Для практического применения требований Положения № 716-П1 банку важно получить реально работающий инструмент с максимальным количеством автоматизированных процессов, который позволит значительно снизить объем финансовых и репутационных потерь в долгосрочной перспективе. О том, как Промсвязьбанк решил эту задачу с помощью инструмента FIS Operational Risk, — в авторской статье, подготовленной для журнала «Bнутренний контроль в кредитной организации» издательского дома «Регламент».
Внедрение автоматизированной СУОР для повышения эффективности бизнеса: кейс ПСБ
Что было сделано для интеграции
Специалисты ПСБ провели огромную аналитическую работу и разработали целевую модель управления операционным риском. В течение года сотрудничества с ПСБ мы занимались не только разработкой программно-аппаратного комплекса (ПАК), который будет обеспечивать поддержку системы управления операционным риском (СУОР) в соответствии с требованиями регулятора, но и постоянным непрерывным обследованием по каждому конкретному блоку работ. Мы прорабатывали дополнительные возможности интеграции с системами банка в целях максимального снижения трудозатрат его сотрудников на процедуры, связанные с регистрацией и оценкой событий операционного риска, реализацией контрольных процедур, оценкой уровня операционного риска в разрезах, необходимых для детального анализа.
Если проводить глубокую внутреннюю аналитику на стороне банка и выявлять реальные потребности в управлении операционными рисками, становится очевидным, что операционные риски — это не просто исполнение определенных нормативов, а интересная сложная предметная область, где объем работы намного больше, чем кажется на первый взгляд.
Операционные процессы в разных банках существенно различаются ввиду особенностей организационной структуры, необходимости разграничения зон ответственности между структурными подразделениями, прав доступа к информационным банковским системам и т.д. И конечно, операционные риски присущи всем банковским процессам. В целях минимизации операционных рисков каждый участник банковской системы самостоятельно выстраивает приемлемую для него модель управления операционным риском с учетом своих организационных особенностей, внутренних требований в части работы с системами и данными, выявленных узких мест в бизнес-процессах и т.д.
Безусловно, автоматизация процессов сбора данных о событиях операционного риска и их оценки, а также внедрения иных инструментов управления операционным риском, таких как самооценка, ключевые индикаторы риска (КИР) и ключевые индикаторы контроля, не исключает полностью необходимость привлечения к указанным процессам сотрудников банка. Таким образом, назначение лиц, ответственных за работу в автоматизированной системе, является необходимым элементом процесса.
Отдельно стоит остановиться на процессе интеграции. Мы предоставляем хранилище, в которое нужно совершать единовременную и регулярную миграцию данных. В ПСБ есть система, которая умеет собирать все необходимые данные изнутри, выставляет их в виде витрины, огромного набора переменных и значений. Мы работаем с банком через буферное хранилище данных в нашей системе, а банк предоставляет данные для нашей буферной схемы посредством витрины данных, реализованных на его стороне. Такая интеграция хороша тем, что в эту витрину собираются данные из многих систем банка с возможностью гибкой замены источников данных.
Теоретически мы могли бы реализовать интеграцию с каждой системой банка и собирать оттуда данные по отдельности. Однако ПСБ в силу своих масштабов уже обладает необходимыми инструментами по сбору данных и предоставлению их в одном окне, что является большой ценностью.
Необходимо подчеркнуть, что для ряда банков в силу их размеров и индивидуальных особенностей существенная часть интеграций будет нецелесообразной ввиду несопоставимости количества событий операционного риска и расходов на создание и поддержание соответствующих интеграций. Полагаем, что такие участники банковской системы, для которых массовая интеграция информационных систем с базой данных о событиях операционного риска окажется нецелесообразной или избыточной, в основном будут заинтересованы
В интеграции с АБС, позволяющими обеспечить автоматизацию оценки последствий реализации событий операционного риска и формирования отчетности об уровне операционного риска.
Как мы регистрируем события, качественные и количественные потери
Система поддерживает возможность выявления и обработки информации о реализовавшихся или возможных событиях операционного риска (рис. 1). Мы отдельно регистрируем качественные и количественные потери (косвенные относим к последним). При регистрации качественных потерь по событию указываются тип такой потери, балл и вероятность ее реализации. При этом тип и вероятность являются справочными значениями, а балл — целым числом из заданного интервала (в соответствии с методологией банка). Для количественных потерь набор регистрируемых данных шире. Есть возможность указать номер проводки и дату регистрации потери, ее объем и связи как с конкретными рисками из журнала, так и с иными видами риска. К тому же каждая количественная потеря должна быть классифицирована по виду. Классификация производится на двух уровнях.
