Сущность операционных рисков и способы их минимизации в деятельности коммерческих банков

2. Подход на основе распределения потерь (Loss Distribution Approach, LDA), где используется стохастическое моделирование ("симуляции" на основе метода Монте-Карло), основанное на распределениях частоты и величины потерь.

Вторая методика приобрела наибольшую популярность в мире среди банков, использующих или стремящихся перейти на "продвинутый" подход, поэтому исследуем ее более подробно. Основные шаги расчета схематично приведены на рис. 3.

Рисунок 3. - Схема расчета регулятивного капитала методом LDA

Данные о потерях за пять лет (как минимум) разносятся по ячейкам "базельской" матрицы (матрицы, сформированной с помощью стандартной базельской классификации) из восьми направлений деятельности и семи видов рисковых событий. Для каждой ячейки, если это возможно с точки зрения наличия и достаточности информации, на основе эмпирических данных подбирают теоретические функции распределения частоты событий и величины потерь. При этом за основу лучше брать именно внутренние данные о потерях банка везде, где их достаточно, дополняя их внешними в случаях нехватки, а также внешними данными о крайне редких событиях для моделирования "хвостов" распределений. Подобранные теоретические распределения могут быть составными, т.е. на разных диапазонах частот и величин потерь могут использоваться разные функции распределения.

На следующем этапе на основе этих распределений для каждой ячейки матрицы производится многократный "розыгрыш" значений частоты и величины потерь методом Монте-Карло, позволяющий построить общее распределение потерь. Из полученного расчета отсекается необходимый квантиль (на уровне 99,9%), который определяет величину VaR и капитала, вычисляемого на его основе. Paсчет VaR, как правило, делают для каждой ячейки, для каждого направления деятельности и суммарный - для всей матрицы. При этом возможны разные методы получения суммарного VaR: как взвешенной с учетом корреляции суммы по отдельным ячейкам, так и расчета на основе вычислительно смоделированного суммарного распределения потерь.

Помимо данных о непосредственно реализовавшихся потерях, внутренних или внешних, рекомендуется вводить экспертные мнения, чтобы учесть сценарии редких событий (они тоже могут использоваться для моделирования "хвостов" распределений). При возможности стоит использовать ключевые индикаторы риска (измеримые влияющие факторы), если между ними и уровнями частоты или величины потерь существует корреляция для того или иного вида рисков и направления деятельности. В зависимости от текущего и прогнозного уровня индикатора и коэффициента его влияния он может как уменьшать, так и увеличивать величину VaR для конкретной ячейки и матрицы в целом. Отметим, что для внешних данных допускается масштабирование на размер организации (по активам, капиталу, количеству сотрудников или другим доступным параметрам) при их применении в расчете, чтобы верно использовать величины "чужих" потерь при моделировании "своих".

Смысл операционного риск-менеджмента - обеспечить необходимое качество всех операций и процессов. Важной составляющей системы управления операционным риском является минимизация возможных операционных потерь. Она обеспечивается с помощью:

-комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным потерям, и (или) на уменьшение (ограничение) размера потенциальных операционных потерь;

-мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок;

-планирования и разработки сценариев на случай непредвиденных ситуаций;

-обеспечения оперативного восстановления бизнеса в случае наступления чрезвычайных ситуаций;

-разработки и реализации мероприятий по ограничению и нейтрализации выявленных критических зон риска;

-развития банковских технологий, правил и процедур совершения операций;

-защиты информации;

-развития системы автоматизации и прочих мер.

В целях мониторинга операционного риска применяется система индикаторов уровня операционного риска (фиксирования событий), т.е. показателей, которые связаны с уровнем операционного риска, принимаемого кредитной организацией. При определении индикатора риска формулируется гипотеза о существовании в банке объективного измеримого количественного показателя риска, который характеризует определенную группу потерь. В качестве индикаторов уровня операционного риска могут быть использованы:

-сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты или объемов;

-текучести кадров;

-частота допускаемых ошибок и нарушений;

-прочее.

Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.

Основным компонентом операционного риска, подлежащего регулированию, является совершение несанкционированных операций, ошибки в работе персонала, нарушения и сбои в работе компьютерных сетей и оборудования.

В целях минимизации операционного риска, а также исключения возможных убытков (потерь) в банке на постоянной основе должно осуществляться выявление и сбор данных о внутренних и внешних факторах операционного риска. На основе полученной информации формируется аналитическая база данных о понесенных операционных убытках, где отражаются сведения о видах и размерах операционных убытков в разрезе направлений деятельности банка, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления. Риск-подразделение банка осуществляет анализ и дает оценку операционного риска. Банк производит оценку операционного риска в соответствии с рекомендациями Базельского комитета по банковскому надзору, а также оценку с использованием методов, рекомендованных либо разрешенных уполномоченным органом.

Целями управления и контроля над операционным риском являются минимизация информационных и финансовых потерь, связанных с отражением банковских операций на счетах бухгалтерского учета, а также адекватностью отражения учетной информации в различных формах отчетности, с эксплуатацией программного обеспечения, использованием в деятельности Банка технических средств и высокотехнологического оборудования при реализации банковских услуг. Управление данной категорией рисков осуществляется через принятие процедурных норм по операциям Банка и утверждения положений структурных подразделений, а также должностных инструкций сотрудников банка с целью разграничения их функций и полномочий.

