Управление операционным риском в банке

Управление операционным риском в банке

Особенность управления операционным риском в кредитно-финансовой организации заключается в необходимости обеспечения соответствия требованиям регулятора и одновременно положениям внутренних регламентов банка. Вероятность успешного решения данной задачи в современном банке зависит, прежде всего, от эффективности работы автоматизированных решений, обеспечивающих функционирование системы управления рисками.

 

Определение операционного риска

______________________________________

«Операционный риск — это риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий. Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска»

______________________________________

Пункт 4.1 приложения 1 к Указанию Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы»

Документ Банка России Положение от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее Положение) — это первый нормативный акт, выпущенный национальным регулятором в целях подготовки к внедрению нового стандартизированного подхода к оценке операционного риска для целей расчета норматива достаточности капитала в соответствии со стандартом Базеля III. Система управления операционным риском (СУОР) подлежит приведению банками в соответствие с требованиями Положения № 716-П в срок до 1 января 2022 года (в зависимости от размера активов кредитной организации, вида лицензии и типов кредитной организации (банк/НКО)).

Основные требования Положения, которые вводятся впервые:

  • Требования к системе управления операционным риском.
  • Требования к риску информационной безопасности.
  • Требования к риску информационных систем.
  • Требования к ведению базы событий (включая порядок ведения базы событий, требования к форме и содержанию вводимой информации, контролю учета прямых и косвенных потерь, определение стоимости возмещений потерь от реализации событий операционного риска в базе событий, обновление информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации).

Положение 716-П: ключевые требования

Кредитная организация для целей управления операционным риском выделяет следующие его виды:

  • риск информационной безопасности;
  • риск, возникающий при обеспечении функционирования информационных систем;
  • правовой риск;
  • риск ошибок в управлении проектами;
  • риск ошибок в управленческих процессах;
  • риск ошибок в процессах осуществления внутреннего контроля;
  • модельный риск (применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений);
  • риск утраты средств клиентов, контрагентов, работников и иных лиц;
  • риск ошибок процесса управления персоналом;
  • операционный риск платежной системы (в случае сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы)).

Система управления операционным риском в банке должна содержать ряд обязательных элементов. В их число входят:

  • процедуры управления операционным риском;
  • база событий, в том числе классификаторы событий операционного риска;
  • контрольные показатели уровня операционного риска;
  • ключевые процессы в рамках направлений деятельности банка;
  • автоматизированная информационная система, обеспечивающая функционирование управления операционным риском;
  • отчеты по операционному риску;
  • интеграция системы управления операционным риском с другими видами рисков.

В свою очередь, процедуры управления операционным риском включают:

  • идентификацию;
  • качественную оценку уровня операционного риска;
  • сбор и регистрацию информации о внутренних событиях операционного риска и потерях;
  • выбор и применение способа реагирования на операционный риск по результатам проведенной оценки;
  • определение потерь и возмещений от событий операционного риска;
  • мониторинг операционного риска;
  • количественную оценку уровня операционного риска.

Правомерно говорить о том, что качество работы информационной системы, соответствующей требованиям Положения № 716-П, в решающей степени влияет на качество практического управления операционным риском в современном банке. На практике подобные информационные системы представлены специальной категорией программных продуктов.

Программные решения для управления рисками: критерии эффективности

Ключевая задача в процессе интеграции системы управления операционными рисками в инфраструктуру банка — реализация определенного функционала. В случае с банковской сферой данный функционал обусловлен традиционно жесткими требованиями регулятора. Вместе с тем, важную роль играют возможности системы в части реагирования на конкретные риски. Важна скорость такого реагирования: при ее недостаточности кризисные явления неизбежны, несмотря на формальное соответствие требованиям регулятора.

