О требованиях к системе управления операционным риском

  • автор:

— Екатерина, что изменилось в управлении рисками и каково сегодня регулирование в этой области?

— Меняется само регулирование. И в регулировании, и в надзоре в фокусе внимания — развитие и стимулирование. Задачи регулятора по обеспечению устойчивости дополнены задачами поддержания финансовой стабильности. При этом Банк России подчеркивает, что подход к регулированию меняется, но без ущерба для управления рисками: должен быть достигнут баланс между ограничением рисков и необходимостью стимулирования.

Выравниваются конкурентные условия для участников разного размера, вводится так называемое пропорциональное регулирование. Меняются акценты. Они смещаются от работы с последствиями к работе с источником, предотвращению риска. Меняется и характер надзора. Проводится его централизация в целях повышения оперативности реагирования. Создана Служба анализа рисков.

Модель, к которой стремится Банк России, — переход от пруденциального надзора к консультативному. Под этим понимается совместная с банками работа на ранних этапах возникновения проблем, совместная выработка решения. Регулятор принимает тезис, что оценка риска должна проводиться на основе внутренних данных и моделей, поддерживает его, но отмечает, что переход к такому взаимодействию возможен при готовности банков предоставлять полную и достоверную информацию.

Мы уже сейчас имеем возможность видеть эти изменения в проектах нормативных документов Банка России. Пример тому — проект Положения о требованиях к системе управления операционным риском.

К слову, формирование требований в этой части — в вопросах управления операционным риском — отражает области, которые войдут в число приоритетных. Это понимание того, что значительный объем рисков будет носить не финансовую, а технологическую природу, и мы все должны быть к этому готовы. Это повышение требований к качеству капитала.

— В чем разница между мировыми подходами и отечественными практиками?

— На мой взгляд, разница незначительна и завязана на уровень риск-культуры в организациях. Здесь мы еще находимся на стадии становления, хотя прогресс существенный. Обусловлено это историей развития экономики и регулирования. Так, функцию риск-менеджмента стали выделять в обособленную отрасль в 50-х годах прошлого века, и началось это в США. В 80-х годах нововведение дошло до Европы. На территории России вопросы управления рисками при плановой экономике лежали в области безопасности производства и труда. Здесь изменения начались в 90-х годах. Но скорость изменений очень высока. В этом вопросе я опираюсь на оценку наших западных коллег.

— Какова история проекта Положения ЦБ «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и в чем его новизна?

— Регулирование в части управления операционным риском на российском рынке до выпуска данного проекта Положения имело следующий вид: наличие самого понятия «операционный риск»; требования к расчету капитала под операционный риск и включение его в расчет норматива достаточности капитала; письма, носящие рекомендательный характер. Четко определенных требований и ожиданий регулятора к самому построению системы управления не было. Банки ориентировались на международную практику и документы Базельского комитета по банковскому надзору, но часто ограничивались расчетом капитала. Он был прост — 15 % средневалового дохода за три года.

Существенный недостаток такого подхода к расчету капитала заключается в том, что он совершенно не отражает уровень риска, работу организации по управлению риском, систему внутреннего контроля, не стимулирует к развитию в этой части. В этой связи кто-то инвестировал свой ресурс в построение системы управления в целях расчета капитала на основе внутренних оценок, а кто-то — нет.

При этом критичность управления нефинансовыми рисками, как мы уже говорили, в последнее время нарастает. Управление операционным риском — сложная, многопрофильная область, пронизывающая все направления деятельности организации, требующая вовлечения всех и каждого, высокого уровня риск-культуры. Операционный риск по своей природе существенно отличается от финансовых рисков. По сути, это потери «от неинформированности»: то, о чем вы можете еще не знать и не выстроить защиту.

Знать все возможные факторы риска, оперативно принимать по ним решения — первоочередная задача в построении системы управления. Проект Положения задает структуру такого управления и делает ее обязательной для всех.

Важно отметить, что проект Положения прошел публичные обсуждения с банковским сообществом и учитывает практический опыт управления.

— Чего хотели банкиры от регулятора в ходе дискуссий?

— Первая редакция проекта Положения оставляла открытые вопросы. Представители банковского сообщества выносили практические аспекты управления и уточняли позицию регулятора. С их учетом документ был в чем-то уточнен, в чем-то доработан. Так, был введен порог регистрации событий операционного риска. Появилась дифференциация требований в зависимости от размеров активов и типа лицензии.

— Отменяет ли проект Положения использование «Базель II» и подход на основе внутренних рейтингов к расчету кредитного риска (ПВР)? Какие перспективы у «Базель III»?

