2018 yılının en büyük 10 operasyonel riski

Risk.Net tarafından Ocak ve Şubat 2018 aylarında finans sektöründe faaliyet gösteren kurumların risk yöneticileri ile yapılan anketler sonucunda oluşturulmuş olan “2018 yılının en büyük 10 operasyonel riski” çalışmasının özet sonuçlarını aşağıda bulabilirsiniz.

#1: BT kesintisi

İster siber saldırılar, ister insan hatası isterse de eskimiş donanım gibi nedenlerden dolayı uğranılan BT kesintileri üst düzey operasyonel risk yöneticileri tarafından 2018 yılında finans sektöründe faaliyet gösteren şirketlerin önündeki en büyük tehdit olarak kabul edilmektedir.

Risk yöneticileri tarafından yıkıcı siber saldırılara karşı güvenliğin sağlanması konusu bilgi güvenliği, tedarikçi gözetimi, veri koruma, kimlik doğrulama gibi bir çok alanı kapsaması sebebiyle başarılması güç bir konu olduğu kabul ediliyor. Bir bankanın fiziksel ağ yapısında, şehir çapında elektrik kesintisi veya elektromanyetik darbeler gibi çok çeşitli nedenlerle de oluşabilecek BT kesintisinin operasyonel risk yöneticilerince neden bir numaralı tehdit olarak algılandığını anlamak zor değil aslında.

2017 WannaCry saldırısının da gösterdiği gibi, başarılı fidye saldırılarından kaynaklanan hizmet kesintileri, siber hırsızlara yapılan ödemeden genellikle çok daha maliyetlidir. Ölçümü çok zor olmasına rağmen çalışanların eğitimi için ve nerede ve ne zaman ihlalin gerçekleşeceğini izlemek için harcanan zaman genellikle çok yüksektir.

Sektör çalışanları, geçen yılki en kötü BT kesintilerinin birçoğunun hatalı yazılıma bağlanabileceğini ifade ediyorlar. ABD Comptroller of the Currency bankalardaki bilgi güvenliği ile ilgili kontrol ve yönetişimdeki zayıflıkları işaret etmektedir. Yazılımlarda güvenlik açıkları tespit edildiğinde yapılan düzeltmelerin veya güncellemelerin uygulanması anlamına gelen yama yönetimi (patch management) ve erişim yönetimi (access management) özellikle önemlidir çünkü saldırganların bir banka sistemine nüfuz edebilecekleri en kırılgan noktalardır.

Bir kısım görüş düzenleyici kurumların siber saldırılar konusundaki beklentilerini mantıksız bulmaktadır. ABD düzenleyici otoritesinin finansal kurumların iki saatlik bir sürede operasyonlara geri dönüş yapmaları yönündeki beklentisi potansiyel olarak tehlikeli bulunuyor ve gerçekci olmadığı iddia ediliyor.

#2: Veri hırsızlığı

Siber hırsızlık, yetkisiz erişim, kazayla açıklama ve çalışan ihmali – gibi çok sayıda nedenle finansal kurumların elinde bulunan veriler yanlış ellere gidebilir.

2017 yılının manşetlerde yer alan en önemli veri hırsızlığı, tahmini olarak 145 milyon kişiye ait isim, sosyal güvenlik, ehliyet ve kredi kartı numaralarıyla birlikte kişisel belgelerin de ele geçirildiği kredi raporlama ajansı Equifax'a yönelik siber saldırıydı.

Equifax, ihlali Eylül 2017'ye kadar kamuya açıklamadığı için eleştirilere maruz kaldı. Op risk yöneticileri siber saldırıların rapor edilmesi konusundaki gecikmenin sektör çapında bir sorun olduğunu kabul etmektedir. Avrupa Birliği Genel Veri Koruma Yönetmeliği, veri ihlali olaylarının 72 saat içinde ilgili düzenleyici otoriteye bildirilmesi zorunluluğunu getirerek bu sorunu çözmeyi amaçlamaktadır. Ciddi bir veri ihlalinin söz konusu olduğu durumlarda bildirimin yapılmaması halinde cironun %4’üne kadar para cezası söz konusu olabilecektir.

Düzenleyici otoriteler de bünyelerinde tuttukları kamuya açık olmayan bilgiler nedeniyle veri hırsızları için cazip hedefler oluşturmaktadırlar. Eylül 2017'de, the Securities and Exchange Commission 2016 yılında bünyesinde daha önce gerçekleştiği tespit edilen bir olayın alım-satım yoluyla yasadışı kazanç için temel oluşturmuş olabileceğini ortaya koymuştur.

