Совершенствование внутрибанковских систем

4) клиенты, продукты и  практика деловых отношений; 

5) ущерб физическим активам; 

6) срыв бизнес деятельности  и сбои в системах;

7) управление процессами.

 

Каждая из этих категорий  содержит несколько подкатегорий, позволяющих  использовать более детальные признаки при группировке событий.

 

Особенность операционного  риска 

 Операционный риск  возникает не только во время  проведения операций, но он присущ  всем процессам, людям, системам  и внешним факторам. Поэтому возможность  прогнозирования и оценки некоторых  видов операционного риска ограничена  по сравнению с иными видами  рисков.

 

Также значительная часть  операционных рисков является неотъемлемой частью внутрибанковских процессов. Кроме того, операционный риск имеет скрытый характер: не все потери в явной форме отражаются в бухгалтерской отчетности, а эффект от реализации операционного риска не всегда приводит к финансовым потерям. Эти особенности препятствуют процессу эффективного управления операционными рисками.

 

Необходимо также обратить внимание на то, что при отсутствии должного контроля возрастающая автоматизация  процессов может привести к трансформации  риска ошибок персонала в риск систем. Аналогично при снижении уровня кредитного и рыночного риска по банку могут возрасти операционный или юридические риски, а при передаче части процессов на аутсорсинге целях снижения операционного риска можно значительно увеличить другие риски банка, в том числе и операционные.

 

В качестве особенности операционного  риска можно также указать  разнообразие случаев его реализации и динамику появления новых видов  риска. Даже при максимально полном перечне всех операционных рисков, которые могут реализоваться, всегда останутся риски, которые не войдут в этот перечень либо из-за невозможности  все предусмотреть, либо из-за появления  новых факторов операционного риска, отсутствовавших на момент составления  перечня. Например, увеличение доли услуг, предоставляемых через Интернет, повышает не до конца изученные риски, такие как внутреннее и внешнее  мошенничество или угрозы информационной безопасности. Перечень возможных операционных рисков постоянно пополняется.

 

Система управления операционным риском (СУОР)

 

Процесс управления операционным риском

 При управлении операционным  риском очень большое значение  имеет системный подход, который  позволяет не только полностью  реализовать процесс управления  операционным риском, но и обеспечить  замкнутость этого процесса.

 

Процесс управления операционным риском состоит из четырех последовательных этапов: выявления, оценки, мониторинга  и контроля / минимизации операционного  риска.

 

В основе управления операционными  рисками лежит их идентификация, т.к. невозможно управ пять рисками, о которых банк не знает. Идентификация  операционного риска предполагает анализ всей деятельности банка на различных уровнях, начиная с  внутрибанковской нормативной базы, отдельных операций, сделок и процессов банка и заканчивая анализом определенных направлений деятельности банка, а также условий функционирования банковской сферы в целом.

 

После того как риск выявлен, необходимо произвести его оценку для  прояснения дальнейших действий, т.к. невозможно предпринимать какие либо шаги, не зная, насколько серьезное воздействие  на деятельность банка может оказать  реализация выявленного риска. Под  оценкой операционного риска  подразумевают оценку вероятности  реализации операционного риска  или оценку потенциальных потерь, которые она способна повлечь, а  также их комбинацию. Важно отметить, что оценка операционного риска  может быть основана на качественном или количественном анализе или  их взаимосвязи. При количественном анализе потенциальный убыток от случая реализации операционного риска  часто определяется на основе анализа  статистических данных о событиях операционного  риска. Одним из подходов к его  оценке является расчет математического  ожидания убытка от случая реализации такого риска. Для ситуаций, когда  затруднительно определить вероятность  реализации события операционного  риска либо выразить потенциальный  ущерб в денежном эквиваленте, производится ранжирование аналогичных качественных характеристик, экспертно установленных  исходя из специфики деятельности конкретного  банка. Качественный анализ применяется  для оценки операционных рисков и  случаев их реализации, когда потери невозможно однозначно выразить конкретным числом либо делать это нецелесообразно. Например, если вследствие какого либо форс-мажорного события деятельность центрального офиса банка была парализована в течение нескольких дней, даже после восстановления его работоспособности будет не только экономически нецелесообразно, но и практически сложно оценить все понесенные за этот период прямые и косвенные потери, а также оценить упущенную выгоду. Для подобных случаев

 

применяется качественный анализ, позволяющий описать ущерб, не сводя  его к финансовым показателям. Необходимо отметить, что оценку и от дельных  операционных рисков, и уровня операционного  риска в целом банк должен проводить  регулярно.

 

Важным этапом при управлении операционным риском является его постоянный мониторинг. Периодичность проведения мониторинга обычно определяется внутрибанковскими нормативными документами и зависит от конкретно го инструмента, позволяющего реализовать мониторинг, и от уровня отдельного операционного риска. В случае принятия банком риска, дол жен проводиться мониторинг, частота проведения которого зависит от уровня принятого риска, а цель состоит в том, чтобы удостовериться, что этот уровень не изменился. В противном случае возникнет необходимость в пересмотре мер по минимизации риска. Аналогичным образом нужно постоянно убеждаться, что меры, предпринятые в целях снижения уровня риска, не потеряли свою эффективность, и уровень риска не вырос до первоначального значения. Если уровень операционного риска для банка не значителен, то мониторинг можно проводить раз в полгода, а если риск достаточно высок, эту процедуру можно повторять ежемесячно, еженедельно и даже ежедневно, если возникнет такая необходимость.

 

Минимизация операционного  риска осуществляется за счет снижения вероятности реализации операционного  риска, ограничения величины потенциальных  потерь либо комбинацией этих подходов. Однако при внедрении мер по снижению операционного риска важно своевременно анализировать возможность трансформации  одного риска в другой, а также  оценивать возможные последствия. Чаще всего контроль операционных рисков осуществляется службой внутреннего  контроля банка.

 

Основа описанного подхода  была представлена Базельским комитетом в 1998 г. в документе «Управление операционным риском» [6], но она содержала только три этапа: оценку, мониторинг и контроль операционного риска. Спустя почти пять лет в документе «Лучшие практики управления и надзора за операционным риском» Комитет представил расширенную модель, где появился этап идентификации операционного риска, а к контролю добавился еще и процесс снижения уровня риска. В настоящий момент разделение процесса на четыре основных этапа (идентификация операционного риска, оценка, мониторинг, контроль и снижение уровня операционного риска) не потеряло своей актуальности, подобную практику поддерживают Центральный банк и большая часть кредитных организаций. Стоит отметить, что на сегодняшний день нет альтернативного подхода, который отличался бы неоспоримыми преимуществами перед «базельской» системой.

 

Основные инструменты  и методы управления операционным риском

 Сбор данных о событиях  операционного риска. Ведение  базы данных о событиях операционного  риска является одним из основных  инструментов управления операционными  риска ми. Обычно ведутся две  независимые базы данных: в первой  регистрируются случаи реализации  операционного риска в банке  (внутренняя база данных), а во  второй — информация о событиях  операционного риска в других  кредитных организациях (внешняя  база данных).

 

Ведение и постоянная актуализация единой внутреннейбазыданныхо событиях операционного риска, которые произошли в банке или имели непосредственное отношение к его деятельности, преследует сразу несколько целей. Этот процесс обеспечивает условия для эффективного выявления операционных рисков, а также их оценки в масштабах деятельности всего банка. Такая база данных позволяет выявлять области наибольшей концентрации операционных рис ков, присущих различным направлениям деятельности или подразделениям. Например, регистрируя в базе данных в течение определенного времени схожие события операционного риска, происходящие в разных регионах, городах и дополнительных офисах банка, можно заметить, что определенному внутреннему процессу банка присущ специфический, часто реализующийся операционных риск Более детальный анализ за регистрированных событий поможет выявить этот риск. Оценивать его рекомендуется на основе накопленной статистической базы, при необходимости корректируя полученную оценку с учетом экспертного мнения и специфики выявленного риска. После введения мер по снижению уровня выявленного риска внутрибанковская база данных поможет оценить эффективность предпринятых мер, а также контролировать их актуальность. Таким образом, централизованное ведение базы данных о событиях  операционного риска обеспечит возможность координации процесса сбора данных, а также проведения постоянного мониторинга его функционирования. Стоит отметить, что формирование репрезентативной статистической базы о случаях реализации операционного риска в банке не только играет очень важную роль для анализа всех внутрибанковских процессов и выявления их слабых мест, но также помогает получить объективную оценку уровня операционного риска по банку в целом и может использоваться для анализа и обоснования экономической целесообразности страхования операционных рисков.

 

Информация о событиях операционного риска, которые произошли  в банке, в первую очередь должна поступать от структурных подразделений  банка или отдельных сотрудников. В дополнение к этому источнику, а также для проверки сообщений  подразделений, зарегистрированных в  базе, рекомендуется использовать результаты проверок и расследовании, проводимых службой внутреннего контроля и  аудита, службой безопасности, внешними аудиторами и регуляторами, а также  бухгалтерскую отчетность.

