ГЛАВА 3. Реализация системы управления операционным   риском

Разработка и внедрение системы управления

Операционным риском

Экономическая и управленческая привлекательность применения усовершенствованных подходов к управлению операционными рисками требуют выполнения ряда квалификационных требований (Базель II), устанавливающих высокий входной барьер для их использования. Наиболее важными и затратными из них являются следующие:

· система управления рисками должна быть концептуально обоснована и внедрена по всем подразделениям кредитной организации;

· обязательная проверка внешними аудиторами, которая должна включать проверку того, что внутренний процесс оценки адекватности работы моделей корректен; потоки данных и процессы, связанные с оценкой операционного риска, доступны и прозрачны;

· кредитная организация должна продемонстрировать и доказать, что применяемый метод позволяет измерять ожидаемые и неожидаемые потери, а также захватывает «хвосты» распределений редких событий;

· при периоде удержания риска один год доверительный интервал для измерения неожидаемых потерь составляет 99,9%;

· у кредитной организации должны быть разработанные методики моделирования, а также проверки и актуализации модели;

· глубина исторической выборки при проведении стресс-тестирования и калибровки моделей должна составлять пять лет (допускается три года в первоначальный период внедрения модели).

С учетом вышеприведенного перечня требований процедуру разработки и внедрения системы управления операционным риском целесообразно разделить на следующие этапы:

Начальный этап.

Начальный этап внедрения подразумевает доведение до топ-менеджмента и наблюдательного совета кредитной организации значимости вопроса управления операционным риском, возникающего в ходе текущей финансово-хозяйственной деятельности. С учетом характера и масштабов деятельности, а также в целях концентрации ресурсов и усилий по управлению операционным риском рекомендуется создание специального подразделения (назначения служащего), отвечающего за координацию и централизацию операционного риска (далее - подразделение по управлению операционным риском). На данное подразделение следует возложить разработку и апробацию методик оценки и проведение самих оценок величины операционного риска, разработку и внедрение мер, процедур, механизмов и технологий по ограничению и (или) снижению операционного риска. Во внутренних документах кредитной организации рекомендуется определить полномочия подразделения по управлению операционным риском, порядок взаимодействия с подразделениями, осуществляющими банковские операции и другие сделки и отвечающими за управление другими банковскими рисками (кредитным, рыночным), а также со службой внутреннего контроля.

Основные принципы управления операционным риском рекомендуется включить во внутренние нормативные акты кредитной организации, регламентирующие:

· организационную структуру кредитной организации, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;

· порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;

· правила, порядки и процедуры функционирования систем (технических, информационных и других);

· порядок разработки и представления отчетности и иной информации;

· порядок стимулирования служащих и другие вопросы.

Первый этап. Разработка методики.

Первым основополагающим шагом при реализации системы управлений операционным риском должна стать разработка подразделением операционного риска методики управления операционным риском, предусматривающей внедрение нормативных актов по управлению, выявлению, оценке и минимизации операционного риска, составленные с учетом требований ЦБ РФ и рекомендаций Базельского Комитета.

В соответствии с (Письмом ЦБ РФ №76-Т, Базель II) в целях создание системы управления операционным риском кредитным организациям рекомендуется разработка и внедрения Положения по управлению операционными рисками, определяющее следующие ключевые моменты:

· цели и задачи управления операционным риском с учетом приоритетных направлений деятельности кредитной организации;

· основные методы выявления, оценки, мониторинга (постоянного наблюдения) операционного риска;

· основные методы контроля и (или) минимизации операционного риска (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);

· порядок представления отчетности и обмена информацией по вопросам управления операционным риском;

· порядок сбора сведений об операционных потерях и событиях, связанных с операционным риском;

· распределение полномочий и ответственности между советом директоров (наблюдательным советом) и исполнительными органами за реализацию основных принципов управления операционным риском.

Степень детализации основных принципов управления операционным риском зависит от уровня операционного риска, которому подвергается кредитная организация. В качестве методики расчета величины капитала на покрытие операционного риска на первом этапе следует использовать подход BIA.

Второй этап. Сбор информации.

На данном этапе особое внимание следует уделить доведению до руководства среднего звена и экспертов структурных подразделений информации о необходимости выявления и предоставления информации о произошедших и потенциальных событиях в соответствии с разработанным порядком. Подразделению операционного риска следует проводить работу по формированию у сотрудников знаний об операционном риске, который может возникать в связи с выполнением ими должностных обязанностей, а также мотивации на выявление факторов и причин операционного риска.

Порядок сбора сведений об операционных потерях и событиях связанных с операционным риском должен охватывать все направления деятельности и операции кредитной организации. Для этого в каждом самостоятельном структурном подразделении кредитной организации следует назначить ответственных сотрудников за предоставление информации о понесенных и потенциальных убытках, связанных с операционным риском.

На основании анализа профиля операционных убытков, проведенного в

рамках настоящего исследования, кредитным организациям рекомендуется установить следующие пороги значимости величины операционных убытков, подлежащих выявлению:

· от 10 тыс. рублей (или эквивалента этой суммы по курсу ЦБ РФ на дату возникновения убытка) - для небольших и средних кредитных организаций (величина собственных средств менее 30 млрд. рублей);

· от 50 тыс. рублей (или эквивалента этой суммы по курсу ЦБ РФ на дату возникновения убытка) - для крупных кредитных организаций (величина собственных средств более 30 млрд. рублей).

Сбор сведений об операционных потерях и событиях, связанных с операционным риском, должен осуществляться на постоянной основе и охватывать все направления деятельности и операции кредитной организации, существенные для финансового результата и достижения поставленных стратегических целей.