#3: Düzenleyici otorite riski

Denetime yönelik düzenleyici yaklaşımların sürekli gelişen doğası ve bu öngörülemezliklerin işlerini yönetirken şirketlere yüklediği riskleri araştıranların bu konuda aradıkları canlı örnek, ABD Federal Rezerv sayesinde önceki ay ortaya çıktı. Şubat ayında Wells Fargo için verilen bir yaptırım kararı, bankanın yönetişim ve risk yönetimi uygulamalarını geliştirinceye kadar büyümesini engelliyor ve bankalar için yeni ve sarsıcı bir örnek oluşturuyor.

Bu yaptırım kararı Wells'in kar tahminlerini 400 milyon dolara ulaşacak düzeyde düşürmesine neden oldu ve dünya çapında risk yöneticilerini alarma geçirdi. Kriz sonrası dönem yetkililerin görevi kötüye kullanma vakaları için otoritelerin para cezaları uyguladığına tanıklık etti. Op risk uygulayıcıları, şimdi gözlemleyici otoritelerin amaçlarını gerçekleştirmek için Fed'in yaptığı gibi bir dizi yöntem kullanacakları ya da “yumuşak” yaptırım uygulamalarının bir aracı olarak periyodik ve kalitatif araştırmalara daha yoğun bir şekilde eğilecekleri konusunda tahminlerde bulunuyorlar.

Bazı yönlerden, para cezaları önem olarak azalmakta. Basel Komitesinin geçtiğimiz yıl Aralık ayında daha basit standartlaştırılmış ölçüm yaklaşımı lehine bir op risk modellemeye karar vermesi, ulusal yetkili makamlara geçmiş kayıpların bankaların operasyonel sermayesinin hesaplanmasında gözardı edilmesine izin verme seçeneğinin eklenmesi ve bankaların düzenleyici otoritelerinden, tekrarlanmayacağına inandıkları kayıpların hesaplamalardan çıkarılmasını istemelerine izin verilmesini de beraberinde getiriyor. 

#4: Hırsızlık ve dolandırıcılık

Hırsızlık ve dolandırıcılık olaylarıyla uğraşmak her risk yöneticisinin işinin bir parçası ancak her iki alandaki teşebbüsler de artık daha ziyade dijital alanda olduğu için bankalar fiziki hırsızlık ve dolandırıcılıklardan ziyade siber suçlardan endişeleniyorlar.

Siber dolandırıcılık olaylarının geleneksel dolandırıcılık olaylarına karşı konumu sektörde bir tartışma konusu oluşturmakla birlikte geçen yılki en büyük kayıp olayları geleneksel metodlarla olmuştur.

Örneğin, The Agricultural Bank of China milyarder Guo Wengui'nin çalışanları tarafından dolandırıldıktan sonra 497 milyon dolarlık zararla karşı karşıya kaldı -ki bu olay 2017’in en büyük 10. zararını oluşturmuştur.  Diğer bir durumda da, sekiz Hintli banka, Kingfisher Airlines kurucusu Vijay Mallya ile ilgili bir dolandırıcılık davasında 770 milyon dolarlık zarara uğradı – bu da geçtiğimiz yıl sektörün 7. en büyük kayıp olayını oluşturmuştur.

Yine de, bankalar arasında, siber hırsızlık veya dolandırıcılıktan kaynaklanan felaket ölçeğinde bir kayba uğrama korkusu sistemlere yapılan saldırıların günlük olmasından  kaynaklanıyor olabilir. E-postalarla yapılan kişisel bilgilere yönelik tehditlerden (phishing), çok gelişmiş kötü amaçlı yazılımların sistemlere bulaşmasına kadar her türlü saldırı büyüklükten bağımsız olarak her kurum için olasıdır. Bu tür olaylardan kaynaklanan potansiyel kayıplar kuruşlardan milyarlarca dolara kadar değişebilir.

Örneğin Eylül ayında bilgisayar korsanları İsveç bankalarının ağlarına erişerek ödeme emirlerini farklı taraflara yönlendirmek ve fonları aktarmak için çalışan yoğun bir phishing saldırısı düzenlediler. İsveç polisine göre, ülke bankalarının üçü, 312 milyon USD potansiyel zararla karşılaştı.

#5: Tedarikçi riski

Tedarikçi riski, risk yöneticileri için bu yıl da yüksek bir operasyonel risk olmayı sürdürüyor. Bu durum bankaların çevrimiçi platform yönetiminden ekstra şebeke kapasitesine kadar bir çok alanda giderek artan tedarikçi bağımlılığı düşünüldüğünde pek de şaşırtıcı değil.

