Система управления операционными рисками в кредитной организации

Система управления операционными  рисками в кредитной организации 

 

Руководство и собственники кредитных организаций  уделяют все более пристальное  внимание управлению операционными  рисками (ОР). Несмотря на безусловную  очевидность существования подобных рисков и необходимость управления ими специалисты не всегда имеют четкое и исчерпывающее представление © методах комплексной и эффективной реализации данного процесса. В рамках настоящей статьи мы рассмотрим основные подходы и принципы внедрения системы управления операционными рисками.

 

 Изначально  определим, что под системой  управления операционными рисками  (далее — СУОР) мы понимаем  комплекс организационных, методических, автоматизированных средств по  предупреждению возможных операционных  рисков, минимизацию отрицательных последствий и недопущение повторов их реализации.

 

В качестве определения операционного риска  приведем наиболее часто встречающуюся  формулировку: риск возникновения убытков (недополучения прибыли) в результате несоответствия характеру и масштабам деятельности банка и/или требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими банка и/или иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) информационных, технологических и других систем и/или их отказа (нарушения функционирования), а также в результате воздействия внешних событий.

 

Можно указать следующие источники  возникновения ОР:

■  персонал (намеренные / ненамеренные действия сотрудников организации, которые могут нанести ущерб  ее деятельности);

■  процессы (ошибки и некорректное выполнение операций в ходе осуществления  бизнес-процессов либо должностных обязанностей);

■  системы (нарушение текущей  деятельности организации в результате сбоя в информационных системах и/или  недоступности IТ-сервиса);

■  внешняя среда (воздействия  извне, которыми организация не может  управлять, и которые выходят за рамки ее непосредственного контроля).

 

Операционные риски корпоративного уровня, безусловно, влияют на деятельность банка, однако не всегда учитываются  в стратегии его развития. Бесспорным является и тот факт, что реализация указанных рисков влияет на финансовый результат: статистика показывает, что прямые потери могут составлять 5-20% от величины капитала под операционные риски, остальные потери являются скрытыми и носят качественный характер.

 

Таким образом, отсутствие СУОР приводит к возникновению массы проблем и повышает подверженность кредитной организации операционным рискам.

 

МОДЕЛЬ ФОРМИРОВАНИЯ И ВНЕДРЕНИЯ  СУОР

В соответствии с письмом Банка  России от 24 мая 2005 г. №76-Т «Об организации  управления операционным риском в кредитных организациях» под управлением операционными рисками понимаются их выявление, оценка, мониторинг, контроль и минимизация.

 

Детализировав данную формулировку, мы получим следующие компоненты модели организации СУОР:

■  планирование внедрения СУОР;

■  обучение персонала банка и развитие культуры управления операционными рисками;

■  выявление операционных рисков;

■  учет и классификация инцидентов операционных рисков;

■  оценка операционных рисков;

■  предметный анализ операционных рисков;

■  решение задач по минимизации (устранению) операционных рисков;

■  мониторинг и контроль минимизации  операционных рисков;

■  анализ СУОР.

 

Планирование внедрения СУОР

Планирование может выражаться в разработке документа «Концепция управления операционными рисками  в рамках общей стратегии кредитной организации». Данный документ должен давать представление об «идеальном» состоянии уровня операционных рисков, к которому следует стремиться, чтобы получить максимальный результат. По мере возможности необходимо конкретизировать способы достижения целей, перечислив плановые задачи (оперативные, тактические, стратегические), которые будут решены в рамках СУОР

 

Обучение персонала и развитие культуры управления операционными  рисками 

Формирование культуры управления ОР является одной из наиболее сложных задач: на начальном этапе риск-менеджеры, как правило, сталкиваются с сопротивлением и скепсисом персонала.

 

Обучение персонала отличается от обучения риск-менеджеров. В рамках учебного курса необходимо найти  разумный баланс между теорией и практикой, кроме того, следует обеспечить условия, позволяющие сотрудникам проходить обучение без отрыва от выполнения своих непосредственных обязанностей. По окончании учебного курса персонал должен иметь четкое представление о своем праве сообщать, о выявленных операционных рисках, об адресате подобных сообщений, их форме, а также способах мотивации и получения обратной связи по результатам минимизации операционного риска.