— Это новая редакция, она не отменяет предыдущее, а дополняет их и направлена на устранение недостатков, выявленных финансовым кризисом 2008-2009 годов, а также не повышение устойчивости банковских систем в целом. Банк России разрабатывает и планирует выпустить регуляторные требования, включающиеся в себя все изменения «Базель III» в сроки, предусмотренные Базельским комитетом по банковскому надзору.

Возвращаясь к Положению Банка России «О требованиях с системе управления операционным риском», можно сказать, что это первый нормативный документ, выпускаемый в целях внедрения нового стандартизированного подхода «Базель III» к расчету капитала под операционный риск.

— Давайте дадим определение операционного риска, которое актуально сегодня.

— Если говорить просто, это потери, которые компания несет либо может понести в силу недостатков в организации своей операционной деятельности. И это касается любой компании, вне зависимости от сферы деятельности.

Что может быть примером такого рода недостатков? Например, отсутствие в процессах элементов, снижающих вероятность возникновения ошибок, или то, что делает возможным мошенничество.

Факторы операционного риска — это все то, что ставит под угрозу саму деятельность организации и достижение целей. К таковым относят не только внутреннюю среду, но и события, которые возникают вне компании. Но в каждом из случаев возможно выстроить защиту и продумать варианты решения и снижения потерь.

— Почему важно выстроить эффективную систему управления операционными рисками, которая удовлетворит требованиям регулятора?

— Первое — формирование капитала соразмерно уровню риска. Достаточно, но не избыточно. Второе — понимание своей уязвимости, всех факторов риска; выработка и принятие мер, направленных на снижение риска. Информированность — и действие. Его оперативность, адекватность и своевременность. Совершенствование процессов, процедур и инструментария.

Значительный объем рисков будет носить не финансовую, а технологическую природу, и мы все должны быть к этому готовы

Пример. Склейка купюр определенным образом позволяла мошенникам обманывать валидаторы банкоматов и вносить фальшивые купюры. Выстроенная система фиксации событий такого рода, быстрая ее обработка и выявление причины, понимание периметра проблемы, оперативная эскалация на уровень принятия решения и включение в периметр всех необходимых участников позволили в течение нескольких часов принять нужное решение. В данном случае был отключен прием банкоматами определенной модели купюр определенного номинала, а программное обеспечение валидатора было доработано с учетом выявленной уязвимости.

Важно помнить, что управление операционным риском было выделено в отдельную область, требующую особого внимания, после ряда крупных банкротств. Бездействие здесь дорого стоит.

— SAS движется в направлении объединения технологий и бизнес-консалтинга. Можно ли сказать, что тематика операционного риска вписывается в это утверждение?

— Да, безусловно! Более того, мы с этого начинаем. За годы работы у SAS накоплены богатый опыт и экспертиза — опыт зарубежных проектов и, что сегодня особенно ценно, российская практика.

Здесь я как в прошлом заказчик поделюсь своим мнением: когда ты первопроходец и строишь что-то с чистого листа, очень важны плечо, которое рядом, надежность партнера, его готовность идти с тобой одной дорогой, взаимопонимание. Если нет готовых решений, важен опыт обоих и готовность искать решение, создавать новое. Когда мы выстраивали систему управления операционным риском в Сбербанке, SAS был мне хорошим подспорьем. Очень многое нам удалось, потому что мы действовали вместе, и мы продолжаем действовать вместе.

— Можно ли, по вашему опыту, в двух словах описать, куда шел Сбербанк в самом начале пути по управлению операционными рисками?

— Цель — формирование капитала соразмерно уровню риска, а значит, нацеленность на так называемые продвинутые методы расчета капитала. Эти методы подразу-мевают наличие и накопление внутренних данных о потерях, включая потенциальные, моделирование. Соответственно мы выстраивали процессы, позволяющие операционный риск идентифицировать, формировали базу данных, строили модели. Параллельно с этим шла работа по совершенствованию процессов, процедур, внедрению новых технологий для устранения выявленных уязвимостей.

— В чем различия управления операционными рисками в большом и маленьком банках? На чей опыт ориентироваться последним и как им в этом может помочь SAS?

— Размер банка влияет на объем операций, перечень их видов (или, наоборот, зависит от них). В самих процедурах управления различий нет.

На кого ориентироваться? На тех, у кого есть опыт, кто уже проходил этот путь, кто имеет опыт ошибок, то есть на собственном опыте пришел к пониманию, что дает результат, а что — нет и почему, где требуется настройка и какая. На тех, кто готов этим делиться. На тех, кто преломлял красивые концепции в практическую плоскость.

Риск-менеджер с пониманием истории развития процессов, их взаимного влияния, истории и логики принятых когда-то решений — бесценен

И, как мы уже отмечали, в большинстве случаев интерес к этому и соответственно готовность инвестировать на это ресурсы были у крупных банков. Учтите их опыт, возьмите из него то, что подходит конкретно вам, настройте его под себя. Но не отказывайтесь: это может быть опыт десятилетней работы, а вы можете получить его в концентрированном виде.

SAS может такой опыт предоставить. Речь уже идет не только о программном обеспечении, но и о ресурсной и методологической поддержке. Управление операционным риском — область новая, непростая, межфункциональная, и объективно на рынке на данный момент дефицит специалистов в этой области.

— Как решается проблема нехватки кадров в целом?

— Специалист в области управления рисками должен обладать гибкостью мышления при твердости характера. Я формулирую это так. Функции риск-менеджмента не сводятся к контролю и ограничениям. Это партнерская функция. Риск-менеджмент должен участвовать в выработке решений.

Таким образом, важнейшими качествами такого специалиста должны быть, с одной стороны, способность выдерживать напряжение, с другой — умение слышать и создавать новое. Такое сочетание найти непросто, и интерес такого специалиста удержать сложно.

Кроме того, этот специалист должен быть проводником риск-культуры в организации, уметь выстраивать влияние, доверие, диалог. Здесь важна открытость сторон. В таких вопросах подход «ты должен» не работает, более того — вредит. Культуру открытости насадить нельзя.

Риск-менеджеру именно в области операционных рисков необходимо также глубоко понимать процессы в организации, причем не только в какой-то конкретной области, но и их взаимосвязь. Понимать, как элементы разных процессов и технологий влияют друг на друга, иметь в голове полную картину. Специалист с пониманием истории развития процессов, их взаимного влияния, истории и логики принятых когда-то решений — бесценен, а широкий кругозор такого специалиста даст возможность создавать новое и находить решения.

Здесь помимо редкости такого ресурса встают вопросы его стоимости (это достаточно дорогая компетенция) и привлечения: как заинтересовать сотрудника и сохранять интерес долгое время.

С учетом всего сказанного мой «рецепт»: растить, поддерживать и беречь специалистов. Все, что касается выстраивания диалога, влияния и доверия, — это процессы, требующие времени. Как того требует создание хорошей репутации. Поэтому здесь сложно заменить человека: вновь пришедший начинает выстраивать отношения заново.

Но к решению некоторых задач можно привлекать внешних специалистов соответствующей компетенции. Это, на мой взгляд, решает вопрос с поддержанием интереса и стоимостью ресурса: можно брать ресурс под конкретные проекты, на определенный срок. SAS планирует создание пакетов таких услуг, в том числе для небольших банков, предлагая решение «под ключ». Также в наших планах создание учебных программ для специалистов, ориентированных на практический опыт.

— Часть банков увлеклась самостоятельной разработкой ПО. Но в случае управления операционным риском многие ориентируются на промышленное решение. Почему?

— Промышленное решение защищает его пользователей от определенных рисков. Оно существует вне привязки к конкретным разработчикам и сопровождается системно, а не отдельными людьми.

Кроме того, если говорить о практике управления операционным риском, то с учетом того, что в мире его используют с 80-х годов прошлого века, а на российском рынке оно только зарождается, особую ценность приобретает опыт зарубежных коллег и регулирования. У серьезного вендора на основе его международной практики имеются соответствующие наработки, что сокращает сроки разработки решений.

Регуляторный риск Банка

Комплаенс-риск — риск возникновения у Банка убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов Банка, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для Банка), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов. Данный риск также называется регуляторным риском.

Мероприятия по минимизации регуляторного (комплаенс) риска в Банке.

1) Наличие в Банке Службы внутреннего контроля, выполняющей следующие функции (по существу функции комплаенс-контроля):

  • выявление регуляторного риска;
  • учёт событий регуляторного риска, количественная оценка вероятности возникновения и возможных последствий регуляторного риска;
  • мониторинг регуляторного риска, включая анализ новых банковских продуктов и методов их реализации на предмет регуляторного риска;
  • координация и участие в разработке мер по снижению уровня регуляторного риска, разработка и доведение до органов управления и руководителей структурных подразделений рекомендаций по управлению регуляторным риском;
  • мониторинг эффективности управления регуляторным риском;
  • участие в разработке внутренних документов по управлению регуляторным риском;
  • выявление конфликта интересов в деятельности организации и её служащих;
  • анализ показателей динамики жалоб (обращений, заявлений) клиентов и анализ соблюдения кредитной организацией прав клиентов;
  • анализ экономической целесообразности аутсорсинга услуг и (или) выполнение работ, обеспечивающих осуществление кредитной организацией банковских операций;
  • участие в разработке внутренних документов, направленных на противодействие коммерческому подкупу и коррупции
  • участие в разработке внутренних документов и организации мероприятий, направленных на соблюдение правил корпоративного поведения, норм профессиональной этики;
  • участие в рамках своей компетенции во взаимодействии кредитной организации с надзорными органами, саморегулируемыми организациями, ассоциациями и участниками финансовых рынков.
  • иные функции, связанные с регуляторным риском, предусмотренные внутренними документами организации.

2) Управление регуляторным риском — это работа должностных лиц Банка, которая направлена на его снижение и предупреждение возникновения, а также на создание нормальной среды для ведения бизнеса.

3) Регулирование регуляторного риска в Банке следующими способами:

— контроль — удержание риска при активном воздействие со стороны руководства Банка, направленном на снижение вероятности наступления потенциального ущерба;

— избежание — отказ от действий, которые могут вызвать реализацию риска;

— сохранение — используется, когда уровень риска находится на приемлемой для Банка отметке, а расходы по его снижению будут для Банка не эффективны или невозможны;

— передача риска — осуществляется, когда воздействие на него со стороны Банка невозможно. В этом случае, осуществляется страхование данного риска.

Информационная система управления рисками

Информация в процессе управления рисками

Замечание 1

В процессе управления рисками огромную роль играет информация. Важным условием функционирования системы управления рисками является своевременная подача достоверной и достаточной информации лицу, которое принимает решение.

Необходимо перечислить следующие требования к информации:

  • Согласованность состава и содержания информации организационной структуры системы управления рисками,
  • Оперативное поступление информации во все уровни структуры управления рисками,
  • Соответствие объема и структуры данных, которые необходимы для принятия решений в сфере управления рисками, их содержанию и специфике,
  • Поступление информации из разнообразных источников, согласование с другими службами системы управления рисками.

В соответствии с перечисленными требованиями, важно отметить, что информация, которая необходима в управлении рисками, разнообразно, ее состав и объем варьируется, к ней необходим оперативный доступ. Эти требования выполняются в том случае, когда при получении и обработке соответствующей информации применяются информационные технологии. Каждая информационная система должна являться частью общей информационной системы компании, она должна быть построена на основании локальных сетей, в результате обмена данными с удаленными офисами и рабочими местами, а также с базами данных, которые создаются и используются в процессе ведения бизнеса.

Ничего непонятно?

Попробуй обратиться за помощью к преподавателям

Построение информационной системы управления

Информационная система управления рисками строится при учете следующих факторов:

  • Особенности состава информационных технологий, при этом он должен быть ориентирован на данные, приложения, или на клиента,
  • Обмен данными их согласования должен быть для распределительных баз данных,
  • Доступ к информации по управлению рисками должен носить многоуровневый характер и ограничения для некоторых лиц.

Рассматриваемая информационная система обладает специфическими чертами, которыми являются цель и метод обработки данных, а также некоторые особенности самой информации.

К дополнительным достоинствам данной системы по управлению рисками можно отнести:

  • Быстрые изменения в классификации рисков и приоритета в решении тех или иных задач по их управлению,
  • Анализ риска должен быть связан с маркетинговой информацией (о клиентах, продажах, операциях),
  • Анализ риска должен быть взаимосвязан с получением экономической и финансовой информации процесса управления рисками,
  • Риск должен быть оценен на различных уровнях, как предприятия в целом, так и его отделов, филиалов и подразделений.
  • Интеграция различных уровней управления рисками (количественная и качественная оценка рисков, анализ и выбор методов управления, определение эффективности данных методов).

Замечание 2

Процесс аудита и контроля внедрения информационных систем управления рисками должен быть облегченным и соответствовать мероприятиям и необходимым ограничениям (могут быть юридические, бюджетные ограничения).

Достоинства и недостатки

В процессе осуществления риск-менеджмента явным достоинством будет применять информационные технологии по сравнению с бумажными источниками информации. Результаты применения информационных технологий процесс управления риском становится более эффективно и гибким.

Необходимо также назвать недостатки которые связаны с использованием информационных технологий в процессе управления рисками:

  • уязвимость системы управления риском,
  • повышение стоимости сбора и обработки информации,
  • наличие формализованных процессов принятия решений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *