Управление операционными рисками банка: практические рекомендации Бедрединов Р.
• наличие в банке технической системы управления операционными рисками известного производителя;
• полнота, актуальность и качественность первичных данных об инцидентах и рисках;
• интересные и актуальные отчетность и прогнозы;
• действующие инструменты расчета рисков продвинуты способом.
Критерий 2 – по уровню культуры.
Здесь имеется в виду уровень проникновения культуры управления операционными рисками во все подразделения банка и уровень их заинтересованности и вовлеченности в эти процессы. Эти критерии больше характеризуют силу, грамотность и техническое оснащение первой линии защиты операционных рисков (всех подразделений банка).
Показателями высокой культуры можно обозначить следующие критерии:
• высокий уровень предотвращения убытков на первой линии защиты, где более 9/10 убытка предотвращено всеми подразделениями банка и соответственно менее 1/10 предотвращено подразделением по операционным рискам;
• высокий уровень выявления и устранения рисков на первой линии защиты, где более 9/10 рисков идентифицируются всеми подразделениями банка и соответственно менее 1/10 выявляется подразделением по операционным рискам;
• наличие в каждом подразделении банка заинтересованных и активно действующих методологов, которые помимо прочего организуют работу с рисками и инцидентами своего подразделения и активно взаимодействуют с подразделением по операционным рискам (согласно разделу 4.1);
• аллокация убытков и рисков на подразделения и взыскание с этих подразделений возмещений расходов по убыткам и работам с рисками и инцидентами, аллокация управленческих резервов по операционным рискам на эти подразделения;
• использование каждым подразделением банка отчетов о своих убытках, рисках, возмещениях;
• регулярное заслушивание комитетом по рискам вопросов соблюдения стандартов минимизации рисков;
• эффективность механизмов минимизации рисков (в т. ч. высокого уровня методологии, визуальных схем процессов, схем действий сотрудников; паспортов продуктов и т. д.), перечисленных в разделе 6.7.
Заключение
Импульсивное поведение компаний может допускаться в непредвиденных условиях выживания (и то с большой натяжкой). Но оно недопустимо как перманентное состояние повседневной деятельности.
Компании должны вести свою деятельность системно и проактивно[85] с пониманием шагов долгосрочного планомерного стабильного развития. Ведение дел должно быть разумным.
Такое разумное состояние невозможно без соблюдения практик управления операционными рисками, указанных в настоящих Рекомендациях (и прежде всего стандартов раздела 6.7).
Желательно чтобы они были внедрены и эффективно использовались во всех крупных банках, а затем, по мере адаптации, и во всех крупных отечественных компаниях.
Именно доступность понимания материала и его актуальность определяет, будет ли он внедрён или нет. И по этой причине Рекомендации изложены в формате и объеме, который позволяет понять их как специалистам, так и людям, не сведущим в этой области.
Представленный труд преследует именно эти цели.
Благодарности
Работы над этими рекомендациям велись 6 лет и были завершены в январе 2014 г. Их написание стало возможным исключительно Провидению, которое сталкивало меня с яркими и незаурядными коллегами и руководителями, вдохновлявшими к написанию этих материалов (прямо или косвенно, дружелюбно или императивно, наставлениями, информацией или личным примером). Это были то подготовка презентаций, то оперативное разрешение проблемных ситуаций, то аргументация перед оппонентами. Благодаря возникавшей необходимости небольшие разрозненные кусочки информации на глазах складывались в более крупные блоки и «обрастали» сопутствующими материалами как бы сами собой.
Отдельно хочу выразить признательность своим друзьям и родственникам, чья поддержка была крайне важна и незаменима.
Об авторе
Бедрединов Рустам в банковской сфере с 2004 г.: свою карьеру начал в РегионИнвестБанке в должности специалиста. Специализируется на риск ориентированных функциях – руководил подразделениями верификации[86] и андеррайтинг[87] (МДМ Банк), коллекшн[88] (МДМ Банк), банковских рисков (БТА Банк), операционных рисков (МДМ Банк, БТА Банк, БИНБАНК, Восточный экспресс банк). В своей деятельности придерживается стандартов комплексного и высокотехнологичного подхода в управлении рисками, охватывающих каждое подразделение банка и каждого его сотрудника.
Принимает участие в развитии бизнес-культуры с регулярными докладами на различных конференциях и публикациями в специализированных изданиях. Принимал участие в рабочей группе Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России.
