Operasyonel Risk Dış Veri Tabanı

Bankacılar Dergisi, Sayı 50, 2004 Operasyonel Risk Dış Veri Tabanı Operasyonel Risk Çalışma Grubu * Bu çalışma, Türkiye Bankalar Birliği bünyesinde çalışmalarını sürdüren Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Grubu - Operasyonel Risk Alt Çalışma Grubu üyelerinin katılımıyla hazırlanmıştır. 1. Giriş Bilindiği üzere 26 Haziran 2004 de yayımlanan Basel II Metninde (International Convergence of Capital Measurement and Capital Standards - A Revised Framework) bankalara ve düzenleyici kurullara, kredi ve operasyonel riskleri için bankacılık operasyonlarına ve yerel finansal piyasalarının durumuna göre, sermaye hesaplamasında kullanacakları en uygun yaklaşımları tercih etme olanağı tanınmıştır. Metne göre sermaye hesaplamasında benimsenecek temel yaklaşımlarda uygulamaya geçiş için en son tarih 2006 yıl sonu, gelişmiş ölçüm yaklaşımları için ise 2007 yıl sonu olarak öngörülmektedir. Uluslararası bankacılık sektöründeki bu gelişmeler ışığında ülkemizde bankaların, operasyonel risk için sermaye gereksinimi hesaplamasında Gelişmiş Ölçüm Yaklaşımlarını (AMA) tercih etmeleri, özellikle de bu yaklaşımlar arasında riske en duyarlı yöntem olarak kabul gören Kayıp Dağılımı Yaklaşımını (LDA) benimsemeleri, beklenen ve beklenmeyen operasyonel kayıp tutarlarını azaltmalarına da hizmet edecektir. Bu yaklaşım, temel veri olarak kayıp tutarını esas aldığından bankaların öncelikle operasyonel risk iç veri tabanlarını oluşturmuş olmaları gerekmektedir. Ancak iç kayıp verisi tüm potansiyel operasyonel risk olaylarını kapsamadığından, beklenmeyen kayıplarla ilgili olarak maruz kalınan risk konusunda değerlendirme yapmaya tek başına yeterli olmamaktadır. Bu nedenle, güvenilir bir dış veri tabanının oluşturulması, iç ve dış kayıp verilerinin birleştirilerek kullanılması, sermaye hesaplaması ve operasyonel riskin yönetilmesi bakımından sağlıklı sonuçlar elde edilebilmesi için önem arz etmektedir. Türk bankacılık sektöründe, operasyonel risk yönetimi konusundaki çalışmalara katkıda bulunmak amacıyla gerçekleştirilen bu çalışmada, Basel II Metni dikkate alınarak operasyonel risklerin sayısallaştırılarak ölçülmesi ve yönetilmesine esas olmak üzere, sağlıklı dış kayıp verilerinin toplanarak tek bir havuzda biriktirilmesi, kullanıcı bankalara uygun erişim imkanı sağlanarak kurumsal yapıya en uygun şekilde kullanılmasına yönelik olarak operasyonel risk dış veri tabanı oluşturulması konusu çeşitli yönleriyle değerlendirilmiştir. Bunun yanı sıra bankacılık sektöründe uluslararası uygulamalar esas alınarak veri tabanı tiplerine, iç ve dış veri tabanlarından sağlanan verilerin birlikte kullanımına ilişkin unsurlar detaylı olarak irdelenmiştir. Çalışma uluslararası bankacılık alanındaki gelişmelere paralel olarak Türk bankacılık sisteminde de sürekli gelişim gösteren operasyonel risk konusunda yol gösterici bir kaynak olarak sunulmuştur. * Katılımcılar: Ahmet Hakan Tankut-Oyak Bank A.Ş., Arzu Hoşer -T. İş Bankası A.Ş., Ayşe Nur Aytemiz- T.C. Ziraat Bankası A.Ş., Belma Özçoban-Tekstil Bankası A.Ş., Elif Akpınar-Türk Ekonomi Bankası A.Ş., Figen Çavdaroğlu-T.Halk Bankası A.Ş., Gülsen Uysal-Tekstil Bankası A.Ş., Oğuzhan Öner-Yapı ve Kredi Bankası A.Ş., Özlem Ernart-T.Garanti Bankası A.Ş., Uğur Yilmazer-Koçbank A.Ş., Ulviye Coşkuner-T. Vakıflar Bankası T.A.O., Yasemin Altuntop-Yapı ve Kredi Bankası A.Ş. 84

Bankacılar Dergisi 2. Operasyonel Risk Dış Kayıp Verisi-Genel Kapsam A. Dış Veri Kullanım Alanı Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Grubu - Operasyonel Risk Alt Çalışma Grubu tarafından, Nisan 2004 itibarıyla yayımlanmış olan Operasyonel Risk Veri Tabanı konulu raporda detayları verildiği üzere, operasyonel risk yönetimine ilişkin temel konulardan biri, operasyonel risk kayıp veri tabanının oluşturulması ve bu verilerin analiz edilmesidir. 26 Haziran 2004 de yayımlanan Basel II Metninde (International Convergence of Capital Measurement and Capital Standards - A Revised Framework) de belirtildiği gibi tüm bankaların, kendi operasyonel risk ve kayıp veri tanımlamalarına uygun olarak, kendi iç veri tabanlarını oluşturmaları tavsiye edilmektedir. Bankalar, operasyonel risklerin ölçüm sürecinde temelde iç veri kullanmaktadır. İç veri, operasyonel risklerin ölçümünde kullanılan en uygun ve bankanın kendi bünyesinden sağlanması nedeniyle en güvenilir kaynaktır. Ancak, yüksek şiddet ve düşük sıklık taşıyan kayıp verilerini yeterli olarak içermemesi nedeniyle, genel olarak operasyonel riskin ölçüm ve değerlendirme sürecinde yeterli olmamaktadır. İç verinin yeterli olmadığı durumlarda, istatistiki yöntemlerle birleştirilmiş dış veri kullanılabilmektedir. Bu nedenle, iç verinin bankalararası paylaşıma sunularak ortak bir havuzda toplanması, ya da kamuya açık verilerin bir araya getirilmesi yolu ile dış kayıp verisinin de ulaşılabilir hale getirilmesi gerekir. Operasyonel riskin ölçümü ile ilgili olarak yaşanan problemlerin bir çoğunun kaynağında, yeterli verinin olmaması, mevcut verinin kullanıma uygun olmaması gibi sorunlar yatmaktadır. Dış verinin de en az iç veri kadar toplanıyor ve analiz ediliyor olması ve her iki verinin en etkin şekilde uyumlaştırılabiliyor olması, operasyonel risk ölçümünün gelişmiş yöntemlerle gerçekleştirilmesi için gerekli şartlar arasında yer almaktadır.. İç Veri Dış Veri Faaliyet Çevresi ve Kontrol Faktörleri Senaryo Analizleri Operasyonel Risk Sermaye Hesaplaması Şekil 1: Operasyonel risk sermayesinin hesaplanmasına ilişkin girdiler ve faktörler B. Dış Veri Kullanım Amaçları a. Operasyonel Riskin Ölçülmesi Amacıyla Kullanım Artan bir risk duyarlılığı içinde, operasyonel risk için sermaye gereksinimi hesaplama yöntemlerinin her birinin bankalarca tecrübe edilmesinin göz ardı edilemeyecek faydaları bulunmaktadır. Bununla birlikte bankaların, kendi iç yapılarını ve risk dinamiklerini belirleyebilmeleri açısından özellikle Gelişmiş Ölçüm Yaklaşımlarını (AMA) benimsemeleri yararlı o- lacaktır. 85

Operasyonel Risk Çalışma Grubu Bu yaklaşımlar ışığında, operasyonel riski ölçebilmek için ihtiyaç duyulan en önemli unsur, kurumların kendi iç kayıp veri tabanlarını oluşturmuş olmalarıdır. Ancak, bu yaklaşımların bankaya uyarlanması çerçevesinde, bankaların bir iç kayıp veri tabanı olsa dahi, sadece iç veri tabanı kullanmanın aşağıda yer verilen bazı sakıncaları bulunmaktadır: İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları, kurum için gerçekleşmemiş olabilir. Bu durum, bankanın kayba konu alanda faaliyetinin olmamasından ya da kendi risk yönetim sistemleri ve kontrol becerisinin gelişmiş olmasından kaynaklanıyor olabilir. Banka kendi yaşamamış olsa veya yetersiz kayıp olayına sahip olsa dahi, mutlaka o kayıp kategorisinde oluşabilecek beklenen kayıp tutarını hesaplamak durumundadır. İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları, kurum için gerçekleşmiş olsa bile bu olayla ilgili geçmişe ait veya kaliteli veri elde edilmesi mümkün olmayabilir. Bankanın bir kayıp kategorisinde yeterli veri kaydı mevcut olsa bile, bu verilerin yüksek sıklık ve düşük şiddetli olması halinde, dağılımın uç kısımlarını oluşturan düşük sıklık ve yüksek şiddetli kayıp verileri hakkında, bankanın bir bilgiye sahip olması mümkün olmayabilir. Yukarıda belirtilen nedenlerle, operasyonel risk ölçümünün gerçekçi ve güvenilir olabilmesi için iç kayıp verileri genellikle tek başına yeterli olmamaktadır. Bu sakıncaların giderilebilmesi için, iç veri kadar dış verinin de hazırlanmış ve erişilebilir olması gerekmektedir. Bu noktada, dış kayıp veri tabanı kullanımı ve senaryo analizi devreye alınarak sağlıklı bir ölçümlemenin yapılması sağlanabilir. 86 Şekil 2:Eşik ve risk sermayesi arasındaki ilişki Diğer taraftan, Basel Komitesi tarafından yayımlanan son Basel II Metni (International Convergence of Capital Measurement and Capital Standards - A Revised Framework 26.06.2004) ile, belirli kriterleri karşılayan bankalara, Gelişmiş Ölçüm Yaklaşımlarını kullanma imkanı verilmiştir. Bu yaklaşımlar içinde Kayıp Dağılımı Yaklaşımı (LDA) en gelişmiş yöntem olarak karşımıza çıkmaktadır. İç veriyi dikkate alan bu yöntem, aynı zamanda riske en duyarlı yöntem olarak kabul görmektedir. Kayıp Dağılımı Yaklaşımı, beklenen ve beklenmeyen kayıplara ilişkin objektif tahminlere ulaşabilmek için bankanın operasyonel kayıplarının sıklık (frequency) ve şiddet (severity) tahminleri aracılığıyla ve standart aktüaryel teknikler kullanılarak modellenmesidir. Bu yaklaşım, temel veri olarak kayıp tutarını esas almaktadır.

Bankacılar Dergisi Bunun nedeni, kayıp tutarının en objektif risk göstergesi olması ve her bankanın kendine özgü risk profilini yansıtmasıdır. Kayıp Dağılımı Yaklaşımının matematiksel ifadesi aşağıdaki gibidir: Sermaye İhtiyacı= Σi Σj [f i j (sıklık&şiddet dağılımları)] i: iş kolu; j: olay tipi Bu yaklaşımın aşamalarından biri, tüm iş kollarındaki anahtar risk alanları itibarıyla ayrı ayrı sıklık ve şiddet düzeylerinin tanımlanmasıdır. Sözü edilen sıklık ve şiddet bilgilerinin ise dış veri ile desteklenmesi sağlıklı bir ölçümlemeye temel teşkil edecektir. Bu bilgilerin, ö- zellikle kuyrukta, iç veri ile yeterince karşılanması mümkün görünmemektedir. Şekil 3: Sermaye yükümlülüğünün istatistiksel ifadesi b. Operasyonel Riskin Yönetilmesi Amacıyla Kullanım Dış veri tabanının kullanımı, sadece operasyonel riskin ölçülmesi değil, aynı zamanda operasyonel riskin yönetilmesi ve genel anlamda banka stratejisi için de oldukça önem taşımaktadır. Bu kapsamda; Bankalar, kendi bünyelerinde yaşanmamış ancak sektörde yaşanan operasyonel risklerden haberdar olabilecekler ve dış veriye bakarak kendi iç verilerinin yeterliliğini değerlendirme ve sektör deneyimini anlama fırsatını bulacaklardır. Bankalar dış veri sayesinde yaşamadıkları bir kayıp olayı hakkında bir öngörüye sahip olacaklar, kayıp olma olasılığı ve kayıp olması halinde oluşacak kayıp tutarı konusunda bilgi sahibi olup, risk yönetim sistemlerini bu doğrultuda geliştirme, sigorta ihtiyaçlarını gerçekçi olarak belirleme, faaliyette bulunmadıkları bir alanda ise karşılaşılabilecek riskleri ve kayıp olaylarını görerek, o alana yapılması olası yatırımlarını değerlendirme fırsatı bulacaklardır. Yerel otoriteler, dış veri tabanına erişimlerinin olması durumunda, dış veri tabanını inceleyerek ya da gözlemleyerek, sektörde sıklıkla maruz kalınan operasyonel risk konularından haberdar olabilecek, gerekli görecekleri tedbirleri alabileceklerdir. C. Dış Veri Tabanı Tipleri Basel Komitesinin operasyonel risk için sermaye ayrılması gerekliliği ile ilgili önerileri doğrultusunda, operasyonel risk uygulamalarında dünyada genel olarak iki tip dış veri tabanı kullanılmaktadır. Bunlar; a. Konsorsiyum Tabanlı (Consortium-Based) Dış Veri Tabanları, b. Kamuya Açık (Publicly Released) Dış Veri Tabanlarıdır. 87