Bununla birlikte, tedarikçi riskinin sınıflandırılmasında risk yöneticileri ayrılmaktalar. Birçoğu tedarikçi riskini kendi başına ayrı bir risk olarak ele aldıklarını söylerken diğer bir kısım da buradaki riski iki ana risk kategorisinde gördüklerini söylüyorlar: verilerin çalınması ya da BT sistemlerinin bozulması.

Zayıf tedarikçi riski yönetimi veri ihlalleri ile birleştiğinde bankalar ve diğer finans kurumlarını önemli para cezalarına maruz bıraktı. Avukatlar, özellikle AB’de Mayıs ayında yürürlüğe giren Genel Veri Koruma Yönetmeliği'yle birlikte dikkatli olunması  konusunda uyarıda bulunuyorlar. Önemli veri ihlalleri durumunda potansiyel para cezalarının büyüklüğü göz önüne alındığında - firmanın konsolide cirosunun% 4'üne kadar – yasal anlaşmazlıkların artması muhtemel görünüyor.

Korsanlıktan veya kötü amaçlı yazılımlardan kaynaklanan veri ihlalleriyle ilgili endişelerin yanı sıra, iş sürekliliğinin sağlanması da önemli bir öncelik. Risk yöneticileri, büyük tedarikçiler ile standart sözleşmelerde uygun risk yönetimi maddelerini müzakere etmekte zorluklarla karşılaştıklarını söylüyorlar.

Bankaların donanım maliyetlerini düşürmek ve kapasiteyi arttırmak için bulut bilişim sistemini benimsemeye başlamaları düzenleyici otoriteleri de harekete geçirdi. The European Banking Authority Aralık ayında finansal kurumlar tarafından bulut hizmet sağlayıcılarının kullanımına ilişkin nihai rehberliği yayınladı. Bu rehber erişim ve denetim hakları ve acil durum planları ve çıkış stratejileri gibi kilit alanlarda bulut bilişim konusunda düzenleyici otorite beklentilerini somutlaştırmaktadır.

#6: Yanıltıcı satışlar

Finansal ürünlerin yanıltıcı satışı -basit konut ipoteklerinden, binlercesinin menkul kıymetleştirilmesine kadar- son on yılda op risk yöneticileri için bir endişe kaynağı olmuştur.

Sektör çalışanlarının kötümserliği yanlış da değil aslında. 2017'deki tazminat ödemelerinin de gösterdiği gibi, yanıltıcı satışlar yıllarca sürebilen süreçlerdir. The US Federal Housing Finance Agency tarafından ipoteğe dayalı menkul kıymetlerin yanıltıcı bir şekilde satılması sebebiyle RBS’e verilen ceza bunun bir örneğini oluşturmaktadır. RBS, Temmuz ayında ABD yetkililerine 5,5 milyar dolar ceza ödeyerek bu konuda anlaşma yapan son bankalar arasında yer aldı. Banka birkaç ay önce de bir kısım yatırımcıya 2006/7 yıllarında üstlendiği hatalı bir ipoteğe dayalı menkul kıymetleştirme için 165 milyon dolarlık tazminat ödeyerek Deutsche Bank ve Wells Fargo'nun yanında yerini aldı.

Otomatik algoritmik alım-satım yazılımlarının artan kullanımı, yeni yetkisiz alım-satım biçimlerinin oluşacağına dair korkuya yol açtığı gibi, 'robo danışmanları' olarak bilinen otomatik müşteri danışma sistemleri, en az bir düzenleyici otorite tarafından -the US Securities and Exchange Commission- bir rehber yayınlanarak düzenlendi ve bu algoritmaların müşterileri yanıltmasının nasıl önleneceği ve bir şekilde olması durumunda insan faktörünün bunu nasıl önleyebileceğini düzenledi. 

Düzenleyici otorite, artan bir şekilde, satış kültürünü değiştirmek ve bireysel olarak kötüleri ayıklamak için banka yönetimlerine yoğunlaşıyor. Birleşik Krallık'ta, FCA, 2015 yılı sonlarında bankacılık kültürü vurgusunu rafa kaldırmış, bunun yerine büyük finansal kurumlarda her seviyedeki yöneticilere yeni ve açık sorumluluk sınırları uygulayan Üst Düzey Yöneticiler Rejimini koymuştur.