Одним из инструментов, позволяющих выявить операционные риски, является анализ административно-управленческих расходов на основе данных бухгалтерского или аналитического учета. Предметом данного анализа являются расходы, непосредственно связанные с операционными рисками (штрафы, пени и т.д.), а также операционные расходы (явные или вмененные), возникновение которых не может быть объяснено движениями рынков или кредитными событиями. Анализ расходов позволяет выявить источники операционных рисков, а также дать количественную или статистическую оценку.

Для минимизации операционного риска, как правило, применяют следующие основные инструменты:

-разграничение доступа к информации;

-разработка защиты от несанкционированного входа в информационную систему;

-разработка защиты от выполнения несанкционированных операций средствами информационной системы;

-организация контролирующих рабочих мест до исполнения документов;

-автоматическое выполнение рутинных повторяющихся действий;

-аудит (регистрация и мониторинг) действий пользователей.

Как показало исследование, проведенное в первой части дипломной работы, операционные риски, безусловно, влияют на деятельность банка, однако не всегда учитываются в стратегии его развития. Бесспорным является и тот факт, что реализация указанных рисков влияет на финансовый результат: статистика показывает, что прямые потери могут составлять 5-20% от величины капитала под операционные риски, остальные потери являются скрытыми и носят качественный характер.

Таким образом, отсутствие системы управления операционными рисками приводит к возникновению множества проблем и повышает подверженность кредитной организации операционным рискам.

2. Анализ операционных рисков и способов их минимизации в коммерческих банках (на промере)

Анализ системы управления операционными рисками в банке

Управление операционным риском состоит из его выявления, оценки, мониторинга, контроля и/или минимизации (определение ЦБ РФ). Можно выделить следующие этапы внедрения системы управления операционными рисками:

1) классификация рисков банка;

2) определение сфер компетенции, функций и ответственности подразделений в управлении ОР;

3) сбор данных о размере потерь и вероятности наступления рисковых событий;

4) выявление факторов риска по разным направлениям бизнеса (ключевых индикаторов ОР};

5) количественная и качественная оценка ОР;

6) выбор механизмов контроля за ОР и расстановка приоритетов;

7) расчет экономического эффекта от контроля за ОР;

8) внедрение системы контроля и отчетности по ОР;

9) непрерывный мониторинг ОР.

Ключевым подразделением, отвечающим за разработку и внедрение системы оценки и управления операционными рисками, является соответствующее подразделение в рамках департамента, отвечающего за анализ и управление рисками банка (ДАУР). На рис. 4 представлены основные источники информации, необходимой для работы с операционными рисками.



ДАУР осуществляет комплексный анализ всей поступающей информации, в том числе аудит ее качества и достоверности. Отдельно производится контроль за устранением выявленных операционных рисков, а также их системная оценка в целом по банку. Кроме того, подразделение проводит стресс-тестирование и оценку эффективности системы управления операционными рисками.

Результатом работы ДАУР с массивом данных по операционным рискам являются следующие сведения и мероприятия:

¦ достоверная ежедневная информация по операционным рискам самого банка, а также выявленным в других финансовых организациях (согласно данным СМИ и т.д.);

¦ еженедельная динамическая оценка ключевых индикаторов операционного риска (КИР);

¦ ежемесячный отчет, предоставляемый председателю правления банка;

¦ ежеквартальный отчет, представляемый на правлении банка;

¦ ежегодный отчет для совета директоров банка;

¦ регулярный аудит и изменение внутренних бизнес-процессов банка с целью минимизации ОР;

¦ разработка и внесение оперативных дополнений в политику управления OR политику страхования, политику по противодействию внутреннему и внешнему мошенничеству в план действий, направленных на обеспечение непрерывности деятельности и/или ее восстановление (план ОНиВД), в положение о комитете по управлению операционными рисками и т.д. (рис. 5).

Таким образом, в последние годы в казахстанской банковской системе наблюдается "эволюция" ключевых банковских рисков, на управление которыми направлены силы отечественных кредитных организаций. Если в 2008г. основными рисками были рыночный и риск ликвидности, то в 2009г. ключевым становится кредитный риск. В 2010-2011гг. большинство казахстанских банков, переживших острую фазу кризиса, столкнулось с новыми разновидностями рисков -- стратегическим и операционным (рис. 1).



Рисунок Эволюция основных банковских рисков в казахстанских банках

Для наиболее эффективного выхода из кризиса и роста капитализации кредитным организациям потребовалась новая среднесрочная стратегия развития бизнеса. Новые стратегии подразумевают предложение новых кредитных продуктов, внедрение новых информационных технологий, наем дополнительного персонала, возврат компетенций по принятию отдельных кредитных решений в регионы и т.д. Как следствие, возникают дополнительные операционные риски, многие из которых были выявлены в кризисный период. В большинстве казахстанских банков управление операционными рисками (ОР) находится в зачаточном состоянии. Таким образом, построение системы мониторинга, оценки и управления операционными рисками является не только важной, но и, по сути, совершенно новой задачей.

3. Направления минимизации операционных рисков в деятельности коммерческих банков

3.1 Способы минимизации операционных рисков

В качестве методов ограничения операционного риска можно предложить:

-разделение функций по проведению сделок, которые должны производиться сотрудниками отдельных независимых подразделений, в целях персональной ответственности за каждую операцию и исключения возможности провести финансовую операцию от начала до конца, не уведомив иные подразделения;

-создание контрольной среды, то есть наличие встроенной системы контроля в ежедневные операции в целях повторного контроля операций со стороны независимого контролера путем подтверждения или двойного ввода информации;

-введение мер операционной, технической и физической безопасности (например, путем ограничения физического и логического доступа к информации с помощью шифрования, паролей и т.д.);

-обеспечение хранения, обработки и передачи данных, наличие дублирующих мощностей в телекоммуникационных и вычислительных сетях, обеспечение целостности данных и программного обеспечения;

-разработка планов и сценариев действий в чрезвычайных ситуациях и наличие возможности оперативного восстановления бизнеса в целях обеспечения непрерывности финансово-хозяйственной деятельности при совершении банковских операций и сделок;

-определение приемлемого уровня операционных рисков, присущих деятельности банка на финансовых рынках, и установление лимитов.