Закончил Московский юридический институт и Московский университет экономики, статистики и информатики. Защитил диссертацию на тему: «Риски операций с ценными бумагами».
Приложения
Приложение 1. Классификация рисков и инцидентов по видам (типам)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Настоящий список соотносится с Приложением 7 Базель II (для соотнесения выделенный ниже 8-й тип должен быть включен в 6-й, а 9-й тип должен быть включен в 7-й).
Для разграничения рисков, инцидентов и убытков операционного риска от событий, относимых к иным видам рисков, используются следующие критерии.
Не являются инцидентами операционного риска ошибки персонала (неумышленные) в оценке кредитного, рыночного рисков (в т. ч. процентного, валютного, фондового) – они относятся к кредитному и рыночному риску, с соответствующим источником покрытия. Не являются инцидентами операционного риска ошибки персонала в оценке стратегического и репутационного риска. Не является инцидентом операционного риска ущерб, возникший от реализации кредитного, рыночного, стратегического и репутационного рисков.
Если какое-либо событие классифицируется согласно Приложению 1 как инцидент операционного риска (вне зависимости от направления деятельности банка, в котором оно произошло), работа с ним производится по правилам, предусмотренным работой с инцидентами (прежде всего раздела 6.1 Рекомендаций). Это правило распространяется также на события, произошедшие в процессах, подверженных кредитному или рыночному рискам, если такие события классифицируются согласно Приложению 1 как инциденты операционного риска. Например, такие события, как факт просрочки по ссуде, при проверке которой установлено, что клиент заведомо не собирался ее погашать, или попытки получения ссуд с предоставлением поддельных документов (согласно Приложению 1 – злоумышленные действия) признаются инцидентами 102 операционного, а не кредитного риска (несмотря на то, что они произошли в процессе, подверженном кредитному риску с соответствующим покрытием). Например, такие события, как факт ошибки в стороне сделки с ценной бумагой – вместо покупки осуществление продажи (согласно Приложению 1 – ошибка персонала при осуществлении операции) признаются инцидентами операционного, а не рыночного риска (несмотря на то, что они произошли в процессе, подверженном рыночному риску).
Формирование управленческих резервов для покрытия убытков операционного риска осуществляется в рамках управленческой отчетности (за исключением инцидентов кредитного мошенничества, резервирование которых осуществляется в рамках стандартных процедур кредитного риска).
Операционный риск включает в себя юридический (правовой) риск (согласно Базель II), включая ошибки персонала в оценке правовых рисков, инциденты, связанные с уплатой банком штрафов, пеней или исполнением взысканий, в т. ч. являющихся результатом действия органов надзора, а также частных судебных исков (включая любой ущерб, возникший от реализации правового риска). Порядок сбора информации об инцидентах правового риска производится в том же порядке, что и при других инцидентах операционного риска.
Принадлежность инцидента к категории определяется экспертным путем. При этом экспертное мнение является приоритетным в сравнении с формально наличествующими признаками. Например, если инцидент (злоумышленные действия) имеет признаки того, что мог быть совершен только при участии сотрудника банка, но прямых доказательств этому нет, то такой инцидент должен быть всё равно отнесён к категории злоупотреблений или противоправных действий.
Приложение 2.1. Классификация рисков и инцидентов по значимости (нефинансовая шкала)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
При использовании шкалы обозначается максимальный уровень рисков (в случае если риск идентифицируется по финансовому и по нефинансовому критерию (см. также Приложение 2.2).
Приложение 2.2. Классификация рисков и инцидентов по значимости (финансовая шкала)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
При использовании шкалы обозначается максимальный уровень рисков (в случае если риск идентифицируется по финансовому и по нефинансовому критерию (см. также Приложение 2.1).
Приложение 3. Классификация рисков и инцидентов по бизнес-линии
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Настоящий список соотносится с Приложением 6 Базель II.
Правила распределения рисков, инцидентов и убытков по бизнес-линиям.
Для распределения инцидентов используются объективные критерии, представленные здесь и позволяющие произвести такое деление между восемью бизнес-линиями взаимоисключающим и исчерпывающим образом.