Operasyonel Risk Çalışma Grubu a. Konsorsiyum Tabanlı Dış Veri Tabanı Üye bankaların bir anlaşma çerçevesinde ilettikleri verilerle bir konsorsiyum bünyesinde oluşturulan veri tabanlarıdır. Finansal kuruluşların oluşturduğu konsorsiyum tabanlı veri tabanlarında, bilgilerin kaynağını bankaların kendi verileri oluşturmaktadır. Konsorsiyum, kayıp verinin toplanması, kontrol edilerek filtrelenmesi, ölçeklendirilmesi, işlenmesi, değerlendirilmesi ve tekrar dağıtılarak üye bankalara iletilmesi sürecinin organize edilmesinden sorumludur. Bu tür veri havuzları bir çok ülkede ulusal ve uluslararası düzeyde oluşturulmaktadır. Bunlara örnek olarak aşağıdaki veri tabanları mevcuttur: - GOLD (Global Operational Loss Database) BBA (British Bankers Association) - MORE (Multinational Operational Risk Exchange) NetRisk - ORX (Operational Risk Data Exchange Association) PwC (PriceWaterhouseCoopers) 88 Avantajları: Gizlilik: Konsorsiyum üyesi bankalar arasında yapılan anlaşma dahilinde belirlenen ilkeler, bankaların operasyonel riske ilişkin olarak kamuya açıklamak istemedikleri verilerin gizliliğinin korunması açısından son derece önemlidir. Güvenilirlik: Veri transferi, uyumlaştırma ve ölçeklendirme gibi konularda doğru ilkeler ortaya konduğu takdirde bu tür verilerin güvenilirliğinin de artması beklenir. Buradaki güvenilirliğin sağlanmasında, bankaların verilerini doğru ve açık olarak iletmeleri ve başlangıçta yapılan iş kolu ve kayıp veri sınıflamasının tutarlı olması büyük önem taşır. Bu nedenle başlangıçta belirlenen ilkelerin kullanıcı bankalar tarafından iyi anlaşılması gerekmektedir. Diğer taraftan kur dönüşümleri, enflasyon düzeltmelerinin yanı sıra bankalar arasındaki ölçek farklılıklarının da giderilmiş olması gerekmektedir. Filtreleme ve ölçekleme doğru yapıldığı takdirde güvenilirlik artacaktır. Verim: Konsorsiyum tabanlı dış veriler, kamuya açık veri tabanına göre daha düşük eşik taşıması nedeniyle geniş bir örneklem fırsatı yaratarak daha kesin bir modelleme imkanı sağlar. Esneklik: Konsorsiyum tabanlı dış veri tabanları gereksinimlere daha esnek olmaları nedeniyle tercih edilebilmektedir. Rekabet koşulları nedeniyle gelişmeleri takip etmeleri, kendilerini yenilemeleri ve yeni uygulamaları bünyelerine adapte etmeleri gerekmektedir. Bu konularda konsorsiyum üyesi bankaların beklentileri de belirleyici olmaktadır. Dezavantajları: Kapsam: Konsorsiyum üyesi olmayan bankaların kamuya mal olan bilgilerinin bu veri tabanlarına yansımaması nedeniyle şiddeti yüksek, sıklığı düşük olayların oranı, olması gerektiğinden daha düşük çıkmaktadır. Buna bağlı olarak modelleme kuyruk değerlerini yeteri kadar içermeyebilir. Ayrıca, bankaların operasyonel kayıplarını gizli tutmaya eğilimli olmaları nedeniyle, dış veri tabanlarına tüm kayıp tutarları yansımayabilir. Maliyet: Verilerin saklanması ve kullanılmak üzere iletilmesi için gereken alt yapının belirli bir maliyet taşıması, konsorsiyuma katılan bankalar için bir dezavantaj olabilmektedir. Heterojenlik: Dış verilerin kaynağı olan bankaların faaliyetlerinin içerikleri ve yoğunlukları, risk ve kontrol anlayışları ile bilanço büyüklükleri farklılıklar arz etmektedir. Bu ne-

Bankacılar Dergisi denle iş kolları bazında kayıp tutarları arasında büyük farklılıklar yaşanabilmektedir. Ayrıca dış veri tabanında, kontrol sistemleri zayıf bankaların verileri daha fazla olacağı için, güçlü kontrol sistemleri oluşturmuş ve operasyonel riskleri düşük olan bankaların veri tabanında temsil edilme oranı daha düşük olacaktır. Kontrol sistemleri farklı olan bankaların bu veri tabanlarını kullanması durumunda, olması gerektiğinden daha farklı sermaye gereksinimi hesaplamaları söz konusu olabilecektir. Güvenilirlik: Konsorsiyum üyesi bankaların kasıtlı olarak yanıltıcı ve hileli bilgi vermeleri, verilerin doğru sonuç vermemesine neden olacaktır. Güvenilirlik konusundaki diğer bir dezavantaj ise bu verilerin konsorsiyum tarafından usulsüz kullanılabilme olasılığıdır. Bu tür veri tabanında güvenilirliğin sürekliliği için konsorsiyumun belirli periyotlarla denetlenmesi tavsiye edilmektedir. Zaman: Kamuya açık dış veri tabanı oluşturulma sürecine göre daha uzun bir zaman süreci gerektirir. b. Kamuya Açık Dış Veri Tabanı Kamuya açık dış veri tabanları, sadece kamuya duyurulan çok yüksek şiddetteki kayıp olaylarını içerir. Bu tür veriler mahkeme kayıtlarından, haber raporlarından, borsa kayıtları gibi kamuya açık kaynaklardan elde edilir. PWC (Price Waterhouse Coopers) ve OpVantage/Fitch Risk kurumlarının ortak çalışması olan OpVaR veri tabanı bu tür bir veri tabanına örnek olarak verilebilir. Bu tipteki veri tabanları için kayıp eşiği konsorsiyum tabanlı veri tabanlarından çok daha yüksektir. Örneğin, OpVar kayıp verisi için eşik 1 Milyon USD iken, ORX kayıp verisi için eşik USD 25.000.- dir. Avantajları: Maliyet: Kamuya açık verilerden oluşan dış veri kaynakları zaman, iş gücü ve finansal a- çıdan daha düşük maliyetlidir. Zaman: Konsorsiyum tabanlı dış veri tabanına göre oluşturulma süreci daha kısadır. Güvenilirlik: Kamuya açık kaynaklardan elde edilen dış veriler olması nedeniyle güvenilirliği yüksektir. Amaca Uygunluk: Genelde bu tür veri kaynakları, sıklığı düşük, şiddeti yüksek verileri içermekte ve ölçüm sürecinde, iç veriden daha düşük verim sağlamakla birlikte, geniş çapta kuyruk olaylarının ölçüme katılmasını sağladığı için olumlu bulunmaktadır. Dezavantajları: Kapsam: Veri eşiğinin yüksek olması ve sadece sıklığı düşük, şiddeti yüksek verileri içermesi nedeniyle kapsamı özellikle modelleme için yeterli olmamaktadır. Amaca Uygunluk: Konsorsiyum tabanlı dış veri tabanına göre verinin adeti ve çeşitliliği daha azdır. Operasyonel riskin ölçümü ve yönetilmesi amacıyla kullanımı kısıtlıdır. 89