-для большинства операций достаточным лимитом будет служить объемный лимит, ограничивающий оборот в рамках той или иной деятельности или объемы вложений в определенные активы / пассивы. Целесообразным может быть лимитирование величин отдельных операций, проводимых под операционным риском;

-юридический контроль оформления операций (договоры и прочие документы);

-подтверждение сделки контрагентом, т.е. проведение расчетов только по факту получения от контрагента подтверждения сделки по надежным каналам связи;

-наблюдение за операционными рисками с целью принятия мер по поддержанию рисков на приемлемом уровне;

-контроль правильности, адекватности и полноты применения утвержденных процедур контроля и управления определенным уровнем рисков, а также независимая оценка результатов деятельности;

-передача операционного риска третьим лицам путем страхования и аутсорсинга (привлечение специализированной сторонней организации для выполнения отдельных видов работ/услуг) или отказ от осуществления определенных видов сделок.

1) Минимизация операционного риска в АБС. Технологический подход.

Известно, что самым слабым звеном в автоматизированных системах при выполнении стандартных (рутинных) процедур является человек (для АБС - операционист), поэтому технологический подход в самом общем виде направлен на снижение риска человеческого фактора при выполнении банковских операций. Основным направлением здесь с точки зрения минимизации операционного риска является максимальная автоматизация процессов управления и контроля информации на стадиях ввода/вывода данных в/из АБС.

Практика борьбы за снижение операционного риска выработала ряд типовых на сегодняшний день подходов, которые реализуются во всех промышленных АБС. Рассмотрим некоторые из них.

Управление правами доступа пользователей - позволяет разграничить доступ к информации в зависимости от компетенции и сферы ответственности конкретного исполнителя. Так, например, можно предоставить право формировать и корректировать реквизиты платежного поручения одному пользователю, в то время как другой пользователь будет иметь только право просмотра. Тем самым снижается риск внесения ошибочных данных неквалифицированным пользователем.

Автоматизированное заполнение документов условно постоянной информацией - минимизирует ручной ввод данных операционистом. При этом используются такие приемы, как:

-применение различных настроечных параметров (реквизиты банка, оргструктура, ФИО руководства и т.п.), информация из которых автоматически включается в различные платежные документы, отчеты и другие документы;

-справочники-классификаторы с нормативно-справочной информацией (НСИ), которая используется как при заполнении исходящих, так и при контроле входящих документов. Состав таких справочников в АБС достаточно широк, он включает в себя общие классификаторы (ОКВЭД, ОКПО, СОАТО и др.), отраслевые классификаторы, а также ряд международных стандартов (ISO, SWIFT, стандарты международных платежных систем);

-шаблоны операций и документов с предварительно заполненными параметрами, например маски счетов, коды документов, коды операций и т.п. Такие шаблоны позволяют избежать полного ручного заполнения документов - достаточно указать сумму и детали платежа. Если учесть, что количество платежных (и других) документов, формируемых в АБС, достаточно велико, а число реквизитов в таких документах тоже немалое, такие шаблоны являются эффективнейшим средством снижения операционного риска;

-формализованное описание условий типовых договоров, банковских продуктов (типы операций, процентные ставки, пеня, срочность и т.п.) - также позволяет избежать появления ошибок как при первоначальном вводе договора, так и при последующей его обработке (начисление процентов, пролонгация, закрытие);

-реализация протоколов обмена с внешними системами РКЦ, SWIFT, карточными процессингами и др. - исключает ручной набор платежных документов на терминалах соответствующих внешних систем. При этом очень важно обеспечить хранение в АБС формализованных описаний расчетных инструкций контрагентов.

Как видно из контекста, указанные приемы в основном направлены на минимизацию ввода реквизитов непосредственно операционистом за счет использования системной предварительно проверенной информации, хранящейся в базе данных.

Способствует снижению операционного риска и основной принцип СУБД - однократность ввода информации и многократное ее использование в различных приложениях. При этом важным элементом являются выделение и использование типовых (стандартных, ядерных) прикладных процедур, например расчета процентов, в различных функциональных модулях АБС. Здесь же следует отметить важность разработки и использования таких организационно-технических приемов, как:

-организация двойного ввода значимой информации;

-акцепт выполняемых операционистом операций вышестоящим лицом;

-применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

2) Минимизация операционного риска в АБС. Функциональный подход.

Перечисленные выше методы снижения операционного риска не претендуют на полноту охвата, главная их особенность - это то, что они могут быть применены для любого реализуемого в АБС банковского продукта. В то же время порядок и правила выполнения банковских операций достаточно жестко регламентируются нормативными документами Банка России, начиная с правил бухгалтерского учета (формирование плана счетов и номеров счетов, выполнение проводок и т.п.) и заканчивая четкими требованиями к геометрии форм выходных документов. Кроме того, существует жесткая регламентация и со стороны внешних систем, с которыми взаимодействует АБС.

