Управление операционными рисками банка: практические рекомендации Бедрединов Р.
Внедрение процедур управления операционными рисками начинается обычно с утверждения политики по операционным рискам и ключевых документов. Перед утверждением их проекты рассылаются во все подразделения для их согласования и получения замечаний. При этом возникают первые проблемы, которые при неправильном отношении могут «поставить крест» на всей деятельности по операционным рискам, не дав ей даже проявится.
Все согласующие делятся на три группы:
• первая группа согласовывает, читая поверхностно;
• вторая группа читает и согласовывает (если это заинтересованное подразделение, как, например, служба качества или служба внутреннего аудита);
• третья группа читает, видит, что на неё будет возложена реальная ответственность за риски и убытки, что появляется контроль, и не согласовывает документы.
Чаще всего руководители, которые не согласовывают политику, выдвигают следующие, вполне обоснованные, аргументы:
1. Эти рисковые функции являются для банка новыми, они вызывают много дополнительных операции и требуют набора новых сотрудников («давайте деньги»).
2. Изменения очень масштабны, требуют запуска новых процессов, закупки новых систем, осуществления большого объема работ, и их реализация в ближайшие год-два физически невозможна.
3. Это нереалистичные правила, они носят формальный характер и поэтому не нужны.
4. В проекте политики очень много деталей, их целесообразно перенести в подчиненные документы.
7.2.2. Способы преодоления препятствий.
Если согласиться с этими аргументами, то утверждение политики станет невозможным, что вызовет отказ от полноценного управления операционными рисками.
По замечаниям 1-й группы («Эти рисковые функции являются для банка новыми, они вызывают много дополнительных операций и требуют набора новых сотрудников») можно выдвинуть следующие контраргументы.
Такие сотрудники (по работе с рисками) имеются во всех департаментах банка[71], так как каждый департамент в текущем состоянии производит разбирательства с наступившими инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.
Если эти субъекты департаментов не оформлены должным образом[72], то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления[73] и обучения.
Обо всем этом говорит п. 4.1 проекта политики (если настоящие Рекомендации переименовать в политику).
По замечания 2-й группы («Изменения очень масштабны, требуют, запуска новых процессов, закупки новых систем, осуществления большого объема работ, и их реализация в ближайшие год-два физически невозможна») можно выдвинуть следующие контраргументы.
Смысл политики как раз и заключается в том, чтобы обозначить цели и задачи, а также принципы целевого состояния процесса управления операционными рисками (а не наоборот, когда текущее неудовлетворительное состояние операционных рисков определяет политику). И именно она побудит подразделения банка начать осуществлять действия по приведению своих процессов к состоянию, намеченному политикой с учетом текущих возможностей и приоритетов банка (внедрение политики будет производиться в предельно щадящем режиме путем наименьших издержек).
По замечания 3-й группы («Это не реалистичные правила, они носят формальный характер и поэтому не нужны») можно выдвинуть следующие контраргументы.
Во-первых, принципы, изложенные в политике, сформированы с учетом требований Базельского комитета и Банка России. Во-вторых, все принципы носят прикладной характер и могут использоваться как прямое руководство к действиям.
По замечания 4-й группы («В проекте политики очень много деталей, их целесообразно перенести в подчиненные документы») можно выдвинуть следующие контраргументы.
Во-первых, подчиненные документы типа положения, регламента, методики и т. п. охватывают только отдельные группы процессов, продуктов и подразделений. А документы в виде Кодекс (например, Кодекс корпоративной этики) или политики затрагивают все процессы и продукты, или все подразделения, или вопросы особой важности. Все положения проекта политики как раз относятся к таковым – они касаются всех процессов и всех подразделений банка (все тезисы имеют уровень политики).
Во-вторых, все положения проекта политики обозначают только требования, оставляя за непосредственными исполнителями определённую свободу выбора способов их реализации. Например, принципы работы с инцидентами (раздел 6.1) обозначают лишь основные этапы работы с инцидентами (сохраняя за исполнителями возможность индивидуального выстраивания процессов с учетом специфики их деятельности), предоставляют свободу выбора системы работы с инцидентами и т. д.
Остальные замечания снимаются ссылкой на то, что эти нормативные документы составлены во исполнение требований регулятора и обещаниями, что внедрение будет производиться в предельно щадящем режиме путем наименьших издержек.
В тех случаях, когда отдельные замечания не снимаются, формируется таблица разногласий, которая подается Председателю правления банка или на коллегиальный орган для принятия окончательного решения. При этом многое зависит от оформления этой таблицы.
Пример оптимального оформления такой таблицы представлен ниже:
Столбец № 3: «Замечания». Оставшиеся неурегулированными замечания обычно – это либо очень краткие необоснованные оценки (например: «Это все формальность»), либо очень большие и пространные. И это делается намеренно: высшее руководство обычно не вчитывается в большие объемы текстов, поэтому такие замечания целесообразно разделять на строки, а также представлять их краткий смысл.
Столбец № 4: «Краткий смысл замечаний (в интерпретации рисков)» – самый важный в таблице столбец. Обычно за многословными и витиеватыми замечаниями кроется конкретный смысл «Это не наша функция, мы не хотим брать ответственность за риски своего подразделения» и т. п.
После составления такой таблицы проект нормативного документа с приложением указанной таблицы выносится на рассмотрение высшего руководства или коллегиального органа банка, где принимается окончательное решение.
Целесообразно отметить, что при взаимодействии с подразделениями, в т. ч. при согласовании документов, надо проявлять максимальную дружелюбность, встречаться, разъяснять, показывать презентации. Важно всегда озвучивать миссию: «Наша задача говорить подразделениям об их рисках, убытках и помогать закрывать их. Мы помогаем обеспечивать безопасность бизнеса, для того чтобы он мог уверенно зарабатывать деньги»[74].
7.3. Организация мер по минимизации рисков
7.3.1. Назначение ответственных за исполнение мер по минимизации рисков.
Практически во всех случаях назначения ответственных за минимизацию рисков они говорят: «Конечно эти меры нужны, вот вы их и делайте – вы же риски», или: «Пусть это делают методологи или ИТ-специалисты, там же нужно изменение регламента или доработка ИТ-системы» и т. п. Т. е. персонал не хочет выполнять излишнюю, по их мнению, работу и брать на себя обязанности, за неисполнение которых могут наказать.
Специально для таких ситуаций предусмотрены следующие правила назначения ответственных за исполнение мер по минимизации рисков (см п. 6.2.2.3 настоящих Рекомендаций).
Повторно приведем его:
«Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.
Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета».
7.3.2. Техника учета и контроля мер по минимизации рисков.
Количество рисков, мер по их минимизации со временем многократно увеличивается. И их контроль становится возможным только с использованием соответствующих ИТ-инструментов. Простейший пример такого инструмента приведен в Приложении 5 в виде excel-файла с раскрывающимися столбцами и возможностью фильтрации рисков и мер по суммам, датам, исполнителям, значимости и т. д.
7.4. Организация непрерывности деятельности (планов ОНиВД)
7.4.1. Техника учета и контроля планов ОНиВД.
Планы непрерывности деятельности изначально достаточно объемны, а при росте их количества обновление таких планов, и их использование при возникновении чрезвычайных происшествий становится затруднительным. Пример упрощения такой работы приведен ниже в виде пояснений к excel-файлу, в котором на одном листе ведутся все планы непрерывности деятельности (см. схему 7).
Обычно для организации работы участников обеспечения непрерывности деятельности создают сетевую папку, в которой размещают планы непрерывности деятельности, акты проверок и иную документацию.
Схема 7
7.5. Принципы подсчета размера операционного риска[75]
Этот процесс условно можно разделить на три основных этапа.
Этап 1. Подготовка данных. Он охватывает:
• фильтрацию инцидентов для включения их в расчет (по сумме, дате, потенциальным, внешним потерям и т. д.);
• распределение по бизнес-линии и по категории убытка;
• распределение по сумме убытка и частоте (см. схему 8).
Этап 2. Подборка модели распределения тяжести последствий, которая наиболее точно описывает распределение фактических потерь Банка (см. схему 9)
Обычно для подборки используют следующие распределения:
1. Распределение Бурра.
2. Экспоненциальное распределение.
3. Гамма-распределение.
4. Обратное гауссовское распределение.
5. Логарифмически нормальное распределение.
6. Комбинированное логарифмически нормальное гамма-распределение.
7. Комбинированное надежное логарифмически нормальное гамма-распределение.
8. Комбинированное логарифмически нормальное обобщенное распределение Парето с хвостом.
9. Логарифмически нормальное обобщенное Парето-Хилла.
10. Комбинированное х-логарифмически нормальное обобщенное распределение Парето с хвостом.
11. Распределение Парето.
12. Обобщенное распределение Парето.
13. Распределение Вейбулла.
14. Комбинированное распределение тяжести последствий с хвостом.
Этап 3. Масштабирование модели на убытки банка, вычисление границ доверительного интервала и установление суммы потерь соответствующей 99,9 % границе (см. схему 10).
В инструменте SAS OpRisk VaR результаты такого расчета графически будут выглядеть примерно так[76] (см. схему 11).
Схема 11
7.6. Организация подразделения по операционным рискам
7.6.1. Структура подразделения.
7.6.1.1. Оптимальная структура подразделения по операционным рискам представлена на схеме 12.
7.6.1.2. Представленное деление сотрудников на юниты[77] обусловлено несовместимостью знаний, навыков, интересов, необходимых для выполнения задач юнитов.
Так, юнит по выявлению и устранению рисков (отдел 2 на схеме) – это сотрудники, имеющие интересы и глубокие познания в области методологии, операционной деятельности. По типо-характеру эти сотрудники – гуманитарии. Они имеют большой опыт работы в различных подразделениях банка, знают все банковские процессы и их слабые места, знают риски – это самые дорогостоящие сотрудники.
Юнит по раннему предупреждению рисков – это сотрудники имеющие, интересы и глубокие познания в области статистической аналитики, отчетности. По типо-характеру эти сотрудники – «технари» – математики. Они имеют опыт сбора и анализа больших объемов данных, математического обнаружения тенденций, идентификации их причин, программирования, например, в SAS Enterprise Guide или SPSS Clementine / Modeler, или иных инструментах. Это также высокооплачиваемые сотрудники.
Юнит по координации инцидент-менеджмента в подразделениях состоит, во-первых, из группы «методологов-тренеров» (тех, которые координируют деятельность всех подразделений, обучают работе с рисками и инцидентами (это менее «дорогие» сотрудники)). Во-вторых, этот юнит состоит из группы сотрудников «потоковой проверки инцидентов» без глубоких навыков и познаний (это самые «недорогие» сотрудники). По типо-характеру это ярко выраженные «неугомонные экстраверты-миротворцы», имеющие опыт успешного взаимодействия с другими сотрудниками.
7.6.1.3. Таким образом можно выделить четыре группы сотрудников подразделения по операционным рискам:
• гуманитарии (юнит по выявлению и устранению рисков);
• «технари» (юнит по раннему предупреждения рисков);
• тренеры-наставники (юнит по координации инцидент-менеджмента);
• инцидент-контролеры (юнит по координации инцидент-менеджмента).
7.6.1.4. В подразделение по операционным рискам запрещается включать другие подразделения, связанные с операционной деятельностью, такие например, как подразделения противодействия мошенничеству и мониторинга сомнительных транзакций, мониторинга кредитных мошенничеств, контроля лимитов[78] и т. д. Это нарушает принцип разделения полномочий управления рисками и полномочий исполнения процессов (п. 6.7.3.1.2) и влечет неадекватность и предвзятость оценки рисков в этих подразделениях.
7.6.1.5. Запрещается также отдавать из подразделения по операционным рискам различные функции.
Пример структуры подразделения по управлению операционными рисками
Схема 12
Так, аналитиков по раннему предупреждению рисков, часто хотят «забрать» в иные подразделения, например, в макроаналитическое подразделение. Этого делать нельзя, так как значительную часть работы таких аналитиков составляет непосредственная организация процедур раннего предупреждения (что не вправе делать сотрудники иных подразделений).
Так же часто хотят «забрать» функцию по обеспечению непрерывности (в кадры, в ИТ-подразделение или в подразделение информационной безопасности). Однако все эти подразделения при организации непрерывности деятельности будут выполнять несвойственные им функции (например, не в компетенции кадров находится организация ИТ-непрерывности, так же как не в компетенции подразделения информационной безопасности находится организация непрерывности работы персонала и т. д.). Такое выполнение несвойственных функций является нарушением (выходом за рамки своих полномочий) и по сути дела некомпетентной деятельностью.
7.6.2. Подчиненность подразделения.
Стандартно подразделение по операционным рискам входит в блок рисков (либо в составе подразделения по банковским рискам, либо обособленно с прямым подчинением директору по рискам).
Вхождение подразделения в блок рисков несет существенные риски и ведет к «вырождению» функции управления операционными рисками.
Так, значительное число операционных рисков идентифицируется подразделением именно в блоке рисков (в скоринге, верификации, андеррайтинге, раннем взыскании, позднем взыскании, работе с коллекторами, предотвращении мошенничеств и т. д.). Т. е. подразделение идентифицирует риски у своего начальника – директора по рискам. Более того, когда устранение этих рисков задерживается, подразделение должно «жаловаться» на своего начальника Правлению. Налицо нарушение принципов разделения полномочий управления рисками и полномочий исполнения процессов (п. 6.7.3.1.2). Риск-функция в этих условиях теряет свою эффективность и объективность.
Для недопущения такой ситуации подразделение по операционным рисками должно подчиняться напрямую Председателю правления банка, а не его заместителю по рискам (не директору по рискам[79]). Однако на практике это не наблюдается.
7.6.3. Организация рабочих мест сотрудников подразделения.
7.6.3.1. Подразделение по операционным рискам должно размещаться обособленно от других сотрудников, так как обсуждаемые вопросы по большей части носят конфиденциальный характер.
7.6.3.2. Рабочие места трех юнитов должны обособляться с учетом принципов, указанных в п. 6.7.3.1.6. Так, работа юнита по координации инцидент-менеджмента по большей части представляет собой достаточно шумную деятельность, а работа юнита по раннему предупреждению рисков требует глубокой сосредоточенности. Поэтому одни не должны мешать работать другим. Идеальной ситуацией является расположение этих трех юнитов в трех обособленных пространствах.
7.6.4. Численность подразделения.
Оптимальное количество сотрудников каждого юнита подразделения по операционным рискам определяется возможностями банка.
Предельно минимальное количество сотрудников должно составлять 5 человек (с учетом руководителя подразделения)[80].
7.6.5. Миссия и культура сотрудников подразделения.
Для подразделения операционных рисков целесообразно обозначить общий посыл (лозунг) работы, ключевые цели, миссию, а также иные положения, влияющие на деловую культуру сотрудников подразделения.
В качестве целей, например, можно обозначить:
• предотвращение убытков;
• возмещение убытков.
Миссию можно представить следующими тезисами: «Защищать банк от внешних и внутренних угроз. Обеспечить своевременные и ясные: 1. Оценку ситуации (и перспектив); 2. Идентификацию рисков; 3. Меры по устранению рисков. Каждое подразделение и сотрудник должны ощущать такую нашу защиту и поддержку.».
На практике это означает, что сотрудники подразделения во внутренней работе и при взаимодействии с другими сотрудниками должны постоянно осознавать и транслировать эту миссию.
Эти цели и миссия, а также иные положения, влияющие на деловую культуру сотрудников подразделения должны быть в постоянном использовании. Целесообразно также разместить в рабочих пространствах подразделения соответствующие деловые плакаты (примеры таких плакатов см. в Приложении 14).
Также каждому юниту свойственны свои целевые показатели (они отмечены в схеме 12 к п. 7.6.1.1).
7.7. Внедрение автоматизированной системы по операционным рискам
7.7.1.Мотивация руководства к закупке автоматизированной банковской системы по операционным рискам (АБС по операционным рискам).
Есть несколько различных видов мотивации руководства банка дать бюджет на внедрение АБС по операционным рискам. Например, сообщить, что это требования регулятора и если мы не сделаем этого, то на нас наложат взыскание. Или сообщить, что это экономическая выгода: если мы сделаем это, то получим соответствующий финансовый результат.
Наиболее доходчивой является аргументация через экономическую выгоду. И здесь приходит на помощь «экономическое» предложение Базельского комитета и национального регулятора, которое говорит, что банки, эффективно управляющие своими рисками, получают финансовые преференции через показатель Н1 (достаточность капитала).
В этом показателе соотношение капитала банка (в числителе) к кредитному, операционному, рыночному риску (в знаменателе) должно быть выше 10–11 %.
Банк заинтересован в снижении капитала (числителя), так как его поддержание стоит денег (например, в виде субординированных кредитов, плата за которые составляет, например, 5 % годовых). Т. е. банк хочет снизить расходы на поддержание капитала (иногда это существенные суммы, даже для больших банков)[81]. При константе значения формулы в 11 % числитель можно снизить только при помощи снижения знаменателя, а в этом как раз и заложен операционный риск (помимо кредитного и рыночного).
С учетом этого национальный регулятор разрешит банкам, эффективно управляющим своими рисками, считать размер операционного риска самостоятельно (по умолчанию он равен 15 % дохода банка). А это значит, что при получении такого разрешения банк, снижая риски, будет снижать знаменатель Н1, что вызовет снижение числителя (при константе значения Н1) и экономию[82].
К таким аргументам необходимо подготовить детальное экономическое обоснование, согласовать правильность расчетов и прогнозов в экономической службе банка.
Экономическое обоснование должно содержать следующие разделы:
1. Наглядную схему экономической выгоды от получения разрешения на самостоятельный расчет операционного риска (см. схему 13).
2. Плановые показатели операционного риска, рассчитанного по стандартной формуле (ОР = 15 % от дохода): – размер ОР; – размер капитала аллоцируемого этим ОР; – размер расходов на этот аллоцируемый капитал; – размер расходов на поддержание функции управления операционным риском.
3. Плановые показатели операционного риска, рассчитанного по продвинутой методике (ОР = ожидаемые и непредвиденные убытки по операционным рискам): – размер ОР; – размер капитала, аллоцируемого этим ОР; – размер расходов на этот аллоцируемый капитал; – размер расходов на внедрение системы ОР и поддержание функции управления операционным риском.
4. Разница (выгода) между показателями разделов А и В.
Располагая всеми значениями формулы Н1 конкретного банка, несложно подсчитать конкретную долю капитала, аллоцируемую операционным риском. Прогнозные суммы роста дохода можно взять у экономической службы. Размер ожидаемых и непредвиденных убытков можно рассчитать исходя из истории фактических убытков, применив повышающие коэффициенты с учетом примерной доли латентных убытков и планируемого роста бизнеса банка.
Эти документы для получения бюджета обычно выносятся на заседание Правления банка для утверждения готовности банка к закупке АБС по операционным рискам.
В тех случаях, когда внедрение базы рисков для руководства банка очевидно (они готовы выделить средства без дополнительной аргументации), рекомендациями настоящего пункта можно пренебречь.
Схема 13
[*] Представленные суммы и цифры не имеют ничего общего с реальной ситуацией в каком-либо банке, а приводятся исключительно для иллюстрации.
7.7.2. Особенности проведения тендера по закупке АБС по операционным рискам (критерии выбора системы).
При проведении тендера самое важное провести качественное сравнение коммерческих предложений и обеспечить качественную визуализацию результатов тендера.
Обычно сравнение производится по своеобразному проверочному листу (checklist), в котором в левой части указаны критерии оценки (группированные по блокам и важности), а в правой части проставляются да/нет. Из этих листов формируются сравнительные таблицы (пример таблиц представлен ниже в схемах 14.1–14.3). Обязательными критериями должны быть также условия структурирования сделки по закупке системы (эти критерии изложены в следующем разделе).
Указанные таблицы с приложением выводов и конкретных рекомендаций выносятся на рассмотрение уполномоченных органов, например комитета по технологическим изменениям и Правления или тендерной комиссии, которые делают окончательный выбор поставщика.
Выводами и рекомендациями могут быть, например, следующие тезисы:
«Принимая во внимание, что:
• Системы от поставщика 1 и поставщика 4 обладают наибольшими функциональными возможностями.
• Стоимость решения поставщика 4 дешевле решения поставщика 1 на 30 % (…млн руб. против… млн руб.), стоимость ежегодного обеспечения и сроки внедрения поставщика 1 и поставщика 4 являются приемлемыми.
• Банки, установившие системы от поставщика 1 с наибольшей вероятностью получат разрешения от ЦБ считать капитал под операционный риск самостоятельно.
• У решения от поставщика 1 отсутствуют риски прекращения обслуживания.
Рабочая группа рекомендует покупку системы поставщика 1».
Немаловажным фактором является цена, поэтому для ее снижения поставщиков необходимо постоянно держать в курсе всех снижений цены конкурентов или изменений критериев с вопросом: «Конкурент снизил цену, Вы готовы дать такую же скидку?».
7.7.3. Структурирование сделки по закупке системы.
После выбора поставщика важным становится структурирование сделки, хотя на самом деле параметры сделки оговариваются еще на этапе тендера и являются одним из критериев оценки. Зачем нужны такие условия? Они гарантируют качественное внедрение системы в установленные сроки.
Ниже приводятся некоторые из таких условий:
1. Включение в договор внедрения подробнейших бизнес-требований с указанием штрафных санкций при отсутствии соответствующей функциональности к определённой дате, включение в договор лицензии условий обслуживания, технической поддержки и доработок системы.
2. Истребование наилучших условий оплаты: – оплата лицензии после внедрения (trial версия на период внедрения); – оплата внедрения частями (какая то часть после внедрения); – штрафные санкции за просрочку внедрения; – фиксация размера ежегодных платежей на конкретный период; – включение работ по обслуживанию и технической поддержке в сумму лицензионных платежей.
3. Квалифицированное составление документов: – условия расторжения договора; – приоритетный язык договора; – место разрешения споров.
4. Квалифицированное оформление и подписание документов – очередность подписание договоров (сначала контрагентами, потом на своей стороне одновременно договоров внедрения и лицензии); – сшив договоров.
7.7.4. Интеграция системы.
Интеграция системы может состоять из следующих этапов:
1. Кастомизация системы (корректировка пользовательских форм, справочников).
2. Интеграция системы с данными банка (со справочниками и иными данными).
3. Настройка резервирования и механизмов восстановления системы (SLA).
4. Настройка механизмов ежедневных выгрузок в хранилище данных.
5. Настройка отчетов и средств доступа к ним.
6. Загрузка исторических данных.
7. Формирование регламента работы с системой, формирование пользовательских инструкций.
Все этапы одинаково важны, но ключевую роль в функционировании всей системы операционных рисков играют три этапа: кастомизация системы, интеграция системы, настройка отчетов и прогнозов.
Этап 1. Кастомизация системы (корректировка пользовательских форм, справочников).
Кастомизация системы – это этап, на котором типовой «коробочный» продукт настраивается под индивидуальные особенности конкретного банка.
Качество кастомизации, во-первых, влияет на уровень использования системы ее пользователями. От того, насколько удобными и понятными для пользователей (а регистрировать инциденты могут все сотрудники банка) будут пользовательские формы и выпадающие списки, настолько эта система и будет использоваться.
Эту ситуацию можно сравнить с удобностью интерфейсов мобильных телефонов: некоторые удобны и пользоваться ими можно без прочтения каких-либо инструкций, а некоторые непонятны и даже неприятны.
Во-вторых, качество кастомизации влияет на эффективность процессов управления рисками. Например, если какие-либо важные действия не находят отражения в учете системы, то они и выполняться не будут.
В-третьих, качество кастомизации влияет на качество аналитики, отчетности и прогнозов. Например, если какие-либо важные признаки рисков не находят отражения в системе, то по ним нельзя будет сделать выборку и анализ.
Этап 2. Интеграция системы с данными банка (со справочниками и иными данными).
Систему целесообразно интегрировать как минимум с двумя справочниками: со справочником «Сотрудники и подразделения» и со справочником «Продукты банка». Такая интеграция означает, что в случае изменений, например, в составе сотрудников банка (в кадровой системе) такие изменения автоматически произойдут и в базе операционных рисков. Если такой интеграции не делать, то на поддержание списка сотрудников в актуальном состоянии в базе рисков будет уходить очень много ручного труда.
Иногда производят интеграцию с другими справочниками, например, курсов валют, списками счетов, каталогами Active Directory (для возможности авторизации пользователей по своим учётным записям) и т. п.
Базу рисков интегрируют также с источниками данных об однотиповых множественных инцидентах (например, фактами осуществления исправительных проводок или излишками / недостачами в банкоматах).
Базу рисков интегрируют и с данными для расчета ключевых индикаторов рисков и т. д.
Этап 5. Настройка отчетов, настройка средств доступа к ним.
Всю отчетность целесообразно строить не в базе рисков, а из хранилища данных (предварительно обеспечив ежедневную выгрузку туда этих данных из базы рисков – см. выше этап 4 настоящего пункта).
От того, насколько удобными, понятными и актуальными для пользователей будут отчеты и прогнозы (а использовать отчеты и прогнозы по своим операционным рискам будут все подразделения банка), настолько и будет оцениваться эффективность управления операционным риском.
7.8. Аллокация инцидентов
7.8.1. Важность аллокации и инструменты.
Аллокация инцидентов[83] (по исполнителям, подразделениям, покрывающим убытки, и иным признакам) в рамках их учета является важным моментом, обеспечивающим работоспособность всей системы управления операционным риском. Ниже приводятся примеры наиболее важных аллокаций и раскрываются причины их важности.
1. Аллокация инцидента по типу (виду) инцидентов.
Если инциденты будут аллоцироваться не на те типы инцидентов, к которым они относятся то и направляться для обработки они будут не на те маршруты и не к тем экспертам (их обработки либо вовсе не будет, либо она будет некомпетентной). В этих условиях вся работа с инцидентами будет неэффективной.
2. Аллокация инцидента по виду бизнеса.
Если расходы на возмещение инцидентов и на их обработку не будут аллоцироваться на конкретные подразделения (и не вычитаться из их бюджетов), то у этих подразделений никогда не возникнет настоящего желания минимизировать свои риски и предотвращать инциденты.
Список названий оптимальных признаков инцидента и информационных полей приведен в Приложении 4.
Присвоение признаков играет ключевую роль и для последующей аналитики и построения отчетности, и для автоматической аллокации инцидентов на классификаторы Базель II (для расчета операционного риска продвинутым способом).
Основные проблемы при аллокации инцидентов возникают из-за неудобства механизмов присвоения их признаков. В ходе практического решения этой проблемы оказалось, что главным является одновременные интуитивная понятность и высокая детализация этих признаков. Они определяются при первоначальной регистрации инцидента и сопровождают его на всем протяжении жизненного цикла. Инициатор указывает эти признаки, отвечая на четыре вопроса:
• Что произошло?
• С чем произошло (ресурс)?
• Где произошло (территория)?
• Где произошло (процесс / продукт)?
Эффективность аллокации по многочисленным признакам будет зависеть от удобства выпадающих многоуровневых списков, их интуитивной понятности и детализации.
7.8.2. Особенности аллокации инцидентов по категориям и бизнес-линиям.
Нередко определение принадлежности инцидента к той или иной категории и бизнес-линии вызывает трудности и спорные моменты. Принадлежность определяется экспертным путем, а правила и особенности такого определения приводятся в конце Приложения 1 и Приложения 3.
7.8.3. Несоответствия между управленческим и финансовым учетом.
В случаях, если какие-либо инциденты и убытки учтены в базе операционных рисков, но не учтены в бухгалтерском, финансовом или управленческом учете, приоритет должен отдаваться сведениям из базы операционных рисков.
7.9. Правила расчета убытка по крупным инцидентам[84]
Банк производит оценку суммы убытка каждого инцидента по внутренним методикам, при этом расчет суммы убытка по инцидентам может производиться по следующим правилам:
Примерная формула расчета:
К убытку от инцидентов не относятся расходы, затраченные банком на выработку мер по недопущению инцидентов, аналогичных произошедшему (мер предотвращения инцидентов), а также расходы на реализацию таких мер.
В сводных отчетах по банку все инциденты, в которых сумма убытка имеет отрицательную величину (когда суммы поступлений, вызванных инцидентом, превышают суммы потерь), учитываются так чтобы они не искажали размера убытков от других инцидентов (не снижали сумм убытков от других инцидентов). Такими инцидентами могут быть, например, факты возникновения излишков в банкоматах или инциденты, по которым сумма возмещений превысила сумму убытков. При этом банк должен иметь возможность представить отчетность отдельно по инцидентам, где суммы поступлений, вызванных такими инцидентами, превышают суммы потерь.
Для обеспечения точности расчета убытков от однотипных инцидентов с примерно одинаковым убытком, например, исправительных проводок, не повлекших прямых убытков, размер убытка может назначаться нормативно (при этом убытком может быть себестоимость каждой исправительной проводки).
Следует различать убыток банка и убыток клиентов банка. Например, если хищение произошло со счетов клиентов (вклада, банковской карты или текущего счета), то такой убыток целесообразно регистрировать как потенциальный, который изменит статус на фактический, если эти средства будут возмещены клиенту из бюджета банка.
7.10. Оценка состоятельности системы управления операционным риском
Уровень управления операционным риском можно определять по следующим критериям.
Критерий 1 – по уровню технологичности.
Этот критерий больше характеризует силу, грамотность и техническое оснащение второй линии защиты операционных рисков (подразделения по операционным рискам).
Показателями высокой технологичности можно обозначить следующие критерии:
• эффективность механизмов раннего предупреждения рисков (в т. ч. индикаторов рисков и контролей рисков), перечисленных в разделе 6.3.;
Читать бесплатно другие книги:
