16.6.2012   

CS

Úřední věstník Evropské unie

C 173/1

BCM

Řízení kontinuity provozu (Business Continuity Management)

BIA

Analýza dopadů na provoz (Business Impact Analysis)

BIS

Banka pro mezinárodní platby (Bank for International Settlements)

CBPP

Program pro nákup krytých dluhopisů (Covered Bonds Purchase Programme)

CEBS

Evropský výbor orgánů bankovního dohledu (Committee of European Banking Supervisors)

D-CO

Ředitelství pro komunikaci (Directorate Communication)

DG-A

Generální ředitelství pro vnitřní záležitosti (Directorate General Administration)

DG-H

Generální ředitelství pro lidské zdroje, rozpočet a organizaci (Directorate General Human Resources, Budget and Organisation)

DG-IS

Generální ředitelství pro informační systémy (Directorate General Information Systems)

DG-M

Generální ředitelství pro tržní operace (Directorate General Market Operations)

DG-P

Generální ředitelství pro platební systémy (Directorate General Payment Systems)

DG-S

Generální ředitelství pro statistiku (Directorate General Statistics)

ECB

Evropská centrální banka

ESCB

Evropský systém centrálních bank

ERM COSO

Výbor sponzorských organizací pro řízení podnikových rizik (Enterprise Risk Management Committee of Sponsoring Organizations)

GIPS

Globální standardy pro výkonnost investic (Global Investment Performance Standards)

IAS

Mezinárodní účetní standardy (International Accounting Standards)

IASB

Rada pro mezinárodní účetní standardy (International Accounting Standards Board)

IFRS

Mezinárodní standardy účetního výkaznictví (International Financial Reporting Standards)

ORM

Řízení provozních rizik (Operational Risk Management)

RMA

Odbor řízení rizik (Risk Management Division) (spadá pod DG-H)

SMP

Program pro trhy s cennými papíry (Securities Markets Programme)

VaR

ukazatel Value at Risk

1.

Evropská centrální banka (dále také „ECB“ nebo „banka“) a národní centrální banky všech členských států Evropské unie (EU) tvoří společně Evropský systém centrálních bank (ESCB). Prvořadým úkolem ESCB je udržovat cenovou stabilitu. ESCB rovněž podporuje obecné hospodářské politiky v Unii se záměrem přispět k dosažení cílů EU (1). Za tímto účelem ECB vykonává úkoly stanovené ve svém statutu (2) a odpovídá za řízení svých činností a financí.

2.

Audit Evropského účetního dvora (dále také „Účetní dvůr“) zaměřený na provozní efektivnost ECB vychází z článku 27.2 Protokolu o statutu Evropského systému centrálních bank a Evropské centrální banky (3). Předmětem auditu za rok 2010 byly postupy a systémy, které ECB zavedla pro řízení rizik, a jejich uplatňování.

3.

Rozhodovacími orgány ECB jsou rada guvernérů a výkonná rada (4). Výkonná rada provádí měnovou politiku v souladu s obecnými zásadami a rozhodnutími rady guvernérů (5) a nese celkovou odpovědnost za řízení běžných činností ECB a jejích zdrojů. Výkonná rada má rovněž konečnou odpovědnost za řízení rizik v ECB.

4.

Rizika jsou v ECB řízena prostřednictvím dvou oddělených rámců. Útvar pro řízení provozních rizik / kontinuity provozu (Operational Risk Management  (6) / Business Continuity Management – ORM/BCM) má na starosti všechna provozní rizika (viz poznámka pod čarou 22) včetně kontinuity provozu. Odbor řízení rizik (Risk Management Division – RMA) se zabývá řízením finančních rizik (viz bod 70) včetně investičních aktivit a úvěrových operací ECB.

5.

Cílem auditu Účetního dvora za rozpočtový rok 2010 bylo posoudit přiměřenost rámce ECB pro řízení provozních a finančních rizik (7). Při posuzování řízení rizik v ECB se vycházelo z následujících hlavních auditních otázek:

6.

Součástí auditu řízení rizik ECB (8) bylo:

7.

Cílem ECB, jak sama uvádí, je uplatňovat při řízení rizik osvědčené postupy: „Evropská centrální banka věnuje řízení rizik od samého počátku zvláštní pozornost. Jako nový člen ve společenství centrálních bank měla ambici splňovat při organizaci svého řízení rizik v rámci instituce ty nejvyšší standardy řízení a využívat při tom nejmodernější nástroje“ (10).