Поэтому важнейшим элементом снижения операционного риска является соответствие результатов функционирования программного обеспечения АБС этим внешним требованиям. Другими словами, алгоритмы и их реализация (код программы) не должны содержать ошибок, то есть отличий от заявленной функциональности банковского продукта и от законодательных требований к условиям его реализации.

Минимизация рисков здесь достигается за счет хорошо проработанных промышленных методов разработки ПО, анализ которых не входит в предмет настоящей статьи. Можно лишь отметить, что набирающий в последнее время популярность подход к независимой реализации сервисов в рамках информационных систем (SOA - сервис-ориентированная архитектура), безусловно, способствует минимизации операционного риска. Дело в том, что "монолитное" ПО, в котором одни и те же процедуры используются для реализации различных банковских продуктов, чрезвычайно чувствительно к модификациям - любое вносимое в интересах конкретной функциональности изменение может непредсказуемо отразиться на других функциях. А так как в настоящее время поток нормативных изменений правил выполнения банковских операций и формирования отчетности достаточно интенсивный, то и соответствующие изменения в ПО АБС вносятся практически постоянно.

3) Минимизация операционного риска в АБС. Методологический аспект.

В основе функционирования любой автоматизированной информационной системы лежит двоичная логика. Поэтому реализация в виде программного кода возможна лишь для четко формализованных алгоритмов. Ярчайшей иллюстрацией этого тезиса является создание в настоящее время шахматных компьютерных программ, превосходящих шахматистов-профессионалов. В этом нет ничего удивительного - ведь шахматная партия развивается по четким, строго определенным правилам, количество вариантов ходов для каждой фигуры в каждой ситуации также отнюдь не бесконечно. Поэтому формализованное описание правил в виде программного кода вполне осуществимо, а количество анализируемых вариантов зависит от быстродействия вычислительных средств. А так как компьютер не устает и не "зевает", то у него есть преимущество перед человеком.

Возвращаясь к операционным рискам в АБС, в этой связи следует отметить огромное значение для их минимизации методологического обеспечения, под которым здесь понимается законодательная база. В самом деле, чем четче прописаны правила выполнения операций в законах, инструкциях, распоряжениях и других нормативных документах, тем меньше риск возникновения ошибок при реализации банковского продукта в АБС.

К сожалению, текущая ситуация далека от идеала. Так, например, задуманная однозначная идентификация физических и юридических лиц по ИНН не дала должного результата. Из-за этого разработчики АБС вынуждены изобретать свои собственные эвристические алгоритмы идентификации клиентов, которые не всегда срабатывают правильно.

Другим примером являются правила формирования документа "Платежное поручение". В свое время эти правила были дополнены порядком формирования полей для налоговых реквизитов. Однако такой важный реквизит, как НДС, был оставлен в неструктурированном поле "Назначение платежа", причем его печать в выходной форме необходимо осуществлять с новой строки. Эту ситуацию каждый разработчик ПО также решает по-своему.

Таких примеров можно привести достаточно много. Но эти проблемы в процессе эксплуатации постепенно решаются также эмпирическим путем. В настоящее время в связи с практикой применения Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" рассматриваемый здесь методологический аспект приобретает особое значение.

Практически во всех АБС появился дополнительный функционал для реализации положений упомянутого Закона и связанных с ним нормативных актов Банка России и других правительственных органов власти:

-идентификация клиентов, установление и идентификация выгодоприобретателей - сбор информации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

-выявление операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма;

-выявление среди клиентов или участников операций лиц и организаций, причастных к терроризму;

-формирование сообщений в уполномоченный орган.

Появились даже автономные программные продукты с такой функциональностью, которые используют сведения, экспортируемые из АБС.

Имеется достаточно большое количество методических разработок, определяющих порядок идентификации клиентов, выявление операций, подлежащих обязательному контролю, протоколы передачи данных в уполномоченный орган.

Вместе с тем и в этих нормативных документах имеются положения, не поддающиеся формализации в рамках АБС. Примерами могут служить группы операций, приведенных в Положении НБ РК и отмеченных кодами 5000 "Иные сделки с движимым имуществом" и 8000 "Сделки с недвижимым имуществом". Так как через банк проходят платежи по указанным сделкам, а в платежных документах пока никак не регламентированы ссылки на такие сделки, то выявить автоматизированным способом такие платежи невозможно, и риск невыявления таких операций достаточно велик. Что это означает для банка - можно легко себе представить.

На практике для выявления операций, подлежащих обязательному контролю, в АБС применяются различные способы фильтрации платежных документов:

-по корреспонденции счетов, соответствующих предварительно настроенным шаблонам;

-по нахождению суммы платежа в определенных пределах;

-по наличию в поле "Назначение платежа" определенных словосочетаний.

Окончательное решение по отбору операций остается за операционистом. Если учесть, что, как правило, количество документов, отобранных по такому сочетанию фильтрующих параметров, бывает достаточно большим, то эффективность такого контроля не достаточно высокая.

3.2 Модель формирования и внедрения системы управления операционными рисками в банке

Организация управления операционными рисками основана на системном подходе. Как уже было рассмотрено ранее, под управлением операционными рисками понимают любую деятельность относительно операционных рисков, в том числе идентификацию, оценку, мониторинг, контроль, разработку мер по снижению уровня операционных рисков, применение инструментов и методов по управлению операционными рисками. Таким образом, термин "управление операционными рисками" чрезвычайно широки означает скорее сферу деятельности. С другой стороны, система управления операционными рисками -- это конкретный формализованный набор инструментов и методов.