#7: Yetenek yönetim riski

Yetenek yönetim riski, bu yıl ilk defa 10 en yüksek risk grubuna giriyor – bu finans endüstrisinin, teknoloji gibi diğer sektörlerden en iyi ve en zeki elemanları çekmek, eğitmek ve bünyede tutmak için gösterdiği çabanın olumsuz bir göstergesi olarak kabul edilebilir.

Bu sadece pazarlama pozisyonları için değil; bankalar son 18 ay içinde, düzenleyici otorite raporlaması ve model doğrulama gibi çeşitli pozisyonlar için yeterince deneyimli risk yöneticilerini çekmek ve bünyede tutmak için çaba sarf ettikleri konusunda sürekli uyarıda bulundular.

Bunun op risk yönetiminin kalitesi için gerçek dünyada sonuç yaratacak bir olduğuna dair uyarılarda bulunuluyor;  Risk.net'in bu yıl konuştuğu birden fazla bankada insan hatası sebebiyle oluşan raporlama hatalarında artış olduğundan bahsediliyor ve bunlar genellikle yeterince deneyimli olmayan personelin bu tür pozisyonlarda görevlendirilmesi ile oluşan durumlar. Ya da personel sıkıntısı sebebiyle projelerde oluşan başarısızlıklardan bahsediliyor.

Yeni mezunların işe alımında üst düzey yönetim uzun zamandır teknoloji firmalarının artan rekabeti karşısında sektörün en zeki ve iyi finans mezunu quant’ları çekmekte zorluk çektiği konusunda uyarıda bulunuyordu. Bir bankada risk yönetimi fonksiyonunda çalışanlar türev fiyatlaması gibi pozisyonlarda deneyim kazanabilirlerdi ancak birçok bankanın egzotik türev alım-satımından çekilmesi sebebiyle bu tür pozisyonları bulmak bugünlerde zor ve Volcker kuralı US bankalarının proprietary alım-satımını yasaklıyor.

Bugün mezunların, bankalara risk model yöneticisi olarak girmeleri beklenebilirse de, bu iyi ücretli ancak kriz öncesinin kantitatif analistleri düzeyinde bağımsızlık ve prestij sağlamayan ve cv’lerinde banka yerine bir teknoloji firmasında çalışıyor olmanın getireceği karşılaştırmalı havalılık faktörünü içermeyen bir iş. Kıdemli analistler bankalara doğrudan uzman olarak girenlerin daha az tecrübeli olacakları, bu nedenle kadroların orta seviyelerinde bir boşluk oluşacagı uyarısında bulunuyorlar.

#8: Organizasyonel değişim

Organizasyonel değişim konusunda en çok hangi konuda endişelendikleri sorulduğunda ankete katılan hemen herkes farklı bir cevap verdi. Bazılarına göre, her ne kadar bir müddet sonra gelirleri arttıracak ya da maliyetleri düşürecek etkilerinin görüleceği söylense de teknolojik değişime ayak uydurmak zorunluluğu, diğer bazılarına göreyse bu değişikliklerin onların yerini alacağı yönündeki kaygı öne çıktı.

Bazı op risk çalışanları teknolojik değişimin, iş yapmanın yeni yollarını benimsemekle birlikte henüz buna uygun bir kontrol ortamına sahip olmayan kuruluşlara getirebileceği beklenmedik sorunlara işaret etmektedir. Diğer bir kısım ise gelecekteki düzenlemelerin hayatlarını olumsuz etkileyeceğini düşünüyorlar.

Telefonda çalışan brokerlar, Mifid II’nin elektronik ticarete yönelik daha fazla finansal enstrümanı zorladığını bunun da kendilerini işlevsiz bırakabileceğinden şikayetçiler. Ayrıca, banka araştırma görevlileri de Mifid’in araştırma giderlerinin alım-satım işlemlerinden ve diğer hizmetlerden ayrıştırılması yönünde ki mevzuatdan şikayetçiler.

#9: Yetkisiz alım-satım işlemleri

Değişen piyasa yapısına paralel olarak, yetkisiz alım-satımın tanımı da evrilmeye devam etmiştir. Ankete katılanlara göre, rogue algoritmaları da ciddi birer potansiyel kayıp kaynağıdır. Buradaki risk, çalışanların giriş hatası (fat finger) ya da bilinçli olarak kontrolleri yanıltan alım-satımcılardan büyük olmasa bile en azından bunlara eş kabul edilmektedir.

