verecekleri bir anlaşma imzalamaları ve konsorsiyumun kuruluş ve işletim masraflarını paylaşmaları sağlanmalıdır. Ortak bir operasyonel risk tanımı yapılmalıdır. İhtiyaç duyulan veri detayı kapsamlı olarak belirlenmelidir. Dış kayıp veri tabanı oluşturulması ve veri paylaşımı konusundaki olası tüm sorulara cevap verebilecek tanımlamaları (operasyonel risk, kayıp, işkolu, olay ve etki türü tanımları, sınıflandırmada dikkat edilecek hususlar, eşik değeri, brüt kayıp hesaplaması, zaman değerlendirmesi vb.) içeren prosedürler oluşturulmalı, veri gönderimine ilişkin görev ve sorumluluklar belirlenmelidir. Veri tabanında yer alacak kayıp için eşik koyulup koyulmayacağına karar verilmeli, eşik koyulmasına karar verilmesi durumunda bu eşiğin ne olacağı belirlenmelidir. Eşik miktarı belirlenirken bankalararası ölçek farklılıkları göz önünde bulundurulmalıdır. Kaybın sayısallaştırılması ve sınıflandırılmasında sistematik bir yol izlenmelidir. Yazılıma ilişkin güvenlik sağlanmalıdır. Konsorsiyum tabanlı bir veri tabanı kurulması halinde, verilerin doğru, tutarlı ve amaca uygun olması, diğer bir deyişle veri kalitesinin sağlanması konusunda teşvik ve yaptırım mekanizmaları oluşturularak gerekli tedbirler alınmalıdır. - Gizliliğin korunması: Veri bildirimi yapan banka ve olayla ilgili kişilerin isminin saklı tutulması, şifreleme, vb. yöntemlerle yetki ve sorumluluklar paralelinde verilere ulaşımın sınırlandırılması. - Objektifliğin temin edilmesi: Dış veri tabanının oluşturulması ve paylaşılmasında görev alan kurum ve kişilerin objektif ve bağımsız olmalarını sağlayacak tedbirlerin alınması. - Veri gönderimi için standart periyotların belirlenmesi (örneğin; uluslararası uygulamalarda olduğu üzere çeyreklerde bildirim yapılması - Raporlanan verilerin merkezi olarak kontrolü yapıldıktan, anonimleştirilip temizlendikten sonra girişinin yapılması ve doğru / amaca uygun olmayan verilerin a- yıklanması. - Bildirim yapan bankalara, faydalı ve anlaşılabilir geri bildirimde bulunulması. - Bildirimde kullanılan raporlama sistemlerinin kullanımının kolay ve anlaşılır olması. 199

Operasyonel Risk Çalışma Grubu - İlk etapta veri tabanı üzerinde iyileştirmeler devam edeceğinden, katılımcı bankalara geçmiş dönemlerde raporladıkları kayıp olaylarını düzelterek tekrar gönderme şansının verilmesi. - Veri kalitesinin sağlanması için, konu ile ilgili karşılaşılabilecek soru ve sorunlara ilişkin kurum bünyesinde konunun uzmanına danışabilme imkanının sağlanması. - Verinin doğru ve tutarlı olup olmadığının kontrolü için, olay tipi bazında muhasebe skontlarının standart hale getirilmesi. Ölçeklendirme yöntemleri oluşturulmalıdır. Bu noktada veri tabanı oluşturma projelerinin uzun zaman alan çalışmalar olduğu ve ülkemizde iç veri tabanlarının sektördeki gelişiminin de yeni ivme kazandığı dikkate alındığında, uluslararası örneklerin dikkatle incelenmesi, risk ölçüm ve raporlama sistemleri için de danışmanlık desteği alınması sektöre avantaj sağlayabilecektir. 