Данный набор формируется с учетом специфики деятельности банка и призван обеспечить наиболее эффективное управление операционными рисками.

Исходя из полученных результатов теоретического и практического исследования, проведенного в первых двух главах дипломной работы, можно выделить следующие компоненты модели организации СУОР:

-планирование внедрения СУОР;

-обучение персонала банка и развитие культуры управления операционными рисками;

-выявление операционных рисков;

-учет и классификация инцидентов операционных рисков;

-оценка операционных рисков;

-предметный анализ операционных рисков;

-решение задач по минимизации (устранению) операционных рисков;

-мониторинг и контроль минимизации операционных рисков;

-анализ СУОР.

1) Планирование внедрения СУОР.

Планирование может выражаться в разработке документа "Концепция управления операционными рисками в рамках общей стратегии кредитной организации". Данный документ должен давать представление об "идеальном" состоянии уровня операционных рисков, к которому следует стремиться, чтобы получить максимальный результат. По мере возможности необходимо конкретизировать способы достижения целей, перечислив плановые задачи (оперативные, тактические, стратегические), которые будут решены в рамках СУОР

2) Обучение персонала и развитие культуры управления операционными рисками.

Формирование культуры управления ОР является одной из наиболее сложных задач: на начальном этапе риск-менеджеры, как правило, сталкиваются с сопротивлением и скепсисом персонала.

Обучение персонала отличается от обучения риск-менеджеров. В рамках учебного курса необходимо найти разумный баланс между теорией и практикой, кроме того, следует обеспечить условия, позволяющие сотрудникам проходить обучение без отрыва от выполнения своих непосредственных обязанностей. По окончании учебного курса персонал должен иметь четкое представление о своем праве сообщать, о выявленных операционных рисках, об адресате подобных сообщений, их форме, а также способах мотивации и получения обратной связи по результатам минимизации операционного риска.

Очная форма обучения требует больших трудозатрат на организацию и проведение обучающих мероприятий, при этом объем аудитории сравнительно мал, а темп учебного процесса невысок.

Система дистанционного обучения является более эффективной за счет широкого охвата аудитории (в нее могут входить все сотрудники филиальной сети), незначительных трудозатрат, возможности контролировать состав обучаемых и результаты динамичного учебного процесса.

Развитие культуры управления ОР предполагает не только обучение персонала, но и проведение других мероприятий.

а) разработка нормативных документов, а именно:

-раздела в составе политики по управлению рисками, касающегося управления ОР; идеальным вариантом является гармоничное функционирование СУОР в рамках общей системы управления рисками и ее взаимосвязь с другими корпоративными системами управления;

-регламента выявления и оценки операционных рисков (положение по операционным рискам);

-документов (в соответствии с перечнем нормативной документации), касающихся плана действий, направленных на обеспечение непрерывности деятельности и/или восстановление деятельности банка в случае возникновения непредвиденных обстоятельств;

б) ознакомление сотрудника с регламентом выявления и оценки ОР при приеме на работу (в банке должен быть формализован перечень документов, обязательных для ознакомления при приеме на работу);

в) внесение в раздел "Общие должностные обязанности" должностной инструкции пункта об обязанности каждого сотрудника банка минимизировать операционные риски в рамках своей должности;

г) регулярная рассылка информационных писем, напоминающих о необходимости сообщать о возникших операционных рисках;

д) внесение в реестр управленческой отчетности банка (при наличии такового) формата отчета по операционным рискам;

е) доведение информации о выявленных ОР до ответственных подразделений (владельцев риска);

ж) неперсонифицированный обмен опытом между подразделениями (филиалами) в области управления ОР;

и) внесение в форму сообщения об ОР графы "Предложения по минимизации операционных рисков". Сотрудников, внесших эффективные предложения, после проведения соответствующих мероприятий следует премировать. В данном случае можно провести аналогию с системой инноваций и рацпредложений.

3) Выявление операционных рисков.

Важнейшим источником информации об операционных рисках являются сообщения от работников банка (горячая линия). Подобную информацию также получают в результате анализа проводок по операциям бухгалтерского учета (денежные выплаты, добровольно произведенные банком; денежные выплаты, произведенные банком на основании решений уполномоченных государственных органов; досрочное списание (выбытие) материальных активов; повторные затраты; регрессные потери; снижение стоимости активов; счета, отражающие создание резервов на возможные потери, и др.).

Безусловно, необходимо выстраивать взаимодействие со смежными подразделениями, в ходе которого будет происходить обмен конфиденциальной информацией и ее анализ. В числе таких подразделений можно указать следующие:

-бизнес-подразделения;

-подразделение по информационной безопасности (информационные риски);

-маркетинговое подразделение (жалобы клиентов, данные о мониторинге качества обслуживания);

-подразделение по информационным технологиям (сведения о сбоях в IT-системах и количестве обращений пользователей в службу технической поддержки);

-подразделение по безопасности (инциденты, по которым завершено / ведется расследование, информация о чрезвычайных и аварийных ситуациях);

-подразделение по описанию и оптимизации бизнес-процессов банка;

-подразделение по банковским технологиям и методологии (существенные операционные риски, источником которых могут быть бизнес-процессы и документы банка);

-подразделение финансового мониторинга;

-подразделение по работе с персоналом;

-юридическое подразделение (информация из области страхования);

-служба внутреннего контроля.

В связи с большим количеством бизнес-подразделений и подразделений бэк-офиса одной из важных задач отдела по управлению операционными рисками является грамотное выстраивание информационных потоков в целях эффективного выявления OR

4) Учет и классификация инцидентов ОР.

Выявленные инциденты операционного риска необходимо учитывать в специализированной базе данных. Содержание базы может меняться в зависимости от условий работы внутреннего заказчика. Перечислим основные реквизиты базы данных:

-дата уведомления об операционном риске;

-дата свершения инцидента;

-структурное подразделение, в котором произошел инцидент;

-описание инцидента;

-причина инцидента;

-последствия инцидента;

-уровень последствий (существенность риска);

-объем операции, сумма фактического и возможного убытка, сумма возмещения;

-предложения по минимизации операционного риска;

-направление деятельности (банковские продукты и услуги);

-источник (фактор) риска (1-3 уровень);

-принадлежность события крепутационному и информационному риску;

-ФИО эксперта (в случае привлечения);

-подразделение, отвечающее за минимизацию операционного риска.

При ведении учета операционных рисков можно дополнительно определять степень их влияния на бизнес-процессы (при наличии в кредитной организации системы управления бизнес-процессами), на проекты (при наличии системы управления проектами), на расходы по статьям бюджета (при наличии системы бюджетирования).

Операционные риски можно разделять по уровням: корпоративный уровень, уровень бизнес-единиц, операционный уровень. Взаимосвязь операционных рисков с теми или иными элементами смежных систем управления позволяет вести многогранный учет в соответствии с требованиями законодательства и пожеланиями внутреннего заказчика, а также проводить системный анализ уровня ОР и определять корреляцию между отдельными фактами их реализации.

С целью разделения существенных и несущественных операционных рисков банк может самостоятельно разработать процедуру их классификации. В данной работе авторы не рассматривают такой критерий существенности / несущественности, как денежное выражение риска, поскольку при повышенной интенсивности реализации даже несущественные в денежном выражении риски могут значительно повлиять на работу банка.

Незаменимым помощником при учете и анализе является справочник операционных рисков. Такие справочники составляют на основе результатов опросов страховых компаний, опросов внутри банка, по материалам изданий, специализирующихся на банковских технологиях, по данным базы инцидентов операционного риска.

Стоит отметить, что база инцидентов операционного риска по аналогии с прецедентным правом может являться источником типовых решений, т.е. решение, вынесенное по какому-либо инциденту OR обязательно для всех подразделений организации при рассмотрении ими аналогичных операционных рисков. Данная система дает банку возможность выполнять нормотворческие функции не только в случае отсутствия описания бизнес-процессов, но и при наличии недостаточно четкой нормативной документации.

Для проведения сравнительного анализа необходимо фиксировать ОР сторонних банков, обращаясь при этом к внешним источникам.

Внешние источники позволяют отследить различные отечественные и зарубежные тенденции в сфере операционных рисков. Так, во время кризиса участились кражи денежных средств из банкоматов, кражи со счетов клиентов через систему дистанционного банковского обслуживания (ДБО), при изменении погодных условий (с наступлением морозов) увеличилось количество сбоев в работе банкоматов, возросло число мошеннических действий при кредитовании и т.д. Следует непрерывно изучать тенденции, анализировать текущую ситуацию в кредитной организации и в случае необходимости принимать меры по предупреждению операционных рисков (анализировать защищенность банко-матной сети и систем ДБО, оперативно менять месторасположение банкоматов (при наличии резервных мест), укреплять банкоматы, управлять лимитами загрузки банкоматов, вводить дополнительные способы защиты систем ДБО, обеспечивать страховое покрытие и т.д.). Отметим, что в других отраслях хозяйственной деятельности при наступлении аварии на одном участке автоматически проверяют все другие действующие участки в целях предупреждения повторных аварий. Авторы считают данный подход абсолютно правильным.

Анализ внешних операционных рисков позволяет понять, какие системы защиты той или иной банковской услуги наиболее эффективны, и обеспечить новый банковский продукт надежной системой защиты.

5) Оценка операционного риска.

В международной банковской практике применяют следующие методы оценки резерва капитала под операционные риски.

а) Подход на основе базового индикатора (Basic Indicator Approach, BIA).

Упрощенный подход к расчету размера резерва капитала под операционные риски на основе базового индикатора предполагает прямую зависимость уровня операционного риска от масштабов деятельности организации. Естественно, что при этом не учитываются ни внутренние процедуры контроля, ни подверженность риску в различных направлениях деятельности.

б) Стандартный подход (The Standardized Approach, TSA).

Данный подход основан на выделении нескольких типовых направлений деятельности кредитной организации и определении размера капитала, резервируемого по каждому из них. Такой подход является более точным, чем BIA.

в) Альтернативный стандартный подход (Alternative Standardized Approach, ASA).

Отличие данного подхода от стандартного заключается в том, что для таких направлений деятельности, как банковское обслуживание физических и юридических лиц, расчет величины резервов производят не на основании показателя среднего валового дохода, а на основании величины средних остатков на соответствующих балансовых счетах.

г) Балльно-весовой метод (метод оценочных карт)

Для определения величины потенциальных убытков на основании экспертных оценок выбирают наиболее информативные для целей управления операционным риском аналитические показатели и устанавливают их относительную значимость, затем выбранные показатели сводят в специальные таблицы (оценочные карты). Полученные результаты обрабатывают с учетом заданных весовых коэффициентов и сопоставляют по направлениям деятельности кредитной организации, отдельным видам банковских операций и сделок. На основании рассчитанных значений строят карты операционных рисков, наглядно демонстрирующие вероятность появления операционных рисков и размеры возможных потерь по каждому направлению деятельности организации.

