Budowa bazy strat operacyjnych

Budowa i implementacja użytecznej bazy danych o stratach operacyjnych jest kluczowym elementem systemu szacowania i pomiaru ryzyka operacyjnego¹⁵¹. Proces ten polega na szczegółowym zdefiniowaniu poszczególnych informacji które powinny być raportowane oraz budowie systemu informatycznego¹⁵² umożliwiającego sprawne gromadzenie i obróbkę zebranych danych. Z uwagi na wagę tego etapu bardzo istotne jest dołożenie wszelkiej staranności żeby raportowanie o stratach obejmowało wszystkie procesy w obrębie całego przedsiębiorstwa. Szeroki zakres gromadzenia danych i specyficzny charakter ryzyka operacyjnego powoduje, że wdrożenie nowego systemu raportowania o stratach wiąże się z szeregiem problemów wśród których można wyróżnić:

 ograniczoną świadomość zagrożeń związanych z ryzykiem operacyjnym w poszczególnych komórkach organizacyjnych,

 niedostateczne zasoby przeznaczone na implementacje systemu zarządzania ryzykiem operacyjnym co wynika przede wszystkim z marginalizowania roli ryzyka operacyjnego w stosunku do ryzyka rynkowego czy kredytowego,

 przyporządkowanie odpowiedzialności za straty operacyjne - specyfika ryzyka operacyjnego powoduje, że w praktyce wystąpienie tego rodzaju strat może podważać kwalifikacje osoby za nie odpowiedzialnej co z kolei niesie za sobą obawę ukrywania tego typu zdarzeń,

 skłonność do nadmiernego upraszczania procesu raportowania strat – związana z występująca w praktyce tendencją do przesyłania wcześniej zgromadzonych danych księgowych nie dostarczających wielu istotnych parametrów takich jak miejsce powstania czy przyczyny wystąpienia.153

Znaczna cześć przedsiębiorstw gromadzi dane dotyczące strat operacyjnych, aczkolwiek w większości przypadków nie odbywa się to w sposób kompleksowy, zwykle dotyczy jedynie wybranych obszarów działalności (np. procesu produkcji). Systemowe i całościowe podejście do procesu gromadzenia danych o stratach poza tym, że pozwala na obliczenie poziomu ryzyka operacyjnego ma również przesłanki stricte biznesowe. Jako przykład może posłużyć odniesienie wiedzy na temat poziomu strat przypadających na określony produkt do procesu kalkulowania marży, a tym samym właściwej wyceny oferowanych dóbr i usług. Ponadto

151 Cruz M., Modeling…, op.cit., s. 11

152 budowanego samodzielnie przez organizację bądź wykorzystującego oprogramowanie firm specjalizujących się w zarządzaniu ryzykiem np. SIZaRO - System Informatyczny Zarządzania Ryzykiem Operacyjnym stworzony przez firmę Asseco Poland

rzetelnie zgromadzone dane dotyczące strat operacyjnych są wiarygodnym źródłem informacji dotyczącym jakości i dynamiki zmian poszczególnych procesów biznesowych.

Właściwe gromadzenie informacji dotyczących strat o charakterze operacyjnym gwarantuje otrzymanie wyników, które staną się podstawą wiarygodnej analizy ryzyka. Warunki poprawności tego procesu są analogiczne dla sektora przedsiębiorstw jak i instytucji finansowych. Wśród najważniejszych z nich należy wyróżnić154

:

 zdecentralizowany charakter raportowania- przekazywanie danych o stratach operacyjnych do wewnętrznej bazy danych powinno być realizowane przez właścicieli poszczególnych procesów155, opcjonalnie przez osoby, które zaobserwowały zdarzenie o charakterze operacyjnym i bezpośrednio uczestniczą w określonym procesie. System raportowy powinien umożliwić przeprowadzenie analiz w przekroju produktowym, procesowym, przyczynowym, czy też ze względu na wielkość straty i jej wpływ na przedsiębiorstwo. Z pragmatycznego punktu widzenia zarejestrowane dane o stratach operacyjnych powinny pozwalać na przeprowadzenie zaawansowanej analizy danych i umożliwiać przeniesienie informacji do arkusza kalkulacyjnego;

 standaryzację raportowania – prawidłowo skonstruowany raport o stratach operacyjnych zawiera ściśle określone elementy wymagające zasilenia określonym rodzajem informacji np. wielkość strat, szczegółowy opis zajścia, data zajścia i wykrycia zdarzenia, procesy i komórki w których doszło do straty, ewentualne kwoty odszkodowań i odzysków, związki z ryzykiem kredytowym i rynkowym. Znacznym usprawnieniem procesu raportowania jest wprowadzenie systemu informatycznego dającego możliwość wypełniania poszczególnych elementów raportu przy wykorzystaniu listy rekordów wzajemnie wykluczających się, ale co istotne wyczerpujących wszystkie możliwości. Warto zwrócić uwagę, że wartość strat operacyjnych podlega wycenie tylko w przypadku zaistnienia zdarzeń, których zaistnienie bezpośrednio wpływa na wynik finansowy. Pozostałe zdarzenia o charakterze operacyjnym nie wpływają na rozkład dotkliwości strat, ale mogą z kolei determinować rozkład częstości strat. Dotyczy to tzw. „zdarzeń o mały włos” (ang. near misses), które mogą wywoływać straty finansowe, ale na skutek sprzyjających okoliczności nie zakończyły się wymiernymi stratami finansowymi156

;

 przypisanie straty operacyjnej do konkretnego procesu biznesowego- poszczególne procesy biznesowe w przedsiębiorstwie generują przychody, bądź/i stanowią ogniwo wspomagające procesów operacyjnych. Z uwagi na to, że zarządzanie ryzykiem operacyjnym w odróżnieniu od innych rodzajów ryzyka odbywa się na poziomie procesów bardzo istotną kwestią staje się przypisanie poszczególnych strat do konkretnych procesów. Zaliczenie zaistniałej straty do kosztów danego procesu powinno być ściśle skorelowane ze szczegółową analizą przypadku i decyzją o podjęcie działań zorientowanych na uniknięcie w przyszłości podobnych zdarzeń. Istotne w tym zakresie jest takie skonstruowanie wykorzystywanej platformy informatycznej, by propozycje zmian wraz z terminami ich wdrażania i mechanizmami monitorowania statusu ulepszeń znalazły w niej odzwierciedlenie;

 umożliwienie łączenia i dzielenia strat- niejednokrotnie w praktyce zdarza się, że cała grupa strat operacyjnych ma swoją przyczynę w zdarzeniu jednego typu. Jako

154

Matkowski P., Zarządzanie …, op.cit., s.108-111 155

Identyfikacja właścicieli poszczególnych ryzyk jest bardzo istotna, z uwagi na to, że mają najszerszą wiedzę na temat dotykającego ich ryzyka, co dodatkowo wspiera proces kontrolowania ryzyka. Por. Pandey D., Who

―Owns‖ Operational Risk? ,3 September 2008 , http://ssrn.com/abstract=1262606 s.4

156 Muermann A., Ulku O., The near-miss management of operational risk The Journal of Risk Finance, Vol. 4, No. 1, Fall 2002 s.30

przykład może posłużyć wyłudzenie towarów przez zorganizowana grupę przestępczą. W takich przypadkach szczególnie istotne jest poznanie całkowitej wartości tego rodzaju straty. Baza danych o stratach operacyjnych powinna rejestrować straty o takim charakterze w odniesieniu do każdego procesu. Poszczególne straty należy połączyć wspólnym identyfikatorem jednoznacznie wskazującym na pochodzenie zdarzenia i umożliwiającym prawidłową analizę. Pozostaje problem przypisania odpowiedzialności za poniesione straty. W przypadku gdy żaden z właścicieli procesów nie chce wziąć za nie odpowiedzialności tego rodzaju starty przypisywane są do kilku jednostek wewnętrznych;

 elastyczność w gromadzeniu informacji specyficznych dla konkretnego procesu biznesowego- w przedsiębiorstwach o skomplikowanej strukturze, gdzie występuje wiele odrębnych linii biznesowych istotna staje się konieczność gromadzenia w bazie danych strat operacyjnych informacji specyficznych dla danego rodzaju działalności. Dodatkowo formularz raportu powinien zawierać rekord, którego wypełnianie nie byłoby obligatoryjne dla wszystkich jednostek organizacyjnych, a potencjalnie umożliwiałoby odnotowanie niestandardowych informacji istotnych dla danego rodzaju strat;

 fizyczne i logiczne bezpieczeństwo przechowywanych danych o stratach operacyjnych- wewnętrzna baza danych o stratach operacyjnych ma charakter poufny. Z tego powodu proces gromadzenia, przetwarzania, transferowania i przechowywania informacji powinien być obwarowany szczegółowymi procedurami bezpieczeństwa. Z tego względu należy zróżnicować zakres uprawnień dostępu do bazy danych. Uprawnieni do raportowania do bazy nie mogą mieć wglądu do raportów przesyłanych przez pozostałych pracowników, natomiast członkowie komórki odpowiedzialnej za zarządzanie ryzykiem operacyjnym czy Zarząd firmy mają dostęp do wszystkich rekordów bazy;