Operasyonel Risk Çalışma Grubu D. Dış Veri Tabanları Uluslararası Uygulamalar a. Konsorsiyum Tabanlı Dış Veri Tabanları a.1. ORX (Operational Risk data exchange Association): ORX Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Yönetişim Güncellenme Olay Tipleri İş Kolları İletişim Adresi/Tel. Güvenli bir ortamda, gizlilik çerçevesinde, üyelerin mahremiyetleri korunacak biçimde kaliteli verinin paylaşımının sağlanması PwC (PriceWaterhouseCoopers) EUR 20.000.- / USD 25.000.- üzerindeki operasyonel kayıp olaylarının toplanması, kontrol edilmesi, düzenlenmesi, üyelere yeniden dağıtılması ABN-AMRO, Banca Intesa, Banco Bilbao Vizcaya Argentaria (BBVA), The Bank of Nova Scotia, BNP Paribas, Commerzbank AG, Danske Bank A/S, Deutsche Bank AG, Euroclear Bank, Fortis Bank, HBOS Üyelerden gelen verinin kalitesi, belirlenmiş standartlara uygun olmalıdır. Anonim, temiz ve ölçeklendirilmiş kayıp verisi, analizler ve standart raporlar üyelere dağıtılır. PwC (PriceWaterhouseCoopers)-Zürih: Veri Yöneticisi ve İdari Yetkili OpRisk Analytics-SAS: Yazılım ve Donanım Sorumlusu Deutsche Bank: Başkan JC Morgan Chase: Başkan Vekili BNP Paribas: Sayman Bağımsız sorumlu : Verilerin Anonimleştirilmesinden Sorumlu Yetkili Yılda 4 kere İç Dolandırıcılık Dış Dolandırıcılık Kasıtlı Hasar İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları Fiziksel Varlıkların Hasara Uğraması İş Kesintileri ve Sistem Arızaları İcra, Teslimat ve Süreç Yönetimi Kurumsal Finansman Alım-Satım Faaliyetleri ve Satışlar Bireysel (Perakende) Bankacılık Ticari Bankacılık Takaslar Kurumsal Temsilcilik(Acentelik) Hizmetleri Varlık Yönetimi Perakende Aracılık Kurumsal Yönetim C/o Balmer-Etienne AG Zurich, Dreikonigstrasse 34, CH-8002, Zürih, İsviçre Tel.: +41 1 222 2020, Faks: +41 1 222 2022 http://www.pwc.com Kurucu Üyeler: Banka adı Şehir Ülke 1 ABN-AMRO Amsterdam Hollanda 2 ING Amsterdam Hollanda 3 Euroclear Bank Brüksel Belçika 4 Fortis Bank Brüksel Belçika 5 Danske Bank A/S Kopenhag Almanya 6 Deutsche Bank AG Frankfurt Almanya (Başkan) 7 Commerzbank AG Frankfurt Almanya 8 HBOS plc Edinburgh İskoçya 9 Banco Bilbao Vizcaya Argentaria Madrid İspanya 10 Banca Intesa Milano İtalya 11 SanPaoloIMI SpA Torino İtalya 12 JPMorganChase New York ABD (Başkan Vekili) 13 BNP Paribas Paris Fransa (Sayman) 14 The Bank of Nova Scotia Toronto Kanada 90

Bankacılar Dergisi Veri Toplama, Analiz ve Dağıtım Süreci: Raporlanacak kayıp için eşik değer, komite tarafından EUR 20.000.- (veya USD 25.000.-) olarak belirlenmiştir. ORX konsorsiyumuna katılmak isteyen bir bankanın, veri toplama ve gönderme kapasitesini kanıtlaması gereklidir. Veri toplama kapasitesini kanıtlayan bankalardan toplanan veriler, kontrol ve onaylama sürecinden geçtikten sonra üyelere dağıtılmaktadır. Verilerin toplanıp dağıtılması sırasında, verinin temin edildiği üyenin gizliliği ilkesi benimsenmektedir. Bu nedenle, veriler bağımsız bir yetkili tarafından, kaybı bildiren firmanın kimliğinin gizliliği korunacak biçimde ölçeklendirilir. Verinin toplanması, işlenmesi ve dağıtılması aşağıdaki şekilde gerçekleşir: Katılımcılar, belirlenmiş kalite standartlarını sağlayan kayıp verisini ORX e gönderirler. Sorumlu yetkili verileri anonimleştirir, temizler ve ölçeklendirir. Veri yöneticisi verileri birleştirir, gerekli analizleri gerçekleştirir ve raporları hazırlar. Sorumlu yetkili, verileri yeniden ölçeklendirip düzenledikten sonra, firmalara, standart raporlar biçiminde dağıtır. Ham Veri Yetkili (custodian) Yönetici (administrator) Üyeler İşlenmiş Veri Veri gönderimi, yılda 4 defa, üç ayda bir gerçekleştirilir. Sistem üzerinde iyileştirilmeler devam ettiği için, üye kuruluşlar, geçmiş dönemlerde raporladıkları kayıp olaylarını düzelterek tekrar gönderme şansına sahiptirler. Bir olayın birden fazla kayba neden olduğu durumlarda, kök olay, yani tüm kayıpların temel nedeni belirlenir. Bu şekildeki kayıplarda, kök olay, ilişkili tüm kayıplarla aynı kayıt altında tutulur. (İlişkili tüm kayıplar aynı referans kodu ile numaralandırılarak aralarındaki bağ belirtilmiş olur ve ayrı olaylar gibi nitelendirilmez.) Yan sayfadaki şekilde görüleceği gibi, ORX kayıp olayları ele alınırken, Basel II Metni (International Convergence of Capital Measurement and Capital Standards - A Revised Framework 26.06.2004) kriterleri göz önünde bulundurulur. 91

Operasyonel Risk Çalışma Grubu Eğer kayıp olayı Basel II Metni ya da ORX standartlarında tanımlanmış bir olaysa, sorgusuz veri tabanına alınır. Eğer olay, bu tanımlamalar içerisinde yer almıyorsa, bu olayı doğuran etkenler araştırılır. Olası kayıplara, yalnızca itibar kaybına neden olan olaylara ve stratejik kararlardan kaynaklanan kayıplara veri tabanında yer verilmez. Stratejik Risk İtibar Riski Piyasa Riski Yasal Riskler Kapsam dışı Kapsam dışı Kapsam dışı Kapsam içi Olay ve/veya Kayıp Basel/ORX Olay Tiplerine Uygun mu? Hayır Olaya/Kayba Sebep Olan Kök Olay Nedir? OK Evet ORX, kayıp olaylarına ilişkin üç tarih talep eder: 1) Meydana Gelme Tarihi 2) Fark Edilme Tarihi 3) Muhasebeleşme Tarihi (ORX raporlamasında esas alınan tarih, muhasebeleşme tarihidir.) Kayıp Olaylarının Sınıflandırılması : ORX standartlarına göre kayıp olaylarının sınıflandırılması, Basel II Metnindeki (International Convergence of Capital Measurement and Capital Standards - A Revised Framework 26.06.2004) sınıflandırmaya çok benzemektedir. Ancak aşağıdaki tabloda da görüleceği gibi, Basel II Metninde olay tipleri 7 sınıfta incelenirken, ORX standartlarında 8 sınıfta incelenir: Basel ORX İç Dolandırıcılık Dış Dolandırıcılık - Kasıtlı Hasar İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları Fiziksel Varlıkların Hasara Uğraması Afetler ve Toplum Güvenliği İş Kesintileri ve Sistem Arızaları Teknoloji ve Alt Yapı Arızaları İcra, Teslimat ve Süreç Yönetimi 92

