Управление операционным риском в банке

Специфика управления операционными рисками в банке связана с жесткими требованиями регулятора, обязательными к соблюдению, а также внутренним регламентом учреждения, который также необходимо исполнять. Успешно решить эту задачу можно при наличии эффективного ПО, обеспечивающего автоматизацию рабочих процессов.

Что такое операционный риск по закону

Понятие раскрыто в п. 4.1 Приложения № 1 к Указаниям Банка России от 15.04.2015 N 3624-У. Этот термин обозначает прямые и непрямые потери банка из-за несовершенств, ошибок во внутренних процессах учреждения; из-за действий сотрудников, а также других лиц; внешних событий либо сбоев систем. Упоминаются такие разновидности оперрисков:

• правовой;
• информационных систем;
• информационной безопасности;
• киберриск;

По нормам Положения Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» все банки обязаны применять автоматизированную СУОР (систему управления операционными рисками). Этот НПА вступил в силу, начиная с 1-го января 2022 г. В Положении Банк России утвердил достаточно жесткие требования к процедуре организации системы управления, включая процессы разработки и последующего внедрения. Дополнительно регулятор классифицировал события подобных рисков для кредитных организаций.

716-П вводит в действие новые требования к следующим факторам:

• СУОР (системе управления операционным риском) – отличаются в зависимости от характеристик финансовой организации. Учитывается тип учреждения, суммарная величина активов, разновидность лицензии (универсальная либо базовая).
• Рискам ИБ (информационной безопасности) – в главе 7 есть определения видов таких рисков, порядок классификации по источникам, правила ведения информационной базы событий, актуальные требования к механизму управления, составлению отчетности.
• Рискам ИС (информационных систем) – глава 8 устанавливает порядок управления такими рисками, уточняет требования к структуре ИС, их надежности, качеству, непрерывности учета процессов/операций.
• Ведению информационной базы событий на постоянной основе – в главе 6 прописаны требования к порядку, форме/содержанию отражаемых данных; учету потерь (косвенных и прямых) и обязательному контролю; расчету суммы возмещения, объему валовых убытков; механизму идентификации потерь и возмещений; отражению видов возмещений.

Какие ключевые требования утверждает Положение 716-П

В целях организации управления операционными рисками НПА классифицирует такие типы рисков:

• ИБ, а именно реализации угроз безопасности информации.
• ИС, а именно отказов и/или нарушения функционирования ИС в банке, а также их несоответствия потребностям учреждения.
• Правовые, которые определяют в порядке согласно положениям п. 3.3 Указаний № 3624-У.
• Ошибок при управлении проектами, включая ошибки в управлении проектной деятельностью, направленные на изменение процесса функционирования и поддержания работы банка.
• Ошибок в управлении, включая ошибки во внутренних процессах учреждения, в решениях, касающихся сделок, операций, внутренней деятельности.
• Ошибок во внутреннем контроле, включая ошибки в системе ВК, в нарушениях его правил.
• Модельные, определяемые в порядке согласно положениям п. 4.2 Указаний № 3624-У.
• Утрат денежных средств клиентов банка, его контрагентов, персонала и третьих лиц при отсутствии компенсации со стороны банка и полученных из-за нарушений банком кодекса этики, норм поведения при продаже своих услуг, рыночных практик.
• Ошибок в процессе управления персоналом, в том числе нарушения в процедурах подбора специалистов, трудоустройства сотрудников, их социальной поддержки, увольнения или адаптации, обеспечения работодателям норм безопасности труда, а также ОТ в зависимости от отрасли.
• Оперриск платежной системы, определяемый согласно абз. 3 п. 1 Приложения № 2 к Положению Банка России № 607-П от 03.10.2017 года. Это различные аварии, отказы или сбои в работе банковских систем, пробелы в технологиях, процессах управления, ошибочные или юридически неправомерные действия банковских сотрудников, ЧС, противоправное поведение прочих лиц.

По законодательным нормам система управления операционными рисками в банке в обязательном порядке должна включать нижеперечисленные элементы:

• Порядок действий управления оперрисками с учетом норм гл. 2 № 716-П.
• База событий, включая классификаторы с учетом норм гл. 3.
• Показатели для контроля имеющегося в банке уровня рисков согласно гл. 5.
• АИС (автоматизированную информационную систему) с учетом особенностей процессов/операций банка, обеспечивающую работу СУОР учреждения в целом, а также отдельных ее элементов. К примеру, это защита информации от искажений и сохранность данных.
• Дополнительные типы элементов – в гл. 4 упоминаются перечень процессов банка по направлениям из п. 3.9; политика управления рисками; внутренние документы по выполнению СУОР; мероприятия по повышению качества СУОР; методы мотивации персонала; итоговые отчеты для руководства по оперрискам; интеграция СУОР с прочими типами рисков.