В случаях, когда инцидент произошел во вспомогательном процессе (например, в процессе кадрового делопроизводства), устанавливается предназначение этой вспомогательной операции (бизнес-линия, для которой производилась эта операция, в которой произошел инцидент или обнаружен риск). Например, если инцидент произошел в процессе кадрового делопроизводства (не связанного с бизнес-линиями) при назначении сотрудника на должность в подразделение кредитования физических лиц, то этому инциденту назначается бизнес-линия «Банкинг физических лиц». Если же трудоустройство сотрудника, в ходе которого произошел инцидент, осуществлялось в подразделение корпоративного кредитования, то этому инциденту назначается бизнес-линия «Банкинг юридических лиц». При применении правил настоящего пункта в отчете об инциденте в обязательном порядке приводятся пояснения подтверждающие взаимосвязь инцидента с бизнес-линией.
Если невозможно установить ни прямую, ни опосредованную взаимосвязь инцидента ни с одной бизнес-линией, то такому инциденту, согласно Базель II, назначается бизнес-линия, приносящая банку наибольшую доходность. Подразделение рисков ежегодно определяет эту бизнес-линию.
Приложение 4. Минимальный список полей отчета об обработке значимого инцидента
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 5.1. Бланк учета рекомендаций по минимизации обнаруженных рисков (без служебных полей)[89]
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 5.2. Бланк учета рекомендаций по минимизации обнаруженных рисков (со служебными полями)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 5.3. Бланк учета рекомендаций по минимизации обнаруженных рисков (подробное, с пояснениями, часть 1)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 5.4. Бланк учета рекомендаций по минимизации обнаруженных рисков (подробное, с пояснениями, часть 2)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 5.5. Бланк учета рекомендаций по минимизации обнаруженных рисков (подробное, с пояснениями, часть 3)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 6. Бланк отчета об исполнении владельцами процессов рекомендаций по минимизации операционных рисков
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 7. Бланк плана непрерывности деятельности банка (типовой модуль плана непрерывности)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Часть I. О непрерывности деятельности исполнителей процесса
1. Описание критически важной функции
2. План ОНиВД при выбытии исполнителей критически важной функции
2.1. Действия при наступлении ЧП
2.2. Обеспечительные действия
2.3. Тестирование плана ОНиВД
2.4. Обучение плану ОНиВД
3. План ОНиВД при сбое программных и технических ресурсов, используемых для критически важной функции
3.1. Действия при наступлении ЧП
3.2. Обеспечительные действия
3.3. Тестирование плана ОНиВД
3.4. Обучение плану ОНиВД
4. План ОНиВД при выбытии помещений, используемых для критически важной функции
4.1. Действия при наступлении ЧП
4.2. Обеспечительные действия
4.3. Тестирование плана ОНиВД
4.4. Обучение плану ОНиВД
5. План ОНиВД при наступлении иных чрезвычайных обстоятельств, приведших к нарушению критически важной функции
5.1. Действия при наступлении ЧП
5.2. Обеспечительные действия
5.3. Тестирование плана ОНиВД
5.4. Обучение плану ОНиВД
Аналогично оформляются разделы в отношении серверной части
Часть II. О непрерывности деятельности серверного ПО, используемого в процессе
• описание программного обеспечения, расположенного на серверах, описание серверов и каналов связи, используемых в критически важной функции, SLA;
• действия при сбое программного обеспечения, расположенного на серверах, серверов и каналов связи;
• действия при выбытии помещений, в которых расположены серверные программы, серверы;
• действия при выбытии исполнителей, обеспечивающих функционирование программного обеспечения, серверов и каналов связи;
• действия при наступлении иных чрезвычайных обстоятельств, связанных с серверами и приведших к нарушению критически важной функции.
Модули плана непрерывности для облегчения создания и использования могут также вестись в виде таблиц excel-файлов.
Приложение 8. Список критичных процессов банка
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Приложение 9.1. Примеры «сигнальных» отчетов
1. Незакрытые инциденты (топ 5)
2. Незакрытые потенциальные убытки (топ 5) – инциденты с текущим потенциальным убытком
3. Неустранённые риски (топ 5) – неисполненные рекомендации
4. Неустранённые системные риски (топ 5) – неисполненные рекомендации
5. Наихудшие подразделения (по отработке инцидентов) – топ 5 по количеству замечаний
6. Наихудшие регионы(по отработке инцидентов) – топ 5 по количеству замечаний
7. Убыточные процессы (топ 5)
8. Убыточные регионы (топ 5)
9. Убыточные виды инцидентов (топ 5)
Приложение 9.2. Примеры общеаналитических отчетов
Отчет 1. Инциденты по кураторам (кол-во инцидентов обработанных экспертами по инцидентам)
Отчет 2. Убытки по кураторам (суммы убытков, обработанных экспертами по инцидентам, тыс. руб.)
Отчет 3. Инциденты по продуктам (кол-во)
Отчет 4. Убытки по продуктам (суммы убытков, тыс. руб.)
Отчет 5. Инциденты по регионам (кол-во)
Отчет 6. Убытки по регионам (суммы убытков, тыс. руб.)
Отчет 7. Виды инцидентов (кол-во)
Отчет 8. Убытки по видам инцидентов (суммы убытков, тыс. руб.)
Приложение 10. Примеры показателей банка
Приложение 11. Образец стандартного отчета об эффективности подразделения
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Настоящий отчет не заменяет других отчетов
Единый образец отчета
Пример заполнения образца отчета
Такие требования к отчетам об эффективности подразделений определяются в числе прочего следующими обстоятельствами.
Требование 1. Не более одного слайда для каждого отдела.
Причина. Объединенный отчет для руководства может составлять значительное число страниц. Если каждый отдел предоставит, например, по 7 слайдов, то общий отчет будет составлять, например, 500 страниц.
Руководители банка будут затруднятся в уяснении такого большого объема данных, а значит будут испытывать трудности и в принятии 146 эффективных управленческих решений. В особых случаях, когда есть прямое указание членов правления, отчет конкретного отдела может быть увеличен до 2-х, 3-х слайдов.
Требование 2. Слайды всех отделов должны быть единого формата в PowerPoint.
Причина. Уполномоченные руководители, перелистывая слайды, ожидают увидеть оценку ситуации в одной области слайда, графики в другой, показатели в третьей, причины и меры в четвертой области слайда.
Руководители ожидают, что все графики и элементы будут одного, привычного для них формата, который не будет изменяться во всем объединенном отчете. Так зеленый – это хороший результат, красный и черный – плохой, план – это, к примеру графический элемент «ромб» и т. д.
Листая слайды руководитель ожидает сразу видеть, что слайд показывает плохую или хорошую оценку (там, где пиктограмма общей оценки) и останавливается прежде всего на отчетах с негативной оценкой. Он сразу хочет видеть ответственного, узнать причины негативной ситуации и предпринимаемые меры.
В связи с использованием руководством android и ios-устройств отчеты должны рассылаться руководству в двух форматах (pdf и PowerPoint).
Приложение 12. Пример паспорта продукта
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Паспорт продукта должен быть составлен подразделением, ответственным за разработку и внедрение продукта, и согласован с юридическим подразделением, подразделением рисков, подразделением информационной безопасности, подразделениями Бэк и Мидл, ИТ-подразделением, а также всеми подразделениями, которые обозначены в схеме как участники процесса. Замечания, которые не могут быть устранены, рассматриваются комитетом по рискам. Паспорт конкретного продукта утверждается комитетом по рискам.
Раздел I. Условия продукта
Раздел II. Бизнес-план банковского продукта
Раздел III. План-график мероприятий по внедрению / модификации банковского продукта
1 Схема должна быть предварительно составлена подразделением, ответственным за разработку и внедрение продукта, и включена в паспорт продукта разделом IV.
Раздел IV. Графическая схема процесса реализации и обслуживания продукта (всего жизненного цикла продукта)[90]
[здесь должна быть представлена графическая схема процесса, составленная согласно правил п. 6.7.2.1.9]
Результаты оценки паспорта продукта
Результаты оценки рисков продукта
Приложение 13. Пример правил составления визуальных (графических) схем процессов Банка
1. Каждый разрабатываемый или изменяемый регламент, порядок или иной нормативный документ, в котором приводится описание процедуры последовательных действий трех и более сотрудников или подразделений, должен в обязательном порядке сопровождаться схемами, составленными согласно стандарту схем бизнес-процессов.
2. Схемы составляются в программном обеспечении Microsoft Office Visio (далее MS Visio) в соответствии с международным стандартом документирования бизнес-процессов «EPC» (см. меню MS Visio (шаблон > Бизнес > Схема EPC)). После составления схемы копируются в Microsoft Office Word и оформляются приложением к регламенту, порядку или иному нормативному документу.
3. В схемах используются следующие элементы:
4. Образец составления схем[91]:
Этап 1. Прием заявки и принятие решения о выдаче кредита
5. Если количество листов со схемами составляет два и более, то схема должна сопровождаться дополнительной схемой верхнего уровня согласно следующему образцу[92]:
Приложение 14. Примеры деловых плакатов для сотрудников подразделения по операционным рискам
Читать бесплатно другие книги:
