Operasyonel Risk Dış Veri Tabanı

Operasyonel Risk Dış Veri Tabanı

Operasyonel Risk Çalışma Grubu^*

Bu çalışma, Türkiye Bankalar Birliği bünyesinde çalışmalarını sürdüren Risk Yönetim Sistemleri Uygu- lama Esasları Değerlendirme Çalışma Grubu - Operasyonel Risk Alt Çalışma Grubu üyelerinin katılımıyla hazırlanmıştır.

1. Giriş

Bilindiği üzere 26 Haziran 2004’de yayımlanan Basel II Metninde (International Convergence of Capital Measurement and Capital Standards - A Revised Framework) bankala- ra ve düzenleyici kurullara, kredi ve operasyonel riskleri için bankacılık operasyonlarına ve ye- rel finansal piyasalarının durumuna göre, sermaye hesaplamasında kullanacakları en uygun yaklaşımları tercih etme olanağı tanınmıştır. Metne göre sermaye hesaplamasında benimsene- cek temel yaklaşımlarda uygulamaya geçiş için en son tarih 2006 yıl sonu, gelişmiş ölçüm yaklaşımları için ise 2007 yıl sonu olarak öngörülmektedir.

Uluslararası bankacılık sektöründeki bu gelişmeler ışığında ülkemizde bankaların, operasyonel risk için sermaye gereksinimi hesaplamasında Gelişmiş Ölçüm Yaklaşımlarını (AMA) tercih etmeleri, özellikle de bu yaklaşımlar arasında riske en duyarlı yöntem olarak ka- bul gören Kayıp Dağılımı Yaklaşımını (LDA) benimsemeleri, beklenen ve beklenmeyen operasyonel kayıp tutarlarını azaltmalarına da hizmet edecektir. Bu yaklaşım, temel veri olarak kayıp tutarını esas aldığından bankaların öncelikle operasyonel risk iç veri tabanlarını oluş- turmuş olmaları gerekmektedir. Ancak iç kayıp verisi tüm potansiyel operasyonel risk olayları- nı kapsamadığından, beklenmeyen kayıplarla ilgili olarak maruz kalınan risk konusunda de- ğerlendirme yapmaya tek başına yeterli olmamaktadır. Bu nedenle, güvenilir bir dış veri taba- nının oluşturulması, iç ve dış kayıp verilerinin birleştirilerek kullanılması, sermaye hesaplama- sı ve operasyonel riskin yönetilmesi bakımından sağlıklı sonuçlar elde edilebilmesi için önem arz etmektedir.

Türk bankacılık sektöründe, operasyonel risk yönetimi konusundaki çalışmalara katkıda bulunmak amacıyla gerçekleştirilen bu çalışmada, Basel II Metni dikkate alınarak operasyonel risklerin sayısallaştırılarak ölçülmesi ve yönetilmesine esas olmak üzere, sağlıklı dış kayıp ve- rilerinin toplanarak tek bir havuzda biriktirilmesi, kullanıcı bankalara uygun erişim imkanı sağlanarak kurumsal yapıya en uygun şekilde kullanılmasına yönelik olarak “operasyonel risk dış veri tabanı” oluşturulması konusu çeşitli yönleriyle değerlendirilmiştir. Bunun yanı sıra bankacılık sektöründe uluslararası uygulamalar esas alınarak veri tabanı tiplerine, iç ve dış veri tabanlarından sağlanan verilerin birlikte kullanımına ilişkin unsurlar detaylı olarak irdelenmiş- tir. Çalışma uluslararası bankacılık alanındaki gelişmelere paralel olarak Türk bankacılık sis- teminde de sürekli gelişim gösteren operasyonel risk konusunda yol gösterici bir kaynak olarak sunulmuştur.

* Katılımcılar: Ahmet Hakan Tankut-Oyak Bank A.Ş., Arzu Hoşer -T. İş Bankası A.Ş., Ayşe Nur Aytemiz- T.C. Ziraat Bankası A.Ş., Belma Özçoban-Tekstil Bankası A.Ş., Elif Akpınar-Türk Ekonomi Bankası A.Ş., Figen Çavdaroğlu-T.Halk Bankası A.Ş., Gülsen Uysal-Tekstil Bankası A.Ş., Oğuzhan Öner-Yapı ve Kredi Bankası A.Ş., Özlem Ernart-T.Garanti Bankası A.Ş., Uğur Yilmazer-Koçbank A.Ş., Ulviye Coşkuner-T. Vakıflar Bankası T.A.O., Yasemin Altuntop-Yapı ve Kredi Bankası A.Ş.

Dış Veri Faaliyet Çevresi ve

Kontrol Faktörleri Senaryo Analizleri

2. Operasyonel Risk Dış Kayıp Verisi-Genel Kapsam A. Dış Veri Kullanım Alanı

Risk Yönetim Sistemleri Uygulama Esasları Değerlendirme Çalışma Grubu - Operasyonel Risk Alt Çalışma Grubu tarafından, Nisan 2004 itibarıyla yayımlanmış olan

“Operasyonel Risk Veri Tabanı” konulu raporda detayları verildiği üzere, operasyonel risk yö- netimine ilişkin temel konulardan biri, operasyonel risk kayıp veri tabanının oluşturulması ve bu verilerin analiz edilmesidir. 26 Haziran 2004’de yayımlanan Basel II Metninde (International Convergence of Capital Measurement and Capital Standards - A Revised Framework) de belirtildiği gibi tüm bankaların, kendi operasyonel risk ve kayıp veri tanımla- malarına uygun olarak, kendi iç veri tabanlarını oluşturmaları tavsiye edilmektedir.

Bankalar, operasyonel risklerin ölçüm sürecinde temelde iç veri kullanmaktadır. İç veri, operasyonel risklerin ölçümünde kullanılan en uygun ve bankanın kendi bünyesinden sağlan- ması nedeniyle en güvenilir kaynaktır. Ancak, yüksek şiddet ve düşük sıklık taşıyan kayıp ve- rilerini yeterli olarak içermemesi nedeniyle, genel olarak operasyonel riskin ölçüm ve değer- lendirme sürecinde yeterli olmamaktadır. İç verinin yeterli olmadığı durumlarda, istatistiki yöntemlerle birleştirilmiş dış veri kullanılabilmektedir. Bu nedenle, iç verinin bankalararası paylaşıma sunularak ortak bir havuzda toplanması, ya da kamuya açık verilerin bir araya geti- rilmesi yolu ile dış kayıp verisinin de ulaşılabilir hale getirilmesi gerekir.

Operasyonel riskin ölçümü ile ilgili olarak yaşanan problemlerin bir çoğunun kayna- ğında, yeterli verinin olmaması, mevcut verinin kullanıma uygun olmaması gibi sorunlar yat- maktadır. Dış verinin de en az iç veri kadar toplanıyor ve analiz ediliyor olması ve her iki veri- nin en etkin şekilde uyumlaştırılabiliyor olması, operasyonel risk ölçümünün gelişmiş yön- temlerle gerçekleştirilmesi için gerekli şartlar arasında yer almaktadır.

.

Şekil 1: Operasyonel risk sermayesinin hesaplanmasına ilişkin girdiler ve faktörler

B. Dış Veri Kullanım Amaçları

a. Operasyonel Riskin Ölçülmesi Amacıyla Kullanım

Artan bir risk duyarlılığı içinde, operasyonel risk için sermaye gereksinimi hesaplama yöntemlerinin her birinin bankalarca tecrübe edilmesinin göz ardı edilemeyecek faydaları bu- lunmaktadır. Bununla birlikte bankaların, kendi iç yapılarını ve risk dinamiklerini belirleye- bilmeleri açısından özellikle Gelişmiş Ölçüm Yaklaşımlarını (AMA) benimsemeleri yararlı o- lacaktır.

Operasyonel Risk Sermaye Hesaplaması

İç Veri

Bu yaklaşımlar ışığında, operasyonel riski ölçebilmek için ihtiyaç duyulan en önemli unsur, kurumların kendi iç kayıp veri tabanlarını oluşturmuş olmalarıdır. Ancak, bu yaklaşım- ların bankaya uyarlanması çerçevesinde, bankaların bir iç kayıp veri tabanı olsa dahi, sadece iç veri tabanı kullanmanın aşağıda yer verilen bazı sakıncaları bulunmaktadır:

• İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları, ku- rum için gerçekleşmemiş olabilir. Bu durum, bankanın kayba konu alanda faaliyetinin olmamasından ya da kendi risk yönetim sistemleri ve kontrol becerisinin gelişmiş ol- masından kaynaklanıyor olabilir. Banka kendi yaşamamış olsa veya yetersiz kayıp ola- yına sahip olsa dahi, mutlaka o kayıp kategorisinde oluşabilecek beklenen kayıp tutarını hesaplamak durumundadır.

• İç veri tabanında yer alan kayıp kategorilerine ilişkin kayıp olaylarından bazıları, ku- rum için gerçekleşmiş olsa bile bu olayla ilgili geçmişe ait veya kaliteli veri elde edil- mesi mümkün olmayabilir.

