Banka e Shqipërisë ka përgatitur një projektrregullore “Për administrimin e rrezikut operacional nga bankat, institucionet e pagesave dhe institucionet e parasë elektronike”.
Sipas projektrregulloret, këto subjekte duhet të krijojnë dhe zhvillojnë sistemin e administrimit të rrezikut operacional, në përputhje me natyrën, vëllimin dhe kompleksitetin e veprimtarisë së tij bankare ose financiare.
Sistemi i administrimit të rrezikut operacional ka për qëllim të sigurojë identifikimin dhe vlerësimin, matjen, kontrollin dhe zbutjen, monitorimin në vazhdimësi, si dhe raportimin periodik te strukturat e brendshme drejtuese, të rrezikut operacional.
Sipas projektrregullores, subjektet duhet të administrojnë rrezikun operacional, duke zbatuar modelin e tre linjave të mbrojtjes, ku në linjën e parë përfshihen njësitë e biznesit dhe funksionet ndihmëse, në linjën e dytë përfshihet funksioni i pavarur përgjegjës për administrimin e rrezikut operacional dhe njësia e përputhshmërisë dhe në linjën e tretë përfshihet funksioni i pavarur i kontrollit.
Subjektet duhet të sigurohen që secila nga linjat e mbrojtjes ka burime financiare dhe njerëzore dhe mjete të mjaftueshme, ka detyra dhe përgjegjësi të përcaktuara qartë, trajnohet në mënyrë të vazhdueshme dhe të mjaftueshme, promovon një kulturë të shëndoshë të administrimit të rrezikut në gjithë subjektin dhe komunikon me linjat e tjera të mbrojtjes, për zbatimin e sistemit të administrimit të rrezikut operacional.
Në rastet kur në një njësi biznesi përfshihen funksione të linjës së parë dhe të dytë të mbrojtjes, subjekti duhet të dokumentojë dhe dallojë përgjegjësitë e këtyre funksioneve sipas linjave të mbrojtjes, duke theksuar pavarësinë e linjës së dytë të mbrojtjes nga njësitë e biznesit.
Përgjegjësitë e linjës së parë të mbrojtjes përfshijnë identifikimin dhe vlerësimin e materialitetit të rreziqeve operacionale të qenësishme në njësitë e tyre të biznesit, në përputhje me procedurat e brendshme dhe parimin e ndarjes së detyrave; vendosjen e sistemeve të përshtatshme të kontrollit, në bashkëpunim me strukturat e tjera të kontrollit dhe funksionin e administrimit të rrezikut operacional; identifikimin, monitorimin dhe raportimin e ngjarjeve operacionale, në përputhje me sistemin e administrimit të rrezikut operacional; raportimin e rreziqeve operacionale të mbetura, të cilat nuk janë zbutur nga kontrollet, mangësitë e kontrollit dhe pamjaftueshmëritë e proceseve; trajnimin e duhur për të siguruar identifikimin dhe vlerësimin e rreziqeve operacionale, si dhe raportimin në rastet kur njësitë e biznesit kanë mungesa në burime, mekanizma apo trajnime që mundësojnë identifikimin dhe vlerësimin e rreziqeve operacionale.
Përgjegjësitë e linjës së dytë të mbrojtjes përfshijnë minimalisht zhvillimin e një opinioni të pavarur nga njësitë e tjera të biznesit mbi ngjarjet materiale të rrezikut operacional të identifikuara, hartimin dhe efektivitetin e kontrolleve kyçe, dhe tolerancën ndaj rrezikut operacional; sigurimin dhe dokumentimin e zbatimit të drejtë nga linja e parë e kontrollit të përgjegjësive, mekanizmave dhe sistemeve të raportimit të administrimit të rrezikut operacional; zhvillimin dhe mirëmbajtjen e politikave, standardeve metodologjive dhe udhëzimeve për administrimin dhe matjen e rrezikut operacional; rishikimin dhe kontributin në monitorimin dhe raportimin e profilit të rrezikut operacional; hartimin dhe zhvillimin e trajnimeve të punonjësve për çështje të rrezikut operacional, etj.
Përgjegjësitë e linjës së tretë të mbrojtjes përfshijnë rishikimin e hartimit dhe zbatimit të sistemit të administrimit të rrezikut operacional, si dhe proceset shoqëruese të drejtimit nga linja e parë dhe e dytë e mbrojtjes (përfshirë edhe pavarësinë e linjës së dytë të mbrojtjes); rishikimin e proceseve të vlerësimit për t’u siguruar që ato janë të pavarura dhe të zbatuara në përputhje me kuadrin rregullativ të subjektit; sigurimin që modelet/mekanizmat e matjeve të përdorura nga subjekti janë mjaftueshëm të qëndrueshëm, për të siguruar integritet të lartë për të dhënat hyrëse, supozimet, proceset dhe metodologjitë e përdorura; sigurimin që drejtuesit e njësive të biznesit të përgjigjen në mënyrë të shpejtë, të saktë dhe adekuate për çështjet e ngritura, si dhe raportimin rregullisht në këshillin drejtues ose në komitetet në varësi të tij, mbi çështjet e rrezikut operacional të mbetura pezull ose të zgjidhura; vlerësimin në tërësi të mjaftueshmërisë dhe përshtatshmërisë së sistemit të administrimit të rrezikut operacional dhe proceseve shoqëruese të drejtimit të subjektit.
Përtej kontrollit të përputhshmërisë me politikat dhe procedurat në fuqi, linja e tretë e kontrollit duhet të vlerësojë në mënyrë të pavarur nëse sistemi i administrimit të rrezikut operacional plotëson nevojat dhe objektivat e subjektit, si dhe nëse është në përputhje me dispozitat ligjore dhe statutore, marrëveshjet kontraktore, rregullat e brendshëm të subjektit dhe kodin e etikës.
Subjektet duhet të hartojnë plane të vazhdimësisë së veprimtarisë, të cilat kanë për qëllim tësigurojnë ushtrimin në mënyrë të pandërprerë të veprimtarisë dhe kufizimin e humbjeve të lidhura me rrezikun operacional.
Në mënyrë specifike për bankat tregtare, në përputhje me përcaktimet e kuadrit rregullativ në fuqi për stress test-et, në procesin e hartimit dhe kryerjes së stress test-eve për rrezikun operacional, bankat duhet të hartojnë dhe zhvillojë një program për stress test-et e rrezikut operacional.
Subjektet duhet të hartojnë një kuadër të brendshëm rregullativ për administrimin e bazës së të dhënave të ngjarjeve të rrezikut operacional, ku të përcaktohet qëllimi, hapat, afatet dhe rolet e strukturave të përfshira në këtë proces.
Pasi të miratohet nga Këshilli Mbikëqyrës, rregullorja e re pritet të hyjë në fuqi në 1 janar 2025./E.Shehu
Ky është artikull ekskluziv i Revistës Monitor, që gëzon të drejtën e autorësisë sipas Ligjit Nr. 35/2016, “Për të drejtat e autorit dhe të drejtat e lidhura me to”.
Artikulli mund të ripublikohet nga mediat e tjera vetëm duke cituar “Revista Monitor” shoqëruar me linkun e artikullit origjinal.