рис.1
Поддержание актуальной карты рисков обеспечивается за счет:
- ручного выявления данных по рискам;
- возможности привязки КИР и процедур RSCA к карточке риска;
- актуализации карточек по результатам работы с RCSA, БД СОР, КИР, а также на основании внешних данных или результатов анализа и прогнозирования;
- установки и корректировки допустимого уровня риска;
- возможности привязки мероприятий по минимизации риска в случае, если будет выявлено превышение оценки риска за период. В системе реализуется полный цикл обработки события операционного риска: от момента его регистрации до закрытия по факту завершения всех мероприятий минимизации риска и выплаты возмещений. Каждое возмещение может относиться сразу к нескольким потерям, и система позволяет регистрировать такие связи с уточнением, какой именно объем возмещения приходится на каждую из потерь. Сами же возмещения имеют собственную классификацию: во-первых, является ли такое возмещение страховым, во-вторых, каков источник такого возмещения.
Наличие классификаторов как для количественных потерь, так и для возмещений позволяет также рассчитывать агрегирующие показатели по событию, отражающие общий уровень потерь.
В рамках системы реализуются не только отчетность, связанная с выполнением требований Положения № 716-П, но и большое количество внутренних отчетов и дашбордов. Совокупный анализ внутренних отчетов и результатов анкетирования обеспечивает непрерывные улучшения этой системы с точки зрения корректировки ролевой модели, совершенствования ключевых индикаторов и т.д.
Какие задачи удалось решить благодаря интеграции с ПАК СУОР
Динара МАКСУМОВА, Промсвязьбанк, директор по управлению операционными рисками
Начнем с того, что допустимый уровень операционного риска по банку и группе ПСБ устанавливается в зависимости от аппетита к риску и доходности направления бизнеса в соответствии с бизнес-планами на годовой период.
Новые требования Банка России к организации СУОР в банке и банковской группе предусматривают автоматизацию процесса выявления информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска, а также количественную и качественную оценку уровня операционного риска, в том числе с использованием средств автоматизации. Целесообразность и необходимость интеграции базы данных о событиях операционного риска с иными системами напрямую зависят от качества и количества данных в соответствующих системах и возможности их дальнейшего использования в целях выявления событий операционного риска, взаимосвязей с другими видами риска, их оценки и т.д. Конечно, любая автоматизация должна быть в том числе экономически оправдана и в будущем не требовать постоянного ручного сопровождения загружаемых данных.
Для ПСБ интеграция ПАК СУОР с иными ИТ-системами и хранилищами данных является необходимым инструментом совершенствования СУОР и обеспечения высоких стандартов управления операционным риском.
В ходе реализации совместного проекта ПСБ и FIS была произведена интеграция ПАК СУОР с учетными ИТ-системами банка и общим хранилищем данных. При исследовании требований Банка России и соответствующих задач для ПСБ стало очевидным, что требуется использовать существующие потоки данных и уже формируемые отчетности. Поскольку у нас было хранилище, которое содержит большинство финансовых данных, естественным путем стало использование этого хранилища как источника первичных данных по потерям от событий операционного риска.
Одним из важнейших направлений деятельности для выполнения задач по интеграции стало формирование витрин на корпоративном хранилище для отбора данных и алгоритмов к ним по созданию событий операционного риска.
Интеграционные взаимосвязи между ПАК СУОР и иными системами банка обеспечивают гибкость процесса управления операционным риском. Техническая и технологическая возможность интеграции дополнительных ИТ-систем в так называемую экосистему управления операционным риском повышают эффективность оперативного мониторинга операционного риска, проводимого для принятия своевременных управленческих решений и, как следствие, повышения уровня операционной устойчивости.
ПАК СУОР обеспечивает гибкое управление ролями и правилами доступа к данным, позволяя настраивать ограничения доступа к информации табличного представления/витрины/карточки события/риска/мероприятия в зависимости от роли и структурного под- разделения пользователя.
Пример
Автоматизация процесса мониторинга операционного риска
В системе возможно устанавливать ключевые индикаторы риска и производить их мониторинг (рис. 2). Индивидуально для каждого КИР могут быть заданы частота и интервал расчета, а также правило, по которому такой расчет будет производиться.
рис.2
Мониторинг КИР
КИР включают в себя:
- показатели, которые оценивают уровень количественных и (или) качественных потерь и уровень конкретного операционного риска и (или) вида операционного риска (примеры: динамика при- роста количества жалоб и претензий; общая сумма исков; ошибки и исправительные проводки);
- показатели, которые оценивают качество и эффективность мер минимизации и контроля операционного риска (примеры: fraud to sale; доля исправительных и ошибочных транзакций в общей массе). По факту каждый КИР будет формироваться по результатам формирования и обновления реестра рисков. Со временем будет возможность улучшения правил расчета и точности.