Bankacılar Dergisi Basel 1.Seviye Basel 2.Seviye ORX 1.Seviye ORX 2.Seviye İç Dolandırıcılık Dış Dolandırıcılık Hırsızlık ve Dolandırıcılık, Yetkisiz İşlemler Hırsızlık ve Dolandırıcılık Sistem Güvenliğine Karşı Saldırılar İç Dolandırıcılık Dış dolandırıcılık - - Kasıtlı Hasar İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları Fiziksel Varlıkların Hasara Uğraması İş Kesintileri ve Sistem Arızaları İcra, Teslimat ve Süreç Yönetimi Çalışanlarla ilişkiler Çevre Güvenliği Ayrımcılık Uygunluk, Açıklık ve İtibar Hatalı İş ve Piyasa Uygulamaları Ürün Kusurları Seçim, Destekleme ve Korunmasızlık Danışmanlık Faaliyetleri Felaket ve Diğer Olaylar İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları Afetler ve Toplum Güvenliği İç Hırsızlık ve Dolandırıcılık Yetkisiz Faaliyetler İç Sistem Güvenliği Dış Kaynaklı Hırsızlık ve Dolandırıcılık Dış Sistem Güvenliği Kasıtlı Hasar ve Terör Sistem Güvenliğine Kasıtlı Hasar Çalışan İlişkileri Güvenli Çalışma Ortamı Çalışanlarda Kültürel Çeşitlilik ve Ayrımcılık Uygunluk, Açıklık ve Güven Uygunsuz İş ve Piyasa Uygulamaları Ürün Akışları Seçim, Kefalet,İtibar Danışmanlık Faaliyetleri Afetler ve Diğer Olaylar Kazalar vetoplum Güvenliği Sistemler Teknoloji -Alt Yapı Arızaları Teknoloji -Alt Yapı Arızaları İşlem Üzerinde Hakimiyet Kurulması, İcra ve Bakım, İzleme ve Raporlama Müşterinin Çekilmesi ve Belgelendirme Müşteri Hesabının Yönetilmesi Ticari Karşı Taraf Satıcı ve Tedarikçi İcra, Teslimat ve Süreç Yönetimi İşlem Üzerinde Hakimiyet Kurulması, İcra ve Bakım Müşteri Alım ve Belgeleme Müşteri Hesap Yönetimi İzleme ve Raporlama İş kolları bazında ORX, küçük farklılıklar dışında Basel II Metnindeki (International Convergence of Capital Measurement and Capital Standards - A Revised Framework 26.06.2004) sınıflandırmaya uyum sağlar. Basel ORX Kurumsal Finansman Alım-Satım Faaliyetleri ve Satışlar Bireysel (Perakende) Bankacılık - Özel Bankacılık Ticari Bankacılık Takas, Ödemeler vb. Faaliyetler Takaslar (Clearing) Kurumsal Temsilcilik (Acentelik) Hizmetleri Varlık Yönetimi Perakende Aracılık - Kurumsal Yönetim 93

Operasyonel Risk Çalışma Grubu a.2. MORE (Multinational Operational Risk Exchange) MORE Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Yönetişim Çıktı Teknolojisi Olay Tipleri İletişim Adresi / Tel. Risk ölçümü, operasyonel riskin sayısallaştırılması ve karşılaştırmaya yönelik (benchmarking) veri hizmetlerinin sunulması NetRisk & RMA (Risk Management Association) Veri paylaşımı için güvenli ortam sağlamak, operasyonel riske maruz sermayenin sayısallaştırılmasını destekleyecek veri sağlamak, kıyaslamaya olanak sağlamak, tahminsel faktörler hakkında bilgi toplamak, düzenleyici kararların yayılmasını sağlamak 2000 yılı sonundan itibaren, 16 finansal kurum (Royal Bank of Canada, Canadian Imperial Bank of Commerce, Toronto-Dominion Bank, Avrupa dan 7 banka, Kuzey Amerika dan 4 banka ve Asya dan 2 banka) Temiz, ölçeklendirilmiş ve ölçeklendirilmemiş veri, en uygun sebep, olay tipi/etki, iş kolu 7 üyeden oluşan bir heyet tarafından yönetiliyor. Java tabanlı veri tabanı ve Excel İnsan, Süreç, Teknoloji, Dış faktörler http://www.netrisk.com Multinational Operational Risk Exchange (MORE), 2000 yılında 16 finansal kurumun katılımıyla oluşturulan, katılımcıların kendi iç kayıp verileri ile besledikleri bir kayıp veri tabanıdır. Veri Toplama, Analiz ve Dağıtım Süreci: RMA (Risk Management Association) in katkılarıyla NetRisk, internet tabanlı ASP modeliyle katılımcılara sunduğu MORE kapsamında: Veri toplama, Ölçeklendirme, Temizleme, Dağıtma, Çözümsel hizmetler sunma işlevlerini yerine getirerek, katılımcı firmalar arasında veri paylaşımına olanak sağlamaktadır. Organizasyonda veri yönetimi RMA in sorumluluğundadır. MORE üyeleri operasyonel kayıp verilerini, daha önceden belirlenmiş olan formatlarda RMA e gönderirler. Veriler, MORE tarafından koyulmuş olan standartlara uygunluk açısından RMA tarafından gözden geçirilip onaylandıktan sonra birleştirilir. 94

Bankacılar Dergisi Veriler, analiz edilmek, ölçeklendirilmek ve üyelere yeniden gönderilmek üzere NetRisk e iletilir. MORE, üyelere, operasyonel risklerini modelleme ve riskleri nasıl yönettiklerini rakipleriyle karşılaştırma olanağı tanır. MORE için en önemli hedeflerden biri, operasyonel kayıp verilerinin hangi kuruma ait olduğunun anlaşılmasına engel olacak biçimde verileri düzenlemek, uyumlaştırmak, anonimleştirmek ve üyelere iletmektir. a.3. GOLD (Global Operational Loss Database) GOLD Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Yönetişim Çıktı Teknolojisi Olay Tipleri İş Kolları İletişim Adresi / Tel. Büyük kayıp olaylarının toplanması ve karşılaştırılması, risk sermayesi için risk ölçümünün sağlanması BBA (British Bankers Association) Bireysel bankacılık için USD 50.000.- ticari ve kurumsal bankacılık için USD 100.000.- üzerindeki operasyonel kayıp olaylarının veri tabanının yaratılması 21 banka Kayıp listesi şeklinde temiz ve anonim ham veri/ Üyeler tarafından düzenlenen veriler Yönetim komitesi, 9 üye banka ve bir BBA temsilcisinden oluşur. Excel tabanlı İnsanlar: Çalışan suiistimali, yetkisiz faaliyetler, iş kanununa aykırılıklar, iş gücü kesintileri, kilit personel kaybı/eksikliği Süreçler: Ödeme/takas riski, belge/kontrat riski, değerleme/fiyatlandırma riski, iç/dış raporlama, uyum, proje ve değişim yönetimi riski, satış riski Sistemler: Teknolojik yatırım riski, sistem geliştirme ve uygulama riski, sistem kapasitesi riski, sistem hataları, sistem güvenlik açığı Dışsal Faktörler: Yasal/toplumsal sorumluluklar, cezai faaliyetler, taşeron/tedarikçi riski, felaketler ve alt yapı hizmet hataları, yönetmelik riski, politika/devlet riski Perakende bankacılık, plastik kartlar, özel bankacılık, ipotek bankacılığı (mortgage banking), ticaret finansmanı, kurumsal bankacılık, yatırım bankacılığı, ticaret ve danışmanlık, sigortacılık, varlık yönetimi, broker hizmetleri http://www.bba.org.uk Veri Toplama, Analiz ve Dağıtım Süreci: Veri kayıt prosedürlerinin ve hesaplarının tanımlanması, sorumlu personelin belirlenmesi, mevcut prosedürlerin kayıp toplama iş akışına göre güncellenmesi ve iç kontrol fonksi- 95

Operasyonel Risk Çalışma Grubu yonu ile koordinasyonun sağlanması aşamalarından sonra operasyonel kayıp verisi toplanmaya başlanır. Tam Veri Toplama: Sigorta ödenekleri dahil tüm kayıp detaylarının saptanması - Yönetsel veri (sigorta ödenekleri dahil) - Hesapsal veri (beklenen en yüksek kayıp) - İşsel veri (business data), (ölçüler ve tarihler) Yönetim raporlaması: - Grafiksel, standart, anında (on-line) raporlama - Esnek tablosal raporlama - Verileri, iş kolu, konum, ürün ve zamana göre seçme işlevi Aşağıda görüldüğü gibi raporlamalar için tablosal/grafiksel farklı formlar seçmek mümkündür. Eşik: Raporlanacak kayıp için eşik değer, komite tarafından bireysel bankacılık için USD 50.000.-, ticari ve kurumsal bankacılık için USD 100.000.- olarak belirlenmiştir. Kayıp Veri Alanları: Kayıplar aşağıda belirtilen veri alanları bazında sınıflandırılır: 96 1- Olay kodu 2- Kayıp miktarı 3- Beklenen miktar 4- Belirlenme tarihi 5- Oluşma tarihi 6- İş kolu 7- Ürün 8- Süreç safhası 9- Süreç sahibi 10- Konum - Örnek: Avrupa>Almanya>Frankfurt 11- Olayın Sebebi 12- Açıklama Kontrol Bildirimi: Eş zamanlı iç kontrol, e-posta ile uyarı mekanizması ve çeşitli biçimlerde raporlama imkanı bulunmaktadır.

Bankacılar Dergisi Güvenlik: Merkezi idare hakları, merkezileşmemiş kullanıcı yönetimi, veri tabanı güvenliği, güvenli veri aktarımı konularında hassasiyet gösterilmektedir. Kullanıcıların kendilerine özel kullanıcı adları ve parolaları bulunmaktadır. Veri Gönderim Ara Yüzü: İç veya dış veri tabanına ait istenilen olayın verileri yüklenebilir. Çok Dillilik: Kullanıcı kayıt ve e-posta işlemleri sırasında Almanca-İngilizce dillerinden biri seçilebilmektedir. Parametrelendirilebilir Alanlar: - Veri giriş alanları, çeşitli sayı-tarih-karakter formatlarının kullanımına izin vermektedir. - Veri giriş alanlarının güvenlik ve kullanım yetkileri değiştirilebilmektedir. Bazı kullanıcıların belirli alanlara erişmesi engellenebilmektedir. - Yerel yönetim ve bakım olanaklıdır. - Veri giriş alanları zorunlu/opsiyonel olabilmektedir. Kayıp Olaylarının Sınıflandırılması: - Sebepler (birincil ve ikincil sebep 3 hiyerarşik düzey), - Olaylar ve etkileri, - Doğrudan/dolaylı kayıplar olmak üzere sınıflandırılır. 97

Operasyonel Risk Çalışma Grubu a.4. Basel Consortium Basel Consortium Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Yönetişim Çıktı Teknolojisi Olay Tipleri İş Kolları Adres / Tel. Finansal hizmet sektörüne, operasyonel kayıp verilerinin tespit edilmesi, operasyonel risk yönetiminde gelişim ve bilgilendirme konularında hizmet vermek PWC (PriceWaterhouseCoopers) Birçok ülkenin önde gelen finansal şirketlerine, operasyonel risk yönetimi konusunda karşılaştırma ve sayısallaştırma hizmetleri sunmak 11 banka Ortak bir para biriminde, temiz ve ölçeklendirilmiş kayıp verisi, özet iş istatistikleri, anahtar göstergeler PWC nin danışmanlığında, 11 üye bankadan birer temsilcinin oluşturduğu yönetim komitesi Excel tabanlı İç Dolandırıcılık Dış Dolandırıcılık İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları Fiziksel Varlıkların Hasara Uğraması İş Kesintileri ve Sistem Arızaları İcra, Teslimat ve Süreç Yönetimi Kurumsal Finansman Alım-Satım Faaliyetleri ve Satışlar Bireysel (Perakende) Bankacılık Ticari Bankacılık Takas, Ödemeler, vb. Faaliyetler Varlık Yönetimi Perakende Aracılık Kurumsal Temsilcilik(Acentelik) Hizmetleri http://www.pwc.com a.5. Zurich IC 2 FIRST (Zurich Intellectual Capital Squared Financial Institutions Risk Scenario Trends) ZURICH IC 2 FIRST Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Çıktı Teknolojisi Kayıp Olay Tipleri Adres / Tel. Kayıp olaylarının raporlanması, risk analizi, operasyonel risk kayıp olay incelemesi ve senaryo analizi, KRM (Kurumsal Risk Yönetimi) OpVantage/FRM, Zurich Financial Services Group Limitler üzerindeki operasyonel kayıp olaylarına ilişkin veri tabanının yaratılması Bazı İngiltere ve İsviçre bankaları Dikkatlice araştırılmış ve sayısallaştırılmış operasyonel risk kayıp verileri ASP modeli, web tabanlı Etik Olmayan Davranışlar Dış Dolandırıcılık İnsan Kaynaklarına İlişkin Sorunlar ve Çalışanların Sağlık Sorunları Hata, İhmal ve Yasal Sorumluluk İhlalleri Felaketler Donanım, Yazılım, Sistemler ve Telekomünikasyon İş Süreçleri http://www.opvantage.com Veri Toplama, Analiz ve Dağıtım Süreci: Zurich IC 2 First, riski tanımlamak, izlemek, ölçmek ve yönetmekten oluşan dört aşamalı bir operasyonel risk yönetimi sürecini bankalara sunar. IC 2 First, web tabanlı bir dış kayıp veri tabanı uygulamasıdır. 98

Bankacılar Dergisi Operasyonel risk analizinde niteliksel ve niceliksel yaklaşımları içerir. Kapsamlı çalışmalar sonucu, olayların sebep ve sonuçlarının yanısıra anlamlı istatistiksel rakamlar da elde edilir. Zurich IC 2 First, kayıp olaylarının raporlanması, risk analizi, operasyonel risk kayıp olay incelemesi ve senaryo analizini gerçekleştirir. Veri tabanı, toplam 360 Milyar USD yi aşan, araştırılmış ve sayısallaştırılmış operasyonel risk kayıp olaylarını içerir. Zurich IC 2 First, kurumsal risk yönetimi (Enterprise Risk Management-ERM) danışmanlığı sunar ve şirketlerin risklerinin büyük çoğunluğunu değerlendirmelerine yardımcı olur. Bu riskler arasında fiziksel, finansal, operasyonel ve stratejik kayıplar yer alır. Zurich IC 2 First, bir iş çevresindeki riskleri modeller. Müşterilerine, değer biçme ve risk azaltma kapsamında riski kolaylıkla belirleyerek sayısallaştırma, kurumsal yönetişim gerekliliklerine uyum, akılcı karar alma ve riskin finansal etkilerini ölçme konularında tavsiyelerde bulunur. Kayıp Olaylarının Sınıflandırılması: İnsan Riski: Çalışanlardan kaynaklanan kasıtlı/kasıtsız kayıp riskidir. Örneğin, çalışan hataları ya da suiistimalleri, organizasyonel problemler ve kayıplar, vs. - Çalışan hataları: İşlem hataları - İnsan kaynakları : Çalışan yetersizliği, işe alım/işten çıkarım - Fiziksel hasar : Çalışanlarda sağlık ve güvenlikle ilgili hasarlar - Fiziksel olmayan hasarlar : İftira/lekeleme/karalama, ırkçılık, taciz - İç dolandırıcılık: Dolandırıcılık, ticari suiistimaller Dış Etkenler: Fiziksel varlıkların, dış etkenler nedeniyle kayba uğrama riski, işlenen suçlar ve bazı piyasalarda varlığını sürdürememe riski bu kategoriye dahildir. - Felaketler - Dış dolandırıcılık - Davalar/yasalar, yasal ve kanuni değişiklikler, sermaye kontrolü Süreç Riski: İşlemlerin gerçekleştirilmesi ve kontrolü, ürün ve hizmet işleyişine ilişkin risklerdir. - İş süreçleri: Dikkat eksikliğinden ve uygunsuz ya da yanlış beyanlardan kaynaklanan riskler - İş riski: Şirket birleşmeleri veya yeni ürün riski - Hatalar ve ihmaller: Uygunsuz veya sorunlu kalite kontrol ve güvenlik - Özel sorumluluklar: Personel çıkarları, işveren, yönetici ve idareciler İlişkiler: Müşterilerle, hissedarlarla, üçüncü partilerle veya düzenleyici otoritelerle ilişkiler - Yasal/sözleşmeye dayanan ilişkiler: Sözleşme, yasal sorumluluklar ve ihlaller - İhmaller - Satış ayrımcılığı : Müşteri ve borç ayrımcılığı - Satışla ilgili konular: Agresif satış teknikleri, etik olmayan satış politikaları - Özel ihmaller : Bazı ücretlerin ödenmemesi, raporların dosyalanmaması 99

Operasyonel Risk Çalışma Grubu Teknoloji: Teknoloji kaynaklı veri ya da bilgi hırsızlığı, teknolojik arıza/kesinti ya da hatalar; - Genel teknoloji problemleri: Operasyonel hatalar, teknolojinin yetkisiz/kötü niyetli kullanımından kaynaklanan kayıplar - Donanım : Ekipman hatası, uygunsuz/eksik donanım - Güvenlik : Sisteme yönelik saldırılar, güvenlik duvarı hataları - Yazılım : Bilgisayar virüsü, programlama hatası - Sistemler: Sistem hataları ve bakımıyla ilgili riskler - Telekomünikasyon: Internet, telefon, faks, modem sorunları Aşağıdaki tabloda, Basel Konsorsiyumu ve Zurich IC 2 First için kayıp olayı tiplerinin karşılaştırması yer almaktadır: Basel Consortium Kayıp Olay Sınıflandırması İç Dolandırıcılık Dış Dolandırıcılık İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliği Müşteri Ürün ve İş Uygulamaları Fiziksel Varlıklarda Hasar İş Kesintileri ve Sistem Arızaları İcra Teslimat ve Süreç Yönetimi Etik Olmayan Davranışlar Dış Dolandırıcılık İnsan Kaynaklarına İlişkin Sorunlar ve Çalışanların Sağlık Sorunları Hata İhmal ve Yasal Sorumluluk İhlalleri Felaketler Donanım, Yazılım, Sistemler ve Telekomünikasyon İş Süreçleri İnsan Riski Dış Etkenler Süreç Riski İlişkiler Teknoloji Zurich IC 2 First Kayıp Olay Sınıflandırması Tabloda görüldüğü gibi, Basel ve Zurich IC 2 yaklaşımlarında olay sınıflamaları bazı farklılıklar göstermektedir. Bu farklılıklar, veri tabanında olayların sınıflandırılması konusunda bazı problemler yaratabilmektedir. Kayıp Veri Alanları: (Zurich IC 2 First veri tabanında bir kayıp olayı) Kaybı yaşayan organizasyonun/firmanın ismi, Kayıp miktarı (USD), Olayın ayrıntılı açıklaması, Olay tipi, Olayın tetikleyicisi, Kaybın dolaylı etkenleri (ikincil nedenler), Kaybın meydana geldiği iş kolu, Ürün tipi alanlarına dair bilgiler içerir. Zurich IC 2 First veri tabanının ekran örneği için EK-1 e bakınız. 100

Bankacılar Dergisi DIPO a.6. DIPO (Database Italiano delle Perdite Operative) Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Yönetişim Çıktı Teknolojisi İletişim Adresi/Tel. İtalyan bankaları arasında büyük kayıp olaylarının toplanması ve karşılaştırmanın sağlanması, risk sermayesi için risk ölçümünün yapılması, veri toplama-onaylamaizleme sürecinin gerçekleştirilmesi ABI (Associazione Bancaria Italiana) İş kolu ayrımı yapılmadan, EUR 5.000.- üzerindeki operasyonel risk kayıplarının toplanması ve üyelere dağıtılması 32 İtalyan bankası Temiz ve anonim ham veri, kayıp listesi şeklinde düzenlenir. (Üyeler verilerini kendilerine göre düzenlerler.) Yönetim komitesi sınırlı sayıda üye banka temsilcilerinden oluşur ve ABI gözetimci olarak katılır. Excel tabanlı http://www.abi.it Üyeler: 32 İtalyan bankası Veri Toplama, Analiz ve Dağıtım Süreci: İş kolu ayrımı yapılmadan, EUR 5.000.- üzerindeki operasyonel risk kayıplarının toplanması ve üyelere dağıtılması kararlaştırılmıştır. DIPO nun organizasyon yapısı aşağıdaki gibidir: - Yönetim komitesi : Sınırlı sayıda üye banka temsilcilerinden oluşur ve ABI gözetimci olarak katılır. - Teknik komiteler : Analiz ve çalışma yetkileri yönetim komitesi tarafından belirlenen ve tüm üyelere açık olan komitelerdir. - Teknik müdürlük: ABI temsilcilerinden oluşur. 101

Operasyonel Risk Çalışma Grubu ABI, raporlanacak kayıp olay tiplerinin tanımlanması, her kayıp olayının bildiriminde zorunlu olan bilgi setinin hazırlanması, veri tabanının oluşturulması, verilerin depolanması ve kullanılmasıyla ilgili detayları prosedürlere yerleştiren bir rehber oluşturmuştur. Kayıp Veri Alanları: 102 DIPO Veri Alanları Alan No. Alan Adı 1 Grup Kodu 2 Raporlayan Firmanın ABI kodu 3 Kayıt Tipi 4 Referans No. 5 İş Kolu 6 Olay Tipi 7 Karar Ağacı 8 Coğrafi Bölge 9 Veri Kanalı 10 Olay Tarihi 11 Fark Edilme Tarihi 12 Olayın Durumu 13 Meydana Gelme Sayısı 14 Toplam Kayıp Tutarı 15 Kayıp Provizyonu 16 Beklenen Diğer Kayıplar 17 Grup İçerisinde Tespit Edilen Kayıp Miktarı 18 Sigorta Kapsamı 19 Sigortadan Tahsil Edilen Miktar 20 Sigortadan Tahsil Edilen Son Tutar 21 Diğer Tahsilatlar b. Kamuya Açık Dış Veri Tabanları b.1. OpVar Loss Database OpVantage, Fitch Risk firmasının, piyasaya operasyonel risk yazılımları sunan birimidir. Operasyonel riskin sayısallaştırılması konusunda gelişmiş araçlar ve metodolojiler sunar. OpVar kayıp veri tabanı ve Zurich IC 2 First veri tabanı OpVantage firmasının bankalar için sunduğu risk yönetim çözümlerindendir. Kamuya açıklanan büyük operasyonel kayıpların toplanarak, üyelere sunulduğu veri tabanı olan OpVar ın başlıca özellikleri aşağıdadır: - OpVar, 20 den fazla firmanın kullanmakta olduğu aşağıdan yukarı (bottom-up) risk ölçümünü temel alan bir operasyonel risk yönetim aracıdır. - OpVar, kullanıcıların operasyonel riskleri anlamalarını, kayıp olasılıklarını analiz etmelerini, veri tabanındaki kayıpları kendi firmalarına göre ölçeklendirerek operasyonel risk profillerini belirlemelerini ve riske maruz sermayeyi hesaplamalarını sağlar. - OpVar, 8.000 den fazla kamuya duyurulmuş büyük tutarlı operasyonel risk kayıp olayını içerir. Bu olayların yaklaşık 6.500 tanesi 1 Milyon USD üzerindedir ve toplam raporlanmış kayıp miktarı 280 Milyar USD den fazladır.

Bankacılar Dergisi - OpVar, kayıp olayı veri giriş modülü, kayıp olayı veri tabanı modülü, veri analiz modülü ve riske maruz operasyonel değeri sayısallaştırma modülünden oluşur. - OpVar, operasyonel kayıpların nedenleri, sıklık ve şiddetleri ile ilgili grafiksel analizler sunar. Kayıp olaylarına dair açıklamalar, idari yönetim ve risk yöneticilerine operasyonel risk kaynaklarını anlama ve sayısallaştırma konusunda yol gösterecek ölçütler de OpVar ın müşterilerine sunduğu olanaklardandır. - OpVar yazılım ekibi, çok çeşitli senaryoları etkin bir biçimde analiz etmede, her veri setine en uygun kayıp dağılımını eşleştirmede, operasyonel risk sermayesini belirlemede kullanıcılara yardımcı olmaktadır. - OpVar Sistemi, Monte Carlo Simulasyonu, En Çok Olabilirlik Kestirimi (Maximum Likelihood Estimation) Yaklaşımı, sigorta fayda analizi, iç ve dış veri tabanlarını birleştirme teknikleri gibi birçok teknik/araç sunar. Üyeler, istedikleri teknikleri ve araçları seçerek bir arada kullanma şansına sahiptir. OpVar Kayıp Veri Tabanı Amaç Yönetici Belirlenen Hedefler Katılımcılar Toplanan Veri/ Dağıtılan Çıktılar Çıktı Teknolojisi Güncellenme Olay Tipleri İş Kolları İletişim Adresi / Tel. Tüm iş kollarında meydana gelen büyük kayıp olaylarının ölçeklendirilerek firmalara uyarlanması, firmaların operasyonel risk profillerinin belirlenmesi, riske maruz sermayenin hesaplanması Fitch Risk/OpVantage ve PwC (PriceWaterhouseCoopers) 1 Milyon USD üzerinde kayba yol açan, kamuya duyurulmuş operasyonel risk kayıp olaylarının birleştirilerek üyelere sunulması Kayıpların nedenleri, sıklık ve şiddetleri ile ilgili grafiksel analizlerin sağlanması Olaylarla ilgili açıklamaların verilmesi Operasyonel risk kaynaklarını anlama ve sayısallaştırma ölçütleri Dünya çapında 20 den fazla banka (Banco Sabadell, Bank of America, Deutsche Bank, ING, IntesaBci, JPMorganChase, UFJ, Soci G ale, and Swiss Re, Bank of Tokio Mitsubishi ) Kamuya duyurulmuş yüksek tutarlı kayıp olaylarının listesi, olayların neden/sıklık/şiddetlerine ilişkin grafiksel analizler Veri tabanıexcel / Access Niceliksel işlevleri yürüten program Excel Yılda 2 kere İç Dolandırıcılık Dış Dolandırıcılık İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliği Sorunları Müşteri, Ürün ve İş Uygulamaları Fiziksel Varlıklarda Hasar İş Kesintileri ve Sistem Arızaları İcra, Teslimat ve Süreç Yönetimi Kurumsal Finansman Alım-Satım Faaliyetleri ve Satışlar Bireysel (Perakende) Bankacılık Ticari Bankacılık Takas, Ödemeler vb Faaliyetler Varlık Yönetimi Perakende Aracılık Kurumsal Temsilcilik(Acentelik) Hizmetleri http://www.opvantage.com 103