Подразделению операционного риска совместно с IT-департаментом необходимо разработать и актуализировать базу данных (далее - БД), консолидирующую информацию о произошедших рисковых событиях в разрезе разработанной классификации (Приложение №2 «Классификация событий и факторов операционного риска»). Одновременно в БД следует регулярно вносить информацию о потерях понесенными другими кредитными организациями. Возможные источники такой информации перечислены во втором разделе настоящей главы.

Третий и последующие этапы. Применение подходов LDA и АМА.

После завершения второго этапа реализованная система управления операционным риском должна соответствовать:

· требованиям ЦБ РФ (№346-П от 13.12.2009) в части включения величины рискового капитала в расчет норматива достаточности HI;

· требованиям Базель II в части концептуальной обоснованности методики, ее внедрению во всех подразделениях кредитной организации, и в части наличия достоверной БД о внутренних и внешних рисковых событиях, позволяющей проводить калибровку и стресс-тестирование модели АМА;

· быть готовой к расчету величины капитала на покрытие операционного риска на основе Базового подхода (BIA).

На третьем и последующих этапах следует уделить внимание совершенствованию системы управления операционным риском в части минимизации потерь и достоверному расчету величины рискового капитала.

Расчет величины рискового капитала на основании подходов АМА и LDA и сравнение полученных результатов проведено во второй раздел третьей главы.

Перейдем к описанию показателей операционного риска, необходимых для качественной оценки уровня операционного риска.

В целях предупреждения увеличения уровня операционного риска следует в дополнение к расчетам количественных показателей проводить также мониторинг качественных показателей операционного риска, максимально характеризующих основные направления деятельности кредитной организации, подверженные операционному риску. Для этих целей следует разработать комплексную систему показателей (КИР - ключевые индикаторы риска), охватывающую все важнейшие аспекты деятельности кредитной организации, регулярно проводить анализ динамики КИР и оценку их эффективности.

Индикаторы по своей природе бывают опережающие (предикативные) и исторические (фактические). На практике индикаторы операционного риска непосредственно связаны с реализованными потерями. Поэтому средние значения исторических потерь служат, как правило, базой для оценки уровня ожидаемых потерь в будущем. Существуют также индикаторы, ориентированные не на потери, а на бизнес-процессы. Например, часто меняющийся персонал банка трудно соотнести с какой-либо конкретной потерей, поскольку здесь мы имеем дело с процессом. Подобные индикаторы помогают оценить качество операций для всех видов риска. Они, как правило, тоже исторические, поскольку информируют о том, что уже произошло, но не указывают конкретно, на чем стоит сфокусировать усилия в будущем.

Предикативными являются индикаторы окружения, такие как: число жалоб со стороны клиентов, удовлетворенность персонала своей работой, количество проведенных тренингов для сотрудников подразделения. Топ-менеджменту кредитной организации следует использовать опережающие индикаторы с целью воздействия на профиль риска. Они строятся путем расчета для сопоставления с остальными индикаторами. Например, сопоставив информацию об одновременном увеличении объема операций, «текучки» кадров и количества ошибок ввода данных, можно оценить уровень операционного риска компании, связанного с ручной обработкой данных.

На практике эффективное использование КИР предполагает одновременное использование как исторических, так и опережающих индикаторов. Чем более они специфичны и чем точнее отражают профиль соответствующего риска, тем более стабильна работа системы мониторинга. Оптимальные пороговые значения для индикаторов риска вначале определяются количественно, а затем корректируются в процессе моделирования.

Ниже разработан список возможных КИР, которые могут быть использованы кредитными организациями для мониторинга качественных показателей операционного риска в разрезе приоритетных направлений деятельности и факторов риска.

«Персонал»:

· численность персонала;

· «текучка» кадров;

· число жалобы/претензии на работу сотрудников;

· число выявленных случаев внутреннего мошенничества;

· процент уровня некомпетентности сотрудника;

· степень зависимости компании от определенного сотрудника;

· число проведенных тренингов и полученных наград;

· суммарное количество нерабочих дней по причине несчастных случаев на работе;

· количество дисциплинарных взысканий, примененных к сотрудникам.

«Системы»:

· состояние антивирусной защиты, число выявленных вирусов и вредоносных программ;

· число телекоммуникационных сбоев;

· число программных, технических сбоев и задержек в работе программного обеспечения;

· факты компьютерного мошенничества;

· процент операций, требующих ручного ввода данных;

· число случаев, связанных с потерей данных;

· среднее время проведения одной расчетной операции;

· оценка напряженности трафика IT-систем.

«Третьи лица»:

· число исков и претензий со стороны третьих лиц;

· безопасность эксплуатации банкоматов;

· число мошеннических операций по пластиковым картам;

· фальшивые документы и ценности;

· внешнее мошенничество.

«Процессы»:

· обязательный мониторинг банковских операций;

· санкции органов надзора;

· расхождения в учете;

· задержки платежей и расчетов;

· нарушение операций;

· лимитная дисциплина.

«Качество контроля»:

· последующий контроль;

· внутренние расследования;

· качество работы по исправлению нарушений.

Выбрав наиболее подходящие КИР, следует провести их тестировать на

предмет эффективности. Сделать это можно при помощи системы внутренних рейтингов, путем присвоения баллов. Подразумевается, что КИР, относящиеся к определенному отделу/подразделению, оцениваются именно работниками этого подразделения (например, отдел по работе с персоналом присваивает баллы КИР, связанным с сотрудниками/персоналом кредитной организации, и не участвует в оценке процедур, относящихся к отделу внутреннего контроля и аудита). Таким образом, в результате успешно проведенного анализа КИР останутся несколько индикаторов, которые будут действительно ключевыми для данного вида риска.