 kompatybilność bazy danych o startach operacyjnych z wewnętrznymi systemami informatycznymi i zewnętrznymi bazami danych. Jeżeli w przedsiębiorstwie w szczególności ze względu na uwarunkowania historyczne czy biznesowe podjęta zostaje decyzja o gromadzeniu danych w oparciu o dotychczas funkcjonujące systemy¹⁵⁷ , kluczowe staje się dołożenie wszelkich starań o maksymalny poziom kompatybilności pomiędzy bazą danych o startach operacyjnych, a wszystkimi innymi systemami. Analogiczny mechanizm dotyczy ewentualnego wykorzystania zewnętrznych baz danych do uzupełnienia wewnętrznych szeregów strat, szczególnie w odniesieniu do strat o bardzo dużej dotkliwości, których liczba jest zwykle niewystarczająca do poprawnego wnioskowania statystycznego. W takim przypadku zachodzi konieczność zapewnienia niezbędnych środków, które umożliwią pozyskanie zewnętrznych danych, a także ich integrację z informacjami gromadzonymi wewnątrz przedsiębiorstwa.

W bazie danych operacyjnych w głównej mierze odnotowywane są często występujące straty o stosunkowo małej wartości tzw. “high-frequency, low-severity events”. Z tego powodu, gromadzenie danych o stratach operacyjnych przynosi duże korzyści w procesie poprawy efektywności procesów tworzących wartość dodaną w przedsiębiorstwie i systemu kontroli wewnętrznej dla tych rodzajów zdarzeń, które powinny zostać zredukowane. Wewnętrzne bazy danych o stratach operacyjnych nie w pełni odzwierciedlają rzadko występujące

157 Przykładem może być często występujące w praktyce wydobywanie danych o startach operacyjnych z systemów księgowych lub filtrów definiowanych w aplikacjach biznesowych umożliwiających identyfikacje błędów i korekt. W przypadku analizowanego przedsiębiorstwa aplikacjami biznesowymi tego typu wykorzystywanymi w procesie produkcji są PigTales Production Manager czy PigTrack Production Manager.

zdarzenia o wysokiej dotkliwości tzw. “low-frequency, high-severity events” w tym również te o charakterze ekstremalnym, zagrażające dalszemu funkcjonowaniu przedsiębiorstwa. Stąd jak już wspomniano w celu pozyskania danych niezbędnych do modelowania ryzyka operacyjnego konieczne jest wykorzystanie zewnętrznych baz danych lub/i analizy scenariuszowej¹⁵⁸. Dodatkowa trudność w budowie wewnętrznej bazy danych o stratach operacyjnych wiąże się z tym, że tego rodzaju straty często moją swoją historię i cykl życia co oznacza, że nie zawsze można bezpośrednio ustalić czas ich wystąpienia, a wraz z napływem nowych informacji wartość straty operacyjnej może się zmieniać.

Aby proces gromadzenia danych o stratach operacyjnych mógł właściwie spełniać zadania związane z zarządzaniem ryzykiem musi spełniać szereg wymogów zarówno o ilościowym jak i jakościowym charakterze. Wymogi o charakterze ilościowym dotyczą przede wszystkim takich parametrów jak: wielkość straty, data wystąpienia zdarzenia, data wykrycia. Natomiast w ujęciu jakościowym istotny jest prawidłowy przebieg informacji przez kolejne etapy raportowania, dzięki czemu możliwe jest dokonanie oceny wiarygodności informacji zawartych w raporcie. Fragment przykładowego formularza raportu zdarzeń zaprezentowany został na Rysunku 2.11. Warunkiem koniecznym do uzyskania wysokiej jakości danych o stratach operacyjnych jest precyzyjne określenie reguł klasyfikowania strat. Jednym z możliwych rozwiązań jest przyjęcie w tym zakresie zaleceń sformułowanych przez Komitet Bazylejski w postaci drzew decyzyjnych zaprezentowanych na Rysunkach 2.12. i 2.13. Bardzo istotne jest także umożliwienie osobom raportującym możliwość bieżących konsultacji z osobami odpowiedzialnymi za cały proces zarządzania ryzykiem operacyjnym oraz wparcia działu kontroli i audytu wewnętrznego¹⁵⁹.

