Capital & Regulatory Framework · 13
Operasyonel Risk, Beklenmeyen Kayıp ve Sermaye
ölçülmesi en zor risk kategorisi
Kredi riski modellendi: PD × LGD × EAD. Piyasa riski modellendi: VaR, duyarlılık analizi, stres testi. Operasyonel risk ise bunların hiçbirine benzemiyor. Bir borçlunun temerrüde düşme olasılığı gibi değil — bir çalışanın dolandırıcılık yapma olasılığı. Bir sistemin çöküş tarihi. Bir mahkemenin banka aleyhine karar tarih.
Basel II bu riski ilk kez resmi sermaye gereksiniminin parçası yaptı. Tanımı nettir: "İç süreçlerin, insanların ve sistemlerin yetersizliğinden ya da başarısızlığından veya dış olaylardan kaynaklanan kayıp riski." Hukuki riski kapsar, stratejik ve itibar riskini kapsamaz — ama bunların operasyonel riskten kaynaklanabileceği gerçeği var.
Op Risk Kapsamındadır
İç fraud (çalışan zimmeti, kayıt manipülasyonu)
Dış fraud (kredi kartı dolandırıcılığı, siber saldırı)
İş yeri uygulamaları ve istihdam hukuku
Müşteri uygulamaları ve ürün hataları (misselling)
Fiziksel varlık hasarı (doğal afet, yangın)
Sistem arızası, IT kesintisi
Uygulama, teslimat ve süreç yönetimi hataları
Op Risk Kapsamı Dışı
Stratejik risk (yanlış iş kararı)
İtibar riski (doğrudan — ancak op riskten kaynaklanabilir)
Kredi riski kayıpları (op risk nedeniyle ortaya çıkmadıkça)
Piyasa riski kayıpları (fiyat hareketinden)
Sistemik riskten kaynaklanan kayıplar
Sınır her zaman net değildir. Bir trader yetkisiz işlem yaptığında bu op risktir — ama sonuçtaki piyasa kaybı da tabloya girer. Gerçek vakalar bu iki kategoride örtüşür.
basel 7 olay kategorisi — her birine tıkla
Basel çerçevesi operasyonel kayıp olaylarını yedi kategoriye ayırır. Bu kategoriler hem kayıp veritabanının yapısını hem sermaye hesabının girdisini belirler.
ET1
İç Fraud
Düşük frekans, yüksek etki
+
Tanım
Çalışan veya yönetici tarafından gerçekleştirilen kasıtlı dolandırıcılık, zimmete geçirme veya kurallara aykırı işlemler.
Örnekler
Yetkisiz trader pozisyonu (Barings Nick Leeson, SocGen Kerviel), zimmete para geçirme, sahte kredi dosyası oluşturma.
Sermaye etkisi
Nadiren gerçekleşir ama kayıp son derece büyük olabilir — kurumun varlığını tehdit edecek boyuta ulaşabilir. ILM hesabına direkt girer.
ET2
Dış Fraud
Yüksek frekans, değişken etki
+
Tanım
Banka dışındaki kişilerin gerçekleştirdiği dolandırıcılık, hırsızlık, siber saldırı.
Örnekler
Kredi kartı sahtekarlığı, ATM skimming, phishing, fidye yazılımı (ransomware), sahte kimlik ile kredi çekme.
Sermaye etkisi
Dijital bankacılığın büyümesiyle siber saldırı kayıpları hızla artıyor. Yüksek frekanslı küçük kayıplar toplamda ciddi tutar oluşturuyor.
ET3
İş Yeri Uygulamaları ve Güvenlik
Orta frekans, orta etki
+
Tanım
Çalışan ilişkileri, iş güvenliği, ayrımcılık, taciz, ücret anlaşmazlıkları.
Örnekler
Toplu işten çıkarma davaları, iş kazası tazminatları, cinsiyet ayrımcılığı davaları.
Sermaye etkisi
Genellikle küçük-orta ölçekli ama tazminat ve hukuki masraflar birikince anlamlı. Saygınlık etkisi dolaylı ama önemli.
ET4
Müşteri Uygulamaları ve Ürün Hataları
Değişken — düzenleyici cezalar büyük
+
Tanım
Uygunsuz müşteri bilgilendirmesi, ürün misselling, gizlilik ihlali, kara para aklama (AML) ihlalleri.