• Bankanın bir kayıp kategorisinde yeterli veri kaydı mevcut olsa bile, bu verilerin yük- sek sıklık ve düşük şiddetli olması halinde, dağılımın uç kısımlarını oluşturan düşük sıklık ve yüksek şiddetli kayıp verileri hakkında, bankanın bir bilgiye sahip olması mümkün olmayabilir.

Yukarıda belirtilen nedenlerle, operasyonel risk ölçümünün gerçekçi ve güvenilir ola- bilmesi için iç kayıp verileri genellikle tek başına yeterli olmamaktadır. Bu sakıncaların gide- rilebilmesi için, iç veri kadar dış verinin de hazırlanmış ve erişilebilir olması gerekmektedir.

Bu noktada, dış kayıp veri tabanı kullanımı ve senaryo analizi devreye alınarak sağlıklı bir öl- çümlemenin yapılması sağlanabilir.

Şekil 2:Eşik ve risk sermayesi arasındaki ilişki

Diğer taraftan, Basel Komitesi tarafından yayımlanan son Basel II Metni (International Convergence of Capital Measurement and Capital Standards - A Revised Framework – 26.06.2004) ile, belirli kriterleri karşılayan bankalara, Gelişmiş Ölçüm Yaklaşımlarını kullan- ma imkanı verilmiştir. Bu yaklaşımlar içinde Kayıp Dağılımı Yaklaşımı (LDA) en gelişmiş yöntem olarak karşımıza çıkmaktadır. İç veriyi dikkate alan bu yöntem, aynı zamanda riske en duyarlı yöntem olarak kabul görmektedir. Kayıp Dağılımı Yaklaşımı, beklenen ve beklenme- yen kayıplara ilişkin objektif tahminlere ulaşabilmek için bankanın operasyonel kayıplarının sıklık (frequency) ve şiddet (severity) tahminleri aracılığıyla ve standart aktüaryel teknikler kullanılarak modellenmesidir. Bu yaklaşım, temel veri olarak kayıp tutarını esas almaktadır.

Bunun nedeni, kayıp tutarının en objektif risk göstergesi olması ve her bankanın kendine özgü risk profilini yansıtmasıdır. Kayıp Dağılımı Yaklaşımının matematiksel ifadesi aşağıdaki gibi- dir:

Sermaye İhtiyacı= Σi Σj [fi j (sıklık&şiddet dağılımları)] i: iş kolu; j: olay tipi

Bu yaklaşımın aşamalarından biri, tüm iş kollarındaki anahtar risk alanları itibarıyla ay- rı ayrı sıklık ve şiddet düzeylerinin tanımlanmasıdır. Sözü edilen sıklık ve şiddet bilgilerinin ise dış veri ile desteklenmesi sağlıklı bir ölçümlemeye temel teşkil edecektir. Bu bilgilerin, ö- zellikle kuyrukta, iç veri ile yeterince karşılanması mümkün görünmemektedir.

Şekil 3: Sermaye yükümlülüğünün istatistiksel ifadesi

b. Operasyonel Riskin Yönetilmesi Amacıyla Kullanım

Dış veri tabanının kullanımı, sadece operasyonel riskin ölçülmesi değil, aynı zamanda operasyonel riskin yönetilmesi ve genel anlamda banka stratejisi için de oldukça önem taşı- maktadır. Bu kapsamda;

• Bankalar, kendi bünyelerinde yaşanmamış ancak sektörde yaşanan operasyonel riskler- den haberdar olabilecekler ve dış veriye bakarak kendi iç verilerinin yeterliliğini de- ğerlendirme ve sektör deneyimini anlama fırsatını bulacaklardır.

• Bankalar dış veri sayesinde yaşamadıkları bir kayıp olayı hakkında bir öngörüye sahip olacaklar, kayıp olma olasılığı ve kayıp olması halinde oluşacak kayıp tutarı konusunda bilgi sahibi olup, risk yönetim sistemlerini bu doğrultuda geliştirme, sigorta ihtiyaçları- nı gerçekçi olarak belirleme, faaliyette bulunmadıkları bir alanda ise karşılaşılabilecek riskleri ve kayıp olaylarını görerek, o alana yapılması olası yatırımlarını değerlendirme fırsatı bulacaklardır.

• Yerel otoriteler, dış veri tabanına erişimlerinin olması durumunda, dış veri tabanını in- celeyerek ya da gözlemleyerek, sektörde sıklıkla maruz kalınan operasyonel risk konu- larından haberdar olabilecek, gerekli görecekleri tedbirleri alabileceklerdir.

C. Dış Veri Tabanı Tipleri

Basel Komitesinin operasyonel risk için sermaye ayrılması gerekliliği ile ilgili önerileri doğrultusunda, operasyonel risk uygulamalarında dünyada genel olarak iki tip dış veri tabanı kullanılmaktadır. Bunlar; a. Konsorsiyum Tabanlı (Consortium-Based) Dış Veri Tabanları, b.

Kamuya Açık (Publicly Released) Dış Veri Tabanlarıdır.

a. Konsorsiyum Tabanlı Dış Veri Tabanı

Üye bankaların bir anlaşma çerçevesinde ilettikleri verilerle bir konsorsiyum bünyesin- de oluşturulan veri tabanlarıdır. Finansal kuruluşların oluşturduğu konsorsiyum tabanlı veri ta- banlarında, bilgilerin kaynağını bankaların kendi verileri oluşturmaktadır. Konsorsiyum, kayıp verinin toplanması, kontrol edilerek filtrelenmesi, ölçeklendirilmesi, işlenmesi, değerlendiril- mesi ve tekrar dağıtılarak üye bankalara iletilmesi sürecinin organize edilmesinden sorumlu- dur. Bu tür veri havuzları bir çok ülkede ulusal ve uluslararası düzeyde oluşturulmaktadır.

Bunlara örnek olarak aşağıdaki veri tabanları mevcuttur:

- GOLD (Global Operational Loss Database) ← BBA (British Bankers’ Association) - MORE (Multinational Operational Risk Exchange) ← NetRisk

- ORX (Operational Risk Data Exchange Association)← PwC (PriceWaterhouseCoopers) Avantajları:

ƒ Gizlilik: Konsorsiyum üyesi bankalar arasında yapılan anlaşma dahilinde belirlenen ilke- ler, bankaların operasyonel riske ilişkin olarak kamuya açıklamak istemedikleri verilerin gizliliğinin korunması açısından son derece önemlidir.

ƒ Güvenilirlik: Veri transferi, uyumlaştırma ve ölçeklendirme gibi konularda doğru ilkeler ortaya konduğu takdirde bu tür verilerin güvenilirliğinin de artması beklenir. Buradaki gü- venilirliğin sağlanmasında, bankaların verilerini doğru ve açık olarak iletmeleri ve başlan- gıçta yapılan iş kolu ve kayıp veri sınıflamasının tutarlı olması büyük önem taşır. Bu ne- denle başlangıçta belirlenen ilkelerin kullanıcı bankalar tarafından iyi anlaşılması gerek- mektedir. Diğer taraftan kur dönüşümleri, enflasyon düzeltmelerinin yanı sıra bankalar ara- sındaki ölçek farklılıklarının da giderilmiş olması gerekmektedir. Filtreleme ve ölçekleme doğru yapıldığı takdirde güvenilirlik artacaktır.

ƒ Verim: Konsorsiyum tabanlı dış veriler, kamuya açık veri tabanına göre daha düşük eşik taşıması nedeniyle geniş bir örneklem fırsatı yaratarak daha kesin bir modelleme imkanı sağlar.

ƒ Esneklik: Konsorsiyum tabanlı dış veri tabanları gereksinimlere daha esnek olmaları nede- niyle tercih edilebilmektedir. Rekabet koşulları nedeniyle gelişmeleri takip etmeleri, ken- dilerini yenilemeleri ve yeni uygulamaları bünyelerine adapte etmeleri gerekmektedir. Bu konularda konsorsiyum üyesi bankaların beklentileri de belirleyici olmaktadır.

Dezavantajları:

ƒ Kapsam: Konsorsiyum üyesi olmayan bankaların kamuya mal olan bilgilerinin bu veri ta- banlarına yansımaması nedeniyle şiddeti yüksek, sıklığı düşük olayların oranı, olması ge- rektiğinden daha düşük çıkmaktadır. Buna bağlı olarak modelleme kuyruk değerlerini yete- ri kadar içermeyebilir. Ayrıca, bankaların operasyonel kayıplarını gizli tutmaya eğilimli olmaları nedeniyle, dış veri tabanlarına tüm kayıp tutarları yansımayabilir.

ƒ Maliyet: Verilerin saklanması ve kullanılmak üzere iletilmesi için gereken alt yapının be- lirli bir maliyet taşıması, konsorsiyuma katılan bankalar için bir dezavantaj olabilmektedir.