Rysunek 2.11. Fragment rejestru zdarzeń o charakterze operacyjnym przedsiębiorstwa Alfa

Źródło: opracowanie własne

158 Fend W., Zwizlo R., Lutz J., Guidelines on Operational Risk, Oesterreichische Nationalbank, Vienna, August 2006, s.27

Rysunek 2.12. Drzewo decyzyjne – klasyfikacja zdarzenia

Źródło: opracowanie na podstawie Matkowski P. , Zarządzanie.. op.cit., s.211

W procesie gromadzenia danych o stratach operacyjnych należy zwrócić szczególną uwagę na aspekt związany z kompletnością zebranych danych. Element ten jest szczególnie istotny, z uwagi na to, że stanowi podstawę wiarygodnego modelowania statystycznego. W szczególności dotyczy to strat charakteryzujących się małą częstotliwością występowania i dużą dotkliwością strat. Nawet pojedyncza strata tego typu może w znaczący sposób wpłynąć na poziom ekspozycji na ryzyko operacyjne. Z drugiej strony tego typu strata może doprowadzić do zachwiania płynności lub nawet bankructwa przedsiębiorstwa stąd istotne jest stworzenie systemu wczesnego wykrywania i reagowania na takie zdarzenia¹⁶⁰. W literaturze przedmiotu podkreślana jest waga dwóch problemów związanych z tematyką kompletności zbioru danych o stratach operacyjnych161. Po pierwsze w praktyce występują poważne trudności w jednoznacznym odróżnieniu strat spowodowanych czynnikami operacyjnymi zaliczanymi do ryzyka operacyjnego od strat będących skutkiem decyzji biznesowych lub strategicznych. Po drugie są trudności związane z kulturą panującą w przedsiębiorstwie odnoszącą się do raportowania informacji dotyczących własnych błędów,

160Np. przy wykorzystaniu Kluczowych Wskaźników Ryzyka (KRI) por. Taylor Ch., Davies J., Getting

Traction with KRIs:Laying the Groundwork, The RMA Journal , November 2003, s.58 -62 161 Por. Anders U., Platz J., Creating …op.cit.

przeoczeń, zaniedbań czy niedopatrzeń. W przypadku gdy obowiązujące w tym zakresie standardy są niewłaściwe nie jest możliwe zbudowanie pełnowartościowej bazy danych o stratach operacyjnych.

Rysunek 2.13. Drzewo decyzyjne – rodzaj zdarzenia

Źródło: opracowane na podstawie Basel Commite on Banking Supervision, QIS 2 – Operational Risk Loss Data, Bank for International Settlements, Basel 2001, s.17-18

Dodatkowym istotnym elementem związanym z budową bazy danych jest raportowanie o zdarzeniach leżących na pograniczu innych rodzajów ryzyka (ang. operational risk boundaries). Przyjęcie szerokiej definicji ryzyka operacyjnego powoduje, że w jego zakres wchodzą zdarzenia które nie mają ściśle operacyjnego podłoża przykładowo zdarzenia związane z ryzykiem strategicznym (biznesowym) mogą zostać technicznie zakwalifikowane jako błędy ludzi i tym samym niesłusznie włączone do bazy danych o stratach operacyjnych. Z tego względu niezbędne staje się wyznaczenie precyzyjnych zasad dotyczących raportowania o zdarzeniach operacyjnych leżących na pograniczu ryzyka strategicznego (ang. strategic & business risk), prawnego, kredytowego, rynkowego i reputacji¹⁶² (patrz Tabela 2.5.)

Tabela 2.5. Zasady raportowania strat o zdarzeniach operacyjnych z pogranicza innych rodzajów ryzyka

Rodzaj ryzyka

zasady

strategiczne Dane dotyczące strat wynikających z błędnych decyzji strategicznych czy biznesowych nie powinny być raportowane do bazy danych o stratach operacyjnych. Tego typu zdarzenia zaliczane są do ryzyka strategicznego. Do tej grupy zaliczane są również zdarzenia związane z ryzykiem projektu. Jednak, jeżeli straty wystąpią w normalnych procesach operacyjnych występujących w procesie implementacji projektu wówczas należy je potraktować jako zdarzenia operacyjne (np. opóźnienia płatności, wyłudzenia, defraudacje itp.). Kategoria ryzyka strategicznego jest często prawidłowo utożsamiana z decyzjami podejmowanymi na najwyższych szczeblach zarządzania, wśród nich można wyróżnić na przykład:

 decyzje inwestycyjne związane z nowymi liniami biznesowymi, produktami, aktywami, usługami, rynkami itp.,

 decyzje związane z fuzjami, przejęciami

 decyzje związane z redukcją bądź zwiększeniem zatrudnienia z zastrzeżeniem zgodności tych decyzji z przepisami prawa

 decyzje dotyczące strategii rozwoju firmy

Zaakceptowanie straty - w celu zachowania dobrych relacji z klientem - za którą winę ponosi wyłącznie klient zaliczana jest do ryzyka strategicznego i nie wymaga odnotowania w bazie strat operacyjnych. Przeciwnie jeżeli strata powstała w wyniku błędu ze strony firmy np. pomyłkowo nie wysłano na czas faktury i w związku z tym nie naliczono odsetek za zwłokę wówczas tego typu stratę uznajemy jako operacyjną.

prawne zgodnie z przyjętą definicją ryzyka operacyjnego ryzyko prawne jest jednym z jego składników. W związku z tym raportowaniu do bazy danych podlegają:

 straty związane ze sporami sądowymi, arbitrażowymi, ugodowymi odszkodowaniami (straty dotyczące kosztów poniesionych w trakcie prowadzonego postępowania podlegają raportowaniu nawet w przypadku wycofania pozwu), Jeżeli firma poniosła stratę z tytułu ryzyka operacyjnego (np. nieuczciwa konkurencja, niedotrzymanie warunków kontraktu itp.) i dochodzi zadośćuczynienia na drodze sądowej wówczas: minimalna wartość raportowanej straty powinna odzwierciedlać faktyczną wartość szkody niezależnie od tej która jest przedmiotem rozprawy sądowej zasądzona wartość odszkodowania ewentualnie rekompensata w ramach zawartej ugody traktowane są jako odzysk i pomniejszają wartość raportowanej szkody, z drugiej strony poniesione koszty związane z obsługa prawną tej konkretnej sprawy pomniejszają wartość odzysku.

162

ORX Reporting Standards, An ORX Members’ Guide to Operational Risk Event/Loss Reporting, Version 2.6, February 2007, s.10

 koszty obsługi prawnej, koszty ugody, koszty sądowe

 straty powstałe w wyniku działających wstecz zmian w prawie włączając w to przypadku w których firma nie miała możliwości ich uniknąć163

Istotne jest to, że pojawienie się ekspozycji na ryzyko prawne nie powinno być zaliczane do ryzyka strategicznego nawet w przypadku gdy podejmowane jest świadomie przy pełnej wiedzy o potencjalnych konsekwencjach.

Z raportowania do bazy danych o stratach operacyjnych powinny zostać wyłączone następujące aspekty:

 koszty ogólnych porad prawnych, pisania pism, weryfikacji i sprawdzania dokumentów

 koszty technicznych spraw sądowych (w których firma występuje jako strona trzecia)

kredytowe ten typ ryzyka dotyczy strat związanych z niewypłacalnością kontrpartnera, tak więc tego typu straty zaliczamy do ryzyka kredytowego. Straty operacyjne leżące na pograniczu ryzyka operacyjnego to:

 błędy zabezpieczeń kredytów czy pożyczek- nieprawidłowości w monitorowaniu zabezpieczenia, nieprzejęcie zabezpieczenia na czas itp.

 Nieprawidłowości proceduralne, oszustwa- wyłudzone kredyty, pożyczki

 Kwestie prawne- dokumentacja zawierająca błędy prawne (klauzule niezgodne z prawem, niejednoznaczne zapisy)

 Praktyki sprzedażowe w następstwie których powstają straty związane z niewypłacalnością klientów

rynkowe ryzyko rynkowe definiowane jest jako ryzyko straty z powodu zmiany cen rynkowych spowodowanych niespełnieniem oczekiwań co do ich poziomu w przyszłości. Generalnie zdarzenia tego typu nie podlegają raportowaniu chyba, że dochodzi do straty na skutek zdarzenia operacyjnego (np. zamierzano kupić pszenice na rynku terminowym, a pomyłkowo dokonano sprzedaży). Przykład strat operacyjnych z pogranicza ryzyka rynkowego:

 błąd człowieka w transakcjach rynkowych. Wartość raportowanej straty jest różnica pomiędzy wartością rynkową błędnie zawartej transakcji, a wartością tej pozycji gdyby nie doszło do popełnienia błędu

