За что в банке отвечает департамент операционных рисков и страхования
№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об элементах системы управления операционным риском (часть 2)
Вопрос
1. Могут ли к центрам компетенций относиться подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), в обязанности которых входит обслуживание клиентов и которые несут ответственность за достижение целевых показателей, в том числе выполнение планов по продажам продуктов и услуг кредитной организации?
Какие подразделения кредитной организации могут быть отнесены к подразделениям, обеспечивающим процессы кредитной организации, в соответствии с абзацем восьмым пункта 1.3 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П)?
2. Могут ли следующие подразделения являться специализированными подразделениями по управлению отдельными видами операционного риска:
юридическое подразделение — правовым риском;
кадровое подразделение/подразделение по охране труда – риском ошибок управления персоналом;
подразделение информационной безопасности – риском информационной безопасности;
подразделение информационных технологий – риском информационных систем?
Ответ
К центрам компетенций для цели организации системы управления операционным риском относятся подразделения кредитной организации, отвечающие за осуществление операций и сделок в рамках осуществляемых ими процессов, которые выявляют события операционного риска на своих или смежных процессах и информируют о них. В соответствии с абзацем восьмым пункта 1.3 Положения № 716-П к центрам компетенций могут относиться как подразделения головного офиса, ответственные за организацию процесса и его результаты в целом (например, кредитный департамент, операционный департамент), так и подразделения, обеспечивающие данные процессы (например, подразделения бухгалтерского учета, административно-хозяйственной деятельности). Положением № 716-П не устанавливается список обеспечивающих процессов. Кредитная организация должна самостоятельно отнести тот или иной обеспечивающий процесс к одному из типов процессов (критически важным, основным или прочим) в зависимости от характера и масштаба деятельности кредитной организации. Примеры подразделений кредитной организации, которые могут быть отнесены к подразделениям, обеспечивающим процессы, изложены в подпункте 3.9.9 пункта 3.9 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П, таких как выявление событий операционного риска, информирование о них подразделение по управлению операционным риском, их оценку, разработку и проведение мероприятий, направленных на уменьшение негативного влияния. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В случае если подразделения кредитной организации, перечисленные в вопросе, в рамках своих функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в том числе в части отдельных видов операционного риска, определенных в пункте 1.4 Положения № 716-П, данные подразделения следует относить к специализированным подразделениям в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В части иных видов деятельности кредитная организация вправе возложить функцию по управлению риском ошибок в процессах осуществления внутреннего контроля, например, на службу внутреннего контроля.
Положение Банка России № 716-П и управление операционными рисками
Руслан Рахметов, Security Vision
Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.
Вы можете найти множество других определений в зависимости от контекста их применения. Ниже приведены термины, которые, на мой взгляд, наиболее кратко и понятно объясняют смысл данного понятия с учетом нашего с вами контекста данной статьи.
Риск – это произведение вероятности на убыток.
Операционный риск – риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.
Под словом «управление» здесь понимается реализация различных мер (организационных или технических), которые должны быть направлены как на снижение вероятности возникновения события, так и на уменьшение негативных последствий.
Возникает вопрос: «А зачем вообще осуществлять управление операционными рисками?».
Предпосылками появления нового документа от Банка России являлось отсутствие унифицированного и комплексного подхода в отношении управления операционными рисками. Кроме того, реализация требований, описанных в Положении № 716-П, является необходимым этапом для последующего применения кредитными организациями нового стандартизированного подхода величины операционного риска в соответствии с требованиями стандарта «Базель III», который планируется к внедрению в российское банковское регулирование.
Базель III — документ Базельского комитета по банковскому надзору, содержащий методические рекомендации в области банковского регулирования. Третья часть Базельского соглашения была разработана в ответ на недостатки в финансовом регулировании, выявленные финансовым кризисом конца 2000-х годов. Базель III усиливает требования к капиталу банка и вводит новые нормативные требования по ликвидности. Главной целью соглашения «Базель III» является повышение качества управления рисками в банковском деле, что, в свою очередь, должно укрепить стабильность финансовой системы в целом.
Базельский комитет по банковскому надзору — организация, действующая при Банке международных расчётов, разрабатывающая единые стандарты и методики регулирования банковской деятельности, принимаемые в различных странах.
Требования, описанные в Положении Банка России № 716-П, должны быть выполнены кредитными организациями не позднее 01 января 2022 года. В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков:
1. риск информационной безопасности
2. риск информационных систем
4. риск ошибок в управлении проектами
5. риск ошибок в управленческих процессах
6. риск ошибок в процессах осуществления внутреннего контроля
8. риск потерь средств клиентов, контрагентов, работников и третьих лиц
9. риск ошибок процесса управления персоналом
10. операционный риск платежной системы.
С точки зрения построения системы управления операционными рисками (СУОР), документ устанавливает требования к следующим аспектам:
· к базам данных событий операционного риска
· к классификаторам, используемым в СУОР
· к контрольным показателям уровня операционного риска
· к программному комплексу, обеспечивающему функционирование СУОР
· к системам мер, направленных на снижения уровня операционного риска
· к подразделениям (работникам) кредитной организации по управлению операционными рисками
· к иным элементам СУОР.
Как мы видим, внедрение комплексной СУОР в кредитной организации с использованием средств автоматизации затрагивает все аспекты управления операционными рисками. Применение такого системного подхода позволит снизить трудозатраты и повысить качество данных и их анализа, для последующей реализации корректных мероприятий направленных на снижение уровня рисков. Системный подход также позволяет избежать «слепых зон», в которых могут оставаться невыявленные и неуправляемые риски.
Для решения задач по автоматизации процессов и процедур СУОР согласно Положению Банка России № 716-П мы как разработчик платформы Security Vision готовы предложить наш специализированный модуль по работе с операционными рисками. Данный модуль уже успешно используется в ряде кредитно-финансовых организаций, включая крупнейшие банки России.
За что в банке отвечает департамент операционных рисков и страхования
(1).jpg "За что в банке отвечает департамент операционных рисков и страхования. Смотреть фото За что в банке отвечает департамент операционных рисков и страхования. Смотреть картинку За что в банке отвечает департамент операционных рисков и страхования. Картинка про За что в банке отвечает департамент операционных рисков и страхования. Фото За что в банке отвечает департамент операционных рисков и страхования")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Разъяснения Банка России от 30 сентября 2021 г. N 716-Р-2021/42 “Разъяснения по формированию внутренних документов по управлению операционным риском”
В связи с тем, что в перечне внутренних документов используются типовые условные наименования внутренних документов, кредитная организация вправе объединить несколько документов из вышеуказанного перечня в один, а также изменять вид и (или) наименование документа, в зависимости от особенностей своей внутренней методологии.
Рекомендуемый перечень
внутренних документов кредитной организации по управлению операционным риском
1 Для банков, размер активов которого составляет 500 миллиардов рублей и более, в соответствии с требованиями главы 9 Положения N 716-П.
2 Может быть представлен в виде приложения к Политике информационных систем.
Рекомендуемый формат
реестра операционных рисков кредитной организации
| Наименование поля | Описание поля |
|---|---|
| № | Порядковый номер идентифицированного операционного риска. |
| Вид операционного риска | Вид операционного риска, в соответствии с пунктом 1.4 Положения № 716-П |
| Наименование риска | Уникальное наименование идентифицированного операционного риска. |
| Описание риска | Описание идентифицированного операционного риска (в том числе, описание каким образом риск может реализоваться, примеры возможных причин и последствий реализации соответствующего операционного риска). |
| Тип события (1 уровня) | Наименование типа события 1-го уровня, которым будет классифицировано событие в случае реализации идентифицированного операционного риска. Соответствует пункту … Положения № 716-П |
| Тип события (2 уровня) | Наименование типа события 2-го уровня, которым будет классифицировано событие в случае реализации идентифицированного операционного риска. Соответствует пункту Положения № 716-П. |
| Тип события (3 уровень) | Наименование типа события 3-го уровня, разработанному кредитной организацией самостоятельно (при наличии), а также для риска информационной безопасности тип события в соответствии с приложением 5 к Положению № 716-П. |
| Тип события (n уровень) | Наименование типа события 4-го уровня, разработанному кредитной организацией самостоятельно (при наличии). |
| Наиболее значимый источник риска 1 | В случае если источник риска является наиболее значимым указывается соответствующий источник |
| Источники риска | В случае если источником идентифицированного операционного риска является несколько источников риска, перечисленных в пункте 3.3 Положения № 716-П, в соответствующем поле отмечаются все источники риска. Например, указывается значение «1» если источник риска определен для данного операционного риска или поле не заполняется, если источник данный источник риска не определен для идентифицированного операционного риска. |
| Наиболее значимое направление деятельности 2 | В случае если направлений деятельности является наиболее значимым указывается соответствующее направление деятельности |
| Направления деятельности | В случае если направлению деятельности присущ данный операционный риск, в соответствующем поле указывается все направления деятельности, в которых может реализоваться данный операционный риск. Например, указывается значение «1» если направление деятельности определено для данного операционного риска или поле не заполняется, если направление деятельности. |
| Бизнес-процессы | Перечисление построчно всех бизнес-процессов кредитной организации, которым присущ данный идентифицированный операционный риск. |
| Центр компетенции | Центр (центры) компетенций, ответственное (ответственные, за разработку мер, направленных на снижение уровня идентифицированного операционного, а также ответственное за мониторинг уровня данного операционного риска. |
| Оценка уровня существенности идентифицированного операционного риска 3 | Оценка уровня существенности идентифицированного операционного риска (по качественной шкале оценок) в соответствии с пунктом 2.1.5 Положения № 716-П. |
| Оценка остаточного риска | Уровень остаточного риска по критериям, разработанным в соответствии с абзацем 12 пункта 2.1.5 Положения № 716-П. |
| Ключевые индикаторы риска | Описание КИР, используемых кредитной организацией для мониторинга уровня и динамики данного идентифицированного операционного риска. |
| Способ реагирования | Выбранный способ реагирования, в соответствии с пунктом 2.1.6 Положения № 716-П. |
| Меры, направленные на уменьшение негативного влияния операционного риска | Описание мер, направленных на уменьшение негативного влияния операционного риска, включая сроки завершения данных мер и реквизиты документы, в соответствии с которыми реализуются меры |
1 В соответствии с пунктом 3.5 Положения № 716-П.
2 В соответствии с пунктом 3.9 Положения № 716-П.
3 В соответствии с абзацем одиннадцатым подпункта 2.1.5 пункта 2.1 Положения № 716-П.
Обзор документа
ЦБ привел рекомендуемый перечень внутренних документов кредитной организации по управлению операционным риском. Банк вправе объединить несколько документов из перечня в один, а также изменить вид или наименование документа в зависимости от особенностей своей внутренней методологии.
Если банк применяет в своей системе управления операционным риском процедуры и элементы, которые не являются обязательными, нужно соблюдать требования к регламентации данных процедур и элементов.
Приводится также рекомендуемый формат реестра операционных рисков кредитной организации.
За что в банке отвечает департамент операционных рисков и страхования
Особенность управления операционным риском в кредитно-финансовой организации заключается в необходимости обеспечения соответствия требованиям регулятора и одновременно положениям внутренних регламентов банка. Вероятность успешного решения данной задачи в современном банке зависит, прежде всего, от эффективности работы автоматизированных решений, обеспечивающих функционирование системы управления рисками.
Определение операционного риска
«Операционный риск — это риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий. Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска»
Пункт 4.1 приложения 1 к Указанию Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы»
Документ Банка России Положение от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее Положение) — это первый нормативный акт, выпущенный национальным регулятором в целях подготовки к внедрению нового стандартизированного подхода к оценке операционного риска для целей расчета норматива достаточности капитала в соответствии со стандартом Базеля III. Система управления операционным риском (СУОР) подлежит приведению банками в соответствие с требованиями Положения № 716-П в срок до 1 января 2022 года (в зависимости от размера активов кредитной организации, вида лицензии и типов кредитной организации (банк/НКО)).
Основные требования Положения, которые вводятся впервые:
Положение 716-П: ключевые требования
Кредитная организация для целей управления операционным риском выделяет следующие его виды:
Система управления операционным риском в банке должна содержать ряд обязательных элементов. В их число входят:
В свою очередь, процедуры управления операционным риском включают:
Правомерно говорить о том, что качество работы информационной системы, соответствующей требованиям Положения № 716-П, в решающей степени влияет на качество практического управления операционным риском в современном банке. На практике подобные информационные системы представлены специальной категорией программных продуктов.
Программные решения для управления рисками: критерии эффективности
Ключевая задача в процессе интеграции системы управления операционными рисками в инфраструктуру банка — реализация определенного функционала. В случае с банковской сферой данный функционал обусловлен традиционно жесткими требованиями регулятора. Вместе с тем, важную роль играют возможности системы в части реагирования на конкретные риски. Важна скорость такого реагирования: при ее недостаточности кризисные явления неизбежны, несмотря на формальное соответствие требованиям регулятора.
Конкурентоспособным можно считать то решение, которое приспособлено к полному циклу обработки рисковых событий — от момента их выявления (регистрации в системе) до закрытия (при возможном наличии понесенных потерь, обусловленных возмещениями и прочими затратами банка). Высокая эффективность рассматриваемых платформ для управления операционным риском достигается, в том числе, за счет гибкой классификации рисков и событий операционного риска. Задействование различных классификаторов обычно обусловлено требованиями регулятора. Функционал системы должен учитывать такие требования, но не только их: современный банк ожидает, что соответствующие классификаторы (справочники) будут расширены с учетом его потребностей.
Один из ключевых критериев конкурентоспособности современной платформы для управления операционным риском — обеспечение высокой степени автоматизации процедур, направленных на выявление операционных рисков, а также на принятие тех или иных внешних мер реагирования на риски, которые выработаны риск-менеджерами Такая автоматизация, во-первых, способствует значительному ускорению проведения данных процедур, а во-вторых, снизит вероятность допущения ошибок при «ручном» выполнении тех или иных этапов таких процедур.
Эффективно функционирующая система управления рисками обеспечивает заметное снижение количества событий операционного риска. В свою очередь, банк получит преимущества в виде снижения финансовых и репутационных издержек, а также сокращения требуемых резервов.
Так или иначе, риски информационной безопасности, как и риски информационных систем — неотъемлемая составляющая политики управления операционным риском в современных банках в силу предписаний регулятора, отраженных в Положении № 716-П. Качество учета таких рисков — один из факторов, определяющих величину достаточности капитала организации.
FIS — опытный разработчик технологических решений для банковской сферы, в том числе современного ПО для управления операционными рисками. Информационная система FIS Управление рисками предназначена для идентификации и предотвращения рисковых событий в кредитных и иных финансовых организациях.
Данное ПО представляет собой технологичный, созданный в рамках концепции No-code продукт, который соответствует требованиям Положения № 716-П и может быть внедрен в любой кредитно-финансовой организации при минимальных организационных и финансовых издержках.
FIS Управление рисками: возможности и преимущества
Особенность нашего продукта — в возможности учета всех видов рисков, предусмотренных положением № 716-П, а также специфичных для каждого конкретного заказчика. При этом обеспечивается автоматизация всего цикла управления такими рисками, характерными для деятельности организации.
Идентификация каждого типа риска в системе осуществляется в соответствии с особенностями конкретного направления деятельности. При этом система позволяет организовывать взаимодействие между различными подразделениями банка. Такое взаимодействие обеспечивает эффективную идентификацию рисков — например, за счет оперативной передачи сообщений по рисковым событиям, выявленным тем или иным департаментом, в специализированные структуры риск-менеджмента.
Важнейший приоритет дальнейшего развития системы — обеспечение соответствия действующим и перспективным требованиям регулятора, и одновременно — внутренним методикам кредитно-финансовой организации по работе с рисками. Текущая версия системы учитывает все актуальные требования, принятые на нормативном уровне, как и опыт практического ее внедрения в крупнейших российских банках.
Благодаря универсальной No-code платформе в качестве базы, решение FIS Управление рисками может быть интегрировано практически с любой внешней системой — например, связанной с учетом или же прочей, что может присылать информацию о событиях операционного риска. Кроме того, обеспечивается настройка системы с учетом пожеланий конкретного заказчика, его бизнес-требований в рамках индивидуального подхода.
Платформа обеспечивает общий подход, который позволяет автоматизировать различные бизнес-процессы на стороне клиента с учетом специфики его бизнеса с помощью встроенных конструкторов. Концепция No-code позволяет при этом обеспечить до 90% процедур, связанных с настройкой приложений на стороне заказчика, его собственными силами — без привлечения высококвалифицированных IT-разработчиков со стороны.
Организация управления операционным риском в коммерческом банке
«Управление в кредитной организации», 2008, N 5
В предыдущем номере были рассмотрены содержание, принципы и задачи управления операционным риском в коммерческом банке. В этом номере речь пойдет о классификации факторов данного риска по категориям (типам) и источникам, о способах и методах работы по выполнению задач управления операционным риском.
Факторы управления операционным риском
Для достижения целей и выполнения задач управления операционным риском в среднем и крупном банках целесообразно создавать систему по управлению операционным риском, которая представляет собой целостную совокупность взаимосвязанных, функциональных элементов организующих и обеспечивающих эффективный процесс управления операционным риском. При создании системы управления операционным риском в коммерческом банке необходимо учитывать ряд факторов (схема 3).
Факторы формирования системы управления операционным риском
Эффективность функционирования системы управления операционным риском зависит от подхода к созданию системы управления с учетом анализа вышеизложенных факторов. Система управления операционным риском должна представлять собой совокупность следующих элементов:
Вариант основных элементов системы управления операционным риском в коммерческом банке представлен на схеме 4.
Основные элементы системы управления операционным риском в коммерческом банке
Под органами управления операционным риском понимаются высшее руководство банка (совет директоров, наблюдательный совет), правление банка, а также специальное подразделение (сотрудник), отвечающие за координацию и централизацию управления операционным риском.
В случае создания такого подразделения разрабатывается и утверждается положение о новом структурном подразделении банка, в котором определяются его полномочия, порядок взаимодействия с другими подразделениями банка, отвечающими за управление другими рисками, а также со службами внутреннего контроля и безопасности.
На это подразделение возлагаются разработка методик по оценке операционного риска, разработка и внедрение процедур, механизмов и технологий по ограничению или снижению операционного риска. В случае отказа руководства банка от создания подразделения по управлению операционными рисками выполнение задач по управлению операционными рисками и координация деятельности возлагаются на отдельного сотрудника. В этом случае во внутренних документах банка необходимо отразить его функциональные обязанности и порядок взаимодействия с подразделениями банка по вопросам операционных рисков.
К средствам управления относятся технические средства, которыми оперируют органы управления (компьютерные системы, средства связи, вычислительная техника, средства автоматизированного управления). В целях приобретения надежных средств управления банк проводит конкурсы (тендеры) на поставку операционных систем, программных продуктов и средств связи, оборудования для кассовых узлов, хранения и транспортировки ценностей, охранного, противопожарного и другого оборудования, обеспечивающего безопасность банковской деятельности.
Важнейшим элементом системы управления операционного риска является надежная подсистема информационного обеспечения. Она предназначена для обеспечения условий управления операционным риском и создания информационной аналитической базы. Порядок ведения аналитической базы данных о понесенных операционных убытках, форму представления и требования к содержанию вводимой информации определяет подразделение, осуществляющее управление операционным риском. Наличие обширной базы по операционному риску позволяет банкам производить более точную оценку риска и избегать непредвиденных потерь, которые могут иметь серьезные последствия. Качественное управление операционным риском возможно только при ежедневном сборе адекватных данных, которые включают в себя:
Кроме того, в целях анализа и мониторинга операционного риска в базе данных ведется реестр операционных рисков банка и осуществляются сбор и регистрация о рисковых событиях и их последствиях.
Реестр операционных рисков банка представляет собой автоматизированную систему с возможностью ввода и обработки данных об операционном риске. В реестр может заноситься следующая информация:
В базе может регистрироваться информация о каждом событии по следующим критериям:
а) событие произошло в результате нарушений или ошибок в действиях работников банка, нарушений хода внутренних бизнес-процессов и функционирования систем или вследствие внешних событий;
б) может ли быть это событие причиной возникновения фактических и потенциальных финансовых или материальных убытков;
в) наличие резервов и капитала для покрытия операционного риска.
Таким образом, подсистема информационного обеспечения обеспечивает целенаправленный и непрерывный сбор соответствующей информации для принятия оперативных управленческих решений по минимизации или снижению операционного риска в банке.
Объектом управления в данной системе являются операционный риск и факторы, его порождающие. К факторам операционного риска относятся несостоятельность внутренних процессов или систем, некомпетентность сотрудников либо внешние события. Воздействуя на эти факторы, можно добиться положительных результатов и снижения убытков по операционным рискам.
Основные факторы операционного риска в коммерческом банке:
Для целенаправленной работы с факторами риска и более полного учета проявления источников операционного риска и эффективного управления факторы операционного риска могут быть разделены на категории (типы) (табл. 2).
Классификация факторов риска по категориям (типам) и источникам риска
Как показывает изучение данных таблицы 2, источники возникновения операционных рисков можно разделить на обусловленные действиями персонала, неправильной организацией управления, недостатками функционирования систем организации процессов и форс-мажорными обстоятельствами.
Анализ данной классификации показывает, что большая часть операционных рисков связана с деятельностью человека. В большинстве случаев убытки по операционным рискам возникают из-за ошибок сотрудников. Даже в случаях, когда убытки вызваны сбоями в работе оборудования и систем, в их основе лежат ошибки человека. В таблице 2 четыре из пяти приведенных факторов так или иначе связаны с деятельностью сотрудников: человеческий фактор, ошибки в управлении, технический фактор и бизнес-процессы.
В процессе управления основное внимание должно быть уделено сотрудникам структурных подразделений банка. Совершенно очевидно, что все ошибки сотрудников в первую очередь связаны с низким уровнем квалификации.
Большие убытки банку могут принести ошибки, допущенные при разработке руководящих документов, инструкций и юридической документации.
Особо можно выделить технический фактор, выход из строя, сбои или отказы в работе информационных систем и ошибки в компьютерных программах. Для минимизации рисков в этом случае в банке необходимо разрабатывать планы на случай сбоя информационных систем и проводить тестирование программ.
Одним из необходимых элементов системы управления является контроллинг.
Подсистема контроллинга является неотъемлемой составной частью системы контроля за рисками в банке. Сущностью контроллинга является «управление по отклонениям», то есть выявление фактов и источников операционного риска, их диагностика и разработка соответствующего решения, направленного на предотвращение убытков в случае реализации операционного риска.
Приведем основные задачи контроллинга при управлении операционными рисками в банке.
Задачи самостоятельной идентификации и оценки операционного риска подразделениями:
Таким образом, система управления представляет собой совокупность элементов, реализующих процесс управления операционным риском.
Организация процесса управления операционными рисками в коммерческом банке
Организация управления операционным риском представляет собой совокупность способов и методов работы по выполнению задач управления операционным риском. Она осуществляется, как уже отмечалось раньше, на основе утвержденной политики (меморандума) об операционном риске в банке и разработанных внутренних нормативных документов, регламентирующих процесс управления и внутреннего контроля. Грамотная организация управления операционным риском предполагает не только своевременное их выявление, но и сбор исчерпывающей информации и оценку влияния рисковых событий на деятельность банка и другие мероприятия (схема 5).
Организация управления операционным риском в коммерческом банке
Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования банка на предмет возникновения факторов операционного риска, который необходимо проводить на нескольких уровнях:
На этапе идентификации (выявления) операционного риска особое внимание необходимо обращать на пресечение (дублирование) полномочий и ответственности подразделений и работников банка.
Все нововведения в банке (изменение структуры или процедур внедрения новых услуг и технологий) на этапе разработки должны подвергаться тщательному анализу с целью выявления факторов операционного риска.
Для обеспечения идентификации операционных рисков новых продуктов в банке необходимо:
Оценка операционного риска предполагает оценку вероятности наступления рискового события или обстоятельств, приводящих к операционным убыткам, и оценку размера потенциальных убытков. Банки могут разрабатывать методы оценки операционного риска самостоятельно либо использовать следующие методы, применяемые в международной банковской практике:
Методы, основанные на применении статистического распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков, исходя из понесенных убытков в прошлом. При применении этих методов в качестве исходных данных используется информация, накопленная в аналитической базе данных по операционным рискам.
Сущность балльно-весового метода заключается в оценке операционного риска путем сопоставления с мерами по его минимизации. На основе экспертного анализа выбираются наиболее информативные для управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с помощью различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направления деятельности отдельных банковских операций и сделок. Пример балльной оценки операционных рисков приведен в таблице 3.
Балльная оценка операционных рисков по направлению деятельности
Применение балльно-весового метода наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении операционным риском.
Качественная оценка операционного риска происходит путем присвоения операциям, бизнес-процессам и бизнес-направлениям рейтинга, характеризующего уровень их операционного риска. Оценка в форме рейтинга позволяет производить более глубокий анализ операционных рисков бизнес-процессов и операций, в том числе сравнивать различные направления деятельности, наиболее подверженные операционному риску. Для определения рейтинга операционного риска бизнес-процесса или бизнес-направления оцениваются следующие вопросы:
В зависимости от анализа вышеперечисленных позиций операционному риску присваивается балл. Балльная система разрабатывается в каждом банке самостоятельно. Итоговый рейтинг операционного риска определяется путем суммирования полученных баллов. Результаты рейтингования бизнес-направлений (процессов) отдельных операций и сделок необходимо периодически пересматривать по мере изменения порядка их проведения. Для каждого результата банк определяет пороговое значение, в соответствии с которым принимается адекватное решение.
В рамках метода моделирования (сценарного анализа) бизнес-направлений отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или рисковых событий, приводящих к операционным убыткам, и происходит принятие управленческих решений. В коммерческом банке необходимо периодически производить оценку операционного риска в целом по направлениям деятельности с целью своевременного выявления и минимизации источников возникновения операционных рисков.
Количественная оценка операционного риска позволяет оценить величину убытка (потерь) операционного риска и определить величину капитала, резервируемого под операционный риск. Количественная оценка операционного риска рассчитывается в соответствии с рекомендациями Базельского комитета: базовый индикативный подход, стандартизованный подход и продвинутые подходы AMA.
Банки, использующие базовый индикативный подход, должны поддерживать капитал под операционный риск, равный среднему показателю за предыдущие три года, выраженному в фиксированных процентах (обозначенному альфа) от положительного ежегодного валового дохода. Показатели за любой год, в котором ежегодный валовый доход был отрицательным или нулевым, исключаются из расчета. Требование к капиталу может выражаться следующей формулой:
Валовый доход определяется как чистый процентный доход плюс чистый непроцентный доход. Данный индикатор должен включать все резервы (например, под невыплаченные проценты) и операционные издержки и исключать реализованные убытки, нерегулярные позиции и доход, полученный от страхования.
Стандартизованный подход измерения операционного риска основан на выделении в банке восьми бизнес-линий. Валовый доход служит общим показателем масштаба операций и, следовательно, ожидаемого масштаба операционных рисков в рамках каждой из бизнес-линий. Требование к капиталу для бизнес-линий рассчитывается путем умножения валовых доходов на фактор (обозначаемый бета), присваиваемый данной бизнес-линии. Общая сумма требований к капиталу рассчитывается как трехлетняя средняя простого суммирования требований к регулятивному капиталу для каждой из бизнес-линий за каждый год. В любой отдельно взятый год отрицательное значение валового дохода любой из бизнес-линий могут без ограничений компенсировать положительные требования к капиталу в других бизнес-линиях.
Общее требование к капиталу в рамках стандартизованного подхода выражается следующей формулой:
Каждое из приведенных в таблице 5 направлений деятельности может конкретизироваться более детально. В таблице 5 представлена классификация направлений деятельности (бизнес-процессов), которую предлагает Банк России [5].
Классификация направлений деятельности кредитной организации
Такая классификация по категориям риск-факторов и источникам операционных рисков позволяет более эффективно определять пути идентификации, оценки, проведения мониторинга и управлять различными источниками операционного риска.
Коэффициенты покрытия капиталом (бета-фактор)
Чтобы применить продвинутый подход AMA, банк должен как минимум продемонстрировать органу надзора, что:
Мониторинг операционного риска производится как на уровне подразделений, так и в целом по банку. Полученная в процессе мониторинга операционного риска информация о потенциальном изменении уровня риска доводится до соответствующих органов управления, подразделений и работников банка для принятия необходимых мер.
Кроме мониторинга в банке необходимо проводить риск-аудит с целью идентификации и выработки мер по минимизации операционных рисков наиболее критических бизнес-процессов и направлений деятельности банка.
Риск-аудит является комплексной проверкой и проводится совместными усилиями управления внутреннего контроля, департамента анализа и контроля банковских рисков и управления (отдела) операционного риска. Задачами риск-аудита являются:
В ходе риск-аудита проверяются:
По фактам выявления и оценки операционного риска с учетом его рейтинга определяется метод управления им. В банке могут применяться следующие методы:
При идентификации операционного риска и его всесторонней оценке принимается решение: либо исключить риск, либо принять риск и управлять им.
Принятие операционного риска производится в том случае, когда упущена ранняя стадия его выявления, когда стоимость мер по минимизации операционного риска превышает величину возможных потерь от выявленного риска. При этом величина возможных потерь банка от выявленного риска не должна быть критической для банка и не должна приводить к потере экономической целесообразности реализации того вида деятельности, в котором выявляется риск.
Принятие операционного риска может осуществляться в следующих формах:
а) документирование операций, бизнес-процессов и бизнес-направлений, в том числе в форме нормативно-технологических документов;
б) разработка и утверждение внутренних нормативных документов и вынесение решений коллегиальными органами управления банка и должностными лицами по вопросам принятия операционного риска.
Уменьшение финансовых последствий операционного риска (покрытие потенциальных убытков) возможно с помощью страхования. Банки используют процедуру страхования риска возможных потерь по следующим операционным рискам:
Страхование осуществляется с использованием обычных видов имущественного и финансового страхования (рискованных операций и сделок) и страхования ответственности. Банком могут быть застрахованы:
Банку необходимо учитывать целесообразность страхования с учетом как стоимости страхования, так и вероятности влияния страхового события на его финансовое состояние. Оценки страховщиков, данные в ходе сюрвея и заключения договора страхования, могут быть использованы в банке с целью оптимизации управления операционными рисками. При заключении договора о страховании необходимо также обращать внимание на процедуры и сроки выплат страхового возмещения.
Отказ от деятельности (операции или сделки) осуществляется в том случае, когда при комплексной оценке выявлено, что этот вид деятельности (операция или сделка) сопряжен с высокой вероятностью появления операционного риска, обусловливающего большие финансовые или материальные потери, которые перекрывают выгоду от этого вида деятельности (операции или сделки). При этом реализация мер по его минимизации не является экономически обоснованной, то есть стоимость этих мер, включая стоимость процедур контроля, превышает величину возможных убытков от выявления риска.
Минимизация операционного риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления рисковых событий или обстоятельств, приводящих к убыткам или уменьшению размера потенциальных потерь. Этот метод применяется с учетом характера и масштабов деятельности банка.
Основным способом минимизации операционного риска, контролируемого на уровне банка, является разработка организационной структуры, внутренних правил и процедур совершения банковских операций и других сделок с учетом снижения возможности появления факторов операционного риска.
Следующим методом управления операционными рисками (снижения его уровня) является способ передачи риска или его части третьим лицам (аутсорсинг).
Решение об использовании механизмов передачи риска посредством аутсорсинга может быть принято по результатам тщательного анализа с учетом ожидаемого эффекта стоимости и возможности трансформации одного вида риска в другой. При этом необходимо отслеживать уровень остаточного риска и сохранять возможность контроля за размером передаваемого операционного риска.
Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. В этом случае банку необходимо также предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании.
Для покрытия величины ожидаемых убытков операционных рисков в банке разрабатываются процедуры формирования резервов под прогнозируемые операционные риски.
С целью покрытия непредвиденных убытков, возникающих в процессе реализации операционных рисков, в банке производится расчет достаточности капитала (резервный капитал на покрытие операционных убытков), обеспечивается поддержание достаточности капитала на уровне, соответствующем требованиям регулирующих органов в отношении операционных рисков.
Величина резервируемого капитала под операционные риски зависит от развития системы управления операционным риском в банке и определяется следующими методами: методом базового индикатора, стандартизированным методом и внутрибанковскими методами.
Перед принятием решения о применении того или другого метода управления операционным риском производится обоснование его применения с учетом конечного результата.
Обеспечение непрерывности деятельности банка представляет собой комплекс организационных, технических и других мероприятий, направленных на минимизацию потерь в случае наступления непредвиденных (форс-мажорных) обстоятельств, которые могут привести к остановке работы информационных систем, бизнес-процессов, повлиять на работу персонала.
Для минимизации негативных последствий срывов планомерной деятельности банка могут проводиться следующие мероприятия:
В целях согласованного своевременного реагирования и оперативного восстановления работы банка при сбоях и непредвиденных ситуациях в банке разрабатываются и утверждаются в установленном порядке планы работ на случай возникновения чрезвычайных и аварийных ситуаций. Как правило, планы обеспечения непрерывности деятельности банка разрабатываются для потенциальных рисковых событий с низкой вероятностью реализации и высокой тяжестью последствий. Такой план может включать следующие разделы:
Разработку планов по обеспечению деятельности банка необходимо осуществлять в комплексе с мерами, направленными на предотвращение операционных рисков. Актуальность планов по обеспечению непрерывности деятельности банка необходимо периодически проверять путем тренировок сотрудников структурных подразделений банка.
Контроль за эффективностью управления операционными рисками осуществляется постоянно высшим руководством банка и руководителями структурных подразделений и включает проведение следующих мероприятий:
Информацию по управлению операционным риском банки доводят до акционеров, кредиторов, вкладчиков, рейтинговых агентств и других заинтересованных лиц в установленном порядке в соответствии с требованиями новых подходов (Базель II) по раскрытию информации о деятельности организаций.