Система управления операционными рисками в кредитной организации

 

Оценка операционного риска 

В соответствии с Положением ЦБ РФ от 3 ноября 2009 г. №346-П «О порядке  расчета размера операционного  риска» размер ОР включают в расчет норматива достаточности собственных средств (капитала) банка (Н1) следующим образом:

■  начиная с отчетности на 1 августа 2010г.— в размере 40% от рассчитанного  в соответствии с настоящим Положением;

■  начиная с отчетности на 1 августа 2011 г. — в размере 70%;

■  начиная с отчетности на 1 августа 2012 г.— в размере 100%.

Положение №346-П подлежит официальному опубликованию в «Вестнике Банка  России» и вступает в силу с 1 июля 2010 г.

 

В международной банковской практике применяют следующие методы оценки резерва капитала под операционные риски.

 

Подход на основе базового индикатора (Basic Indicator Approach, BIA)

Упрощенный подход к расчету  размера резерва капитала под  операционные риски на основе базового индикатора предполагает прямую зависимость уровня операционного риска от масштабов деятельности организации. Естественно, что при этом не учитываются ни внутренние процедуры контроля, ни подверженность риску в различных направлениях деятельности.

 

Стандартный подход

(The Standardized Approach, TSA)

Данный  подход основан на выделении нескольких типовых направлений деятельности кредитной организации и определении  размера капитала, резервируемого по каждому из них. Такой подход является более точным, чем BIA.

 

Альтернативный  стандартный подход (Alternative Standardized Approach, ASA)

Отличие данного  подхода от стандартного заключается  в том, что для таких направлений  деятельности, как банковское обслуживание физических и юридических лиц, расчет величины резервов производят не на основании показателя среднего валового дохода, а на основании величины средних остатков на соответствующих балансовых счетах.

 

Балльно-весовой  метод (метод оценочных карт)

Для определения  величины потенциальных убытков  на основании экспертных оценок выбирают наиболее информативные для целей управления операционным риском аналитические показатели и устанавливают их относительную значимость, затем выбранные показатели сводят в специальные таблицы (оценочные карты). Полученные результаты обрабатывают с учетом заданных весовых коэффициентов и сопоставляют по направлениям деятельности кредитной организации, отдельным видам банковских операций и сделок. На основании рассчитанных значений строят карты операционных рисков, наглядно демонстрирующие вероятность появления операционных рисков и размеры возможных потерь по каждому направлению деятельности организации.

 

Статистический  анализ распределения фактических  убытков 

Методы, основанные на применении статистического  анализа, позволяют составить прогноз  потенциальных операционных убытков исходя из величины операционных убытков, полученных в прошлом. В ходе применения этих методов в качестве исходных параметров рекомендуется использовать информацию о реально понесенных операционных убытках, накопленную в аналитической базе данных.

 

Моделирование (сценарный анализ)

В рамках метода моделирования (сценарного анализа) величины операционных рисков экспертным путем определяют возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам.

 

Для сравнительного анализа капитала под операционные риски различных  банков можно воспользоваться сайтом www.tridea.ru и ознакомиться с оценкой  указанного капитала, полученной с применением подходов BIA,TSA, ASA.

 

В рамках оценки ОР можно сформировать справочникпотерьдля рисков, реализация которых не приносит прямых денежных потерь. Экспертным путем можно определить косвенные потери в денежном выражении: час простоя той или иной информационной и платежной системы стоит X руб., исправление ошибки персонала стоит Y руб., отказ клиента от дальнейшего обслуживания — Zpyб. и т.д. Такой справочник может быть привязан к показателям конкретного филиала (доля выручки, количество процессов, количество персонала и др.), т.к. потери из-за аналогичных инцидентов в небольшом и крупном филиалах могут значительно отличаться.

 

При отсутствии взаимосвязи потерь с показателями филиалов банка предлагается рассматривать несколько вариантов потерь (минимальные, средние, максимальные). В случае утверждения и размещения данного справочника в открытом доступе с риск-менеджеров будет снята масса вопросов по оцифровыванию потерь в результате инцидентов. Оценка косвенных потерь в денежном выражении позволяет определять приоритеты при минимизации операционных рисков.