Конкурентоспособным можно считать то решение, которое приспособлено к полному циклу обработки рисковых событий — от момента их выявления (регистрации в системе) до закрытия (при возможном наличии понесенных потерь, обусловленных возмещениями и прочими затратами банка). Высокая эффективность рассматриваемых платформ для управления операционным риском достигается, в том числе, за счет гибкой классификации рисков и событий операционного риска. Задействование различных классификаторов обычно обусловлено требованиями регулятора. Функционал системы должен учитывать такие требования, но не только их: современный банк ожидает, что соответствующие классификаторы (справочники) будут расширены с учетом его потребностей.

Один из ключевых критериев конкурентоспособности современной платформы для управления операционным риском — обеспечение высокой степени автоматизации процедур, направленных на выявление операционных рисков, а также на принятие тех или иных внешних мер реагирования на риски, которые выработаны риск-менеджерами Такая автоматизация, во-первых, способствует значительному ускорению проведения данных процедур, а во-вторых, снизит вероятность допущения ошибок при «ручном» выполнении тех или иных этапов таких процедур.

Эффективно функционирующая система управления рисками обеспечивает заметное снижение количества событий операционного риска. В свою очередь, банк получит преимущества в виде снижения финансовых и репутационных издержек, а также сокращения требуемых резервов.

Так или иначе, риски информационной безопасности, как и риски информационных систем — неотъемлемая составляющая политики управления операционным риском в современных банках в силу предписаний регулятора, отраженных в Положении № 716-П. Качество учета таких рисков — один из факторов, определяющих величину достаточности капитала организации.

FIS — опытный разработчик технологических решений для банковской сферы, в том числе современного ПО для управления операционными рисками. Информационная система FIS Управление рисками предназначена для идентификации и предотвращения рисковых событий в кредитных и иных финансовых организациях.

Данное ПО представляет собой технологичный, созданный в рамках концепции No-code продукт, который соответствует требованиям Положения № 716-П и может быть внедрен в любой кредитно-финансовой организации при минимальных организационных и финансовых издержках.

 

FIS Управление рисками: возможности и преимущества

Особенность нашего продукта — в возможности учета всех видов рисков, предусмотренных положением № 716-П, а также специфичных для каждого конкретного заказчика. При этом обеспечивается автоматизация всего цикла управления такими рисками, характерными для деятельности организации.

Идентификация каждого типа риска в системе осуществляется в соответствии с особенностями конкретного направления деятельности. При этом система позволяет организовывать взаимодействие между различными подразделениями банка. Такое взаимодействие обеспечивает эффективную идентификацию рисков — например, за счет оперативной передачи сообщений по рисковым событиям, выявленным тем или иным департаментом, в специализированные структуры риск-менеджмента.

Решение FIS Управление рисками позволяет:

  • измерять и контролировать эффективность работы, направленной на снижение уровня рисков;
  • собирать данные о событиях риска, связанных с ними убытках и возмещениях;
  • рассчитывать значения ключевых индикаторов по рискам;
  • формировать профиль риска в банке;
  • производить анкетирование (самооценку результатов работы с системой);
  • производить оценку рисков на основании всех доступных источников данных;
  • производить корректировку бизнес-процессов в случае изменения кадрового состава компании.

Важнейший приоритет дальнейшего развития системы — обеспечение соответствия действующим и перспективным требованиям регулятора, и одновременно — внутренним методикам кредитно-финансовой организации по работе с рисками. Текущая версия системы учитывает все актуальные требования, принятые на нормативном уровне, как и опыт практического ее внедрения в крупнейших российских банках.

Благодаря универсальной No-code платформе в качестве базы, решение FIS Управление рисками может быть интегрировано практически с любой внешней системой — например, связанной с учетом или же прочей, что может присылать информацию о событиях операционного риска. Кроме того, обеспечивается настройка системы с учетом пожеланий конкретного заказчика, его бизнес-требований в рамках индивидуального подхода.

Платформа обеспечивает общий подход, который позволяет автоматизировать различные бизнес-процессы на стороне клиента с учетом специфики его бизнеса с помощью встроенных конструкторов. Концепция No-code позволяет при этом обеспечить до 90% процедур, связанных с настройкой приложений на стороне заказчика, его собственными силами — без привлечения высококвалифицированных IT-разработчиков со стороны.