 

Очная форма обучения требует больших  трудозатрат на организацию и  проведение обучающих мероприятий, при этом объем аудитории сравнительно мал, а темп учебного процесса невысок.

 

Система дистанционного обучения является более эффективной за счет широкого охвата аудитории (в нее могут  входить все сотрудники филиальной сети), незначительных трудозатрат, возможности контролировать состав обучаемых и результаты динамичного учебного процесса.

 

Развитие культуры управления ОР предполагает не только обучение персонала, но и  проведение других мероприятий.

■  Разработка нормативныхдокументов, а именно:

—  раздела в составе политики по управлению рисками, касающегося  управления ОР; идеальным вариантом  является гармоничное функционирование СУОР в рамках общей системы управления рисками и ее взаимосвязь с  другими корпоративными системами управления;

— регламента выявления и оценки операционных рисков (положение по операционным рискам);

— документов (в соответствии с  перечнем нормативной документации), касающихся плана действий, направленных на обеспечение непрерывности деятельности и/или восстановление деятельности банка в случае возникновения непредвиденных обстоятельств.

■  Ознакомление сотрудника с регламентом  выявления и оценки ОР при приеме на работу (в банке должен быть формализован перечень документов, обязательных для  ознакомления при приеме на работу).

■  Внесение в раздел «Общие должностные  обязанности» должностной инструкции пункта об обязанности каждого сотрудника банка минимизировать операционные риски в рамках своей должности.

■  Регулярная рассылка информационных писем, напоминающих о необходимости сообщать о возникших операционных рисках.

■  Внесение в реестр управленческой отчетности банка (при наличии такового) формата отчета по операционным рискам.

■  Донесение информации о выявленных ОР до ответственных подразделений (владельцев риска).

■  Неперсонифицированный обмен  опытом между подразделениями (филиалами) в области управления ОР.

■  Внесение в форму сообщения  об ОР графы «Предложения по минимизации  операционных рисков». Сотрудников, внесших  эффективные предложения, после проведения соответствующих мероприятий следует премировать. В данном случае можно провести аналогию с системой инноваций и рацпредложений.

 

Выявление операционных рисков

Важнейшим источником информации об операционных рисках являются сообщения от работников банка (горячая линия). Подобную информацию также получают в результате анализа проводок по операциям бухгалтерского учета (денежные выплаты, добровольно произведенные банком; денежные выплаты, произведенные банком на основании решений уполномоченных государственных органов; досрочное списание (выбытие) материальных активов; повторные затраты; регрессные потери; снижение стоимости активов; счета, отражающие создание резервов на возможные потери, и др.).

 

Безусловно, необходимо выстраивать  взаимодействие со смежными подразделениями, в ходе которого будет происходить обмен конфиденциальной информацией и ее анализ. В числе таких подразделений можно указать следующие:

■  бизнес-подразделения;

■  подразделение по информационной безопасности (информационные риски);

■  маркетинговое подразделение (жалобы клиентов, данные о мониторинге  качества обслуживания);

■  подразделение по информационным технологиям (сведения о сбоях в IT-системах и количестве обращений  пользователей в службу технической  поддержки);

■  подразделение по безопасности (инциденты, по которым завершено / ведется  расследование, информация о чрезвычайных и аварийных ситуациях);

■  подразделение по описанию и  оптимизации бизнес-процессов банка;

■  подразделение по банковским технологиям и методологии (существенные операционные риски, источником которых могут быть бизнес-процессы и документы банка);

■  подразделение финансового  мониторинга;

■  подразделение по работе с  персоналом;

■  юридическое подразделение (информация из области страхования);

■  служба внутреннего контроля.