ƒ Heterojenlik: Dış verilerin kaynağı olan bankaların faaliyetlerinin içerikleri ve yoğunluk- ları, risk ve kontrol anlayışları ile bilanço büyüklükleri farklılıklar arz etmektedir. Bu ne-

denle iş kolları bazında kayıp tutarları arasında büyük farklılıklar yaşanabilmektedir. Ayrı- ca dış veri tabanında, kontrol sistemleri zayıf bankaların verileri daha fazla olacağı için, güçlü kontrol sistemleri oluşturmuş ve operasyonel riskleri düşük olan bankaların veri ta- banında temsil edilme oranı daha düşük olacaktır. Kontrol sistemleri farklı olan bankaların bu veri tabanlarını kullanması durumunda, olması gerektiğinden daha farklı sermaye gerek- sinimi hesaplamaları söz konusu olabilecektir.

ƒ Güvenilirlik: Konsorsiyum üyesi bankaların kasıtlı olarak yanıltıcı ve hileli bilgi vermele- ri, verilerin doğru sonuç vermemesine neden olacaktır. Güvenilirlik konusundaki diğer bir dezavantaj ise bu verilerin konsorsiyum tarafından usulsüz kullanılabilme olasılığıdır. Bu tür veri tabanında güvenilirliğin sürekliliği için konsorsiyumun belirli periyotlarla denet- lenmesi tavsiye edilmektedir.

ƒ Zaman: Kamuya açık dış veri tabanı oluşturulma sürecine göre daha uzun bir zaman süreci gerektirir.

b. Kamuya Açık Dış Veri Tabanı

Kamuya açık dış veri tabanları, sadece kamuya duyurulan çok yüksek şiddetteki kayıp olaylarını içerir. Bu tür veriler mahkeme kayıtlarından, haber raporlarından, borsa kayıtları gibi kamuya açık kaynaklardan elde edilir. PWC (Price Waterhouse Coopers) ve OpVantage/Fitch Risk kurumlarının ortak çalışması olan OpVaR veri tabanı bu tür bir veri tabanına örnek olarak verilebilir.

Bu tipteki veri tabanları için kayıp eşiği konsorsiyum tabanlı veri tabanlarından çok da- ha yüksektir. Örneğin, OpVar kayıp verisi için eşik 1 Milyon USD iken, ORX kayıp verisi için eşik USD 25.000.- ’dir.

Avantajları:

ƒ Maliyet: Kamuya açık verilerden oluşan dış veri kaynakları zaman, iş gücü ve finansal a- çıdan daha düşük maliyetlidir.

ƒ Zaman: Konsorsiyum tabanlı dış veri tabanına göre oluşturulma süreci daha kısadır.

ƒ Güvenilirlik: Kamuya açık kaynaklardan elde edilen dış veriler olması nedeniyle güveni- lirliği yüksektir.

ƒ Amaca Uygunluk: Genelde bu tür veri kaynakları, sıklığı düşük, şiddeti yüksek verileri içermekte ve ölçüm sürecinde, iç veriden daha düşük verim sağlamakla birlikte, geniş çapta kuyruk olaylarının ölçüme katılmasını sağladığı için olumlu bulunmaktadır.

Dezavantajları:

ƒ Kapsam: Veri eşiğinin yüksek olması ve sadece sıklığı düşük, şiddeti yüksek verileri içer- mesi nedeniyle kapsamı özellikle modelleme için yeterli olmamaktadır.

ƒ Amaca Uygunluk: Konsorsiyum tabanlı dış veri tabanına göre verinin adeti ve çeşitliliği daha azdır. Operasyonel riskin ölçümü ve yönetilmesi amacıyla kullanımı kısıtlıdır.

D. Dış Veri Tabanları –Uluslararası Uygulamalar a. Konsorsiyum Tabanlı Dış Veri Tabanları

a.1. ORX (Operational Risk data eXchange Association):

ORX

Amaç Güvenli bir ortamda, gizlilik çerçevesinde, üyelerin mahremiyetleri korunacak bi- çimde kaliteli verinin paylaşımının sağlanması

Yönetici PwC (PriceWaterhouseCoopers)

Belirlenen Hedefler EUR 20.000.- / USD 25.000.- üzerindeki operasyonel kayıp olaylarının toplanması, kontrol edilmesi, düzenlenmesi, üyelere yeniden dağıtılması

Katılımcılar ABN-AMRO, Banca Intesa, Banco Bilbao Vizcaya Argentaria (BBVA), The Bank of Nova Scotia, BNP Paribas, Commerzbank AG, Danske Bank A/S, Deutsche Bank AG, Euroclear Bank, Fortis Bank, HBOS

Toplanan Veri/

Dağıtılan Çıktılar

Üyelerden gelen verinin kalitesi, belirlenmiş standartlara uygun olmalıdır. Anonim, temiz ve ölçeklendirilmiş kayıp verisi, analizler ve standart raporlar üyelere dağıtı- lır.

Yönetişim ● PwC (PriceWaterhouseCoopers)-Zürih: Veri Yöneticisi ve İdari Yetkili

● OpRisk Analytics-SAS: Yazılım ve Donanım Sorumlusu

● Deutsche Bank: Başkan

● JC Morgan Chase: Başkan Vekili

● BNP Paribas: Sayman

● Bağımsız sorumlu : Verilerin Anonimleştirilmesinden Sorumlu Yetkili

Güncellenme Yılda 4 kere

Olay Tipleri ● İç Dolandırıcılık ● Dış Dolandırıcılık● Kasıtlı Hasar

● İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar

● Müşteri, Ürün ve İş Uygulamaları ● Fiziksel Varlıkların Hasara Uğraması

● İş Kesintileri ve Sistem Arızaları ● İcra, Teslimat ve Süreç Yönetimi İş Kolları ● Kurumsal Finansman ● Alım-Satım Faaliyetleri ve Satışlar

● Bireysel (Perakende) Bankacılık ● Ticari Bankacılık ● Takaslar

● Kurumsal Temsilcilik(Acentelik) Hizmetleri● Varlık Yönetimi

● Perakende Aracılık ● Kurumsal Yönetim

İletişim Adresi/Tel. C/o Balmer-Etienne AG Zurich, Dreikonigstrasse 34, CH-8002, Zürih, İsviçre Tel.:

+41 1 222 2020, Faks: +41 1 222 2022 http://www.pwc.com

Kurucu Üyeler:

Banka adı Şehir Ülke

1 ABN-AMRO Amsterdam Hollanda

2 ING Amsterdam Hollanda

3 Euroclear Bank Brüksel Belçika

4 Fortis Bank Brüksel Belçika

5 Danske Bank A/S Kopenhag Almanya

6 Deutsche Bank AG Frankfurt Almanya (Başkan)

7 Commerzbank AG Frankfurt Almanya

8 HBOS plc Edinburgh İskoçya

9 Banco Bilbao Vizcaya Argentaria Madrid İspanya

10 Banca Intesa Milano İtalya

11 SanPaoloIMI SpA Torino İtalya

12 JPMorganChase New York ABD (Başkan Vekili)

13 BNP Paribas Paris Fransa (Sayman)

14 The Bank of Nova Scotia Toronto Kanada

Veri Toplama, Analiz ve Dağıtım Süreci:

ƒ Raporlanacak kayıp için eşik değer, komite tarafından EUR 20.000.- (veya USD 25.000.-) olarak belirlenmiştir.

ƒ ORX konsorsiyumuna katılmak isteyen bir bankanın, veri toplama ve gönderme kapa- sitesini kanıtlaması gereklidir.

ƒ Veri toplama kapasitesini kanıtlayan bankalardan toplanan veriler, kontrol ve onaylama sürecinden geçtikten sonra üyelere dağıtılmaktadır.

ƒ Verilerin toplanıp dağıtılması sırasında, verinin temin edildiği üyenin gizliliği ilkesi benimsenmektedir. Bu nedenle, veriler bağımsız bir yetkili tarafından, kaybı bildiren firmanın kimliğinin gizliliği korunacak biçimde ölçeklendirilir.

Verinin toplanması, işlenmesi ve dağıtılması aşağıdaki şekilde gerçekleşir:

ƒ Katılımcılar, belirlenmiş kalite standartlarını sağlayan kayıp verisini ORX’e gönderir- ler.

ƒ Sorumlu yetkili verileri anonimleştirir, temizler ve ölçeklendirir.

ƒ Veri yöneticisi verileri birleştirir, gerekli analizleri gerçekleştirir ve raporları hazırlar.

ƒ Sorumlu yetkili, verileri yeniden ölçeklendirip düzenledikten sonra, firmalara, standart raporlar biçiminde dağıtır.

Ham Veri

İşlenmiş Veri

Üyeler

ƒ Veri gönderimi, yılda 4 defa, üç ayda bir gerçekleştirilir.

ƒ Sistem üzerinde iyileştirilmeler devam ettiği için, üye kuruluşlar, geçmiş dönemlerde ra- porladıkları kayıp olaylarını düzelterek tekrar gönderme şansına sahiptirler.

ƒ Bir olayın birden fazla kayba neden olduğu durumlarda, “kök olay”, yani tüm kayıpların temel nedeni belirlenir. Bu şekildeki kayıplarda, kök olay, ilişkili tüm kayıplarla aynı kayıt altında tutulur. (İlişkili tüm kayıplar aynı referans kodu ile numaralandırılarak aralarındaki bağ belirtilmiş olur ve ayrı olaylar gibi nitelendirilmez.)