Tüm önemli op risk kayıpları gibi, yetkisiz bir alım-satım işleminin bankanın sermayesi üzerindeki etkisi çok sonra ortaya çıkabilir. Ve bankalar, olaydan yıllarca sonra bile ortaya çıkabilecek tartışmalar yaşayabilirler: Societe Generale, 2008 yılında yetkisiz pozisyon taşıyan Jerome Kerviel'in yol açtığı zarar üzerine yazdığı 2.2 milyar €’lık vergi indirimi ile ilgili olarak halen Fransız hükümetiyle görüşmeler yapıyor.

Birleşik Krallık'ta, Üst Düzey Yöneticiler Düzenlemesi her bir alım satım algoritması için geliştirme, test etme ve gözetme konusunda adı konulmuş kişiler tarafından açık görevlendirmeyi kurala bağlamıştır. Ayrıca, algoritmaların farklı bir pazarda kullanıma çıkmadan önce yeniden doğrulanması (re-validate) gerektiğini ve testlerle gerçek dünya ortamları arasındaki farklılıkların belgelenmesini istediğini ve her iki yöntemin de alışkın olunmayan alım satım koşullarında algoritmaların kullanılmasında oluşabilecek riskleri hedeflediği vurgulanmaktadır.

Bankalar ve düzenleyici otoritelerin traderlar arasında doğru çalışmayı teşvik etmek için havuç-ve-sopanın dengeli kullanımı konusunda daha akıllı olduklarına dair ümit veren gelişmeler var. ABD'de Citi, son dönemdeki bonus planını gözden geçirdi ve bankanın kültürünü, ahlaki çalışmanın yanı sıra, kârlılık performansına bağlayarak, bankanın kültürünü değiştirmeyi planladı.

Bununla birlikte, bir grup insanın düzenleyici otoritenin yakın zamanda op risk sermayesi düzenlemesini tersine çevirmesinin zararlı bir etkisinin olabileceğine yönelik endişeleri bulunmaktadır. Standartlaştırılmış ölçüm yaklaşımı, bankaların iç kontrollerindeki değişikliklerin sermaye hesaplama sürecini olumlu anlamda etkilemesini ortadan kaldırmaktadır. Ki bu kendi modelini geliştiren bankalar arasında oldukça başarılı olarak uygulanan bir model idi.  Sektör çalışanları bunun kontrolleri geliştirmek yönündeki motivasyonu düşürerek yeni bir oprisk kategorisi doğrurabileceği yönünde tartışmalar yapıyorlar.

#10: Model riski

Model riski, 2015 yılından bu yana ilk kez, en yüksek 10 risk arasına tekrar giriyor. Bu durum, bir çok ülkede bankaların modelleme ve onaylama ekiplerine yüklenen artan sorumlulukların bir parçası olarak görülebilir. Bu aynı zamanda bankaların hata yapması durumunda hataların potansiyel maliyetine de işaret eden bir durum.

Bu yıl, Avrupa Merkez Bankası İçsel Modellerin Denetim Hedefi (Trim) programının denetim aşamasını açıklarken, ABD Federal Rezerv Bankası, model riskini en büyük ABD bankaları için yıllık stres testi programının niteliksel kısmına dahil etti. İngiltere Merkez Bankası, Mart ayında model yönetim ilkelerini güncelledi.

İronik olarak, bankalar arasında model riskindeki algılanan artış, bankaların düzenleyici sermayeyi hesaplamak için içsel modelleri kullanma özgürlüğünün ciddi olarak kısıtlandığı (standart yaklaşımla elde edilen rakamların bir taban oluşturarak model yaklaşımından elde edilen sonuçları sınırlandırdığı) veya oprisk’de olduğu gibi tamamen ortadan kaldırıldığı bir dönemde ortaya çıkmaktadır.

Bankalar, op risk modelleme mekanizmalarının bir kısmını Yapısal Blok 2 gerekliliklerini karşılamak için tutmaya devam edeceklerini duyurdular -ki bu aksi takdirde kendilerini işsiz bulacak op risk model quantları ve validasyon çalışanları için oldukça iyi bir haber.

2018-2017 en yüksek 10 riskinin karşılaştırmalı değerlendirmesi

 

2018 position

2017 position

BT kesintisi

1

1*

Veri hırsızlığı

2

1*

Düzenleyici otorite riski

3

2

Hırsızlık ve dolandırıcılık

4

9

Tedarikçi riski

5

3

Yanıltıcı satış

6

5*

Yetenek yönetim riski

7

new

Organizasyonel değişim

8

6

Yetkisiz alım-satım işlemleri

9

5*

Model riski

10

-

 

https://www.risk.net/risk-management/5424761/top-10-operational-risks-for-2018

  • 1
  • 2
  • 3
  • 4
  • 5
Giriş
Giriş Yap
Yeni şifre gönder