8.

„Mezi základní prvky účinného řízení rizik patří silná kultura řízení rizik v rámci celé organizace. Jedním z předpokladů pro zavedení takové kultury je vytvoření komplexního (tj. pokrývajícího všechny typy rizik, oblasti činnosti a relevantní rizika) a nezávislého útvaru pro řízení rizik, za nějž nese přímou odpovědnost ředitel pro řízení rizik, případně užší vedení, pokud nebyl jmenován, a to na základě zásady přiměřenosti“ (11).

9.

Každá organizační jednotka ECB (12) odpovídá za řízení svých vlastních rizik a kontrol. Podporu při řízení rizik jim poskytují dva útvary/odbory:

10.

Výkonné radě pomáhá při rozhodování několik výborů zabývajících se různými aspekty řízení rizik, jako je výbor pro provozní rizika, investiční výbor, výbor pro aktiva a pasiva a úvěrový výbor.

11.

ECB má komplexní organizační strukturu s jasně stanovenými rolemi a povinnostmi. Řízení finančních a provozních rizik je však v ECB důrazně odděleno, což zvyšuje riziko, že přehled celkové expozice banky vůči rizikům nebude ucelený.

12.

Mezi výkonnou radou a uvedenými dvěma útvary/odděleními pro řízení rizik, tj. útvarem ORM/BCM a odborem RMA, nebyl zřízen nezávislý, samostatný subjekt, jako např. ředitel pro řízení rizik nebo výbor pro celkové řízení rizik. Člen výkonné rady odpovídající za řízení rizik měl v době, kdy probíhal audit, na starosti ještě řadu dalších oblastí, zatímco ředitel pro řízení rizik by se soustředil výhradně na tuto činnost.

13.

Navíc vzhledem k tomu, že v organizační hierarchii chybí nezávislý subjekt pro řízení rizik, ve zvýšené míře hrozí, že této problematice nebude přikládána dostatečná priorita (např. při přidělování personálních zdrojů), protože spadá do rozhodovací pravomoci generálního ředitelství pro lidské zdroje, rozpočet a organizaci.

14.

Z přezkoumání osvědčených postupů v jiných mezinárodních organizacích obdobného typu vyplynulo, že Kanadská centrální banka (Bank of Canada) přijala integrovaný rámec řízení rizik, jehož součástí je ředitel pro řízení rizik a pracovní skupina pro řízení rizik. Jak tento ředitel, tak pracovní skupina se zabývají vypracováním komplexního rizikového profilu pro banku, který zohledňuje podnikatelská, provozní i finanční rizika, jak uvádí rámeček 1. Rámec banky pro řízení rizik je nedílnou součástí jejích procesů strategického plánování, rozpočtování a hodnocení výkonnosti na konci roku.

Rámeček 1

Příklad integrovaného řízení rizik – Kanadská centrální banka

Ředitel pro řízení rizik plní následující povinnosti:

Pracovní skupina pro řízení rizik plní tyto úkoly:

15.

16.

ECB vydává výroční zprávu, jejíž součástí je roční účetní závěrka a komentáře k ní (16). Informace o řízení rizik uvedené v roční účetní závěrce jsou poměrně skromné a zásady řízení rizik a související číselné údaje se nezveřejňují (s výjimkou konsolidované hodnoty ukazatele Value at Risk (17) – VaR). Výroční zpráva ECB se o určitých otázkách řízení rizik stručně zmiňuje, ale nepopisuje proces řízení rizik v bance ani neuvádí přehled rizik, jimž je banka vystavena, či přístup vedení k rizikům.

17.

Obecně se v souladu s osvědčenými postupy při sestavování účetní závěrky uplatňují Mezinárodní standardy účetního výkaznictví (International Financial Reporting Standards – IFRS) (18). Standard IFRS 7 „Finanční nástroje: zveřejňování“ se zabývá prezentací rizik, jimž je subjekt vystaven, v jeho účetní závěrce. ECB avšak tento standard nepoužívá.

18.

Ostatní mezinárodní nebo národní centrální banky, např. Banka pro mezinárodní platby (Bank for International Settlements – BIS) a kanadská centrální banka, ve svých ročních účetních závěrkách informace o řízení rizik zveřejňují, i když jedna z nich standardy IFRS neuplatňuje (viz rámeček 2).