Процесс мониторинга операционного риска состоит из следующих этапов:
- выявление операционного риска и видов операционного риска;
- определение бизнес-процессов (продуктов) для внедрения индикаторов;
- разработка (определение параметров) индикаторов, в том числе сигнальных значений показателя;
- регулярный мониторинг индикаторов, в том числе анализ превышений сигнальных значений показателей;
- разработка и контроль исполнения выбранных мер реагирования на превышение сигнальных значений индикаторов;
- отчетность о результатах мониторинга, в том числе фиксирование любых изменений в расчете, пересмотре исторических данных или корректировке триггеров и лимитов;
- регулярный (не реже одного раза в год) пересмотр параметров расчета индикаторов риска.
Сейчас в ПСБ активно идет развитие целевой архитектуры информационных систем и дополнение их новым функционалом. Естественно, процесс формирования интеграционных взаимодействий с ПАК СУОР не является конечным и требует постоянной оптимизации.
Одним из примеров настроенных взаимодействий ПАК СУОР с нефинансовыми системами банка можно назвать систему по работе с претензиями клиентов. Банк России в последних регуляторных проектах и положениях уделяет особое внимание взаимодействию банков с клиентами и их отказам в возмещении потерь, понесенных из-за действий банков. В случае с данной системой для части полей, требуемых для заполнения и классификации событий операционного риска, не удалось создать алгоритм однозначного определения категорий. Соответственно нам пришлось дорабатывать состав данных в системе по работе с претензиями клиентов, чтобы получить возможность автоматизированного выявления информации по событию операционного риска с учетом всех требований по заполнению данных.
Продвинутые методы количественной оценки операционных рисков
Наш банк довольно давно применяет продвинутые методы количественной оценки операционного риска, в том числе в рамках процедуры бюджетирования, оценки операционных рисков на период, заложенный в требованиях внутренних процедур оценки достаточности капитала (ВПОДК).
Количественная оценка уровня операционного риска включает в себя следующие способы:
- агрегированную оценку уровня операционного риска банка и группы ПСБ в целом, а также по типам событий операционного риска, в том числе в разрезе направлений деятельности;
- оценку объема капитала, выделяемого группой ПСБ в рамках ВПОДК, на покрытие потерь от реализации событий операционного риска по банку и в целом по группе ПСБ в разрезе направлений деятельности;
- оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности в соответствии с установленными в банке методами и порядком оценки ожидаемых потерь от реализации операционного риска.
Подходы к оценке косвенных и качественных потерь в ПСБ
ПСБ применяет различные методики оценки непрямых потерь от реализации событий операционного риска, которые базируются на определении недополученных доходов в результате прерывания того или иного банковского процесса. Как следствие, размер кос- венной потери зависит от дохода, который приносит продукт (ИТ-система) или процесс, и количества времени простоя соответствующего банковского процесса.
Верхнеуровневые нормативные документы банка содержат процедуры и шкалы для оценки качественных потерь от реализации событий операционного риска. Также в ПСБ разработаны отдельные методологические документы по учету событий операционного риска, являющихся источником или следствием другого вида банковского риска, в которые интегрированы шкалы для оценки качественных потерь при реализации событий (например, шкала оценки качественных потерь от реализации события операционного риска, явившегося источником или следствием риска потери деловой репутации).
ПСБ ведет непрерывную работу по совершенствованию методик оценки потерь от реализации операционного риска, в том числе для определения необходимости принятия дополнительных мер по автоматизации процессов и экономической целесообразности принятых мер минимизации.
Какие способы минимизации трудозатрат и документирования результатов были найдены
Безусловная ценность интеграции ПАК СУОР с иными системами и хранилищами банка заключается в экономии трудозатрат сотрудников на самостоятельное выявление и регистрацию событий операционного риска. Высокая степень интеграции позволяет оперативно выявить событие операционного риска, в автоматическом режиме передать сведения ответственным лицам для реализации соответствующих мероприятий и в то же время исключает ограничения для точечного анализа причин возникновения риска или оперативного формирования комплексной оценки уровня операционного риска банка в заданный момент времени.
В первую очередь стоит назвать такой способ минимизации трудозатрат сотрудников банка, как уже отмеченная автоматизация процесса сбора данных о событиях операционного риска, в том числе благодаря интеграции ПАК СУОР с иными системами и хранили- щами банка. Благодаря достигнутой степени интеграции и высокому качеству данных в хранилищах и иных ИТ-системах ПСБ, интегрируемых с ПАК СУОР, отмечается существенное сокращение ручного труда сотрудников, ответственных и за выявление событий операционного риска, и за их оценку и верификацию. Достигнутый уровень автоматизации также существенно снижает вероятность ошибок при регистрации событий операционного риска в ПАК СУОР и соответственно трудозатраты на внесение поправок при верификации данных.