 

В связи с большим количеством  бизнес-подразделений и подразделений  бэк-офиса одной из важных задач  отдела по управлению операционными  рисками является грамотное выстраивание информационных потоков в целях  эффективного выявления OR

 

Учет и классификация инцидентов ОР

Выявленные инциденты операционного  риска необходимо учитывать в  специализированной базе данных. Содержание базы может меняться в зависимости  от условий работы внутреннего заказчика. Перечислим основные реквизиты базы данных:

■  дата уведомления об операционном риске;

■  дата свершения инцидента;

■  структурное подразделение, в котором произошел инцидент;

■  описание инцидента;

■  причина инцидента;

■  последствия инцидента;

■  уровень последствий (существенность риска);

■  объем операции, сумма фактического и возможного убытка, сумма возмещения;

■  предложения по минимизации  операционного риска;

■  направление деятельности (банковские продукты и услуги);

■  источник (фактор) риска (1-3 уровень);

■  принадлежность события крепутационно-му и информационному риску;

■  ФИО эксперта (в случае привлечения);

■  подразделение, отвечающее за минимизацию  операционного риска.

 

При ведении учета операционных рисков можно дополнительно определять степень их влияния на бизнес-процессы (при наличии в кредитной организации системы управления бизнес-процессами), на проекты (при наличии системы управления проектами), на расходы по статьям бюджета (при наличии системы бюджетирования).

 

Операционные риски можно разделять по уровням: корпоративный уровень, уровень бизнес-единиц, операционный уровень. Взаимосвязь операционных рисков с теми или иными элементами смежных систем управления позволяет вести многогранный учет в соответствии с требованиями законодательства и пожеланиями внутреннего заказчика, а также проводить системный анализ уровня ОР и определять корреляцию между отдельными фактами их реализации.

 

С целью разделения существенных и  несущественных операционных рисков банк может самостоятельно разработать процедуру их классификации. В данной работе авторы не рассматривают такой критерий существенности / несущественности, как денежное выражение риска, поскольку при повышенной интенсивности реализации даже несущественные в денежном выражении риски могут значительно повлиять на работу банка.

Незаменимым помощником при учете  и анализе является справочник операционных рисков. Такие справочники составляют на основе результатов опросов страховых  компаний, опросов внутри банка, по материалам изданий, специализирующихся на банковских технологиях, по данным базы инцидентов операционного риска.

 

Стоит отметить, что база инцидентов операционного риска по аналогии с прецедентным правом может являться источником типовых решений, т.е. решение, вынесенное по какому-либо инциденту OR обязательно для всех подразделений организации при рассмотрении ими аналогичных операционных рисков. Данная система дает банку возможность выполнять нормотворческие функции не только в случае отсутствия описания бизнес-процессов, но и при наличии недостаточно четкой нормативной документации.

 

Для проведения сравнительного анализа  необходимо фиксировать ОР сторонних  банков, обращаясь при этом к внешним  источникам (например, к неструктурированной  базе внешних операционных рисков, сформированной силами участников форума на сайте www.riskofficer.ru).

Внешние источники позволяют отследить  различные отечественные и зарубежные тенденции в сфере операционных рисков. Так, во время кризиса участились кражи денежных средств из банкоматов, кражи со счетов клиентов через систему дистанционного банковского обслуживания (ДБО), при изменении погодных условий (с наступлением морозов) увеличилось количество сбоев в работе банкоматов, возросло число мошеннических действий при кредитовании и т.д. Следует непрерывно изучать тенденции, анализировать текущую ситуацию в кредитной организации и в случае необходимости принимать меры по предупреждению операционных рисков (анализировать защищенность банко-матной сети и систем ДБО, оперативно менять месторасположение банкоматов (при наличии резервных мест), укреплять банкоматы, управлять лимитами загрузки банкоматов, вводить дополнительные способы защиты систем ДБО, обеспечивать страховое покрытие и т.д.). Отметим, что в других отраслях хозяйственной деятельности при наступлении аварии на одном участке автоматически проверяют все другие действующие участки в целях предупреждения повторных аварий. Авторы считают данный подход абсолютно правильным.

Анализ внешних операционных рисков позволяет понять, какие системы  защиты той или иной банковской услуги наиболее эффективны, и обеспечить новый банковский продукт надежной системой защиты.