Rámeček 2

Ilustrační příklad ke zveřejňování informací o řízení rizik

19.

Řízení kontinuity provozu doplňuje rámec řízení provozních rizik v ECB, přičemž obojí je důležitým prvkem správy a řízení banky (20).

20.

Účinný rámec řízení provozních rizik vyžaduje jasné strategie a dohled ze strany správní rady a užšího vedení, silnou kulturu v oblasti řízení provozních rizik a vnitřní kontroly (včetně jasné hierarchie v odpovědnosti a jasného rozdělení povinností) a účinný systém interního výkaznictví.

21.

Aby mohl Účetní dvůr posoudit řízení provozních rizik v ECB, prověřoval:

22.

23.

Rámec řízení provozních rizik v ECB byl schválen výkonnou radou v říjnu 2007 (21) a je popsán v příručce k organizačním postupům (Business Practice Handbook), která byla zveřejněna na intranetu a je k dispozici všem zaměstnancům. Příručka definuje řízení provozních rizik v ECB (22), popisuje politiku, role a odpovědnosti v oblasti tolerance rizika a rovněž zásady pro posouzení rizik, jejich řešení, podávání zpráv a monitorování.

24.

Zavedené zásady pro řízení provozních rizik poskytují jasnou definici provozního rizika platnou pro celou banku a vymezují koncepci banky, pokud jde o posuzování, monitorování a regulaci/zmírňování rizik. Podrobnější informace ke způsobu identifikace rizik v bance však příručka neobsahuje.

25.

26.

Konečnou odpovědnost za řízení provozních rizik v ECB nese výkonná rada. Výbor pro provozní rizika se zabývá strategickými a střednědobými otázkami, ale řeší i relevantní krátkodobé či příležitostné úkoly (23). Skládá se ze člena výkonné rady (předseda) a sedmi členů užšího vedení banky (24). Má rozhodovací pravomoci, pokud jde o přijímání středně závažných rizik, zatímco rizika s vysokou závažností musí vždy schválit výkonná rada. Výbor zasedá jednou za dva měsíce nebo častěji, je-li potřeba.

27.

Příručka k organizačním postupům jasně uvádí, že organizační složky nesou odpovědnost za řízení svých provozních rizik (25). Každá organizační složka by tedy měla jmenovat (alespoň) jednoho koordinátora, který vedení složky pomáhá při řízení provozních rizik a je v ní hlavní kontaktní osobou pro tuto problematiku. Povinností vedoucích organizačních složek je zajistit, aby zaměstnanci získali a udržovali si znalosti nezbytné k tomu, aby mohli plnit úkoly spojené s řízením provozních rizik a zodpovídat se z nich. Útvar pro řízení provozních rizik / kontinuity provozu by měl vytvořit a spravovat rámec pro řízení provozních rizik a koordinuje přístup provozních oblastí k řízení těchto rizik.

28.

Pouze čtyři z osmi pracovníků útvaru pro řízení provozních rizik / kontinuity provozu byli v době auditu stálými zaměstnanci. Ostatní byli vysláni z národních centrálních bank nebo měli pracovní smlouvu na dobu určitou v délce od tří měsíců do dvou let. Tento stav obnáší vysokou fluktuaci personálu, která vede ke ztrátě kontinuity v důležitém útvaru banky a k většímu riziku, že rámec řízení provozních rizik nebude v ECB náležitě plněn.

29.

Informovanost personálu o rámci řízení provozních rizik byla součástí průzkumů mezi zaměstnanci v letech 2009 a 2010. V průzkumu z roku 2009 přibližně 40 % respondentů uvedlo, že o řízení provozních rizik neobdrželo dostatek informací, 56 % dotazovaných nevědělo, kdo je v jejich organizační složce koordinátorem pro oblast rizik, a 45 % nevědělo, kde informace o řízení provozních rizik hledat na intranetu. V této poslední otázce nemělo při průzkumu v roce 2010 stále jasno 40 % respondentů.

30.

31.

Velký význam při vytváření rizikového profilu ECB má výroční posouzení provozních rizik, které provádějí organizační složky a útvar pro řízení provozních rizik / kontinuity provozu. Posouzení za rok 2009 probíhala v organizačních složkách v období od června do srpna 2009 a následně se konala schůzka s koordinátory pro oblast rizik s cílem dohodnout společný hodnotící přístup. Souhrnná zpráva o rizicích byla dokončena v lednu 2010.