4. Türkiye de Kurumlar Arası Veri Paylaşımına Örnek Teşkil Eden Uygulamalar Türkiye uygulamalarına baktığımızda, konsorsiyum şeklinde yapılandırılmış kurumlara Kredi Kayıt Bürosu A.Ş. (KKB) ve Bankalar Kart Merkezi A.Ş. (BKM) örnek gösterilebilir. 4.1. Kredi Kayıt Bürosu A.Ş. (KKB) Kurumun amacı, Türkiye Bankalar Birliği'nin de desteği ile, ana faaliyet konuları para ve sermaye piyasaları ile sigortacılık olan mali kurumlar arasında bireysel kredilerin takip ve kontrolünü sağlamak üzere gerekli olan bilgi paylaşımını gerçekleştirmektir. 1993 yılında 3182 sayılı Bankalar Kanunu'nun 83. maddesine eklenen ve kredilerin takip ve kontrolüne olanak sağlayan bir hükümle mali kurumların ihtiyaç duyduğu "kurumlar arasında kredi müşterilerine yönelik bilgi paylaşımı ile ilgili düzenleme doğrultusunda, 1995 yılında 11 bankanın ortaklığı ile kurulmuştur. 4389 sayılı Bankalar Kanunun 22. maddesi, 9 numaralı fıkrası 17.12.1999 tarihli ve 4491 sayılı kanunun 13.maddesi ile değiştirilerek, bilgi paylaşım olanağından, ana faaliyet konuları para ve sermaye piyasaları ile sigortacılık olan mali kurumların yanı sıra Bankacılık Düzenleme ve Denetleme Kurumu tarafından uygun görülecek şirketlerin de yararlanabilmeleri ve bu amaçla KKB A.Ş.'ye üye olabilmeleri sağlanmıştır. Kurucu üye konumundaki 11 bankanın 25 Milyar TL sermaye payı ve toplam 275 Milyar TL sermaye ile faaliyetine başlayan KKB A.Ş. de üye statüsüne sahip olarak hizmet almak isteyen diğer kurumlar Yönetim Kurulu tarafından belirlenen üyelik tesis ücretini ödeyerek Kredi Referans Sistemi hizmetlerinden faydalanma olanağına sahip olabilmektedirler. Aralık 2005 itibarıyla 27 aktif üyeye sahip olan kurum; Üyelerine veri tabanında mevcut bulunan, son 5 yıl içindeki açık ve kapalı tüm kredi hesaplarına ait kişisel ve finansal bilgilere (toplam kredi riskine, hesap bazında ödeme performasına, vb.), online/real-time erişebilme imkanı sunmaktadır. 200

Bankacılar Dergisi Tüm üyelerin sorgulama sonrasında elde edeceği bilgiyi aynı şekilde yorumlamasına olanak sağlayacak standart raporlar geliştirmiştir. Kredi hesap ve başvuru kayıtlarında, bilgiyi sağlamış olan, yani kaydın sahibi konumunda olan üye kuruluşun ismini (unvanını) gizli tutmakta; sorgulama işlemi ile bir başka üye kurumun bu tür bilgisine ulaşan kurumun, bilginin hangi üyeye ait olduğunu öğrenmesini engellemektedir. Üyelerin bünyesinde mevcut bilgilerin KRS veri tabanına aktarılması aşamasında gerçekleştirilen her türlü bilgi bildirimini (ilk veri bildirimi, güncelleme bildirimi) ilgili validasyon işlemlerinden geçirmekte ve çeşitli kontrol kriterleri ile irdelemektedir. Hatalı bildirimlerde üyeyi uyarmakta ve bildirimin tekrarını istemektedir. Üyelerin KRS veri tabanında bulunan kayıtlara kısa sürelerde ulaşmasına olanak sağlayan bir arama motorunu oluşturmuştur. KKB nin geliştirmiş olduğu sistemin yararları aşağıda yer almaktadır; Bireysel kredi riskinin minimize edilmesini sağlayacak erken uyarı sinyallerini içermesi, Kredi risk yönetimi konusunda kredi riski ölçüm sistemi olması, Veri ambarı yönetimi sağlaması, Müşteri yönetimi sağlaması, Kredi başvurularına ilişkin sahtekarlık girişimlerinin minimize edilmesini sağlaması. 4.2. Bankalar Arası Kart Merkezi (BKM) Bankalar Arası Kart Merkezi (BKM), kartlı ödeme sistemi içerisinde ortak sorunlara çözüm bulmak, ülkemizdeki banka ve kredi kartları kural ve standartlarını geliştirmek amacıyla 1990 yılında, 13 kamu ve özel Türk bankasının ortaklığı ile kurulmuştur. BKM'nin ana faaliyetleri arasında; Kart hamillerinin yaptıkları alışverişlerden kaynaklanan borç ve alacaklarının bankalar arasındaki takası sağlamak, bankalar arasındaki otorizasyon işlemini yürütmek, kredi kartı ve banka kartı sektörü içerisinde bulunan bankalar arasında uygulanacak prosedürleri geliştirmek, yurt içi kuralları oluşturmak, standardizasyonu sağlamaya yönelik çalışmalar yaparak kararlar almak, yurt dışı kuruluş ve komisyonlar ile ilişkiler kurmak ve gerektiğinde üyelerini bu kuruluşlarda temsil etmek, halen her banka tarafından devam ettirilen işlemleri daha güvenli, süratli ve daha az maliyetli tek bir merkezden yürütmek yer almaktadır. BKM Yönetim Kurulu eşit oy hakkına sahip dokuz üye ve iki mali kontrolörden oluşmaktadır. Uygulama Geliştirme, Operasyon, Üye İlişkileri ve Kurallar, Mali ve İdari İşler olmak üzere Genel Müdüre bağlı dört bölüm faaliyet göstermektedir. 201

Operasyonel Risk Çalışma Grubu 5. Dış Veri Tabanında Bulunması Önerilen Ortak Bilgiler Mevcut ölçüm yöntemleri ve yönetsel ihtiyaçlar doğrultusunda uluslararası uygulamalar da dikkate alınarak, oluşturulması söz konusu olabilecek ortak dış veri tabanında bulunması önerilen veri belirlenmiş ve bir örnek olaya yer verilmiştir (Bkz. Ek-1). Ayrıca Ek-1 dışında, ölçeklendirme çalışmaları için; Bildirimi Yapan Bankanın Büyüklüğü (Aktifler, Gelirler, Karlılık,Şube sayısı...) Kaybın Gerçekleştiği İş Kolunun Büyüklüğü (Aktif Toplamı, Gelir/Gider Toplamı) Çevresel / Fiziki Faktörler İç denetim ortamı (müfettiş ve iç kontrol elemanı sayıları, iç kontrolün şube ve birimlerin tümünde etkin olup olmadığı, denetim sıklığı vb.) gibi kriterler de konsorsiyuma veri güncelleme dönemleri itibarıyla iletilmelidir. Bankalarca çeşitli kaynaklardan dış veri kullanılması durumunda, bankaların iç veri tabanlarında yer alan bilgi alanlarına dış veri referans numarası ve dış veri kaynağı şeklinde iki alan daha eklemeleri, iç ve dış verilerin ayrıştırılması ve ayrı olarak takibi açısından yararlı olacaktır (Bkz. Ek-2). Kaynakça TBB, (2004) Operasyonel Risk Veri Tabanı, Türkiye Bankalar Birliği Operasyonel Alt Çalışma Grubu, Türkiye Bankalar Birliği Bankacılar Dergisi, Haziran 2004. BDDK, (2005) Operasyonel Riske Basel Yaklaşımı: Risk Verilerine İlişkin Bir Değerlendirme, Murat Mazıbaş, BDDK Araştırma Raporları 2005/2. An LDA-Based Advanced Measurement Approach for the Measurement of Operational Risk Ideas, Issues and Emerging Practices, (www.newyorkfed.org), Mayıs 2003 (Sunum). ABI, (2005) Collecting loss data:characteristics and purposes of the characteristics and purposes of the Italian Database on Operational Losses, Temmuz 2005 (Sunum). British Bankers Association, (2005) Global Operational Loss Database(GOLD), www.bba.org.uk. 202

Bankacılar Dergisi Ek-1: Operasyonel Risk Dış Veri Tabanı Ortak Veri Alanları A. KAYIP BİLGİLERİ Bilgi Alanı Detay Bilgi Alanı Örnek Referans No. 20041711012 Grup kodu 1 Organizasyon / Banka İsmi ve Kodu XYZ Bankası Kayıt Girişini Yapan Kişinin Adı Soyadı Alper Çamlı Onay Veren Bölüm / Kişi Ortak Veri Tabanı Yönetimi Olayın Tanımı / Açıklaması Suiistimal sonucu aktif kaybının oluşması Olayın Sebebi Limit Aşımları, Yetkisiz İşlemler Faaliyet Kolu Bkz. Risk Matrisi İşlevsel Faaliyet Listesi 1. ve 2. düzey Yatırım Bankacılığı Kayıp Kategorileri Bkz. BIS Kayıp Kategorileri İç Dolandırıcılık Sistem Riskin Kaynağı Süreç İnsan Dış Olaylar - Birim FX-TL Masası Kaybın Yeri Bölüm Hazine Coğrafi Bölge / Ülke İstanbul Oluştuğu Tarih 01/10/2004 Tarih Bilgileri Tespit Edildiği Tarih 01/10/2004 İptal veya Revize Tarihi - Denetim Sonucu - Kaybın Nasıl Tespit Edildiği Müşteri Şikayeti - Personel Bildirimi - Diğer Brüt Kayıp Tutarı (Tutar, Döviz Cinsi) Gerçekleşen Kayıp Tutarı 5.000.000.000.000.- TL Sigorta (Tazmin Tutarı, Prim Tutarı) 1.000.000.000.000.-TL Mahkeme - Kayba İlişkin Tahsilat Bilgileri Karşı Taraf / Müşteri - (Tutar, Tarih, Açıklama) Personel 40.000.000.000.- TL Diğer - Ölçeklendirilmiş Kayıp Tutarı - Kaybın Muhasebeleştirilme Tarihi 13/12/2004 Kaybın Kayıtlara Alındığı Hesap Skontu 861 Finansal Kayıp Muhasebe Düzeltmesi - Fiziksel Varlıkların Zarar Olayın Direkt Etkisi Görmesi / Çalınması / Kaybolması / Tahrip Edilmesi - Kayıp / Kazanç Müşteri Zararının Tazmini - Ceza / Yaptırım - Dış Etki - Olayın Maddi Olmayan Etkisi Medyaya Yansımayan Müşteri Şikayetleri - Medyaya Yansıyan Müşteri Şikayetleri Diğer - Veri Kalitesi Yönünden Onaylanmış Olayın Statüsü Kriterlere Uygun Ölçeklendirme Yapıldığına - İlişkin Onaylanmış İptal - Veri Kalitesinden Sorumlu Kişi - 203

Operasyonel Risk Çalışma Grubu B. RİSK YÖNETİMİ Bilgi Alanı Detay Bilgi Alanı Örnek Denetime Tabi Olup Olmadığı İç Kontrol Merkezi H (Evet(E) / Hayır (H)) Teftiş Kurulu Başkanlığı H Sistem Yetersizliği Yetki İhlali Kontrol Eksiklikleri Mutabakat Eksikliği Prosedür İhlali Diğer - Soruşturma Kaybın Soruşturma / İnceleme / İnceleme - Dava konusu Yapılıp Yapılmadığı Dava konusu - Diğer - Kaybın Piyasa veya Kredi Riski ile Piyasa Riski Birleşik Operasyonel Riskten Kredi Riski - Kaynaklanıp Kaynaklanmadığı Operasyonel Risk Bilgi Alanları Açıklamaları : Referans No. Grup Kodu Bilgi Alanı Organizasyon / Banka İsmi ve Kodu Kayıt Girişini Yapan Kişinin Adı Soyadı Onay Veren Bölüm / Kişi Olayın Tanımı / Açıklaması Olayın Sebebi Faaliyet Kolu Kayıp Kategorileri Riskin Kaynağı Kaybın Nasıl Tespit Edildiği Brüt Kayıp Tutarı (Tutar, Döviz Cinsi) Kayba İlişkin Tahsilat Bilgileri Ölçeklendirilmiş Kayıp Tutarı Olayın Direkt Etkisi Olayın Maddi Olmayan Etkisi Olayın Statüsü Veri Kalitesinden Sorumlu Kişi Kontrol Eksiklikleri Açıklama İşlem referansı Grup kodu ( Konsorsiyum üyelerinin belirli kriterler dahilinde belirlenen grup kodları) Konsorsiyum üyesi kuruluşun ismi ve kodu (EFT sistemindeki kodlar kullanılabilir) Üye bankanın, veri giriş ve düzeltme işlemlerini yapmaya yetkili personeli Konsorsiyumun belirlediği onay mercii (veri alanlarının tam ve doğru doldurulup doldurulmadığından sorumlu mercii) Olay istenilen ölçüde detaylı yazılabilir. Kaybın gerçekleşmesine yol açan temel sebep belirlenerek girilir. BDDK - İşlevsel Faaliyet Listesi BIS - Kayıp kategorileri dikkate alınır, Banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. BIS - Risk kaynakları dikkate alınır, banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. Banka kendi yapısına uygun seçenekleri oluşturur. Bankaların bildirdiği tahsilatı sağlanmış kısım dahil kayıp tutarı. Banka kendi yapısına uygun seçenekleri oluşturur. Konsorsiyum tarafından belirlenmiş kriterlere ve formülasyona göre kayıp tutarının ölçeklendirilmiş hali BIS - Kayıp türleri dikkate alınır, banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. Banka kendi yapısına uygun seçenekleri oluşturur. Veri kalitesinin ve yapılan ölçeklendirmenin konsorsiyumun belirlediği sorumlu tarafından onayı Ortak Veri Tabanı Yönetimi'nde veri kalitesinden sorumlu olan kişi Banka kendi yapısına uygun seçenekleri oluşturur. 204

Bankacılar Dergisi Ek-2: Operasyonel Kayıp İç Veri Tabanı A. KAYIP BİLGİLERİ Bilgi Alanı Detay Bilgi Alanı Örnek İç Veri Evet Hayır - Dış Veri Ref. No. - Konsorsiyum - Medya - Dış Veri Kaynağı Mahkeme Kayıtları - Veri Sağlayan Firma - Diğer - İç Veri Ref. No. 1217 Kayıt Girişi Yapan Kişinin Sicil No. 36886 Kayıt Girişi Yapan Kişinin Birimi/Bölümü Gen. Müd./Muhasebe Onay Veren Bölüm / Kişi Risk Yönetimi Olayın Tanımı / Açıklaması Müşteri Hesaplarından Zimmet Faaliyet Kolu Bkz. Risk Matrisi İşlevsel Faaliyet Listesi Perakende (Bireysel) 1. ve 2. düzey Bankacılık Kayıp Kategorileri Bkz. BIS Kayıp Kategorileri İç Dolandırıcılık Sistem Riskin Kaynağı Süreç - İnsan Dış Olaylar - Birim Antalya Şubesi Kaybın Yeri Bölüm Akdeniz Bölge Yönetimi Coğrafi Bölge / Ülke Akdeniz Bölgesi Oluştuğu Tarih 10/01/2004 Tarih Bilgileri Tespit Edildiği Tarih 10/04/2004 İptal veya Revize Tarihi - Denetim Sonucu - Kaybın Nasıl Tespit Edildiği Müşteri Şikayeti Personel Bildirimi - Diğer - Brüt Kayıp Tutarı (Tutar, Döviz Cinsi) Gerçekleşen Kayıp Tutarı USD 10.567.- Sigorta (Tazmin Tutarı, Prim Tutarı) - Mahkeme - Karşı Taraf / Müşteri - Personel 2.000.-USD Diğer - Kayba İlişkin Tahsilat Bilgileri Beklenen Tahsilat - (Tutar, Tarih, Açıklama) Sigorta - Mahkeme - Müşteri - Personel 8.567.-USD Diğer - Kaybın Muhasebeleştirilme Tarihi 13/12/2004 Kaybın Kayıtlara Alındığı Hesap Skontu 820 Finansal Kayıp Muhasebe Düzeltmesi - Fiziksel Var. Zarar Görmesi Olayın Direkt Etkisi /Çalınmsı/Kaybolması/Tahrip - Edilmesi Kayıp / Kazanç - Müşteri Zararının Tazmini Ceza / Yaptırım - Dış Etki - Olayın Maddi Olmayan Etkisi Medyaya Yansımayan Müşteri Şikayetleri - Medyaya Yansıyan Müşteri Şikayetleri Diğer - 205

Operasyonel Risk Çalışma Grubu A. KAYIP BİLGİLERİ Bilgi Alanı Detay Bilgi Alanı Örnek Olası Kayıp Bilgileri (Tutar, Açıklama) - Açık Kapanmış - Olayın Statüsü (Durum, Tarih) İptal - Diğer Olayı Takipten Sorumlu Kişi - B. RİSK YÖNETİMİ Bilgi Alanı Detay Bilgi Alanı Örnek Denetime Tabi Olup Olmadığı İç Kontrol Merkezi E (Evet(E) / Hayır (H)) Teftiş Kurulu Başkanlığı E Sistem Yetersizliği Yetki İhlali - Kontrol Eksiklikleri Mutabakat Eksikliği - Prosedür İhlali Diğer - Soruşturma Kaybın Soruşturma / İnceleme / İnceleme - Dava konusu Yapılıp Yapılmadığı Dava konusu - Diğer - Sistemsel Kontrollerin Gözden Geçirilmesi Yönetimin Aldığı Kararlar Disiplin Kuruluna Sevk Diğer - Kaybın Piyasa veya Kredi Riski ile Piyasa Riski - Birleşik Operasyonel Riskten Kredi Riski - Kaynaklanıp Kaynaklanmadığı Operasyonel Risk Bilgi Alanları Açıklamaları : Bilgi Alanı İç Veri (Evet/Hayır) Dış Veri Ref. No. Dış Veri Kaynağı İç Veri Ref. No. Kayıt Girişini Yapan Kişinin Sicil No. Kayıt Girişini Yapan Kişinin Birimi/Bölümü Onay Veren Bölüm / Kişi Olayın Tanımı / Açıklaması Olayın Sebebi Faaliyet Kolu Kayıp Kategorileri Riskin Kaynağı Kaybın Nasıl Tespit Edildiği Brüt Kayıp Tutarı (Tutar, Döviz Cinsi) Kayba İlişkin Tahsilat Bilgileri Olayın Direkt Etkisi Olayın Maddi Olmayan Etkisi Yönetimin Aldığı Kararlar / Tedbirler Kontrol Eksiklikleri Açıklama Veri tabanına girilecek kaydın Banka içinden olup olmadığını belirtir. Dış veri işlem referansı (Dış verilerin ayrıca takibinin yapılabilmesi amacı ile girilir) Konsorsiyum, Medya, Mahkeme Kayıtları, Firma vb. dış veri kaynağı belirtilir. İşlem referansı İlk kayıt, düzeltme gibi her türlü giriş için ilgili kişi İlk kayıt, düzeltme gibi her türlü giriş için ilgili bölüm Banka kendi yapısına uygun onay merciilerini tespit eder. Olayın detayı serbest format yazılabilir. Kaybın gerçekleşmesine yol açan temel sebep belirlenerek girilir. BDDK - İşlevsel Faaliyet Listesi BIS - Kayıp kategorileri dikkate alınır, Banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. BIS - Risk kaynakları dikkate alınır, banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. Banka kendi yapısına uygun seçenekleri oluşturur. Bankaların bildirdiği tahsilatı sağlanmış kısım dahil kayıp tutarı Banka kendi yapısına uygun seçenekleri oluşturur. BIS - Kayıp türleri dikkate alınır, banka uygun görürse kendi alt tanımlarını oluşturabilir. Çoklu seçim yapılabilir. Banka kendi yapısına uygun seçenekleri oluşturur. Karşılaşılan riskin giderilmesi/azaltılması/kontrol edilmesine dönük bankanın vereceği kararlar Banka kendi yapısına uygun seçenekleri oluşturur. 206

Bankacılar Dergisi TÜRKİYE BANKALAR BİRLİĞİ SUÇ GELİRLERİNİN AKLANAMSI VE TERÖRİZMİN FİNANSMANI İLE MÜCADELENİN ÖNEMİ VE TÜRK BANKACILIK SİSTEMİNDE UYGULAMA KLAVUZU Mayıs 2006 Yayın No: 246 İsteme Adresi: Türkiye Bankalar Birliği Nispetiye Caddesi Akmerkez B 3 Blok Kat 13 80630 Etiler İstanbul Tel: (212) 282 09 73 Faks: 282 09 46 Web sitesi: www. tbb.org.tr 207

Operasyonel Risk Çalışma Grubu TÜRKİYE BANKALAR BİRLİĞİ TÜRKİYE BANKALAR BİRLİĞİ STATÜSÜ İsteme Adresi: Türkiye Bankalar Birliği Nispetiye Caddesi Akmerkez B 3 Blok Kat 13 80630 Etiler İstanbul Tel: (212) 282 09 73 Faks: 282 09 46 Web sitesi: www. tbb.org.tr 208