Örnekler
HSBC LIBOR manipülasyonu, PPI misselling (İngiltere), AML cezaları. 2008 sonrasında küresel bankalar bu kategoriyle milyarlarca dolar ceza ödedi.
Sermaye etkisi
Regülatör cezaları son derece büyük olabilir — tek bir ceza 10 mlr $'ı aşabilir. Direkt P&L ve CET1 etkisi. İtibar hasarı uzun vadeli fonlama maliyetini artırır.
ET5
Fiziksel Varlık Hasarı
Düşük frekans, yüksek etki potansiyeli
+
Tanım
Doğal afet, yangın, terörizm veya vandalizm gibi dış olaylardan kaynaklanan fiziksel varlık kayıpları.
Örnekler
11 Eylül sonrası Wall Street bankalarının yedek merkez maliyetleri, sel felaketi, yangın.
Sermaye etkisi
Sigorta kısmen karşılar ama iş sürekliliği maliyetleri, geçici operasyon harcamaları ve müşteri kaybı tazmin edilemez.
ET6
Sistem Arızası ve İş Sürekliliği
Artış trendinde — dijital bağımlılık
+
Tanım
Sistem çöküşü, yazılım hatası, donanım arızası, network kesintisi. Bankaların IT bağımlılığı arttıkça bu risk kategorisinin önemi büyüyor.
Örnekler
TSB UK 2018 IT göçü felaket: 5,2 milyon müşteri etkilendi, sistem 18 ay çalışmadı, 330 mn £ kayıp. SWIFT sistemi ihlalleri.
Sermaye etkisi
Doğrudan kayıp + müşteri tazminat + regülatör ceza + müşteri kaybı. IT kesintisi ile gelen itibar hasarı fonlama maliyetini uzun süre etkiler.
ET7
Uygulama, Teslimat ve Süreç Yönetimi
Yüksek frekans, genellikle küçük kayıplar
+
Tanım
İşlem hataları, veri giriş hataları, yanlış raporlama, sözleşme uyumsuzluğu, tedarikçi anlaşmazlıkları.
Örnekler
Yanlış veri girişiyle hatalı kredi fiyatlaması, beklenmedik yere büyük transfer, SWIFT mesaj hatası.
Sermaye etkisi
Tek tek küçük ama toplamda en geniş kapsamlı kayıp kategorisi. İç kayıp veritabanının büyük çoğunluğunu bu kategori oluşturur. ILM hesabına toplu etkisi büyük.
Basel III Final: Standardized Approach (SA) nasıl çalışır?
Basel III Final ile AMA (Advanced Measurement Approach) kaldırıldı ve tüm bankalar için tek bir standart yaklaşım getirildi. Bu yaklaşımın iki bileşeni var: Business Indicator Component (BIC) ve Internal Loss Multiplier (ILM).
BIC: Bankanın gelir büyüklüğünden türetilen bir gösterge. Net faiz geliri, ücret/komisyon ve trading gelirinin üç bileşeni birleştirilerek "Business Indicator (BI)" hesaplanır. BI ne kadar büyükse BIC o kadar büyük — büyük bankalar daha fazla sermaye tutar.
BIC
Gelir bileşeninden
×
ILM
Kayıp çarpanı (≥1)
=
Op Risk Sermayesi
Minimum gereksinim
÷ %8 →
Op Risk RWA
Paydaya katkı
ILM: Bankanın son 10 yıllık ortalama yıllık kayıp verisi (LC) ile BIC karşılaştırılarak hesaplanır. Geçmiş kayıplar yüksekse ILM 1'den büyük olur ve BIC çarpılarak daha fazla sermaye gerektirdiği sinyali verilir. Geçmiş kayıplar düşükse ILM 1'e yakın kalır.
Bu yapının önemli çıkarımı: geçmiş op risk kayıpları bugünkü sermayeyi artırır. Büyük bir ceza veya fraud olayı hem dönemin P&L'ini hem de sonraki 10 yılın ILM hesabını etkiler.
AMA'nın kaldırılması kararı bir güven meselesidir. Op risk modelleri son derece karmaşık ve manipülasyona açık hale geldi — bazı bankalar kayıp dağılımı modellerini agresif biçimde optimize ederek gerçek riskten kopuk sermaye rakamları üretiyordu. Standart yaklaşım bunu engeller ama finesse kaybeder.
kayıp olayından sermayeye: zinciri izle
Aşağıda gerçek dünya op risk vakalarını seç. Her olayın P&L'e, sermayeye ve uzun vadeli etkiye nasıl ulaştığını adım adım izle.
Op Risk Olayı → Sermaye Zinciri
bir olay seç
Senaryo: Yetkisiz trader büyük döviz pozisyonu açtı — keşfedildiğinde 800 mn TL zarar ortaya çıktı
Olay gerçekleşir — keşfedilir
Trading limiti ihlali fark edildi. Pozisyon kapatılıyor, zarar realize ediliyor. Compliance ve yönetim bilgilendirildi.
ET1 — İç Fraud
P&L'e anlık etki
800 mn TL trading zararı o dönemin gelir tablosuna gider. Net kâr düşer veya zarar yazılır. Özkaynak eriyor.
P&L: −800 mn TL
CET1 erozyonu
Özkaynak azalması CET1'i doğrudan düşürüyor. RWA (özellikle piyasa riski) da etkilenebilir. SYR sıkışıyor.
CET1: −800 mn TL (vergi avantajı hariç)
Regülatör bildirimi ve soruşturma
BDDK bildirim zorunlu. Soruşturma başlıyor: kontrol eksikliği var mı, gözetim yeterli miydi? Ek ceza riski mevcut.
Ek ceza riski + yönetim değişikliği
ILM etkisi — 10 yıl boyunca
Bu kayıp op risk ILM hesabına giriyor. Sonraki 10 yıl boyunca yıllık ortalama kayıp yüksek kalıyor, ILM 1'in üzerinde seyrediyor ve BIC çarpılarak daha fazla op risk sermayesi gerekiyor.
Sermaye artışı: sonraki 10 yıl ILM etkisi
Anlık P&L
−800 mn
CET1 Etkisi
−800 mn
Uzun Vade
ILM artar
İtibar
Orta–Yüksek
Senaryo: Fidye yazılımı saldırısı — sistemler 3 gün çevrimdışı, 200 mn TL kayıp ve tazminat
Saldırı gerçekleşir — sistemler kilitlenir
Ransomware bankacılık sistemlerini şifreliyor. Online banking, ATM, swift sistemi çevrimdışı. IT ekibi kriz protokolü devreye alıyor.
ET2+ET6 — Dış Fraud + Sistem Arızası
Direkt kayıplar birikir
Fidye ödemesi (banka ödemedi), sistem kurtarma maliyeti, iş sürekliliği masrafları, müşteri tazminatları, yasal masraflar. 3 gün işlem yapılamamasından kaynaklanan kaçınan komisyon gelirleri.
Toplam kayıp: ~200 mn TL
Regülatör soruşturması ve ceza
BDDK siber güvenlik yönetmelikleri çerçevesinde soruşturma açıyor. Kontrol eksikliği tespit edilirse ek idari para cezası gelebilir. Raporlama yükümlülükleri devreye giriyor.
Ek ceza potansiyeli + zorunlu yatırım
IT güvenlik yatırımı zorunlu hale gelir
Saldırı önleme kapasitesi zorunlu iyileştirilir. Bu sermaye harcaması değil opex — ama ROE'yi düşürür ve dolaylı olarak sermaye planlamasını etkiler.
Zorunlu IT yatırımı: +50–100 mn TL/yıl
Anlık P&L
−200 mn
CET1 Etkisi
−200 mn
Uzun Vade
IT yatırımı
İtibar
Yüksek
Senaryo: Kara para aklama (AML) kontrol eksikliği — 2 mlr TL regülatör cezası
Soruşturma başlar — kontrol eksikliği tespit edildi
BDDK veya MASAK denetimi sonucunda şüpheli işlem bildirimi eksiklikleri ve AML kontrol zayıflıkları tespit edildi. Soruşturma açıldı.
ET4 — Müşteri/Ürün Uyumsuzluğu
Uzlaşma ve ceza kararı
1–3 yıl süren soruşturma sonucunda 2 mlr TL idari para cezası. Karşılık ayrılması gerekiyor — beklenmedik büyüklükte gider.
Ceza: 2.000 mn TL
P&L ve CET1 büyük darbe alır
2 mlr TL gider cari dönem P&L'ini siliyor veya zarara çeviriyor. CET1 doğrudan 2 mlr düşüyor. SYR anlamlı biçimde gerileyebilir.