 

Прежде чем приступать к созданию такого справочника, необходимо оценить  его необходимость и полезность (например, использование при расчете  окупаемости мероприятий (проектов), направленных на минимизацию операционного риска). Справочник необходимо пересматривать с установленной периодичностью.

 

Предметный анализ операционных рисков

Зачастую мы имеем лишь общее  и поверхностное описание выявленного  операционного риска, и может  сложиться обманчивое впечатление, что его можно без труда устранить силами нескольких работников за достаточно короткий срок. Практика показывает, что это не так. Необходимо проводить предметный анализ операционных рисков, представляющий собой не что иное, как функцию бизнес-анализа, т.е. риск-менеджер должен обладать навыками бизнес-аналитика.

 

Последовательность проведения анализа  может быть следующей:

1) анализ наличия / отсутствия  нормативной документации (НД); отсутствие  или неактуальность НД уже  является операционным риском для банка;

2) анализ содержательной части  НД (анализ технологий и бизнес-процессов);

3) описание бизнес-процесса (при  отсутствии описания) в какой-либо  нотации (например, IDEF) и проведение  встреч с его владельцами и  участниками; 

4) сравнение выполнения процесса на практике с описанием в нормативной документации, выявление несоответствий;

5) запрос мнений экспертов, которые  в обязательном порядке следует  фиксировать и использовать в  дальнейшей работе;

6) формирование отчета с предложениями по минимизации операционных рисков.

 

В некоторых случаях вместо анализа  инцидентов операционного риска  необходимо проводить служебное  расследование — в зависимости  от того, какими правами, обязанностями  и полномочиями наделены риск-менеджеры  банка и как организовано взаимодействие с подразделением безопасности.

 

При невозможности решения проблемы, выявленной в результате анализа, силами сотрудников данный вопрос передается на более высокий уровень:

■  путем формирования служебных  записок в адрес руководства;

■  путем вынесения на обсуждение правлением банка;

■  путем вынесения на обсуждение специализированным коллегиальным  органом управления (далее — КОУ) (технологическим комитетом, комитетом  по операционным и информационным рискам);

■  при отсутствии специализированного КОУ — путем сбора информации о действующих коллегиальных органах управления банка и вынесения вопросов минимизации операционных рисков на обсуждение данными КОУ (в рамках полномочий каждого КОУ).

 

Решение задач по минимизации (устранению) ОР

В целях минимизации операционных рисков принимают как стандартные, так и нестандартные решения.

 

К первым можно отнести принятие несущественного риска (в случае когда затраты на его устранение превышают ожидаемый эффект), а  также выставление лимитов, страхование и аутсорсинг процессов (передача рисков сторонним организациям).

 

По мере развития СУОР все большее  применение получают нестандартные  решения, т.к. операционные риски разноформатны  и охватывают практически всю  деятельность банка. В зависимости от трудоемкости, сложности задачи и компетенции риск-менеджеров ОР снижают различными способами:

■  силами ответственного подразделения (владельца риска);

■  силами подразделения риск-менеджмента;

 

Допустим, процесс кредитования в  конкретном банке является длительным, дорогим и неэффективным (с высокой долей просроченных кредитов), т.е. банк несет прямые потери (кредитный риск) из-за неправильно выстроенного процесса (операционный риск).

 

В ходе анализа процесса на соответствие бизнес-логике выявляют его недостатки и конкретизируют операционные риски. Далее разрабатывают варианты мероприятий по оптимизации процесса кредитования и минимизации операционных рисков. Затем реализуют утвержденные мероприятия по повышению прозрачности процесса (в том числе за счет автоматизации), вводят контрольные управленческие процедуры, изменяют входы и выходы подпроцессов и последовательность выполнения подпроцессов, актуализируют нормативные документы.

 

Проведенная работа позволяет увеличить  скорость кредитования, снизить стоимость процесса, рост и долю просроченных кредитов. Работу проводят несколько подразделений, и вклад каждого подразделения (в процентном соотношении) в финансовый результат определить сложно. Однако практика показывает, что в целом применение СУОР может в значительной степени влиять на финансовый результат.