Yan sayfadaki şekilde görüleceği gibi, ORX kayıp olayları ele alınırken, Basel II Metni (International Convergence of Capital Measurement and Capital Standards - A Revised Framework – 26.06.2004) kriterleri göz önünde bulundurulur.

Yetkili (custodian)

Yönetici (administrator)

ƒ Eğer kayıp olayı Basel II Metni ya da ORX standartlarında tanımlanmış bir olaysa, sorgu- suz veri tabanına alınır. Eğer olay, bu tanımlamalar içerisinde yer almıyorsa, bu olayı doğu- ran etkenler araştırılır.

ƒ Olası kayıplara, yalnızca itibar kaybına neden olan olaylara ve stratejik kararlardan kay- naklanan kayıplara veri tabanında yer verilmez.

Stratejik Risk Kapsam dışı

İtibar Riski Kapsam dışı

Piyasa Riski Kapsam dışı

Yasal Riskler Kapsam içi

ƒ ORX, kayıp olaylarına ilişkin üç tarih talep eder:

1) Meydana Gelme Tarihi 2) Fark Edilme Tarihi

3) Muhasebeleşme Tarihi (ORX raporlamasında esas alınan tarih, muhasebeleşme tarihidir.)

Kayıp Olaylarının Sınıflandırılması :

ORX standartlarına göre kayıp olaylarının sınıflandırılması, Basel II Metnindeki (International Convergence of Capital Measurement and Capital Standards - A Revised Framework – 26.06.2004) sınıflandırmaya çok benzemektedir. Ancak aşağıdaki tabloda da gö- rüleceği gibi, Basel II Metninde olay tipleri 7 sınıfta incelenirken, ORX standartlarında 8 sı- nıfta incelenir:

Basel ORX

İç Dolandırıcılık Dış Dolandırıcılık

- Kasıtlı Hasar

İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları

Fiziksel Varlıkların Hasara Uğraması Afetler ve Toplum Güvenliği İş Kesintileri ve Sistem Arızaları Teknoloji ve Alt Yapı Arızaları

İcra, Teslimat ve Süreç Yönetimi

Olay ve/veya Kayıp

Olaya/Kayba Sebep Olan Kök Olay Nedir?

Basel/ORX Olay Tiplerine Uygun

mu?

Evet OK

Hayır

Basel 1.Seviye Basel 2.Seviye ORX 1.Seviye ORX 2.Seviye İç Dolandırıcılık Hırsızlık ve Dolandırıcılık,

Yetkisiz İşlemler

İç Dolandırıcılık İç Hırsızlık ve Dolandırıcılık Yetkisiz Faaliyetler İç Sistem Güvenliği

Dış Dolandırıcılık Hırsızlık ve Dolandırıcılık

Sistem Güvenliğine Karşı Saldırılar Dış dolandırıcılık

Dış Kaynaklı Hırsızlık ve Dolandırıcılık

Dış Sistem Güvenliği

- - Kasıtlı Hasar

Kasıtlı Hasar ve Terör Sistem Güvenliğine Kasıtlı Hasar

İnsan Kaynakları Uygulamaları ve İş Yeri Güvenli- ğine İlişkin So- runlar

Çalışanlarla ilişkiler Çevre Güvenliği Ayrımcılık

İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliğine İlişkin Sorunlar

Çalışan İlişkileri Güvenli Çalışma Ortamı Çalışanlarda Kültürel Çeşit- lilik ve Ayrımcılık

Müşteri, Ürün ve İş Uygulamaları

Uygunluk, Açıklık ve İtibar Hatalı İş ve Piyasa Uygulamaları Ürün Kusurları

Seçim, Destekleme ve Korunmasız- lık

Danışmanlık Faaliyetleri

Müşteri, Ürün ve İş Uygulamaları

Uygunluk, Açıklık ve Güven Uygunsuz İş ve Piyasa Uy- gulamaları

Ürün Akışları Seçim, Kefalet ,İtibar Danışmanlık Faaliyetleri Fiziksel Varlıkla-

rın Hasara Uğra- ması

Felaket ve Diğer Olaylar Afetler ve Toplum Güvenliği Afetler ve Diğer Olaylar Kazalar veToplum Güvenliği İş Kesintileri ve

Sistem Arızaları Sistemler Teknoloji -Alt Yapı Arızaları Teknoloji -Alt Yapı Arızaları

İcra, Teslimat ve Süreç Yönetimi

İşlem Üzerinde Hakimiyet Kurul- ması, İcra ve Bakım,

İzleme ve Raporlama

Müşterinin Çekilmesi ve Belgelen- dirme

Müşteri Hesabının Yönetilmesi Ticari Karşı Taraf

Satıcı ve Tedarikçi

İcra, Teslimat ve Süreç Yönetimi

İşlem Üzerinde Hakimiyet Kurulması, İcra ve Bakım Müşteri Alım ve Belgeleme Müşteri Hesap Yönetimi İzleme ve Raporlama

İş kolları bazında ORX, küçük farklılıklar dışında Basel II Metnindeki (International Convergence of Capital Measurement and Capital Standards - A Revised Framework – 26.06.2004) sınıflandırmaya uyum sağlar.

Basel ORX

Kurumsal Finansman Alım-Satım Faaliyetleri ve Satışlar

Bireysel (Perakende) Bankacılık

- Özel Bankacılık

Ticari Bankacılık

Takas, Ödemeler vb. Faaliyetler Takaslar (Clearing) Kurumsal Temsilcilik (Acentelik) Hizmetleri

Varlık Yönetimi Perakende Aracılık

- Kurumsal Yönetim

a.2. MORE (Multinational Operational Risk Exchange) MORE

Amaç Risk ölçümü, operasyonel riskin sayısallaştırılması ve karşılaştırmaya yönelik (benchmarking) veri hizmetlerinin sunulması

Yönetici NetRisk & RMA (Risk Management Association)

Belirlenen Hedefler

Veri paylaşımı için güvenli ortam sağlamak, operasyonel riske maruz sermayenin sayısallaştırılmasını destekleyecek veri sağlamak, kıyaslamaya olanak sağlamak, tahminsel faktörler hakkında bilgi toplamak, düzenleyici kararların yayılmasını sağlamak

Katılımcılar

2000 yılı sonundan itibaren, 16 finansal kurum (Royal Bank of Canada, Canadian Imperial Bank of Commerce, Toronto-Dominion Bank, Avrupa’dan 7 banka, Kuzey Amerika’dan 4 banka ve Asya’dan 2 banka)

Toplanan Veri/ Dağı-

tılan Çıktılar Temiz, ölçeklendirilmiş ve ölçeklendirilmemiş veri, en uygun sebep, olay ti- pi/etki, iş kolu

Yönetişim 7 üyeden oluşan bir heyet tarafından yönetiliyor.

Çıktı Teknolojisi Java tabanlı veri tabanı ve Excel Olay Tipleri İnsan, Süreç, Teknoloji, Dış faktörler İletişim Adresi / Tel. http://www.netrisk.com

ƒ Multinational Operational Risk Exchange (MORE), 2000 yılında 16 finansal kurumun ka- tılımıyla oluşturulan, katılımcıların kendi iç kayıp verileri ile besledikleri bir kayıp veri ta- banıdır.

Veri Toplama, Analiz ve Dağıtım Süreci:

ƒ RMA (Risk Management Association)’in katkılarıyla NetRisk, internet tabanlı ASP mode- liyle katılımcılara sunduğu MORE kapsamında:

− Veri toplama,

− Ölçeklendirme,

− Temizleme,

− Dağıtma,

− Çözümsel hizmetler sunma

işlevlerini yerine getirerek, katılımcı firmalar arasında veri paylaşımına olanak sağlamaktadır.

ƒ Organizasyonda veri yönetimi RMA’in sorumluluğundadır.

− MORE üyeleri operasyonel kayıp verilerini, daha önceden belirlenmiş olan formatlarda RMA’e gönderirler.

− Veriler, MORE tarafından koyulmuş olan standartlara uygunluk açısından RMA tarafından gözden geçirilip onaylandıktan sonra birleştirilir.

− Veriler, analiz edilmek, ölçeklendirilmek ve üyelere yeniden gönderilmek üzere NetRisk’e iletilir. MORE, üyelere, operasyonel risklerini modelleme ve riskleri nasıl yönettiklerini rakipleriyle karşılaştırma olanağı tanır.

ƒ MORE için en önemli hedeflerden biri, operasyonel kayıp verilerinin hangi kuruma ait ol- duğunun anlaşılmasına engel olacak biçimde verileri düzenlemek, uyumlaştırmak, ano- nimleştirmek ve üyelere iletmektir.

a.3. GOLD (Global Operational Loss Database)

GOLD

Amaç Büyük kayıp olaylarının toplanması ve karşılaştırılması, risk sermayesi için risk ölçümünün sağlanması

Yönetici BBA (British Bankers’ Association)

Belirlenen Hedefler Bireysel bankacılık için USD 50.000.- ticari ve kurumsal bankacılık için USD 100.000.- üzerindeki operasyonel kayıp olaylarının veri tabanının yaratılması

Katılımcılar 21 banka

Toplanan Veri/ Dağıtı- lan Çıktılar

Kayıp listesi şeklinde temiz ve anonim ham veri/ Üyeler tarafından düzenlenen veriler

Yönetişim Yönetim komitesi, 9 üye banka ve bir BBA temsilcisinden oluşur.

Çıktı Teknolojisi Excel tabanlı

Olay Tipleri

İnsanlar: Çalışan suiistimali, yetkisiz faaliyetler, iş kanununa aykırılıklar, iş gücü kesintileri, kilit personel kaybı/eksikliği

Süreçler: Ödeme/takas riski, belge/kontrat riski, değerleme/fiyatlandırma riski, iç/dış raporlama, uyum, proje ve değişim yönetimi riski, satış riski

Sistemler: Teknolojik yatırım riski, sistem geliştirme ve uygulama riski, sistem kapasitesi riski, sistem hataları, sistem güvenlik açığı

Dışsal Faktörler: Yasal/toplumsal sorumluluklar, cezai faaliyetler, taşe- ron/tedarikçi riski, felaketler ve alt yapı hizmet hataları, yönetmelik riski, politi- ka/devlet riski

İş Kolları

Perakende bankacılık, plastik kartlar, özel bankacılık, ipotek bankacılığı

(mortgage banking), ticaret finansmanı, kurumsal bankacılık, yatırım bankacılığı, ticaret ve danışmanlık, sigortacılık, varlık yönetimi, broker hizmetleri

İletişim Adresi / Tel. http://www.bba.org.uk

Veri Toplama, Analiz ve Dağıtım Süreci:

Veri kayıt prosedürlerinin ve hesaplarının tanımlanması, sorumlu personelin belirlen- mesi, mevcut prosedürlerin kayıp toplama iş akışına göre güncellenmesi ve iç kontrol fonksi-

yonu ile koordinasyonun sağlanması aşamalarından sonra operasyonel kayıp verisi toplanmaya başlanır.

ƒ Tam Veri Toplama: Sigorta ödenekleri dahil tüm kayıp detaylarının saptanması - Yönetsel veri (sigorta ödenekleri dahil)

- Hesapsal veri (beklenen en yüksek kayıp) - İşsel veri (business data) , (ölçüler ve tarihler)

ƒ Yönetim raporlaması:

- Grafiksel, standart, anında (on-line) raporlama - Esnek tablosal raporlama

- Verileri, iş kolu, konum, ürün ve zamana göre seçme işlevi

Aşağıda görüldüğü gibi raporlamalar için tablosal/grafiksel farklı formlar seçmek mümkündür.

ƒ Eşik: Raporlanacak kayıp için eşik değer, komite tarafından bireysel bankacılık için USD 50.000.-, ticari ve kurumsal bankacılık için USD 100.000.- olarak belirlenmiştir.

ƒ Kayıp Veri Alanları: Kayıplar aşağıda belirtilen veri alanları bazında sınıflandırılır:

1- Olay kodu 2- Kayıp miktarı 3- Beklenen miktar 4- Belirlenme tarihi 5- Oluşma tarihi 6- İş kolu 7- Ürün

8- Süreç safhası 9- Süreç sahibi

10- Konum - Örnek: “Avrupa>Almanya>Frankfurt”

11- Olayın Sebebi 12- Açıklama

ƒ Kontrol Bildirimi: Eş zamanlı iç kontrol, e-posta ile uyarı mekanizması ve çeşitli biçim- lerde raporlama imkanı bulunmaktadır.

ƒ Güvenlik: Merkezi idare hakları, merkezileşmemiş kullanıcı yönetimi, veri tabanı güvenli- ği, güvenli veri aktarımı konularında hassasiyet gösterilmektedir. Kullanıcıların kendilerine özel kullanıcı adları ve parolaları bulunmaktadır.

ƒ Veri Gönderim Ara Yüzü: İç veya dış veri tabanına ait istenilen olayın verileri yüklene- bilir.

ƒ Çok Dillilik: Kullanıcı kayıt ve e-posta işlemleri sırasında Almanca-İngilizce dillerinden biri seçilebilmektedir.

ƒ Parametrelendirilebilir Alanlar:

- Veri giriş alanları, çeşitli sayı-tarih-karakter formatlarının kullanımına izin vermekte- dir.

- Veri giriş alanlarının güvenlik ve kullanım yetkileri değiştirilebilmektedir. Bazı kullanı- cıların belirli alanlara erişmesi engellenebilmektedir.

- Yerel yönetim ve bakım olanaklıdır.

- Veri giriş alanları zorunlu/opsiyonel olabilmektedir.

ƒ Kayıp Olaylarının Sınıflandırılması:

- Sebepler (birincil ve ikincil sebep – 3 hiyerarşik düzey),

- Olaylar ve etkileri,

- Doğrudan/dolaylı kayıplar olmak üzere sınıflandırılır.

a.4. Basel Consortium

Basel Consortium

Amaç Finansal hizmet sektörüne, operasyonel kayıp verilerinin tespit edilmesi, operasyonel risk yönetiminde gelişim ve bilgilendirme konularında hizmet vermek

Yönetici PWC (PriceWaterhouseCoopers)

Belirlenen Hedefler Birçok ülkenin önde gelen finansal şirketlerine, operasyonel risk yönetimi konusunda karşılaştırma ve sayısallaştırma hizmetleri sunmak

Katılımcılar 11 banka

Toplanan Veri/ Dağıtılan

Çıktılar Ortak bir para biriminde, temiz ve ölçeklendirilmiş kayıp verisi, özet iş ista- tistikleri, anahtar göstergeler

Yönetişim PWC’nin danışmanlığında, 11 üye bankadan birer temsilcinin oluşturduğu yönetim komitesi

Çıktı Teknolojisi Excel tabanlı Olay Tipleri

● İç Dolandırıcılık ● Dış Dolandırıcılık

● İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar

● Müşteri, Ürün ve İş Uygulamaları ● Fiziksel Varlıkların Hasara Uğraması

● İş Kesintileri ve Sistem Arızaları ● İcra, Teslimat ve Süreç Yönetimi İş Kolları

● Kurumsal Finansman ● Alım-Satım Faaliyetleri ve Satışlar

● Bireysel (Perakende) Bankacılık ● Ticari Bankacılık

● Takas, Ödemeler, vb. Faaliyetler ● Varlık Yönetimi

● Perakende Aracılık ● Kurumsal Temsilcilik(Acentelik) Hizmetleri

Adres / Tel. http://www.pwc.com

a.5. Zurich IC² FIRST (Zurich Intellectual Capital Squared Financial Institutions Risk Scenario Trends)

ZURICH IC² FIRST

Amaç Kayıp olaylarının raporlanması, risk analizi, operasyonel risk kayıp olay incelemesi ve senaryo analizi, KRM (Kurumsal Risk Yönetimi)

Yönetici OpVantage/FRM, Zurich Financial Services Group

Belirlenen Hedefler Limitler üzerindeki operasyonel kayıp olaylarına ilişkin veri tabanının yaratılması Katılımcılar Bazı İngiltere ve İsviçre bankaları

Toplanan Veri/ Dağı-

tılan Çıktılar Dikkatlice araştırılmış ve sayısallaştırılmış operasyonel risk kayıp verileri Çıktı Teknolojisi ASP modeli, web tabanlı

Kayıp Olay Tipleri

● Etik Olmayan Davranışlar

● Dış Dolandırıcılık

● İnsan Kaynaklarına İlişkin Sorunlar ve Çalışanların Sağlık Sorunları

● Hata, İhmal ve Yasal Sorumluluk İhlalleri

● Felaketler

● Donanım, Yazılım, Sistemler ve Telekomünikasyon

● İş Süreçleri

Adres / Tel. http://www.opvantage.com

Veri Toplama, Analiz ve Dağıtım Süreci:

ƒ Zurich IC² First, riski tanımlamak, izlemek, ölçmek ve yönetmekten oluşan dört aşamalı bir operasyonel risk yönetimi sürecini bankalara sunar.

ƒ IC² First, web tabanlı bir dış kayıp veri tabanı uygulamasıdır.

ƒ Operasyonel risk analizinde niteliksel ve niceliksel yaklaşımları içerir. Kapsamlı çalışmalar sonucu, olayların sebep ve sonuçlarının yanısıra anlamlı istatistiksel rakamlar da elde edilir.

ƒ Zurich IC² First, kayıp olaylarının raporlanması, risk analizi, operasyonel risk kayıp olay incelemesi ve senaryo analizini gerçekleştirir. Veri tabanı, toplam 360 Milyar USD’yi aşan, araştırılmış ve sayısallaştırılmış operasyonel risk kayıp olaylarını içerir.

ƒ Zurich IC² First, kurumsal risk yönetimi (Enterprise Risk Management-ERM) danışmanlığı sunar ve şirketlerin risklerinin büyük çoğunluğunu değerlendirmelerine yardımcı olur. Bu riskler arasında fiziksel, finansal, operasyonel ve stratejik kayıplar yer alır.

ƒ Zurich IC² First, bir iş çevresindeki riskleri modeller. Müşterilerine, değer biçme ve risk azaltma kapsamında riski kolaylıkla belirleyerek sayısallaştırma, kurumsal yönetişim ge- rekliliklerine uyum, akılcı karar alma ve riskin finansal etkilerini ölçme konularında tavsi- yelerde bulunur.

Kayıp Olaylarının Sınıflandırılması:

ƒ İnsan Riski: Çalışanlardan kaynaklanan kasıtlı/kasıtsız kayıp riskidir. Örneğin, çalışan ha- taları ya da suiistimalleri, organizasyonel problemler ve kayıplar, vs.

- Çalışan hataları: İşlem hataları

- İnsan kaynakları : Çalışan yetersizliği, işe alım/işten çıkarım - Fiziksel hasar : Çalışanlarda sağlık ve güvenlikle ilgili hasarlar - Fiziksel olmayan hasarlar : İftira/lekeleme/karalama, ırkçılık, taciz - İç dolandırıcılık: Dolandırıcılık, ticari suiistimaller

ƒ Dış Etkenler: Fiziksel varlıkların, dış etkenler nedeniyle kayba uğrama riski, işlenen suçlar ve bazı piyasalarda varlığını sürdürememe riski bu kategoriye dahildir.

- Felaketler

- Dış dolandırıcılık

- Davalar/yasalar, yasal ve kanuni değişiklikler, sermaye kontrolü

ƒ Süreç Riski: İşlemlerin gerçekleştirilmesi ve kontrolü, ürün ve hizmet işleyişine ilişkin risklerdir.

- İş süreçleri: Dikkat eksikliğinden ve uygunsuz ya da yanlış beyanlardan kaynakla- nan riskler

- İş riski: Şirket birleşmeleri veya yeni ürün riski

- Hatalar ve ihmaller: Uygunsuz veya sorunlu kalite kontrol ve güvenlik - Özel sorumluluklar: Personel çıkarları, işveren, yönetici ve idareciler

ƒ İlişkiler: Müşterilerle, hissedarlarla, üçüncü partilerle veya düzenleyici otoritelerle ilişkiler - Yasal/sözleşmeye dayanan ilişkiler: Sözleşme, yasal sorumluluklar ve ihlaller - İhmaller

- Satış ayrımcılığı : Müşteri ve borç ayrımcılığı

- Satışla ilgili konular: Agresif satış teknikleri, etik olmayan satış politikaları - Özel ihmaller : Bazı ücretlerin ödenmemesi, raporların dosyalanmaması

ƒ Teknoloji: Teknoloji kaynaklı veri ya da bilgi hırsızlığı, teknolojik arıza/kesinti ya da ha- talar;

- Genel teknoloji problemleri: Operasyonel hatalar, teknolojinin yetkisiz/kötü niyetli kullanımından kaynaklanan kayıplar

- Donanım : Ekipman hatası, uygunsuz/eksik donanım

- Güvenlik : Sisteme yönelik saldırılar, güvenlik duvarı hataları - Yazılım : Bilgisayar virüsü, programlama hatası

- Sistemler: Sistem hataları ve bakımıyla ilgili riskler

- Telekomünikasyon: Internet, telefon, faks, modem sorunları

Aşağıdaki tabloda, Basel Konsorsiyumu ve Zurich IC² First için kayıp olayı tiplerinin karşılaştırması yer almaktadır:

Basel Consortium Kayıp Olay Sınıflandırması

İç Dolandırıcılık Dış Dolandırıcılık İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliği

Müşteri Ürün ve İş Uygulamaları

Fiziksel Varlıklar- da Hasar

İş Kesintileri ve Sistem Arızaları

İcra Tesli- mat ve Süreç Yöne- timi

Etik Olmayan

Davranışlar Dış Dolandırıcılık

İnsan Kaynakları- na İlişkin Sorunlar ve Çalışanların Sağlık Sorunları

Hata İhmal ve Yasal Sorumluluk

İhlalleri

Felaketler

Donanım, Yazılım, Sistemler ve Tele- komünikasyon

İş Süreç-

leri

İnsan Riski Dış Etkenler Süreç Riski İlişkiler Tek-

noloji Zurich IC² First Kayıp Olay Sınıflandırması

Tabloda görüldüğü gibi, Basel ve Zurich IC² yaklaşımlarında olay sınıflamaları bazı farklılıklar göstermektedir. Bu farklılıklar, veri tabanında olayların sınıflandırılması konusunda bazı problemler yaratabilmektedir.

Kayıp Veri Alanları: (Zurich IC² First veri tabanında bir kayıp olayı)

ƒ Kaybı yaşayan organizasyonun/firmanın ismi,

ƒ Kayıp miktarı (USD),

ƒ Olayın ayrıntılı açıklaması,

ƒ Olay tipi,

ƒ Olayın tetikleyicisi,

ƒ Kaybın dolaylı etkenleri (ikincil nedenler),

ƒ Kaybın meydana geldiği iş kolu,

ƒ Ürün tipi

alanlarına dair bilgiler içerir. Zurich IC² First veri tabanının ekran örneği için EK-1’e bakınız.

a.6. DIPO (Database Italiano delle Perdite Operative) DIPO

Amaç İtalyan bankaları arasında büyük kayıp olaylarının toplanması ve karşılaştırmanın sağlanması, risk sermayesi için risk ölçümünün yapılması, veri toplama-onaylama- izleme sürecinin gerçekleştirilmesi

Yönetici ABI (Associazione Bancaria Italiana)

Belirlenen Hedefler İş kolu ayrımı yapılmadan, EUR 5.000.- üzerindeki operasyonel risk kayıplarının toplanması ve üyelere dağıtılması

Katılımcılar 32 İtalyan bankası Toplanan Veri/ Da-

ğıtılan Çıktılar

Temiz ve anonim ham veri, kayıp listesi şeklinde düzenlenir. (Üyeler verilerini kendilerine göre düzenlerler.)

Yönetişim Yönetim komitesi sınırlı sayıda üye banka temsilcilerinden oluşur ve ABI gözetimci olarak katılır.

Çıktı Teknolojisi Excel tabanlı İletişim Adresi/Tel. http://www.abi.it

Üyeler: 32 İtalyan bankası

Veri Toplama, Analiz ve Dağıtım Süreci:

ƒ İş kolu ayrımı yapılmadan, EUR 5.000.- üzerindeki operasyonel risk kayıplarının toplan- ması ve üyelere dağıtılması kararlaştırılmıştır.

ƒ DIPO’nun organizasyon yapısı aşağıdaki gibidir:

- Yönetim komitesi : Sınırlı sayıda üye banka temsilcilerinden oluşur ve ABI göze- timci olarak katılır.

- Teknik komiteler : Analiz ve çalışma yetkileri yönetim komitesi tarafından belirle- nen ve tüm üyelere açık olan komitelerdir.

- Teknik müdürlük: ABI temsilcilerinden oluşur.

ƒ ABI, raporlanacak kayıp olay tiplerinin tanımlanması, her kayıp olayının bildiriminde zo- runlu olan bilgi setinin hazırlanması, veri tabanının oluşturulması, verilerin depolanması ve kullanılmasıyla ilgili detayları prosedürlere yerleştiren bir rehber oluşturmuştur.

Kayıp Veri Alanları:

DIPO Veri Alanları Alan No. Alan Adı

1 Grup Kodu

2 Raporlayan Firmanın ABI kodu

3 Kayıt Tipi

4 Referans No.

5 İş Kolu

6 Olay Tipi

7 Karar Ağacı

8 Coğrafi Bölge 9 Veri Kanalı 10 Olay Tarihi 11 Fark Edilme Tarihi

12 Olayın Durumu

13 Meydana Gelme Sayısı 14 Toplam Kayıp Tutarı 15 Kayıp Provizyonu 16 Beklenen Diğer Kayıplar

17 Grup İçerisinde Tespit Edilen Kayıp Miktarı 18 Sigorta Kapsamı

19 Sigortadan Tahsil Edilen Miktar 20 Sigortadan Tahsil Edilen Son Tutar 21 Diğer Tahsilatlar

b. Kamuya Açık Dış Veri Tabanları b.1. OpVar® Loss Database

OpVantage, Fitch Risk firmasının, piyasaya operasyonel risk yazılımları sunan birimi- dir. Operasyonel riskin sayısallaştırılması konusunda gelişmiş araçlar ve metodolojiler sunar.

OpVar kayıp veri tabanı ve Zurich IC² First veri tabanı OpVantage firmasının bankalar için sunduğu risk yönetim çözümlerindendir.

Kamuya açıklanan büyük operasyonel kayıpların toplanarak, üyelere sunulduğu veri ta- banı olan OpVar’ın başlıca özellikleri aşağıdadır:

- OpVar, 20’den fazla firmanın kullanmakta olduğu aşağıdan yukarı (bottom-up) risk ölçü- münü temel alan bir operasyonel risk yönetim aracıdır.

- OpVar, kullanıcıların operasyonel riskleri anlamalarını, kayıp olasılıklarını analiz etmeleri- ni, veri tabanındaki kayıpları kendi firmalarına göre ölçeklendirerek operasyonel risk pro- fillerini belirlemelerini ve riske maruz sermayeyi hesaplamalarını sağlar.

- OpVar, 8.000’den fazla kamuya duyurulmuş büyük tutarlı operasyonel risk kayıp olayını içerir. Bu olayların yaklaşık 6.500 tanesi 1 Milyon USD üzerindedir ve toplam raporlanmış kayıp miktarı 280 Milyar USD’den fazladır.

- OpVar, kayıp olayı veri giriş modülü, kayıp olayı veri tabanı modülü, veri analiz modülü ve riske maruz operasyonel değeri sayısallaştırma modülünden oluşur.

- OpVar, operasyonel kayıpların nedenleri, sıklık ve şiddetleri ile ilgili grafiksel analizler su- nar. Kayıp olaylarına dair açıklamalar, idari yönetim ve risk yöneticilerine operasyonel risk kaynaklarını anlama ve sayısallaştırma konusunda yol gösterecek ölçütler de OpVar’ın müşterilerine sunduğu olanaklardandır.

- OpVar yazılım ekibi, çok çeşitli senaryoları etkin bir biçimde analiz etmede, her veri setine en uygun kayıp dağılımını eşleştirmede, operasyonel risk sermayesini belirlemede kullanı- cılara yardımcı olmaktadır.

- OpVar Sistemi, Monte Carlo Simulasyonu, En Çok Olabilirlik Kestirimi (Maximum Likelihood Estimation) Yaklaşımı, sigorta fayda analizi, iç ve dış veri tabanlarını birleştir- me teknikleri gibi birçok teknik/araç sunar. Üyeler, istedikleri teknikleri ve araçları seçerek bir arada kullanma şansına sahiptir.

OpVar Kayıp Veri Tabanı Amaç

Tüm iş kollarında meydana gelen büyük kayıp olaylarının ölçeklendirilerek firmala- ra uyarlanması, firmaların operasyonel risk profillerinin belirlenmesi, riske maruz sermayenin hesaplanması

Yönetici Fitch Risk/OpVantage ve PwC (PriceWaterhouseCoopers)

Belirlenen Hedefler

● 1 Milyon USD üzerinde kayba yol açan, kamuya duyurulmuş operasyonel risk kayıp olaylarının birleştirilerek üyelere sunulması

● Kayıpların nedenleri, sıklık ve şiddetleri ile ilgili grafiksel analizlerin sağlanması

● Olaylarla ilgili açıklamaların verilmesi

● Operasyonel risk kaynaklarını anlama ve sayısallaştırma ölçütleri Katılımcılar

Dünya çapında 20’den fazla banka

(Banco Sabadell, Bank of America, Deutsche Bank, ING, IntesaBci,

JPMorganChase, UFJ, Soci G ale, and Swiss Re, Bank of Tokio Mitsubishi…) Toplanan Veri/ Da-

ğıtılan Çıktılar

Kamuya duyurulmuş yüksek tutarlı kayıp olaylarının listesi, olayların ne- den/sıklık/şiddetlerine ilişkin grafiksel analizler

Çıktı Teknolojisi Veri tabanıExcel / Access

Niceliksel işlevleri yürüten program Excel

Güncellenme Yılda 2 kere

Olay Tipleri

● İç Dolandırıcılık

● Dış Dolandırıcılık

● İnsan Kaynakları Uygulamaları ve İş Yeri Güvenliği Sorunları

● Müşteri, Ürün ve İş Uygulamaları

● Fiziksel Varlıklarda Hasar

● İş Kesintileri ve Sistem Arızaları

● İcra, Teslimat ve Süreç Yönetimi

İş Kolları

● Kurumsal Finansman

● Alım-Satım Faaliyetleri ve Satışlar

● Bireysel (Perakende) Bankacılık

● Ticari Bankacılık

● Takas, Ödemeler vb Faaliyetler

● Varlık Yönetimi

● Perakende Aracılık

● Kurumsal Temsilcilik(Acentelik) Hizmetleri İletişim Adresi / Tel. http://www.opvantage.com

Veri Toplama, Analiz ve Dağıtım Süreci :

ƒ 1 Milyon USD üzerinde kayba yol açan, kamuya duyurulmuş operasyonel risk kayıp olay- ları veri tabanına dahil edilir.

ƒ Operasyonel kayıpların nedenleri, etkileri, şiddetleri ve açıklamalar da veri tabanında yer almaktadır.

ƒ Veri tabanı yılda 2 kere güncellenir.

Kayıp Olaylarının Sınıflandırılması :

Kayıp olay sınıflandırması, Basel II Metnine (International Convergence of Capital Measurement and Capital Standards - A Revised Framework – 26.06.2004) uygundur.

Olay Tipleri İç Dolandırıcılık

Dış Dolandırıcılık

İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar Müşteri, Ürün ve İş Uygulamaları

Fiziksel Varlıkların Hasara Uğraması İş Kesintileri ve Sistem Arızaları OpVar

İcra, Teslimat ve Süreç Yönetimi

Olası kayıplar, söylentiler, kayıp gelir tahminleri, sonuçlanmamış davalar ve kanıtlan- mamış şüpheli olaylar OpVar veri tabanında yer almaz.

Kayıp Veri Alanları:

OpVar veri tabanında kayıp olayları şu kategorilerde bilgiler içerir:

1- Olay Kodu 2- Sebep

3- Kayıp Miktarı 4- Olay Açıklaması

5- Organizasyon/ Firma İsmi 6- Sektör

7- İş Kolu 8- Kayıp Tarihi 9- Etki

10- Ölçeklendirilmemiş Kayıp Tutarı 11- Başlangıç Tarihi

12- Bitiş Tarihi

13- Son Güncellenme Tarihi b.2. SAS^® OpRisk Global Data SAS^® OpRisk Global Data

Amaç Tüm finansal iş kollarında meydana gelen büyük kayıp olaylarının ölçeklendirilerek firmalara uyarlanması, firmaların operasyonel risk profillerinin belirlenmesi, riske maruz sermayenin hesaplanması

Yönetici OpRisk Analytics, LLC, SAS^®

Belirlenen Hedefler ● 1 Milyon USD üzerinde kayba yol açan, kamuya duyurulmuş 10.000’den fazla operasyonel risk kayıp olayının birleştirilerek üyelere sunulması,

● Kayıpların nedenleri, sıklıkları ve şiddetleri ile ilgili grafiksel analizler Toplanan Veri/ Dağıtı-

lan Çıktılar Kamuya duyurulmuş yüksek tutarlı (1 Milyon USD ve üzeri) operasyonel kayıp o- laylarının listesi, olayların neden/sıklık/şiddetlerine ilişkin grafiksel analizler Yönetişim SAS bünyesindeki OpRisk Analytics tarafından bilgiler toplanır ve üyelere dağıtılır.

Çıktı Teknolojisi Veri tabanı Excel ya da Access

Niceliksel işlevleri yürüten program Excel

Güncellenme Yılda 4 kere

Kayıp Olay Tipleri

● İç Dolandırıcılık ● Dış Dolandırıcılık

● İnsan Kaynaklarına ve İş Yeri Güvenliğine İlişkin Sorunlar

● Müşteri, Ürün ve İş Uygulamaları ● Fiziksel Varlıkların Hasara Uğraması

● İş Kesintileri ve Sistem Arızaları ● İcra, Teslimat ve Süreç Yönetimi İş Kolları

● Kurumsal Finansman ● Alım-Satım Faaliyetleri ve Satışlar

● Bireysel (Perakende) Bankacılık ● Ticari Bankacılık

● Takas, Ödemeler vb Faaliyetleri ● Varlık Yönetimi ● Perakende Aracılık

● Kurumsal Temsilcilik(Acentelik) Hizmetleri İletişim Adresi / Tel.

SAS Institute GmbH, P.O. Box 105340, Neuenheimer Landstr. 28-30 D-69043 Heidelberg, GERMANY

Tel.: (49) 6221-4160, Faks : (49) 6221-474850

SAS^® bünyesinde faaliyet gösteren OpRisk Analytics, operasyonel risk için üyelerine şu yazılımları sunmaktadır:

ƒ SAS^® OpRisk Monitor: Web-tabanlı ve geniş kapsamlı operasyonel risk analiz (MIS) ara- cıdır.

ƒ SAS^® OpRisk VaR: Operasyonel riske maruz değerin (OpVar) hesaplanması için kullanı- lan yazılımdır.

ƒ SAS^® OpRisk Global Data: Dünya çapında kamuya ilan edilmiş, çok büyük tutarlı operasyonel kayıpların kaydedildiği ve üyelere dağıtıldığı dış veri tabanıdır.

ƒ OpRisk Analytics, müşterilerine operasyonel risk faktörlerini, operasyonel kayıp olasılıkla- rını ve tutarlarını tahmin etmede yardımcı olur. Kamuya açıklanan büyük operasyonel ka- yıpların toplanarak üyelere sunulduğu veri tabanı olan SAS^® OpRisk Global Data’nın baş- lıca özellikleri tabloda görülmektedir:

Veri Toplama, Analiz ve Dağıtım Süreci:

ƒ 1 Milyon USD üzerinde kayba yol açan, kamuya duyurulmuş operasyonel risk olayları veri tabanına dahil edilir.

ƒ Veri tabanı yılda 4 kere güncellenmektedir.

Kayıp Verilerinin Sınıflandırılması:

SAS^® OpRisk Global Data veri tabanında, kayıp olay tipleri ve iş kolları, Basel standartlarına uygundur:

Olay Tipleri İş Kolları

İç Dolandırıcılık Kurumsal Finansman

Dış Dolandırıcılık Alım-Satım Faaliyetleri ve Satışlar İnsan Kaynaklarına ve İş Yeri Güvenliğine

İlişkin Sorunlar Bireysel (Perakende) Bankacılık

Müşteri, Ürün ve İş Uygulamaları Ticari Bankacılık

Fiziksel Varlıkların Hasara Uğraması Takas, Ödemeler, vb. Faaliyetler İş Kesintileri ve Sistem Arızaları Kurumsal Temsilcilik

(Acentelik) Hizmetleri İcra, Teslimat ve Süreç Yönetimi Varlık Yönetimi SAS^® Oprisk

Global Data

- Perakende Aracılık

Kayıp Veri Alanları:

SAS^® OpRisk Global Data, verileri 50’den fazla veri alanıyla depolar. SAS^® OpRisk Global Data veri tabanında yer alan kategorilerden bazıları şunlardır:

1- Şirket İsmi 2- Temel İş Kolu 3- 2. Düzey İş Kolu 4- Kayıp Tutarı 5- Olay Açıklaması 6- Olay Risk Tipi 7- Alt Risk Tipi 8- Ülke

9- Olayın Kayıtlara Geçme Yılı, vb.

SAS^® OpRisk Global Data veri tabanının ekran örneği için EK-2’ye bakınız.

E. Dış Verinin İç Veri İle Birlikte Kullanımı a. Dikkat Edilmesi Gereken Hususlar

Operasyonel risk sermayesinin hesaplamasında iç ve dış verinin birlikte kullanılması ile ilgili olarak öncelikle iki temel noktanın üzerinde durulması faydalı olacaktır.

a.1. Verinin Geçerliliği

Bir bankanın operasyonel risklerden kaynaklanan kayıplarının temel sebeplerinden biri- si iç kontrol sistemi ve kendi iç süreçlerinde meydana gelen aksaklıklardır. Her bankanın işle- yişi farklı olacağından, bir bankanın kayıp verisi bir diğeri için geçerli olmayabilir. Örneğin, bireysel bankacılık faaliyetleri çok az olan bir banka için, bireysel bankacılık faaliyetleri yoğun olan diğer bir bankanın dış verisi uygun olmayacak, kullanıldığı takdirde bankanın riskini ol- duğundan fazla göstermesine sebep olabilecektir. Aynı şekilde iç kontrol sistemi yetersiz bir bankanın verisi, iç kontrol sistemi nispeten daha iyi olan bir banka tarafından kullanıldığında olması gerekenden fazla bir risk düzeyi ortaya çıkabilecektir.

Bankanın kendi yapısına uygun dış veriyi kullanması operasyonel risk ölçümlerinin doğruluğu açısından önemlidir. Bu nedenle, dış verinin gruplara ayırılması ve sadece ilgili gru- bun verilerinin kullanılması ya da her bir dış veri için uzman görüşüne başvurularak uygun ol- mayan verilerin veri setinden ayıklanması faydalı olacaktır.

a.2. Veriyi Sağlayan Bankanın Büyüklüğü ve Ölçeklendirme

Bilgi paylaşımında bulunacak bankaların farklı yapı ve büyüklükte olmaları, topla- nan kayıpların belirli bir sınıflandırmaya tabi tutulmasını gerektirecektir.

Bankanın büyüklüğü ile kayıp verisinin sıklığı ve şiddeti arasındaki gerçek ilişki bü- yüklüğün ölçümüne bağlıdır ve bu ilişki ilgili operasyonel risk kategorisine bağlı olarak daha zayıf ya da daha güçlü olabilir. Ancak dış veriyi sağlayan bankanın büyüklüğünü dikkate al- mamak, bu veriyi kullanan bankanın operasyonel riskinin yanlış ölçülmesine sebep olabilir.

Verinin geçerliliğinin belirlenmesinde kullanılan gruplama yöntemi burada da kullanılabilir.

Bir başka yöntem ise banka büyüklüğü ve veri sıklığı arasındaki ilişkiyi belirlemek amacıyla bir regresyon analizi yapmaktır. Banka büyüklüğü ve kayıp olayı şiddet verisi arasındaki ilişki de aynı şekilde belirlenebilir.

Yukarıda bahsi geçen veri geçerliliği, veriyi sağlayan bankanın büyüklüğü gibi konu- larla ilgili sorunlar gruplama yöntemi dışında ölçeklendirme yöntemi ile de aşılabilmektedir.

Bunun için bankalar çeşitli kriterler bazında ölçeklendirilerek gruplandırılabilir.

Ölçeklendirmede;

ƒ Bildirimi Yapan Bankanın Büyüklüğü (Aktifler, Gelirler, Karlılık,Şube sayısı...)

ƒ Kaybın Gerçekleştiği İş Kolunun Büyüklüğü (Aktif Toplamı, Gelir/Gider Toplamı)

ƒ Çevresel / Fiziki Faktörler

ƒ İç denetim ortamı (müfettiş ve iç kontrol elemanı sayıları, iç kontrolün şube ve birimle- rin tümünde etkin olup olmadığı, denetim sıklığı vb.)

gibi kriterler dikkate alınabilir. Bildirimi yapan bankanın geliri dikkate alındığında ölçeklendirilmiş kayıp tutarı aşağıdaki gibi hesaplanabilir:

GBanka

Ölçeklendirilmiş Kayıp Tutarı = KVT

GVT

KVT = Veri tabanındaki kayıp tutarı GBanka = Veriyi kullanan bankanın geliri

GVT = Veri tabanındaki kayıp olayını yaşayan bankanın geliri n = Regresyon analizi ile hesaplanan ölçeklendirme katsayısı

Hem dış verinin geçerliliğinin hem de dış veriyi sağlayan bankanın büyüklüğünün dış ve- riyi kullanacak banka için uygun olup olmadığının tespitinde birden fazla yöntem uygulanabi- lir. Her yöntemin avantaj ve dezavantajları olabilir. Önemli olan her bankanın kendi yöntemini oluşturması, bu yöntemi yazılı hale getirmesi ve düzenli olarak gözden geçirmesidir.

b. Dış Verinin İç Veri İle Birleştirilmesi

İç ve dış verinin bir arada kullanımının en uygun yolunu bulmak için, öncelikle bu iki ve- rinin özelliklerine bakmak gerekmektedir. Dış veri iç veriden üç şekilde farklılaşabilir:

ƒ Dış verinin iç veri ile aynı popülasyondan ama farklı kriter ile seçilmiş olması

Bu durum, dış veriyi sağlayan bankanın veriyi kullanan banka ile aynı toplulukta (popülasyon) yer alması olarak açıklanabilir.

Örneğin; Türkiye’de yerleşik bir bankanın kendisiyle aynı özelliklere sahip bankalar ta- rafından sağlanmış ancak farklı eşik ile seçilmiş dış veriyi kendi iç verisiyle birleştirmesi.

Eşik tutarının bilinmesi durumunda birleştirme diğer durumlara göre daha kolay ol- maktadır. En Büyük Olabilirlik Kestirimi (Maximum Likelihood Estimation) uygulanabilir.

Genellikle kullanılan En Büyük Olabilirlik (ML) fonksiyonu aşağıdaki gibidir:

M.L. Fonksiyonu = Πi f (xi;θ)

Bir eşik(xeşik) kullanıldığında fonksiyon aşağıdaki gibi olmaktadır:

Πi f (xi;θ) M.L. Fonksiyonu(eşik) =

1 – F(xeşik;θ)

ƒ Dış verinin farklı popülasyondan kaynaklanması ancak iç verinin kaynaklandığı popülasyonla kesin/belirlenmiş ilişkisinin olması

Bu duruma örnek olarak bir bankanın kendisiyle farklı koşullarda (örneğin farklı ülke- de/coğrafi bölgede) faaliyet gösteren bankalarca sağlanan ve ölçekleme ilişkisi kurulabilen dış veriyi kullanması verilebilir.

Ölçekleme ilişkisi kurulurken sıklık ve şiddet verileri göz önünde bulundurulmalı ve dış veriyi kullanan bankanın büyüklüğünü bu veriyi sağlayan bankanın büyüklüğüne a- yarlayan formüller kullanılmalıdır.

n