Также большое значение для минимизации временных затрат имеют наличие эффективных методик оценки потерь от реализации событий операционного риска и автоматизация самого процесса оценки потерь. Немаловажную роль в сокращении трудозатрат играет и автоматизация процесса формирования реестра операционных рисков банка, их оценки, возможность в режиме реального времени осуществлять мониторинг изменения уровня операционного риска в целом, в разрезе видов рисков и направлений деятельности банка. Привязка мер минимизации к соответствующим операционным рискам позволяет оценить эффективность мер, выявить узкие места и обеспечить своевременное реагирование на риск. Четкое документирование процессов и реализация указанного функционала в ПАК СУОР дают банку возможность применять различные методики оценки прямых и непрямых потерь от реализации событий операционного риска и обеспечивать высокую мобильность реагирования
на выявленные риски и новые угрозы.
ПАК СУОР позволяет увидеть ранее примененные способы минимизации операционного риска в рамках отдельных процессов и направлений бизнеса и оценить, насколько эффективны они были. Таким образом, возможно формировать предложения по адаптации наиболее эффективных практик в новых направлениях. Система поддерживает возможность создания карточки мероприятия по минимизации риска. Для каждого мероприятия указываются срок и ответственный сотрудник, что позволяет отслеживать выполнение таких мероприятий.
Ввиду существенного расширения критериев событий, относящихся к событиям операционного риска в рамках Положения № 716-П, и про- изведенной интеграции ПАК СУОР с иными ИТ-системами банка и хранилищами данных мы прогнозируем повышение количества регистрируемых событий операционного риска. Однако, как уже было сказано, учитывая реализованную автоматизацию процессов, связанных с выявлением и оценкой событий операционного риска, мы не ожидаем повышения трудозатрат сотрудников.
Какие способы мотивации персонала на сбор данных показали себя наиболее эффективными
Для повышения эффективности управления операционными рисками в ПСБ реализуется система мер по формированию риск-культуры, адекватной характеру и масштабам деятельности банка. В том числе регулярно проводится обучение сотрудников всех уровней, определяются риск-ориентированные процедуры корпоративного управления. Развитая система обучающих программ банка в области операционных рисков формирует ответственное, осознанное отношение сотрудников к процессу управления операционным риском и его взаимосвязи с финансовыми результатами структурных подразделений и в целом способствует проактивной позиции сотрудников по выявлению операционного риска и оперативному реагированию. В частности, в связи с внедрением автоматизации планируется внесение изменений или создание дополнительных обучающих курсов для сотрудников:
- вводный курс по операционным рискам;
- курс для работников, ответственных за ведение базы по событиям операционного риска (информирующих сотрудников);
- курс по самооценке операционных рисков;
- курс по ключевым индикаторам риска.
На постоянной основе совершенствуется система ключевых показателей эффективности сотрудников банка, ответственных за регистрацию событий операционного риска в автоматизированной системе.
Как анализируется эффективность принятых мер и мероприятий
Оценка эффективности мер по минимизации операционных рисков должна быть акцентирована на том, были ли они успешными в отношении минимизации целевого риска. Наряду с методологическими аспектами анализа эффективности мер и мероприятий ПСБ оценивает повышение степени формализации нормативов, правил, уровень исполнения законодательных актов и других регламентирующих документов, определяющих порядок реализации банковских процессов, а также применяет функциональный подход к оценке, при котором операционный риск минимизируется за счет полноты соответствия реализованных прикладных алгоритмов требованиям предметной области (нормативы, правила) и технологического подхода к снижению операционного риска.
В контексте обсуждения вопросов автоматизации процесса сбора данных о событиях операционного риска и интеграции ПАК СУОР с иными ИТ-системами и хранилищами ПСБ хотелось бы сделать акцент на том, что банк активно применяет технологический под- ход, при котором минимизация операционного риска производится за счет рационализации общей технологии обработки информации в автоматизированной системе.
Максимальная автоматизация банковских процессов, в том числе процесса управления и контроля операционного риска банка, зарекомендовала себя наиболее эффективной и экономически оправдан- ной мерой минимизации операционного риска, так как позволяет снизить риски ошибок сотрудников и соответственно избежать операционных потерь в будущем, своевременно принимать необходимые управленческие решения, например по ограничению или передаче операционного риска.
Безусловно, при анализе эффективности принятых мер необходимо принимать во внимание снижение не только финансовых, но и нефинансовых последствий операционного риска. Учитываются не только функционально-стоимостная модель банка, но и уровень снижения вероятности наступления риска по сравнению со стоимостью реализации мероприятий.
Вам может понравиться
Обсудить идею или проект
Ответим уже сегодня