वित्तीय सेवाओं में परिचालन जोखिम प्रबंधन: IIBF RISKINFINANC गाइड

परिचालन जोखिम आधुनिक बैंकिंग के सबसे महत्वपूर्ण और निरंतर विकसित होते क्षेत्रों में से एक है, और भारतीय बैंकिंग एवं वित्त संस्थान (Indian Institute of Banking and Finance) की Risk in Financial Services (RISKINFINANC) प्रमाणन परीक्षा की तैयारी कर रहे उम्मीदवारों के लिए इस विषय की गहन समझ परीक्षा में निर्णायक अंतर ला सकती है। Basel परिभाषा से लेकर हानि-घटना वर्गीकरण तक, RCSA फ्रेमवर्क से लेकर Basel III के अंतर्गत नए Standardised Approach तक, यह लेख उन मुख्य अवधारणाओं को कवर करता है जिन पर IIBF अभ्यर्थियों को महारत हासिल करनी चाहिए। एक व्यापक तैयारी रणनीति के लिए आप iibf.store/blog पर संबंधित अध्ययन सामग्री और अभ्यास परीक्षण भी देख सकते हैं।

Basel परिभाषा और सात हानि-घटना प्रकार

बैंकिंग पर्यवेक्षण पर Basel समिति (Basel Committee on Banking Supervision) परिचालन जोखिम को "अपर्याप्त या विफल आंतरिक प्रक्रियाओं, लोगों और प्रणालियों, या बाहरी घटनाओं से होने वाली हानि के जोखिम" के रूप में परिभाषित करती है। महत्वपूर्ण बात यह है कि यह परिभाषा रणनीतिक जोखिम और प्रतिष्ठा जोखिम को बाहर रखती है, जो अलग फ्रेमवर्क द्वारा शासित होते हैं। यह परिभाषा जानबूझकर व्यापक रखी गई है ताकि यह उन विफलताओं के पूरे स्पेक्ट्रम को समाहित कर सके जो क्रेडिट या बाजार की गतिविधियों से संचालित नहीं होतीं।

Basel II और Basel III दोनों ही सात हानि-घटना श्रेणियों की पहचान करते हैं जिन्हें वित्तीय संस्थानों को ट्रैक और रिपोर्ट करना आवश्यक है। इन श्रेणियों को समझना IIBF RISKINFINANC परीक्षा के लिए आवश्यक है:

1. Internal Fraud (आंतरिक धोखाधड़ी) — परिसंपत्तियों का दुरुपयोग, कर चोरी, स्थितियों का जानबूझकर गलत अंकन, कर्मचारियों या अंदरूनी व्यक्तियों द्वारा रिश्वतखोरी।
2. External Fraud (बाहरी धोखाधड़ी) — चोरी, जालसाजी, हैकिंग, और तृतीय-पक्ष चेक धोखाधड़ी।
3. Employment Practices and Workplace Safety (रोजगार प्रथाएं और कार्यस्थल सुरक्षा) — भेदभाव के दावे, कर्मचारी स्वास्थ्य एवं सुरक्षा उल्लंघन, और संगठित श्रमिक विवाद।
4. Clients, Products and Business Practices (ग्राहक, उत्पाद और व्यावसायिक प्रथाएं) — गलत बिक्री (mis-selling), न्यासी उल्लंघन, अनुचित व्यापार प्रथाएं, और मनी लॉन्ड्रिंग विफलताएं।
5. Damage to Physical Assets (भौतिक परिसंपत्तियों को क्षति) — प्राकृतिक आपदाएं, आतंकवाद, बर्बरता।
6. Business Disruption and System Failures (व्यावसायिक व्यवधान और प्रणाली विफलताएं) — हार्डवेयर/सॉफ्टवेयर विफलताएं, दूरसंचार बाधाएं, उपयोगिता सेवा व्यवधान।
7. Execution, Delivery and Process Management (निष्पादन, वितरण और प्रक्रिया प्रबंधन) — लेन-देन कैप्चर त्रुटियां, अनिवार्य रिपोर्टिंग की विफलता, लापरवाहीपूर्ण विक्रेता प्रबंधन, और डेटा एंट्री की गलतियां।

भारतीय बैंकों को, RBI के मार्गदर्शन के अंतर्गत, एक आंतरिक हानि डेटा डेटाबेस बनाए रखना आवश्यक है जो प्रत्येक परिचालन हानि घटना को इन सात श्रेणियों में से किसी एक से मैप करता है। यह डेटा सीधे Standardised Approach के अंतर्गत पूंजी गणना में योगदान देता है और वरिष्ठ प्रबंधन द्वारा प्रवृत्ति विश्लेषण में सहायता करता है।

जोखिम और नियंत्रण स्व-मूल्यांकन (RCSA) और प्रमुख जोखिम संकेतक

जोखिम और नियंत्रण स्व-मूल्यांकन (Risk and Control Self-Assessment, RCSA) वह आधारभूत उपकरण है जिसके माध्यम से बैंक अपने परिचालन जोखिमों की पहचान, मूल्यांकन और प्राथमिकता निर्धारण करते हैं। एक RCSA अभ्यास में, व्यावसायिक इकाइयां एक संरचित प्रक्रिया के माध्यम से उन सभी महत्वपूर्ण जोखिमों को सूचीबद्ध करती हैं जिनका वे सामना करती हैं, अंतर्निहित जोखिम (नियंत्रणों से पहले) का आकलन करती हैं, मौजूदा नियंत्रणों की प्रभावशीलता का मूल्यांकन करती हैं, और एक अवशिष्ट जोखिम रेटिंग पर पहुंचती हैं। आउटपुट — आमतौर पर एक हीट मैप या जोखिम रजिस्टर — की समीक्षा परिचालन जोखिम प्रबंधन (ORM) फंक्शन द्वारा की जाती है और महत्वपूर्ण अवशिष्ट जोखिमों को बोर्ड जोखिम समिति तक एस्केलेट किया जाता है।

प्रमुख जोखिम संकेतक (Key Risk Indicators, KRIs) आगे की ओर देखने वाले मात्रात्मक संकेत प्रदान करके RCSA के पूरक होते हैं। एक सुनियोजित KRI तीन काम करता है: यह नियमित (अक्सर मासिक या साप्ताहिक) चक्र पर मापनीय होता है, इसमें एक पूर्वनिर्धारित सीमा या ट्रैफिक-लाइट बाउंड्री होती है, और यह RCSA में पहचाने गए जोखिम से कारणात्मक रूप से जुड़ा होता है। IIBF RISKINFINANC पाठ्यक्रम में सामान्यतः परीक्षित किए जाने वाले उदाहरणों में शामिल हैं:

• प्रक्रिया विफलता जोखिम के संकेतक के रूप में प्रति हजार विफल लेन-देन की संख्या।
• प्रमुख-व्यक्ति जोखिम के संकेत के रूप में महत्वपूर्ण भूमिकाओं में कर्मचारी टर्नओवर दर।
• IT लचीलापन जोखिम के संकेतक के रूप में प्रति तिमाही सिस्टम डाउनटाइम घंटे।
• शासन जोखिम संकेत के रूप में 90 दिनों से अधिक समय तक लंबित ऑडिट अपवादों की संख्या।
• उत्पाद गलत बिक्री से संबंधित ग्राहक शिकायतों की मात्रा।

एक मजबूत KRI कार्यक्रम के लिए आवश्यक है कि प्रत्येक संकेतक का स्वामित्व किसी विशिष्ट व्यावसायिक लाइन प्रबंधक के पास हो, नियमित रूप से इसकी समीक्षा की जाए, और एम्बर या रेड सीमाओं के उल्लंघन पर एक प्रलेखित प्रबंधन प्रतिक्रिया शुरू हो। जिन बैंकों ने परिपक्व KRI लाइब्रेरी विकसित की हैं, वे अक्सर इन्हें मासिक परिचालन जोखिम समितियों में समीक्षित डैशबोर्ड में एकीकृत कर लेते हैं। RCSA और KRIs पर अभ्यास प्रश्नों के लिए, iibf.store/tests पर मॉक टेस्ट IIBF प्रमाणन उम्मीदवारों के लिए एक उत्कृष्ट संसाधन हैं।

हानि डेटा संग्रह RCSA और KRIs के साथ-साथ तीसरा स्तंभ है। बैंक एक आंतरिक हानि डेटाबेस बनाए रखते हैं जो एक निर्धारित न्यूनतम सीमा (अक्सर ₹10,000 या नीति में निर्दिष्ट अनुसार) से ऊपर की प्रत्येक परिचालन हानि घटना को रिकॉर्ड करता है, और व्यावसायिक लाइन, हानि-घटना प्रकार, सकल और शुद्ध हानि राशि, पता लगने की तिथि, और घटित होने की तिथि जैसे विवरण कैप्चर करता है। यह ऐतिहासिक डेटा RCSA निर्णयों को मान्य करता है, परिदृश्य विश्लेषण को कैलिब्रेट करता है, और बेंचमार्किंग के लिए उद्योग हानि डेटा कंसोर्टिया को प्रस्तुत किया जाता है।

व्यावसायिक निरंतरता प्रबंधन और आपदा पुनर्प्राप्ति

व्यावसायिक निरंतरता प्रबंधन (Business Continuity Management, BCM) और आपदा पुनर्प्राप्ति (Disaster Recovery, DR) व्यापक परिचालन जोखिम फ्रेमवर्क के भीतर आते हैं और IIBF Risk in Financial Services पाठ्यक्रम में विशेष रूप से संबोधित किए जाते हैं। BCM समग्र अनुशासन है: यह इस बात को कवर करता है कि कोई संगठन अपने महत्वपूर्ण व्यावसायिक कार्यों की पहचान कैसे करता है, प्रत्येक के लिए व्यवधान की अधिकतम सहनीय अवधि (Maximum Tolerable Period of Disruption, MTPD) और पुनर्प्राप्ति समय उद्देश्य (Recovery Time Objective, RTO) निर्धारित करता है, और उन समय-सीमाओं के भीतर परिचालन पुनः शुरू करने के लिए परीक्षित योजनाएं बनाए रखता है।

भारतीय रिज़र्व बैंक ने दिशानिर्देश जारी किए हैं जिनके अनुसार सभी अनुसूचित वाणिज्यिक बैंकों को बोर्ड-अनुमोदित BCM नीतियां बनाए रखना, कम से कम वार्षिक रूप से व्यावसायिक प्रभाव विश्लेषण (Business Impact Analysis, BIA) करना, और टेबलटॉप अभ्यासों एवं लाइव फेलओवर ड्रिल के माध्यम से अपनी व्यावसायिक निरंतरता योजनाओं का परीक्षण करना आवश्यक है। IIBF उम्मीदवारों को निम्नलिखित अनुक्रम के साथ सहज होना चाहिए:

1. व्यावसायिक प्रभाव विश्लेषण (BIA) — महत्वपूर्ण प्रक्रियाओं, निर्भरताओं (IT सिस्टम, तृतीय-पक्ष विक्रेता, प्रमुख कर्मचारी) की पहचान करें और व्यवधान के वित्तीय एवं परिचालन प्रभाव की मात्रा निर्धारित करें।
2. जोखिम मूल्यांकन — खतरों (बाढ़, आग, महामारी, साइबर हमला, बिजली विफलता) की पहचान करें और संभावना एवं प्रभाव का आकलन करें।
3. रणनीति चयन — RTO आवश्यकताओं और लागत के आधार पर हॉट साइट (तत्काल फेलओवर), वार्म साइट (आंशिक स्टैंडबाय) और कोल्ड साइट (बुनियादी अवसंरचना) के बीच चयन करें।
4. योजना विकास — संकट प्रबंधन प्रक्रियाओं, संचार ट्री, और वैकल्पिक प्रोसेसिंग व्यवस्थाओं का प्रलेखन करें।
5. परीक्षण और रखरखाव — कम से कम वार्षिक एंड-टू-एंड परीक्षण करें; व्यवसाय या IT वातावरण में किसी भी महत्वपूर्ण परिवर्तन के बाद योजनाओं को अद्यतन करें।

आपदा पुनर्प्राप्ति विशेष रूप से IT सिस्टम और डेटा को संबोधित करती है। पुनर्प्राप्ति बिंदु उद्देश्य (Recovery Point Objective, RPO) यह परिभाषित करता है कि एक बैंक कितना डेटा खोने का जोखिम उठा सकता है (समय में मापा गया), जो डेटा बैकअप की आवृत्ति और प्रतिकृति प्रौद्योगिकी के चयन को संचालित करता है। महत्वपूर्ण भुगतान प्रणालियां संचालित करने वाले भारतीय बैंकों को RBI द्वारा कोर बैंकिंग और RTGS/NEFT कनेक्टिविटी के लिए लगभग-शून्य RPO बनाए रखना आवश्यक है। वर्तमान RBI परिचालन दिशानिर्देशों के लिए, उम्मीदवारों को iibf.store/resources/rbi-rates देखना चाहिए और iibf.store/resources/iibf-news के माध्यम से अद्यतन रहना चाहिए।

तीन रक्षा पंक्तियां और Basel III Standardised Approach

तीन रक्षा पंक्ति (Three Lines of Defence, 3LoD) मॉडल परिचालन जोखिम के प्रबंधन के लिए विश्व स्तर पर स्वीकृत शासन संरचना है और IIBF RISKINFINANC पाठ्यक्रम के केंद्र में है। यह समझना कि प्रत्येक पंक्ति कहां स्थित है और किसके लिए जवाबदेह है, अक्सर परीक्षा में पूछा जाता है।

• पहली रक्षा पंक्ति — व्यावसायिक लाइनें: फ्रंट-ऑफिस और परिचालन कर्मचारी जो दैनिक गतिविधियों में जोखिम का स्वामित्व और प्रबंधन करते हैं। वे नियंत्रण लागू करते हैं, घटनाओं की पहचान करते हैं, और अपनी इकाई के लिए RCSA बनाए रखते हैं। यह जिम्मेदारी किसी जोखिम विभाग को आउटसोर्स नहीं की जा सकती।
• दूसरी रक्षा पंक्ति — जोखिम और अनुपालन फंक्शन: परिचालन जोखिम प्रबंधन विभाग और अनुपालन (Compliance) फंक्शन फ्रेमवर्क निर्धारित करते हैं, उपकरण प्रदान करते हैं (RCSA टेम्पलेट, KRI लाइब्रेरी, हानि डेटा सिस्टम), पहली पंक्ति के आकलनों को चुनौती देते हैं, और वरिष्ठ प्रबंधन एवं बोर्ड को रिपोर्ट करते हैं।
• तीसरी रक्षा पंक्ति — आंतरिक लेखापरीक्षा: स्वतंत्र आश्वासन प्रदान करती है कि पहली और दूसरी पंक्तियां डिज़ाइन के अनुसार कार्य कर रही हैं। आंतरिक लेखापरीक्षा जोखिम फ्रेमवर्क की पर्याप्तता की समीक्षा करती है, परीक्षण करती है कि क्या नियंत्रण वास्तव में काम करते हैं, और सीधे बोर्ड की लेखापरीक्षा समिति (Audit Committee) को रिपोर्ट करती है।

पूंजी मापन पक्ष पर, Basel III नया Standardised Approach (NSA) — जो पहले के Basic Indicator Approach, Standardised Approach, और Advanced Measurement Approach का स्थान लेता है — एक महत्वपूर्ण परीक्षा विषय है। NSA के अंतर्गत, परिचालन जोखिम पूंजी (Operational Risk Capital, ORC) की गणना इस प्रकार की जाती है:

ORC = Business Indicator Component (BIC) × Internal Loss Multiplier (ILM)

Business Indicator (BI) की गणना तीन वित्तीय विवरण घटकों से की जाती है: Interest, Leases and Dividends (ILDC) घटक, Services (SC) घटक, और Financial (FC) घटक। BI को एक सीमांत गुणांक (alpha) से मैप किया जाता है जो तीन बकेट में बैंक के आकार के साथ बढ़ता है। Internal Loss Multiplier, बैंक के अपने 10-वर्षीय औसत वार्षिक परिचालन हानि इतिहास के BI के सापेक्ष आधार पर BIC को ऊपर समायोजित करता है (या छोटे बैंकों के लिए इसे 1.0 पर छोड़ देता है)। यह डिज़ाइन उन बैंकों को पुरस्कृत करता है जिन्होंने हानि कमी और मजबूत नियंत्रणों में निवेश किया है — जो AMA युग से एक दार्शनिक रूप से महत्वपूर्ण बदलाव है।

भारत के लिए, RBI ने NSA फ्रेमवर्क के कार्यान्वयन समय-सीमा और घरेलू समायोजनों पर दिशानिर्देश जारी किए हैं। CAIIB और RISKINFINANC प्रमाणपत्र की तैयारी कर रहे IIBF उम्मीदवारों को यह भी समझना चाहिए कि NSA, Pillar 2 पर्यवेक्षी समीक्षा और Pillar 3 प्रकटीकरण आवश्यकताओं के साथ कैसे संबद्ध होता है। JAIIB करने वाले अभ्यर्थी पाएंगे कि यहां चर्चित परिचालन जोखिम की आधारभूत अवधारणाएं कई JAIIB पेपरों का भी आधार बनती हैं। आप iibf.store/games/match पर इंटरैक्टिव टूल्स के माध्यम से भी अपनी सीख को सुदृढ़ कर सकते हैं।

परिचालन जोखिम पूंजी और Basel फ्रेमवर्क पर आधिकारिक वैश्विक मानकों के लिए, उम्मीदवारों को बैंक फॉर इंटरनेशनल सेटलमेंट्स (Bank for International Settlements) से सीधे www.bis.org पर परामर्श लेने के लिए प्रोत्साहित किया जाता है, जो सभी Basel समिति परामर्श पत्र, अंतिम मानक, और Standardised Approach पर अक्सर पूछे जाने वाले प्रश्न प्रकाशित करता है।

परिचालन जोखिम प्रबंधन में महारत हासिल करना — Basel हानि-घटना वर्गीकरण और RCSA पद्धति से लेकर BCM फ्रेमवर्क और नए Standardised Approach तक — IIBF RISKINFINANC प्रमाणन के लिए आवश्यक है और CAIIB एवं उन्नत जोखिम पेपरों में भी आपके प्रदर्शन को मजबूत करेगा। आज ही iibf.store/tests पर पूर्ण-लंबाई के मॉक टेस्ट देकर अपनी समझ को मान्य करें और कमियों की पहचान करें।