д) Статистический анализ распределения фактических убытков.

Методы, основанные на применении статистического анализа, позволяют составить прогноз потенциальных операционных убытков исходя из величины операционных убытков, полученных в прошлом. В ходе применения этих методов в качестве исходных параметров рекомендуется использовать информацию о реально понесенных операционных убытках, накопленную в аналитической базе данных.

е) Моделирование (сценарный анализ).

В рамках метода моделирования (сценарного анализа) величины операционных рисков экспертным путем определяют возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам.

В рамках оценки ОР можно сформировать справочник потерь для рисков, реализация которых не приносит прямых денежных потерь. Экспертным путем можно определить косвенные потери в денежном выражении: час простоя той или иной информационной и платежной системы стоит X тенге, исправление ошибки персонала стоит Y тенге, отказ клиента от дальнейшего обслуживания -- Z тенге и т.д. Такой справочник может быть привязан к показателям конкретного филиала (доля выручки, количество процессов, количество персонала и др.), т.к. потери из-за аналогичных инцидентов в небольшом и крупном филиалах могут значительно отличаться.

При отсутствии взаимосвязи потерь с показателями филиалов банка предлагается рассматривать несколько вариантов потерь (минимальные, средние, максимальные). В случае утверждения и размещения данного справочника в открытом доступе с риск-менеджеров будет снята масса вопросов по оцифровыванию потерь в результате инцидентов. Оценка косвенных потерь в денежном выражении позволяет определять приоритеты при минимизации операционных рисков.

Прежде чем приступать к созданию такого справочника, необходимо оценить его необходимость и полезность (например, использование при расчете окупаемости мероприятий (проектов), направленных на минимизацию операционного риска). Справочник необходимо пересматривать с установленной периодичностью.

6) Предметный анализ операционных рисков.

Зачастую мы имеем лишь общее и поверхностное описание выявленного операционного риска, и может сложиться обманчивое впечатление, что его можно без труда устранить силами нескольких работников за достаточно короткий срок. Практика показывает, что это не так. Необходимо проводить предметный анализ операционных рисков, представляющий собой не что иное, как функцию бизнес-анализа, т.е. риск-менеджер должен обладать навыками бизнес-аналитика.

Последовательность проведения анализа может быть следующей:

а) анализ наличия / отсутствия нормативной документации (НД); отсутствие или неактуальность НД уже является операционным риском для банка;

б) анализ содержательной части НД (анализ технологий и бизнес-процессов);

в) описание бизнес-процесса (при отсутствии описания) в какой-либо нотации (например, IDEF) и проведение встреч с его владельцами и участниками;

г) сравнение выполнения процесса на практике с описанием в нормативной документации, выявление несоответствий;

д) запрос мнений экспертов, которые в обязательном порядке следует фиксировать и использовать в дальнейшей работе;

е) формирование отчета с предложениями по минимизации операционных рисков.

В некоторых случаях вместо анализа инцидентов операционного риска необходимо проводить служебное расследование -- в зависимости от того, какими правами, обязанностями и полномочиями наделены риск-менеджеры банка и как организовано взаимодействие с подразделением безопасности.

При невозможности решения проблемы, выявленной в результате анализа, силами сотрудников данный вопрос передается на более высокий уровень:

-путем формирования служебных записок в адрес руководства;

-путем вынесения на обсуждение правлением банка;

-путем вынесения на обсуждение специализированным коллегиальным органом управления (КОУ) (технологическим комитетом, комитетом по операционным и информационным рискам);

-при отсутствии специализированного КОУ -- путем сбора информации о действующих коллегиальных органах управления банка и вынесения вопросов минимизации операционных рисков на обсуждение данными КОУ (в рамках полномочий каждого КОУ).

7) Решение задач по минимизации (устранению) ОР.

В целях минимизации операционных рисков принимают как стандартные, так и нестандартные решения.

К первым можно отнести принятие несущественного риска (в случае когда затраты на его устранение превышают ожидаемый эффект), а также выставление лимитов, страхование и аутсорсинг процессов (передача рисков сторонним организациям).

По мере развития СУОР все большее применение получают нестандартные решения, т.к. операционные риски разноформатны и охватывают практически всю деятельность банка. В зависимости от трудоемкости, сложности задачи и компетенции риск-менеджеров ОР снижают различными способами:

-силами ответственного подразделения (владельца риска);

-силами подразделения риск-менеджмента;

Допустим, процесс кредитования в конкретном банке является длительным, дорогим и неэффективным (с высокой долей просроченных кредитов), т.е. банк несет прямые потери (кредитный риск) из-за неправильно выстроенного процесса (операционный риск).

В ходе анализа процесса на соответствие бизнес-логике выявляют его недостатки и конкретизируют операционные риски. Далее разрабатывают варианты мероприятий по оптимизации процесса кредитования и минимизации операционных рисков. Затем реализуют утвержденные мероприятия по повышению прозрачности процесса (в том числе за счет автоматизации), вводят контрольные управленческие процедуры, изменяют входы и выходы подпроцессов и последовательность выполнения подпроцессов, актуализируют нормативные документы.

Проведенная работа позволяет увеличить скорость кредитования, снизить стоимость процесса, рост и долю просроченных кредитов. Работу проводят несколько подразделений, и вклад каждого подразделения (в процентном соотношении) в финансовый результат определить сложно. Однако практика показывает, что в целом применение СУОР может в значительной степени влиять на финансовый результат.

Кроме опосредованного влияния (в виде снижения операционных рисков, оптимизации бизнес-процессов, усиления внутреннего контроля за процессами, участия в коллегиальных органах управления и т.д.) подразделение по операционным рискам может оказывать и прямое влияние на финансовый результат, выражающееся в предупреждении мошенничества (в том числе возврат денежных средств), организации возмещения страховых сумм при наступлении страховых случаев, инициировании внедрения новых продуктов и технологий.

По мнению авторов, СУОР должна функционировать таким образом, чтобы минимизация операционных рисков производилась комплексно. Рассмотрим несколько комплексов мероприятий (проектов), направленных на решение указанной задачи.

Комплекс мероприятий по снижению риска персонала

-Повышение стандартов обслуживания и регулярный мониторинг качества обслуживания клиентов.

-Разработка системы поддержки фронт-офиса через call-центр.

-Внедрение системы противодействия мошенничеству.

-Распределение прав доступа в информационных системах и соблюдение правил информационной безопасности.

-Внедрение эффективной системы мотивации персонала.

-Анализ хронометража оказания услуг клиенту (сравнение нормативного значения с фактическим).

-Создание "единого окна обслуживания" для сотрудников фронт-офиса (в случае если банк использует несколько разнородных информационных систем).

-Анализ показателей по управлению персоналом (текучесть кадров, количество обученных сотрудников и т.д.).

Комплекс мероприятий по снижению риска процесса:

-Внедрение процессного подхода (структурирование бизнеса на процессы, описание процессов, определение владельцев процессов, нейтрализация "зон безответственности", своевременная актуализация внутренней нормативной документации и т.д.).

-Формирование электронной базыбизнес-процессов, поддерживаемых в актуальном состоянии (например, с применением программного обеспечения Business Studio (www.businessstudio.ru)).

-Внедрение системы мониторинга показателей деятельности на ежедневной основе (применение ключевых индикаторов риска в рамках общей системы мониторинга показателей банка).

-Анализ организационной структуры банка.

-Внедрение системы разработки (от идеи до ввода в действие) дополнительных процессов и новых продуктов. В качестве примеров подобных процессов можно указать следующие: "Управление инновациями и рацпредложениями"; "Анализ внутренних инвестиционных проектов" (чистый денежный поток (NCF), индекс прибыльности (PI), срок окупаемости проекта (РВР), внутренняя норма рентабельности (IRR), модифицированная внутренняя норма рентабельности (MIRR), дисконтирование, средневзвешенная стоимость капитала (WACC)); "Расчет маржинальной доходности в разрезе продуктов для эффективного управления продуктовым рядом".

-Внедрение системы определения приоритетности автоматизации процессов (с учетом рисков).

-Создание единого хранилища данных и формирование на его основе ERP-системы, системы бизнес-анализа (Business Intelligence. BI).

-Усиление внутреннего контроля бизнес-процессов.

Комплекс мероприятий по снижению риска систем:

-Оперативный учет информационных активов (информационные системы, оборудование, каналы связи).

-Формирование планов восстановления ГГ-сервиса.

-Внедрение системы оперативной замены оборудования, системы резервирования каналов связи.

-Внедрение системы Help-Desk.

-Виртуализация серверов.

-Внедрение проектногоподходакдеятель-ности подразделения, отвечающего за доработку используемого ПО и разработку нового.

-Внедрение сервисногоподходакдеятельно-сти подразделения, отвечающего за обслуживание IT-сервисов (информационных систем) (IT Service Management, ITSM).

-Четкое разделение функций между отделами, занимающимися разработкой программного обеспечения и обслуживанием информационных систем.

Комплекс мероприятий по снижению риска внешней среды:

-Комплексное страхование бизнеса.

-Внедрение системы ОНиВД (обеспечения непрерывности деятельности и/или восстановления деятельности банка в случае возникновения непредвиденных обстоятельств): повышение физической безопасности объектов банка; повышение информационной безопасности банка; повышение организационной безопасности банка.

Представленные выше проекты могут быть как взаимодополняющими, так и взаимоисключающими. При этом решение данных задач требует активного участия всех подразделений банка. Успех описанных проектов зависит от уровня слаженности управленческой команды и понимания общих целей и задач.

8) Мониторинг и контроль минимизации ОР.

Мониторинг проводят с установленной периодичностью путем наблюдения, т.е. операционному риску (группе операционных рисков) присваивается статус: "устранен", "минимизирован", "принят", "передан сторонним организациям", "в работе". Необходимо фиксировать, каким образом был минимизирован тот или иной операционный риск.

Существует несколько вариантов проведения мониторинга:

-На основании анализа индикаторов операционного риска. Отметим, что в некоторых случаях внедрение учетной системы ключевых индикаторов риска требует значительных затрат, при этом получаемый эффект остается "непрозрачным" в денежном выражении.

-На основании отчетов руководителя рабочей группы о ходе выполнения того или иного проекта.

-На основании повторного выявления операционных рисков.

-На основании данных системы административного контроля (результаты выполнения задач, зафиксированных в письменной или электронной форме в контрольных карточках). Административный контроль позволяет снижать вероятность затягивания работ по минимизации ОР и зачастую помогает улучшить качество и эффективность выполнения решений.

Наиболее сложным моментом в мониторинге процесса минимизации ОР является определение качества выполняемых работ. Этот вопрос можно решить путем повышения компетентности риск-менеджеров в той или иной профессиональной области, а также с помощью сторонних экспертов (дорогой вариант решения) либо путем проведения опроса внутренних потребителей услуг.

Система управления операционными рисками может быть представлена следующими отчетами: