Совершенствование внутрибанковских систем

Важно отметить, что разработка действительно эффективных планов обеспечения непрерывности деятельности требует очень больших инвестиций, в том числе финансовых, временных, кадровых. Из-за того, что проект по разработке планов является столь ресурсоемким, многие банки очень долго не решаются приступить к его реализации, составляя  формальные документы, которые не реализуются  на практике, но удовлетворяют регуляторов. Когда банк все же решается на запуск проекта, он получает значительное число  дополнительных выгод, например понимание  и спецификацию действительно важных для деятельности банка процессов  и областей, которые лежат в  основе его функционирования. Более того, во время проведения проекта наводится порядок в сфере информационных технологий банка и в его ключевых бизнес процессах. Это обеспечивает прозрачность и ясность его технологических цепочек, от чего прежде всего выигрывает сам банк, т.к. эффективность внутрибанковских процессов существенно повышается.

Передача риска: страхование. Одним из важнейших методов управления операционными рисками является их передача. Иными словами, передача риска представляет собой перенесение  ответственности за риск на третьих  лиц без устранения источника  риска. На сегодняшний день существуют два наиболее распространенных способа  передачи операционного риска —  это страхование и аутсорсинг.

К страхованию прибегают  в тех случаях, когда банк не может  самостоятельно покрыть отдельные  операционные риски либо когда страховать операционные риски получается дешевле, чем внедрять меры по их снижению. При  этом можно как страховать отдельные  виды операционных рисков (например, страхование  сотрудников банка от несчастных случаев или имущества, принятого  в залог), так и оформлять полисы комплексного банковского страхования. Основными видами убытков, подпадающими под комплексный пакет страхования  банков от преступлений (Bankers Blanket Bond, BBB), являются утрата имущества в помещениях банка, мошенничество сотрудников, включая сговор с третьими лицами, ущерб офисам банка и оборудованию, а также подделка ценных бумаг, денежных знаков, чеков и других платежных документов. В дополнение к полису ВВВ обычно оформляется полис страхования от электронных и компьютерных преступлений (Electronic & Computer Crime, ECC), покрывающий убытки от несанкционированного ввода информации в АБС банка, включая ответственность за убытки клиента по этой причине, убытки банка от уничтожения электронных данных, действия вирусов, утраты ценных бумаг в электронной форме из-за исполнения мошеннического электронного поручения. Комплексное банковское страхование обычно имеет покрытие, равное нескольким миллионам долларов, при годовой страховой премии в несколько сотен тысяч долларов и немного меньшей франшизе. Также особенностью таких пакетов является то, что большинство российских страховых компаний не принимает риски на себя, перестраховывая их все или большую их часть у лондонских страховых синдикатов и оставляя себе от 0% до 10% рисков.

Передача риска: аутсорсинг. Вторым вариантом передачи риска является аутсорсинг, когда определенные операционные риски переносятся на сторонние организации и покрываются за их счет. Аутсорсингу обычно подлежат бизнес процессы, полностью невыгодные для банка либо несущие в себе повышенные операционные риски. Важно отметить, что на практике уровень операционных рисков, присущий процессу, не всегда является решающим фактором для передачи процесса на аутсорсинг. В большинстве случаев операционному риск менеджменту приходится иметь дело не с процессами, планируемыми к передаче, а с процессами, уже переданными на аутсорсинг из-за полной незаинтересованности в них банка. В связи с этим в банковской терминологии появилось понятие «риски аутсорсинга». В то же время при становлении системы управления операционными рисками в банке и организации такой схемы управления ими, когда операционный риск менеджмент применяется на стадии принятия решения о передаче риска на аутсорсинг, подход может быть изменен.

Еще одной специфической  особенностью аутсорсинга, о которой уже упоминалось ранее, является то, что снижая с помощью этого инструмента одни операционные риски, банк может получить новые риски, иногда даже более значимые по уровню, чем исходные.

Принятие операционного  риска банком. Операционный риск, снижение которого экономически нецелесообразно  для банка, может быть принят на банк. Процедура принятия риска означает принятие ответственности за реализацию конкретного операционного риска  и последствия, которые он может  повлечь. Операционный риск может быть принят на банк только после того, как  он будет оценен. Однако принять  можно операционные риски не всех уровней. Не смотря на то, что уровень  риска, который ни при каких обстоятельствах  не может быть принят на банк, определяется исходя из специфики принятой в банке  градации операционных рисков по их значимости, принципиальным критерием здесь  является финансовая устойчивость банка  в случае реализации данного риска. Например, ее ли с высокой долей  вероятности реализация операционного  риска может значительно подорвать  финансовую устойчивость банка либо привести к его банкротству, операционный риск на банк не принимается, важно  помнить, что процедура принятия риска на банк совсем не означает, что  о выявленном риске можно «забыть». Необходимо проводить постоянный мониторинг принятого риска. Мониторинг, периодичность  которого определяется уровнем самого риска, должен включать в себя оценку риска, а также контроль изменения  факторов, способных повлиять на его  уровень. Приведем пример. На банк был  принят «низкий» операционный риск, а  период проведения мониторинга составил один год. Предположим, что в установленный  срок по каким либо причинам мониторинг не провели, а спустя два года после принятия риска на банк этот риск реализовался, но не как «низкий», а как «высокий».

За два года в банке  могли произойти значительные изменения, включая запуск новых направлений  деятельности, продуктов, региональную экспансию и даже внедрение новой  автоматизированной банковской системы. Если бы мониторинг провели своевременно, то уже за год до события могли  быть выявлены факторы, существенно  повышающие уровень риска либо трансформирующие его, а также могли быть разработаны и пред приняты меры по его снижению. Однако в нашем примере банк не обладал актуальной информацией о принятых рисках. Если принять во внимание, что подобных операционных рисков, принимаемых на банк, могут быть сотни, то при отсутствии должного мониторинга и контроля инструмент принятия риска на банк может потерять свою эффективность.

Избежание операционного риска. Если банк выявляет достаточно высокие операционные риски, присущие какому либо процессу, продукту или услуге, которые экономически нецелесообразно снижать, но которые не могут быть приняты банком в силу своей значимости, выявленных рисков можно избежать. Избежание операционных рисков подразумевает разработку стратегических и тактических решений, исключающих возникновение рисковых ситуаций, или отказ от реализации операций и проектов с высоким уровнем риска. Данный инструмент обычно используется на этапе принятия решений о запуске новых направлений деятельности, продуктов, услуг или технологических цепочек, когда реализация проекта еще не началась и остается возможность пересмотреть ранее принятые решения.

Экономический капитал на покрытие операционного риска и  формирование резервов. Согласно документу  «Базель II» для покрытия убытков  по операционным рискам банк дол жен  рассчитать экономический капитал  под операционный риск. В европейской  практике вели чина капитала, резервируемая  для покрытия возможных потерь пооперационным рискам, представляет собой величину минимально достаточного капитала на покрытие операционных потерь, рассчитывается банком заблаговременно и отражается в бухгалтерской отчетности. По своей  сути капитал на покрытие операционного  риска является оценкой операционного  риска по банку в целом. В российской практике резервы на возможные потери (которые формируются согласно требованиям  Положения Банка России №283-П) лишь в малой степени связаны с  реализацией операционного риска. Стоит отметить также, что резервы, создаваемые согласно требованиям  Положения 283-П, формируются по факту  и покрываются за счет прибыли  банка.

ЭТАПЫ ВНЕДРЕНИЯ СИСТЕМЫ  УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ РИСКАМИ  В БАНКЕ

Организация управления операционными  рисками основана на системном подходе. Под управлением операционными  рисками понимают любую деятельность относительно операционных рисков, в  том числе идентификацию, оценку, мониторинг, контроль, разработку мер  по снижению уровня операционных рисков, применение инструментов и методов  по управлению операционными рисками. Таким образом, термин «управление  операционными рисками» чрезвычайно  широки означает скорее сферу деятельности. С другой стороны, система управления операционными рисками — это конкретный формализованный набор инструментов и методов.

Данный набор формируется  с учетом специфики деятельности банка и призван обеспечить наиболее эффективное управление операционными  рисками. Система управления операционными  рисками обычно формализуется в  «Политике управления операционными  рисками» и может корректироваться с учетом развития организации.

При организации системы  управления операционными рисками  «с нуля» целесообразно раз бить процесс на несколько последовательных этапов. Например, можно внедрять систему  управления операционными рисками  в три этапа: начальный, базовый  и основной. Можно предусмотреть  и четвертый, «продвинутый», этап, включающий разработку и внедрение инструментов и методов управления операционными  рисками, не указанных в настоящей  статье и требующих предварительной  эффективной реализации первых трех этапов. На практике план раз работки  и внедрения системы управления операционными рисками полезно  разрабатывать детально и с разбивкой  по составным частям каждого этапа  и по срокам их реализации.

На самой ранней стадии важно начинать с разработки общей  стратегии управления операционными  рисками и формализации системы  управления ими в «Политике», утверждаемой наблюдательным советом банка. Подобный подход позволит обеспечить осведомленность  высшего руководства банка об операционных рисках как об особой категории рисков, требующих отдельного управления, а также обеспечит  понимание того, как именно банк планирует управлять операционными  рисками. По своей сути «Политика  управления операционными рисками» является опорным документом, описывающим  общую концепцию управления операционными  рисками. В числе прочего «Политика» разъясняет суть процесса сотрудникам  банка с учетом того, что многие из них могут быть не знакомы с  понятием операционного риска. В  документе необходимо определить это  понятие и указать источники  рис ков, а также категории  возможных событий. При описании концепции управления операционными  рисками обычно излагаются соответствующие  принципы, которых будет придерживаться банк. В большинстве случаев основные принципы заимствуют из документа «Надежные  практики управления и надзора за операционным риском» [8], а также  добавляют отдельные внутри банковские принципы в соответствии со спецификой деятельности банка. Если есть необходимость, то при описании концепции банк формализует  процесс управления операционными  рисками, включая детальную характеристику каждого из его этапов. Регламентируя  в «Политике» основные инструменты  и методы управления операционными  рисками, стоит ограничиться наиболее существенными моментами, позволяющими понять суть отдельного инструмента, цели и особенности его применения. Тонкости реализации инструментов и  процессов можно раскрыть в отдельных  документах, таких как регламенты, положения, методики и инструкции. Важным разделом «Политики управления операционными  рисками» является распределение полномочий и функциональных обязанностей структурных  подразделений банка при управлении операционным риском. Здесь стоит  детально определить основной функционал сотрудников и подразделений  банка на всех уровнях, начиная с  функций и полномочий наблюдательного  совета и правления банка и  заканчивая основными обязанностями  исполнителей.

На начальном этапе  необходимо разработать подробные  классификации возможных событии  операционного риска и факторов их реализации с учетом специфики  деятельности банка. Одной из первостепенных задач является определение схемы  взаимодействия сотрудников и подразделений  банка в системе управления операционными  рисками. В настоящее время большинство  банков использует «децентрализованную» систему управления рисками с  элементами централизации в службе операционного риск менеджмента. При  организации управления операционными  рисками в банке важным моментом является обучение ему сотрудников  банка. Это может стать основой  развития культуры управления операционными  рисками в банке. В программу  обучения можно включить такие моменты, как раскрытие понятия операционных рисков и их специфики, объяснение необходимости  управления рисками, сути инструментов этого управления, важности участия  каждого сотрудника в этом процессе, выгоды для банка. В большинстве  случаев во время обучения сотрудники банка, понимая суть операционного  риска, не могут применить полученные знания на практике, поэтому вопросу  практического использования этих знаний необходимо уделять особое внимание.

Итак, к инструментам и  процессам, которые не обходимо внедрять на начальном этапе организации  системы управления операционными  риска ми, относятся: централизованное ведение единой внутрибанковской базы данных о событиях операционного риска; ведение базы данных о случаях реализации операционного риска в других кредитных организациях; разработка и утверждение порядка информационного обмена в процессе управления операционными рисками, включая порядок составления и предоставления управленческой отчетности по операционным рискам на постоянной основе и положения о раскрытии ин формации по управлению операционным риском в банке. На начальном этапе управления операционными рисками необходимо разработать методику оценки операционных рисков, которая позволит сотрудникам банка проводить единообразную оценку выявленных операционных рисков вне зависимости от факторов, направлений деятельности, которым он присущ и иных параметров. Отметим, что методика оценки операционного риска должна содержать алгоритм, который позволит любому сотруднику банка оценить выявленный риск, не имея специфических знаний и навыков. Параллельно с внедрением процесса сбора данных о событиях операционного риска в банке нужно организовать процесс ведения реестра операционных рисков, регистрируя в нем все выявленные в банке операционные риски и отражая информацию о мерах, предпринятых для их снижения.