32.

Rizikový profil by měl být jedním z východisek pro strategické plánování, na němž je zase založen finanční plán. Při auditu však vyšlo najevo, že roční posouzení provozních rizik není s cyklem strategického a finančního plánování v ECB nijak propojeno. Hrozí proto, že proces řízení provozních rizik bude probíhat izolovaně a že ve finančním plánu nebude na dosažení strategických cílů vyčleněn dostatek zdrojů (26).

33.

Vhodný postup uplatňuje například kanadská centrální banka, jejíž rizikový profil je nedílnou součástí jejího cyklu celkového strategického a finančního plánování (27).

34.

35.

Rámec řízení provozních rizik se realizuje především prostřednictvím posouzení shora-dolů. Podle politiky ECB pro oblast rizik by organizační složky měly průběžně provádět také posouzení vlastních procesů zdola-nahoru a zjištěná rizika by měla být schválena (28).

36.

ECB provedla v roce 2008 a 2009 posouzení rizik shora-dolů. Útvar pro řízení provozních rizik / kontinuity provozu předem definoval pro organizační složky několik rámcových rizik, která jim pak sloužila jako východisko při posuzování. Konečná zpráva pak obsahovala plán opatření pro každou organizační složku. Příručka k organizačním postupům vyžaduje, aby organizační složky analyzovaly a definovaly strategie řešení rizik a vypracovaly analýzu nákladů a přínosů možných řešení.

37.

Na základě posouzení shora-dolů z roku 2009 všechny organizační složky identifikovaly rizika a určily další postup. Výsledná zpráva o tomto posouzení pak uváděla následná opatření pro každou organizační složku. U organizačních složek v auditním vzorku však nebylo doloženo, že provedly analýzu nákladů a přínosů.

38.

Proces schvalování v rámci výboru pro provozní rizika / výkonné rady poté, co organizační složka identifikuje riziko, byl v případě některých rizik velmi pomalý. Například ještě v prosinci 2010 nebyla schválena dvě rizika zjištěná v červenci-srpnu 2009. Seznam neuzavřených opatření, který se projednával na zasedání výboru pro provozní rizika, také ukazuje, že u některých opatření trvá jejich zavedení déle než rok, u jiných dokonce až dva roky.

39.

Pouze u tří ze šesti organizačních složek ve vzorku bylo z jejich pracovního programu patrné, jaké konkrétní zdroje byly přiděleny na činnosti spojené s řízením provozních rizik. Popis těchto činností však nebyl příliš konkrétní a nebylo možné určit, zda opatření stanovená v roce 2009 v rámci posouzení řízení provozních rizik shora-dolů byla do těchto pracovních programů zahrnuta.

40.

Řízení kontinuity provozu je významnou složkou řízení provozních rizik. Vyžaduje vypracovat havarijní plán a plán obnovy provozu pro nejhorší možné scénáře, aby v případě krize nedošlo k narušení nejdůležitějších činností a procesů.

41.

Účetní dvůr zkoumal, zda:

42.

Řízení kontinuity provozu je celkovou podnikovou koncepcí, která zahrnuje politiky, standardy a postupy pro zajištění fungování nebo včasné obnovy určitých činností v případě narušení provozu. Účelem je minimalizovat provozní, finanční a právní rizika, riziko poškození dobrého jména v očích veřejnosti a další závažné důsledky narušení provozu  (29).

43.

Účelem řízení kontinuity provozu je zajistit, aby opatření a řešení spojená se zachováním kontinuity provozu banky byla v souladu s jejími cíli, závazky, zákonnými povinnostmi a politikou v oblasti tolerance rizika (30).

44.

Součástí auditu bylo přezkoumání hlavních dokumentů, které tvoří rámec řízení kontinuity provozu. Jde o:

45.

ECB vytvořila manuál krizového řízení, který definuje role, povinnosti a procesy v krizových případech a uvádí kontaktní údaje krizového týmu. Každá organizační složka plně odpovídá za vypracování svého plánu zachování kontinuity provozu. Rámcový vzor plánu zachování kontinuity provozu však nepočítá s celkovým plánem na úrovni ECB a ten skutečně ani nebyl na této úrovni vypracován.

46.