CET1 etkisi: −2.000 mn TL
Zorunlu iyileştirme programı
Düzenleyici iyileştirme planı istiyor: AML sistem yatırımı, ek personel, bağımsız gözlemci atanması. Bankanın büyüme kapasitesi kısıtlanıyor.
Zorunlu yatırım + büyüme kısıtı
Anlık P&L
−2.000 mn
CET1 Etkisi
−2.000 mn
Uzun Vade
Yüksek maliyet
İtibar
Çok Yüksek
Senaryo: Core banking sistem göçü başarısız oldu — 6 saat kesinti, müşteri memnuniyeti krizi
Sistem güncellemesi çöktü
Hafta sonu planlı core banking güncellemesi beklenmedik biçimde başarısız. Online, mobil ve ATM ağı çevrimdışı. Rollback gecikiyor.
ET6 — Sistem Arızası
Müşteri şikayeti ve medya baskısı
Sosyal medyada viral olan müşteri şikayetleri, haberlere taşınıyor. Yönetim kurulu düzeyinde kriz yönetimi devreye giriyor.
İtibar hasarı başlıyor
Direkt kayıplar ve tazminatlar
Gecikmiş işlemlerden doğan müşteri tazminatları, kaçırılan işlem gelirleri, kriz yönetim masrafları. Hukuki talepler geliyor.
Toplam kayıp: ~50–100 mn TL
Müşteri kaybı ve uzun vadeli etki
Bir kısım kurumsal ve bireysel müşteri bankayı terk etti. Yeni müşteri kazanım maliyeti arttı. Bu gelir kaybı doğrudan ölçülmesi zor ama sermaye planlamasını etkiliyor.
Müşteri kaybı + NII azalışı
Anlık P&L
−50–100 mn
CET1 Etkisi
Dolaylı
Uzun Vade
NII kaybı
İtibar
Orta–Yüksek
ILM simülatörü: geçmiş kayıplar sermayeyi nasıl etkiler?
Standart yaklaşımda geçmiş kayıp verisi (LC) ILM çarpanını belirler. Aşağıda bankanın yıllık ortalama kayıp miktarı ve BI bileşenini değiştirerek op risk sermayesinin nasıl değiştiğini gör.
ILM ve Op Risk Sermayesi Simülatörü
BIC (gelir bileşeni)
—
mlr TL
ILM Çarpanı
—
BIC × ILM = sermaye
Op Risk RWA
—
mlr TL
anahtar çıkarımlar
op risk modelsiz değil, tarihsel kayıp verisine dayalı
AMA'nın kaldırılmasıyla op risk modelleme AMA anlamında bitti — ama standardized approach da veri gerektirir. Geçmiş kayıp verisi (LC) ILM'yi belirler. Kayıp veritabanının kalitesi ve eksiksizliği doğrudan sermayeyi etkiler. Kayıp verisi eksik tutulmak "daha az sermaye" gibi görünse de denetimde çok daha büyük cezayla sonuçlanır.
büyük op risk olayları P&L'i ve CET1'i eş anlı vurur
Büyük bir fraud veya regülatör cezası hem dönemin kârını siler hem özkaynağı eritir. Üstüne ILM üzerinden sonraki 10 yılın sermayesini artırır. Bu üçlü etki op riskin neden sadece "operasyonel" bir konu olmadığını, sermaye planlamasının merkezine oturduğunu gösterir.
itibar riski ölçülmez ama etkisi gerçektir
İtibar kaybı Basel çerçevesinin doğrudan kapsamı dışındadır — ama fonlama maliyeti artışı, müşteri kaybı ve hisse fiyatı düşüşü üzerinden doğrudan sermayeyi etkiler. Büyük op risk olaylarının ikincil hasarı çoğu zaman birincil kayıptan büyüktür.
kontrol ortamının kalitesi op risk sermayesinin belirleyicisidir
Güçlü iç kontrol, bağımsız denetim ve iyi iş sürekliliği planlaması hem olayların sıklığını hem şiddetini azaltır. Bu dolaylı olarak LC'yi düşürür ve ILM'yi 1'e yakın tutar. Op risk yönetimi "uyum faaliyeti" değil, sermaye verimliliği yönetim aracıdır.