Согласно нормам главы 2 установлены такие процедуры управления оперриском:

• Идентификация оперриска, включая анализ информации из базы событий; ежегодную самооценку; анализ показателей в динамике; оценку и анализ проверочных документов, судебных актов, решений исполнительных госорганов власти, Банка РФ; анализ другой информации.
• Количественная и качественная оценка факторов текущего уровня риска, правильности учета, включая данные по результатам агрегирования, а также оценка размера капитала, объема ожидаемых потерь.
• Сбор сведений о событиях, потерях оперриска и дальнейшая их регистрация, включая автоматизированный сбор, неавтоматизированный, метод анализа обстоятельств, причин событий.
• Поэлементная классификация обнаруженных событий с учетом положений гл. 3.
• По результатам разработанных, утвержденных руководством мероприятий выбор, дальнейшее применение варианта реагирования на оперриск. Срок – до 3 месяцев с даты оценки его уровня.
• Выявление, учет совокупных потерь и стоимости возмещения от событий оперриска, включая недополученные доходы, потенциальные потери.
• Мониторинг, включая статистический анализ, мониторинг КИР, контроль за соблюдением выбранного варианта реагирования, за исполнением мер для снижения рисков.

Качественная информационная система, полностью соответствующая требованиям № 716-П, в состоянии обеспечить высокий уровень управления (оценка, анализ и контроль) оперрисками в любом банке. Подобные ИС обычно представлены в виде отдельных программных продуктов, адаптированных специально под финансовый сектор.

Как определить эффективные программные решения для управления рисками: основные критерии

Риск-менеджмент операционных рисков представляет единый процесс управления подобными явлениями, который направлен на обнаружение, устранение ошибок, сбоев в работе. Основная цель интеграции СУОР в банковскую инфраструктуру – это реализация таких функций, что будут соответствовать жестким требованиям Центробанка. Не менее важна способность продукта быстро реагировать на возникающие риски. Если скорость будет недостаточно высока, неизбежен кризис, а также сопутствующие ему явления. Даже при внешнем соблюдении нормативных требований Банка России.

В заданных условиях всех устроит такая программа, в которой предусмотрен весь жизненный цикл обработки оперрисков – с момента первичного выявления, сопровождающегося регистрацией в ПО, до момента закрытия с отражением возможных потерь и расходов банка. Подробная классификация всех возможных событий и рисков, как того требует регулятор, увеличивает качество контроля за рисками. Если есть необходимость, справочники можно расширять с учетом банковских потребностей.

Современные платформы полностью автоматизированы, способны адаптироваться под специфику любого бизнеса. Решение предусматривает возможность интеграции процедур риск-менеджмента в операционное управление банка. Благодаря этому возможно уменьшение уровня ошибок, неизбежных при «ручном» труде. Корректно функционирующая СУОР снижает число событий. Следовательно, укрепляется репутация самой компании, сокращаются объемы издержек и резервов на устранение негативных последствий.

FIS Управление рисками: рабочие возможности и преимущества

Основной инструмент управления операционными рисками в коммерческом банке – это автоматизированное ПО от разработчика ИТ-решений для представителей финансового сектора FIS. Данный информационный продукт создан на базе No-code. Программа полностью соответствует нормативным требованиям № 716-П, подходит для внедрения с минимальными затратами в любом предприятии.

Система FIS Управление рисками предназначается для уточнения, анализа, контроля и предотвращения рисков, присущих банкам. Главная отличительная черта сервиса в том, что он позволяет учитывать все риски по № 716-П и дополнительные риски, имеющиеся у конкретного заказчика. Процесс управления полностью автоматизирован.

Классификация по типам рисков выполняется с учетом направления деятельности бизнеса. В целях точной идентификации FIS СУОР позволяет выстраивать взаимодействие между отдельными подразделениями учреждения и головной организацией. Результат достигается путем передачи соответствующих сообщений по обнаруженным департаментами событиям.

Возможности решения FIS Управления рисками:

• Оценка и контроль результатов работы СУОР в рамках 716-П.
• Сбор данных о рисковых событиях, потерях, возмещениях.
• Расчет ключевых показателей в разрезе оперрисков.
• Формирование профиля риска в учреждении.
• Анкетирование персонала с целью оценки итогов работы СУОР.
• Оценка, анализ информации по всем доступным источникам.
• Корректировка бизнес-процессов при необходимости.
• Формирование сводной отчетности для руководителей банка.

Ключевая задача развития корпоративной системы заключается в соблюдении требований Центробанка и одновременно в соответствии внутреннему регламенту учреждения. Текущая версия продукта обеспечивает исполнение всех действующих норм, учитывает практический опыт внедрения решения в ведущих банках России.

Решение FIS разработано на платформе No-code. За счет гибких настроек допускается интеграция продукта с большинством внешних систем, к примеру, с учетной или другой. Управление параметрами модулей приложения выполняется с учетом пожеланий заказчика, его вида деятельности, требований бизнес-проекта. Для работы с продуктом более не требуется знание языков программирования или оплата труда «дорогих» IT-разработчиков. Автоматизация осуществляется собственными силами посредством использования встроенных конструкторов.