ECB nastavila náležitý rámec, který poskytuje vodítko ohledně politik, procesů a povinností v oblasti řízení kontinuity provozu. Její decentralizovaný přístup však zároveň přináší riziko, že bez důsledné koordinace se při řízení kontinuity provozu nebude v rámci banky postupovat vždy jednotně.

47.

Analýza dopadů na provoz je dynamický proces identifikace kriticky důležitých operací a služeb, klíčových interních a externích závislých subjektů a procesů a náležité míry odolnosti. Zkoumá rizika a potenciální dopad různých scénářů narušení provozu na činnost a pověst organizace  (31).

48.

Kompletní analýza dopadů na provoz (Business Impact Analysis – BIA, dále také jen „analýza dopadů“) proběhla v bance naposledy v roce 2006 (32) a jejím cílem bylo stanovit, které výstupy a služby ECB jsou pro kontinuitu hlavních činností banky nejdůležitější. Tato analýza dopadů byla zaměřena především na tyto oblasti:

49.

V roce 2007 se uskutečnila celková aktualizace této analýzy, která poukázala na mezery v tehdejších opatřeních na zajištění kontinuity provozu. Následně byla vypracována strategie řešení. Obsahovala možnost překlenout tyto mezery, nebo přijmout rizika a náklady. Přestože však tento dokument uváděl náklady na řešení, pokud jde informační technologie a logistickou infrastrukturu, nebyly rozčleněny tak, aby bylo zřejmé, jak by se do nich promítly jednotlivé míry rizik.

50.

Poslední aktualizace analýzy dopadů, jejímž cílem bylo odstranit nedostatky zjištěné v roce 2007, byla dokončena v roce 2010. Od finanční krize žádná celková analýza dopadů neproběhla.

51.

V plánech zachování kontinuity provozu by měly být zohledněny kriticky důležité činnosti, aby bylo zajištěno, že ECB bude schopna plnit své statutární povinnosti definované v příslušném protokolu o statutu ECB  (33). Plány zachování kontinuity provozu by měly vycházet z „nejhoršího možného scénáře“ s tím, že konkrétní postup lze pak odpovídajícím způsobem zmírnit podle skutečného rozsahu krize  (34).

52.

ECB určila základní referenční hodnoty umožňující stanovit závažnost jednotlivých rizik s ohledem na její statutární povinnosti (viz rámeček 3).

Rámeček 3

Základní referenční hodnoty umožňující stanovit závažnost rizik

Plnění statutárních povinností včetně:

Dopad přerušení činností na určitý proces z hlediska:

Zdroj: Analýza dopadů na provoz Evropské centrální banky 2006.

53.

Podle Účetním dvorem provedeného přezkoumání těchto základních referenčních hodnot a předběžného posouzení, v jakém rozsahu by banka byla schopna pokračovat ve své činnosti za stanovených scénářů (35), byly plány koncipovány tak, aby zaručovaly splnění statutárních povinností. Při přezkoumání plánů zachování kontinuity provozu se však ukázalo, že banka nemá plán, jak v případě havárie řešit závažný úbytek lidských zdrojů (36). Přestože organizační složky, které mají příslušné procesy na starosti, určily zaměstnance odpovědné za kontinuitu provozu a jejich zástupce, ani jedna neměla záložní plán pro případ rozsáhlého nedostatku personálu.

54.

Každá organizace posoudí svůj přímý prospěch z opatření na zvýšení odolnosti vůči narušení provozu v poměru k nákladům na tato opatření  (40).

55.

Obecný vzor ECB uvádí povinnou strukturu a obsah, které by plány zachování kontinuity provozu v jednotlivých organizačních složkách měly mít. Jedná se pouze o rámcový přehled toho, jak by konkrétní plány organizačních složek měly vypadat.

56.

Plány zachování kontinuity provozu se vypracovávají na úrovni organizačních složek, oddělení nebo odborů. Povinný obsah daný rámcovým vzorem se zpravidla dodržuje, ale propracovanost plánů se výrazně liší. Útvar pro řízení provozních rizik / kontinuity provozu sice plní úlohu centrálního koordinátora, ale kvalita jednotlivých plánů závisí na osobě, která je za plán v organizační složce odpovědná. Nic nenasvědčovalo tomu, že by zmíněný útvar jednotlivé plány dostatečně přezkoumával.

57.

Čtyři z pěti organizačních složek (41) vybraných pro podrobné testování vypracovaly svůj plán zachování kontinuity provozu v souladu s požadavky a tři z nich v plné míře zohlednily kriticky důležité procesy identifikované v analýze dopadů.

58.

Ve většině případů nebyla ve vzorku organizačních složek zdokumentována analýza nákladů a přínosů různých možností na zachování kontinuity provozu, včetně posouzení různé míry rizik.

59.

Organizace by měly provádět zkoušky svých plánů zachování kontinuity provozu, hodnotit jejich účinnost a podle potřeby aktualizovat řízení kontinuity provozu  (42). Norma BS 25999  (43) požaduje, aby organizace ověřovaly platnost svých opatření v této oblasti prostřednictvím testů a revizí a aby je aktualizovaly.

60.

Prověřeny byly následující dokumenty:

61.

Strategie testování se zaměřuje na plány zachování kontinuity provozu a plány obnovy informačních systémů s cílem zkontrolovat, zda zohledňují všechny kriticky důležité procesy podle analýzy dopadů. Součástí rámce testování je jednoznačné rozdělení povinností, stanovení rozsahu testů, požadavky na vykazování, četnost testů a příslušný střednědobý program testování. Podle zjištění banka zavedla odpovídající rámec testování v souladu s požadavky normy BS 25999.

62.

Z provedených testů vyplynulo, že nácvik havarijních situací se sice vztahuje na klíčový personál a pořádá se pravidelně, ale že ne vždy simuluje okolnosti, kterým by ECB byla vystavena v případě rozsáhlého narušení provozu. V testech pro rok 2009 a 2010 nebyly zohledněny všechny scénáře, které ECB vypracovala, a ne všechny původně plánované testy nakonec proběhly.

63.

Členové krizového řízení a krizových týmů by měli být obeznámeni se svými povinnostmi a úkoly. Týmy by měly absolvovat školení alespoň jednou ročně a noví členové vždy při nástupu. Všichni zaměstnanci by měli být vyškoleni, jak plnit své povinnosti v případě krizové situace. Stejně tak by měli být informováni o hlavních složkách plánu zachování kontinuity provozu  (45).

64.

Strategie ECB v oblasti školení uvádí, že všichni zaměstnanci by měli mít možnost zúčastnit se informačního programu o řízení kontinuity provozu (46). Pokud jde o testování, strategie počítá s vytvořením programu školení o provádění testů.

65.

V roce 2010 se konalo pět půldenních školení o krizovém řízení, jejichž cílem bylo seznámit zaměstnance s manuálem ECB pro krizové situace. Představení manuálu i samotný program školení měly u účastníků pozitivní ohlas, ale zároveň uváděli, že by velmi uvítali také simulační testy.

66.

Při auditu se jednoznačně prokázalo, že se v bance konají školení o problematice kontinuity provozu pro zaměstnance, kteří mají tuto oblast na starosti (především v rámci testování plánů zachování kontinuity provozu). Nic však nenasvědčovalo tomu, že by banka aktivně prováděla osvětu o rámci a procesech v této oblasti pro ostatní personál. V několika interních referenčních dokumentech (47) je uvedeno, že klíčovým prvkem školení je sice testování, ale zároveň by měl existovat i osvětový program určený všem zaměstnancům. Takový program nebyl zatím vytvořen, protože ústřední útvar pro řízení provozních rizik / kontinuity provozu se domnívá, že informovanost zaměstnanců o opatřeních na zachování kontinuity provozu je uspokojivá. Interní průzkum (48) však ukázal, že více než 12 % (20 % v roce 2009) respondentů tato opatření ve své organizační složce nezná a ani by nevěděla, kde informace o postupu v případě krizové situace hledat.

67.

Řízení finančních rizik je proces pro řešení nejistot, které vyplývají z vývoje na finančních trzích. Spočívá v posouzení finančních rizik, jimž je organizace vystavena, a vypracování strategií řízení v souladu s interními prioritami a politikami.

68.

Účetní dvůr zjišťoval, zda:

69.

Tento rámec by měl poskytovat definici finančních rizik platnou pro celou banku a určovat postupy pro identifikaci, posuzování, monitorování a regulaci/zmírňování rizik  (49). Banka musí mít zaveden systém řízení finančních rizik s jasným rozdělením povinností.

70.

Cílem rámce ECB pro řízení finančních rizik je pokrýt rizika vyplývající z dvojích operací ECB: i) investičních a ii) úvěrových. Investiční operace se týkají dvou investičních portfolií, a to portfolia devizových rezerv (50) (v hodnotě 60 600 milionů EUR k 31. prosinci 2010) a portfolia vlastních prostředků (51) (13 300 milionů EUR k 31. prosinci 2010). Úvěrové operace souvisí s operacemi měnové politiky (52). Investiční aktivity ECB zahrnují správu devizových rezerv ECB (53), portfolio vlastních prostředků ECB, správu penzijního fondu a činnosti související se dvěma portfolii drženými pro účely měnové politiky (54).

71.

Odbor řízení rizik odpovídá za správu obecného rámce řízení rizik pro oblast investičních operací a za monitorování, posuzování a kontrolu rizik, které z těchto operací vyplývají. Monitoruje soulad s dohodnutými politikami a procesy řízení tržního a úvěrového rizika. Případy, kdy nejsou dodrženy, se oznamují podle dohodnutých postupů pro takové situace.

72.

Investiční operace v ECB provádí generální ředitelství pro tržní operace (DG-M). Odpovídá také za správu a další rozvoj aplikace pro řízení portfolií Eurosystému (55). Odbor investic v rámci DG-M odpovídá za přípravu návrhů investičního výboru na taktické referenční hodnoty pro portfolia devizových rezerv a za přímé řízení portfolia vlastních prostředků ECB.

73.

Příručka k řízení finančních rizik (56), která je základním dokumentem pro řízení finančních rizik investičních operací, poskytuje ucelený přehled všech relevantních politik, procesů a postupů, a to především tím, že odkazuje na dokumenty přijaté rozhodovacími orgány ECB.

74.

Celkový rámec a řízení finančních rizik, které ECB nastavila pro řízení investic a operací v rámci politik banky, poskytuje definici finančních rizik platnou pro celou banku a stanoví zásady pro identifikaci, posuzování, monitorování a regulaci/zmírňování rizik.

75.

76.

V příručce ECB k řízení finančních rizik jsou definovány následující prvky:

77.

Proces investování devizových rezerv má třístupňovou strukturu, která zahrnuje strategickou referenční hodnotu, taktickou referenční hodnotu a samotná portfolia. Strategická referenční hodnota vychází z dlouhodobých preferencí ohledně poměru rizika a návratnosti a rozhoduje o ní rada guvernérů.

78.

Proces investování vlastních prostředků je založen na dvoustupňové struktuře, a to strategické referenční hodnotě a samotném portfoliu. O strategické referenční hodnotě rozhoduje výkonná rada.

79.

Návratnost se maximalizuje s přihlédnutím k omezením týkajícím se požadavku nulové ztráty a strategické alokace aktiv a zajišťuje prostřednictvím zvláštní strategické alokace aktiv (58).

80.

Seznam způsobilých zemí, emitentů a protistran vede odbor řízení rizik. Limity pro protistrany nastavuje odbor řízení rizik na základě metodiky schválené výkonnou radou. U správy devizových rezerv jsou limity přidělovány národním centrálním bankám podle metodiky schválené radou guvernérů. Jednou ročně se všechny limity systematicky aktualizují. Dopady změn v ratingu na způsobilost a limity se zohledňují okamžitě.

81.

Při strategické alokaci aktiv se berou v úvahu následující rámcové požadavky týkající se politik banky:

Investiční a rizikové horizonty jsou v případě devizových rezerv stanoveny na rok a v případě vlastních prostředků na pět let.

82.

Účetní dvůr při auditu přezkoumával také:

83.

Z přezkoumání rámce řízení finančních rizik vyplynulo, že metodika řízení finančních rizik dostatečně umožňuje stanovit ochotu riskovat a poskytuje ucelené pokyny k investičním operacím ECB.

84.

85.

Audit Účetního dvora zahrnoval:

86.

Při zkoumání rámce ukazatele Value at Risk se přihlíželo:

87.

Testování potvrdilo, že příslušná metodika se uplatňovala správně. Nebyla však doložena vzájemná kontrola, tzv. „princip čtyř očí“. Prověrka modelů pro výpočet strategických a taktických referenčních hodnot a ukazatele VaR (včetně ověření platnosti těchto modelů) dále u některých modelů ukázala, že:

88.

Z přezkoumání osvědčených postupů v jiných mezinárodních organizacích obdobného typu vyplynulo, že v reakci na finanční krizi v USA a v rámci posílení kapacit řízení finančních rizik zřídila newyorská Federální rezervní banka tým pro potvrzování platnosti modelů. Jeho hlavní úkoly uvádí rámeček 4.

Rámeček 4

Tým pro potvrzování platnosti modelů Federální rezervní banky v New Yorku

Hlavní úkoly týmu:

89.

90.

Soulad s dohodnutými politikami a procesy pro řízení tržních a úvěrových rizik sleduje odbor řízení rizik, který rovněž odpovídá za podávání zpráv o nesouladu podle stanovených postupů pro takové situace. Odbor řízení rizik v ECB pravidelně informuje o poměru rizik a návratnosti, o výkonnosti portfolia devizových rezerv a portfolia vlastních prostředků ECB a strategických a taktických referenčních hodnotách s nimi spojených. Tyto informace se vykazují denně, týdně, měsíčně, čtvrtletně a ročně.

91.

Testování a pohovory provedené auditory potvrdily, že údaje o výkonnosti se vykazují pravidelně a výkonnému vedení jsou předávány včas. Ukázalo se však, že standardy GIPS (59), považované za osvědčený postup, se pro účely interního vykazování výkonnosti v ECB plně nedodržují.

92.

ECB má komplexní organizační strukturu s jasně stanovenými rolemi a povinnostmi. Řízení finančních a provozních rizik je však v bance důrazně odděleno, což zvyšuje riziko, že přehled o celkové expozici banky vůči rizikům nebude ucelený. Mezi výkonnou radou a útvary/odděleními pro řízení rizik, tj. útvarem ORM/BCM a odborem RMA, nebyl zřízen nezávislý, samostatný subjekt, jako např. ředitel pro řízení rizik nebo výbor pro řízení rizik.

93.

Roční účetní závěrka ECB obsahuje pouze stručné informace o některých záležitostech řízení rizik, ale nepopisuje proces řízení rizik v bance ani neuvádí přehled rizik, jimž je banka vystavena, či přístup vedení k rizikům.

Doporučení

94.

ECB má jasnou organizační strukturu a zavedla odpovídající zásady řízení provozních rizik, určující přístup banky k identifikaci, posuzování, monitorování a regulaci / zmírňování rizik.

95.

Přestože v letech 2008 a 2009 proběhla posouzení shora-dolů a plány opatření byly stanoveny pro každou organizační složku, o analýzách nákladů a přínosů není k dispozici žádná dokumentace.

96.

Banka má zaveden systém podávání zpráv, monitorování a následných opatření a časový harmonogram pro následnou kontrolu opatření na zmírnění středně a vysoce závažných rizik. U některých rizik byl však proces schvalování v rámci výboru pro provozní rizika / výkonné rady velmi zdlouhavý. Cyklus plánování a cyklus řízení provozních rizik nejsou nijak propojeny. V pracovním programu některých prověřovaných organizačních složek navíc nebyly činnosti související s řízením provozních rizik jasně uvedeny.

97.

ECB vytvořila manuál krizového řízení, který definuje role, povinnosti a procesy v krizových případech a uvádí kontaktní údaje krizového týmu. Každá organizační složka plně odpovídá za vypracování svého plánu zachování kontinuity provozu.

98.

Banka nastavila náležitý rámec poskytující vodítko ohledně politik, procesů a povinností v oblasti řízení kontinuity provozu. Avšak:

Doporučení

99.

Celkový rámec a řízení finančních rizik nastavený ECB pro řízení investic a operací v rámci politik banky je přiměřený. Z přezkoumání rámce řízení finančních rizik vyplynulo, že banka má náležitou a vhodnou metodiku pro řízení investic a operací v rámci politik banky, ale je potřeba zlepšit její uplatňování v praxi. To platí například pro modely, které se používají pro výpočty strategických a taktických referenčních hodnot nebo výpočet hodnoty VaR.

100.

Interní zprávy o řízení rizik poskytují užšímu vedení a výkonné radě ECB přesné, odpovídající a ucelené informace o řízení rizik. Zprávy o výkonnosti se předkládají pravidelně a včas, ale nejsou pravidelně aktualizovány s ohledem na změny ve standardech GIPS.

Doporučení