 

Для сбора данных о событиях операционного риска в других кредитных организациях (внешняябазаданных) в основном используются средства массовой информации и иные открытые источники. Основная цель, для которой ведется внешняя база данных, заключается в накоплении информации о событиях операционного риска, которые имеют низкую частоту реализации, но могут повлечь за собой очень большие, в том числе и критические, потери. Многие из таких со бытии, случившись лишь однажды, могут привести банк к банкротству, и регистрация их во внутрибанковской базе данных уже не будет иметь никакого смысла. Именно для предотвращения подобных случаев, анализа чужих ошибок и принятия их во внимание необходимо постоянно вести внешнюю базу данных.

 

Реестр операционных рисков. Для работы с выявленными рисками  в банке рекомендуется вести  реестр операционных рисков. Реестр операционных рисков централизованно ведется  на постоянной основе и содержит в  себе подробную информацию о выявленных в банке рисках, их уровне, статусе  мероприятий по их снижению, информацию об ответственном за риск подразделении  и других факторов, которые каждый банк определяет для себя сам. Подход к его ведению во многом схож с  ведением внутрибанковской базы данных о событиях операционного риска и принципиально отличается от базы тем, что в реестре регистрируются только риски, тог да как в базу попадают события, которые в банке уже произошли. Регистрация рисков в реестре и событий в базе ведется в разрезе соответствующих многочисленных параметров. Реестр операционных рисков ведется на основе сообщений самостоятельных структурных подразделений, информации, полученной службой операционного риск менеджмента при анализе базы данных о событиях операционного риска, результатов этом повышая и развивая культуру управления операционными рисками в банке. Результаты проведенной самостоятельной оценки операционного риска можно также использовать для сравнения с результатами количественного анализа, проведенного с применением других инструментов и методов управления операционными рисками.

 

Ключевые индикаторы риска. В процессе управления операционными рисками очень важную роль играют ключевые индикаторы риска (КИР. Key Risk Indicator, KRI). Они позволяют отслеживать и прогнозировать случаи реализации операционного риска, а также осуществлять мониторинг эффективности внедренных принципов контроля. Главным преимуществом этого инструмента является возможность его применения именно с той периодичностью, с какой это необходимо, для каждого индикатора определяется своя частота применения.

 

По своей сути ключевые индикаторы риска — это превентивная мера, при этом они основываются на статистических данных. Обычно ключевой индикатор риска является отношением индикатора эффективности контроля (Key Control Indicator, КО) к ключевым индикаторам эффективности (Key Performance Indicator, KPI). Например, оценив среднее количество транзакций, приходящихся на одного операциониста, а также количество ошибочных транзакций, можно установить КИР, показывающий долю неправильных операций в общем объеме. Для функционирования КИР необходимо установить его пороговый уровень (trigger), без которого индикатор неприменим. На практике наибольшие затруднения вызывает именно определение критического значения. Для установки триггера обычно используют статистику, принимая средний уровень ошибок за допустимый. Если доля ошибочных операций чрезмерно высока, устанавливается предельно допустимый для банка уровень и при этом внедряются меры по снижению уровня риска. В дальнейшем каждое последующее превышение значения КИР по отношению к пороговому является сигналом для разработки и применения мер по снижению уровня операционного риска.

 

Отметим также, что целесообразно  каждому КИР присваивать уровень  риска, который характеризует индикатор. Исходя из этого уровня определяется период расчета индикатора, а также приоритет реагирования.

 

План обеспечения непрерывности  бизнес-деятельности. В своей работе банк использует широкий спектр сложных технических систем, формирующих его внутреннюю инфраструктуру, которые могут выходить из строя под влиянием различных факторов. Ущерб от сбоев в системах может быть различным, зависит от характера сбоя и степени важности системы для банка. Для обеспечения непрерывности функционирования банка при отказе систем и сбоях в работе технического оборудования, а также при воз действии внешних неблагоприятных факторов банку нужно разрабатывать и внедрять планы непрерывности бизнес деятельности. Наличие таких планов в первую очередь позволяет избе жать паники при наступлении форс-мажорных обстоятельств. Они дают возможность следовать заранее продуманной и проверенной инструкции, обеспечивающей достижение наилучшего результата при минимальных потерях и в максимально сжатые сроки. Наличие у банка таких планов действий говорит о его надежности, значительно улучшает его репутацию и повышает степень доверия клиентов. Качественно разработанный план обеспечения непрерывности деятельности формирует у клиентов и контрагентов банка уверенность в том, что при наступлении форс мажорных обстоятельств, способных парализовать работоспособность отдельного направления деятельности или всего банка, с их деньгами ничего не случится и банк обеспечит выполнение своих обязательств перед клиента ми и контрагентами своевременно и в полном объеме.