 

Кроме опосредованного влияния (в  виде снижения операционных рисков, оптимизации  бизнес-процессов, усиления внутреннего  контроля за процессами, участия в  коллегиальных органах управления и т.д.) подразделение по операционным рискам может оказывать и прямое влияние на финансовый результат, выражающееся в предупреждении мошенничества (в том числе возврат денежных средств), организации возмещения страховых сумм при наступлении страховых случаев, инициировании внедрения новых продуктов и технологий.

 

По мнению авторов, СУОР должна функционировать  таким образом, чтобы минимизация  операционных рисков производилась  комплексно. Рассмотрим несколько комплексов мероприятий (проектов), направленных на решение указанной задачи.

 

Комплекс мероприятий по снижению риска персонала 

■ Повышение стандартов обслуживания и регулярный мониторинг качества обслуживания клиентов.

■  Разработка системы поддержки  фронт-офиса через call-центр.

■  Внедрение системы противодействия мошенничеству.

■  Распределение прав доступа  в информационных системах и соблюдение правил информационной безопасности.

■  Внедрение эффективной системы  мотивации персонала.

■  Анализ хронометража оказания услуг  клиенту (сравнение нормативного значения с фактическим).

■  Создание «единого окна обслуживания»  для сотрудников фронт-офиса (в  случае если банк использует несколько  разнородных информационных систем).

■  Анализ показателей по управлению персоналом (текучесть кадров, количество обученных сотрудников и т.д.).

 

Комплекс мероприятий по снижению риска процесса

■ Внедрение процессного подхода (структурирование бизнеса на процессы, описание процессов, определение владельцев процессов, нейтрализация «зон безответственности», своевременная актуализация внутренней нормативной документации и т.д.).

■  Формирование электронной базыбизнес-процессов, поддерживаемых в актуальном состоянии (например, с применением программного обеспечения Business Studio (www.businessstudio.ru)).

■  Внедрение системы мониторинга показателей деятельности на ежедневной основе (применение ключевых индикаторов риска в рамках общей системы мониторинга показателей банка).

■  Анализ организационной структуры  банка.

■  Внедрение системы разработки (от идеи до ввода в действие) дополнительных процессов и новых продуктов. В качестве примеров подобных процессов можно указать следующие:

— «Управление инновациями и  рацпредложениями»;

— «Анализ внутренних инвестиционных проектов» (чистый денежный поток (NCF), индекс прибыльности (PI), срок окупаемости проекта (РВР). внутренняя норма рентабельности (IRR), модифицированная внутренняя норма рентабельности (MIRR), дисконтирование, средневзвешенная стоимость капитала (WACC));

—  «Расчет маржинальной доходности в разрезе продуктов для  эффективного управления продуктовым рядом».

■  Внедрение системы определения  приоритетности автоматизации процессов (с учетом рисков).

■  Создание единого хранилища  данных и формирование на его основе ERP-системы, системы бизнес-анализа (Business Intelligence. BI).

■  Усиление внутреннего контроля бизнес-процессов.

 

Комплекс мероприятий по снижению риска систем

■ Оперативный учет информационных активов (информационные системы, оборудование, каналы связи).

■  Формирование планов восстановления ГГ-сервиса.

■  Внедрение системы оперативной  замены оборудования, системы резервирования каналов связи.

■  Внедрение системы Help-Desk.

■  Виртуализация серверов.

■  Внедрение проектногоподходакдеятель-ности  подразделения, отвечающего за доработку  используемого ПО и разработку нового.

■  Внедрение сервисногоподходакдеятельно-сти  подразделения, отвечающего за обслуживание IT-сервисов (информационных систем) (IT Service Management, ITSM).

■  Четкое разделение функций между  отделами, занимающимися разработкой  программного обеспечения и обслуживанием информационных систем.

 

Комплекс мероприятий по снижению риска внешней среды 

■ Комплексное страхование бизнеса.

■  Внедрение системы ОНиВД (обеспечения  непрерывности деятельности и/или  восстановления деятельности банка в случае возникновения непредвиденных обстоятельств):

—  повышение физической безопасности объектов банка;

—  повышение информационной безопасности банка;

— повышение организационной безопасности банка.

 

Представленные выше проекты могут  быть как взаимодополняющими, так и взаимоисключающими. Мы понимаем, что решение данных задач требует активного участия всех подразделений банка. Успех описанных проектов зависит от уровня слаженности управленческой команды и понимания общих целей и задач.