 błędy wynikające z nieprawidłowych modeli wyceny

 straty powstałe w wyniku przekroczenia wyznaczonych limitów

reputacji Ryzyko utraty reputacji może być następstwem nieprzestrzegania odpowiednich ustaw i przepisów, miernych zabezpieczeń systemu, niepomyślnie przeprowadzonych kampanii promocyjnych, złego podejścia do klientów, niesprawnie wykonanych operacji, itp. Zasadniczo straty związane z utratą reputacji firmy nie podlegają raportowaniu do bazy strat operacyjnych z uwagi na duże trudności związane z wyceną tego rodzaju zdarzeń. Aczkolwiek z uwagi na, że straty związane z utrata reputacji osiągają coraz wyższy poziom i dotykają nawet bardzo renomowanych instytucji należy poważnie rozważyć włączenie tego typu strat do wewnętrznej bazy danych. Bezwzględnie raportowaniu podlegają bezpośrednie straty operacyjne spowodowane utratą reputacji, które mają wpływ na wynik finansowy. W literaturze przedmiotu164

zwraca się uwagę, że w przypadku wystąpienia tego rodzaju zdarzeń należy podjąć próbę pomiaru potencjalnej dotkliwości takich strat najczęściej przy wykorzystaniu subiektywnej skali ocen. Przykład skali ocen w zakresie ryzyka reputacji zawiera Tabela 2.6.

Źródło opracowanie własne na podst. ORX Reporting Standards, An ORX Members’ Guide to Operational Risk

Event/Loss Reporting, Version 2.6, February 2007, s.10 - 14

163 W tym przypadku traktuje się zdarzenie tego typu jako wywołane czynnikiem zewnętrznym

164

Por. np. Matkowski P., Zarządzanie…, op.cit., s.131, British Bankers Association, BBA Operational Risk

Tabela 2.6. Skala ocen w zakresie ryzyka reputacji ocena charakterystyka

0 Nie odnotowano jakichkolwiek efektów zewnętrznych

1 Nie odnotowano negatywnych doniesień prasowych, lecz wzrosła ilość reklamacji 2 Nie odnotowano negatywnych doniesień prasowych, lecz wzrosła ilość reklamacji i

należy się liczyć z możliwością przechodzenia klientów do konkurencji

3 Odnotowano negatywne doniesienia medialne w skali lokalnej i sektorowej, zauważalna jest znaczna ilość reklamacji i utrata części klientów. Konieczne jest zaangażowanie się jednego z członków Zarządu w rozwiązanie problemu

4 Negatywne doniesienia medialne na skalę ogólnokrajową, utrata ważnych klientów. Zaangażowanie Zarządu w rozwiązanie problemów jest niezbędne

5 Długotrwale negatywne doniesienia medialne w skali ogólnokrajowej, a także zagranicą, następuje utrata kluczowych klientów na dużą skalę. Konieczna jest interwencja Zarządu i udziałowców (akcjonariuszy)

Źródło: na podst. Matkowski P., Zarządzanie…, op. cit., s.130

Ważnym elementem konstrukcji bazy danych jest oszacowanie wartości poszczególnych strat. Ogólną zasadą w tej kwestii jest to, że każde zdarzenie o charakterze operacyjnym zakwalifikowane do raportowania ma charakter wymierny. Wartość takiej straty szacowana jest przy uwzględnieniu następujących elementów:

 obciążeń rachunku zyskowi i strat oraz odpisów kapitałowych powstałych w następstwie zdarzeń operacyjnych,

 strat rynkowych spowodowanych czynnikami o charakterze operacyjnym,

 zewnętrznych kosztów napraw lub odtworzenia, których celem jest przywrócenie stanu oryginalnego pierwotnego z okresu przed wystąpieniem zdarzenia,

 koszty obsługi prawnej, sądowe, procesowe, koszty zawarcia ugody związane ze zdarzeniami operacyjnymi,

 kosztów związanych z zaległościami w płatnościach spowodowanych czynnikami operacyjnymi ,

 wypłaconych premii pracownikom jeżeli ich wypłata był związana z zdarzeniem operacyjnym (np. pracownik zawyżył wartość sprzedanych produktów i dzięki temu uzyskał nienależną premię),

 nadpłacone dywidendy w przypadku gdy ich wypłata była związana bezpośrednio ze zdarzeniem operacyjnym na skutek, którego zyski firmy zostały sztucznie zawyżone (np. na skutek kreatywnej księgowości)165

.

Według zaleceń prezentowanych przez Operational Riskdata Exchange Association ORX w