Блог / Новости / Управление операционным риском в банке

Управление операционным риском в банке

29 сентября 2021 г.
Поделиться

Специфика управления операционными рисками в банке связана с жесткими требованиями регулятора, обязательными к соблюдению, а также внутренним регламентом учреждения, который также необходимо исполнять. Успешно решить эту задачу можно при наличии эффективного ПО, обеспечивающего автоматизацию рабочих процессов.

Что такое операционный риск по закону

Понятие раскрыто в п. 4.1 Приложения № 1 к Указаниям Банка России от 15.04.2015 N 3624-У. Этот термин обозначает прямые и непрямые потери банка из-за несовершенств, ошибок во внутренних процессах учреждения; из-за действий сотрудников, а также других лиц; внешних событий либо сбоев систем. Упоминаются такие разновидности оперрисков:

правовой;
информационных систем;
информационной безопасности;
киберриск;

По нормам Положения Банка России от 08.04.2020 N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» все банки обязаны применять автоматизированную СУОР (систему управления операционными рисками). Этот НПА вступил в силу, начиная с 1-го января 2022 г. В Положении Банк России утвердил достаточно жесткие требования к процедуре организации системы управления, включая процессы разработки и последующего внедрения. Дополнительно регулятор классифицировал события подобных рисков для кредитных организаций.

716-П вводит в действие новые требования к следующим факторам:

СУОР (системе управления операционным риском) – отличаются в зависимости от характеристик финансовой организации. Учитывается тип учреждения, суммарная величина активов, разновидность лицензии (универсальная либо базовая).
Рискам ИБ (информационной безопасности) – в главе 7 есть определения видов таких рисков, порядок классификации по источникам, правила ведения информационной базы событий, актуальные требования к механизму управления, составлению отчетности.
Рискам ИС (информационных систем) – глава 8 устанавливает порядок управления такими рисками, уточняет требования к структуре ИС, их надежности, качеству, непрерывности учета процессов/операций.
Ведению информационной базы событий на постоянной основе – в главе 6 прописаны требования к порядку, форме/содержанию отражаемых данных; учету потерь (косвенных и прямых) и обязательному контролю; расчету суммы возмещения, объему валовых убытков; механизму идентификации потерь и возмещений; отражению видов возмещений.

Какие ключевые требования утверждает Положение 716-П

В целях организации управления операционными рисками НПА классифицирует такие типы рисков:

ИБ, а именно реализации угроз безопасности информации.
ИС, а именно отказов и/или нарушения функционирования ИС в банке, а также их несоответствия потребностям учреждения.
Правовые, которые определяют в порядке согласно положениям п. 3.3 Указаний № 3624-У.
Ошибок при управлении проектами, включая ошибки в управлении проектной деятельностью, направленные на изменение процесса функционирования и поддержания работы банка.
Ошибок в управлении, включая ошибки во внутренних процессах учреждения, в решениях, касающихся сделок, операций, внутренней деятельности.
Ошибок во внутреннем контроле, включая ошибки в системе ВК, в нарушениях его правил.
Модельные, определяемые в порядке согласно положениям п. 4.2 Указаний № 3624-У.
Утрат денежных средств клиентов банка, его контрагентов, персонала и третьих лиц при отсутствии компенсации со стороны банка и полученных из-за нарушений банком кодекса этики, норм поведения при продаже своих услуг, рыночных практик.
Ошибок в процессе управления персоналом, в том числе нарушения в процедурах подбора специалистов, трудоустройства сотрудников, их социальной поддержки, увольнения или адаптации, обеспечения работодателям норм безопасности труда, а также ОТ в зависимости от отрасли.
Оперриск платежной системы, определяемый согласно абз. 3 п. 1 Приложения № 2 к Положению Банка России № 607-П от 03.10.2017 года. Это различные аварии, отказы или сбои в работе банковских систем, пробелы в технологиях, процессах управления, ошибочные или юридически неправомерные действия банковских сотрудников, ЧС, противоправное поведение прочих лиц.

По законодательным нормам система управления операционными рисками в банке в обязательном порядке должна включать нижеперечисленные элементы:

Порядок действий управления оперрисками с учетом норм гл. 2 № 716-П.
База событий, включая классификаторы с учетом норм гл. 3.
Показатели для контроля имеющегося в банке уровня рисков согласно гл. 5.
АИС (автоматизированную информационную систему) с учетом особенностей процессов/операций банка, обеспечивающую работу СУОР учреждения в целом, а также отдельных ее элементов. К примеру, это защита информации от искажений и сохранность данных.
Дополнительные типы элементов – в гл. 4 упоминаются перечень процессов банка по направлениям из п. 3.9; политика управления рисками; внутренние документы по выполнению СУОР; мероприятия по повышению качества СУОР; методы мотивации персонала; итоговые отчеты для руководства по оперрискам; интеграция СУОР с прочими типами рисков.

Согласно нормам главы 2 установлены такие процедуры управления оперриском:

Идентификация оперриска, включая анализ информации из базы событий; ежегодную самооценку; анализ показателей в динамике; оценку и анализ проверочных документов, судебных актов, решений исполнительных госорганов власти, Банка РФ; анализ другой информации.
Количественная и качественная оценка факторов текущего уровня риска, правильности учета, включая данные по результатам агрегирования, а также оценка размера капитала, объема ожидаемых потерь.
Сбор сведений о событиях, потерях оперриска и дальнейшая их регистрация, включая автоматизированный сбор, неавтоматизированный, метод анализа обстоятельств, причин событий.
Поэлементная классификация обнаруженных событий с учетом положений гл. 3.
По результатам разработанных, утвержденных руководством мероприятий выбор, дальнейшее применение варианта реагирования на оперриск. Срок – до 3 месяцев с даты оценки его уровня.
Выявление, учет совокупных потерь и стоимости возмещения от событий оперриска, включая недополученные доходы, потенциальные потери.
Мониторинг, включая статистический анализ, мониторинг КИР, контроль за соблюдением выбранного варианта реагирования, за исполнением мер для снижения рисков.

Качественная информационная система, полностью соответствующая требованиям № 716-П, в состоянии обеспечить высокий уровень управления (оценка, анализ и контроль) оперрисками в любом банке. Подобные ИС обычно представлены в виде отдельных программных продуктов, адаптированных специально под финансовый сектор.

Как определить эффективные программные решения для управления рисками: основные критерии

Риск-менеджмент операционных рисков представляет единый процесс управления подобными явлениями, который направлен на обнаружение, устранение ошибок, сбоев в работе. Основная цель интеграции СУОР в банковскую инфраструктуру – это реализация таких функций, что будут соответствовать жестким требованиям Центробанка. Не менее важна способность продукта быстро реагировать на возникающие риски. Если скорость будет недостаточно высока, неизбежен кризис, а также сопутствующие ему явления. Даже при внешнем соблюдении нормативных требований Банка России.

В заданных условиях всех устроит такая программа, в которой предусмотрен весь жизненный цикл обработки оперрисков – с момента первичного выявления, сопровождающегося регистрацией в ПО, до момента закрытия с отражением возможных потерь и расходов банка. Подробная классификация всех возможных событий и рисков, как того требует регулятор, увеличивает качество контроля за рисками. Если есть необходимость, справочники можно расширять с учетом банковских потребностей.

Современные платформы полностью автоматизированы, способны адаптироваться под специфику любого бизнеса. Решение предусматривает возможность интеграции процедур риск-менеджмента в операционное управление банка. Благодаря этому возможно уменьшение уровня ошибок, неизбежных при «ручном» труде. Корректно функционирующая СУОР снижает число событий. Следовательно, укрепляется репутация самой компании, сокращаются объемы издержек и резервов на устранение негативных последствий.

FIS Управление рисками: рабочие возможности и преимущества

Основной инструмент управления операционными рисками в коммерческом банке – это автоматизированное ПО от разработчика ИТ-решений для представителей финансового сектора FIS. Данный информационный продукт создан на базе No-code. Программа полностью соответствует нормативным требованиям № 716-П, подходит для внедрения с минимальными затратами в любом предприятии.

Система FIS Управление рисками предназначается для уточнения, анализа, контроля и предотвращения рисков, присущих банкам. Главная отличительная черта сервиса в том, что он позволяет учитывать все риски по № 716-П и дополнительные риски, имеющиеся у конкретного заказчика. Процесс управления полностью автоматизирован.

Классификация по типам рисков выполняется с учетом направления деятельности бизнеса. В целях точной идентификации FIS СУОР позволяет выстраивать взаимодействие между отдельными подразделениями учреждения и головной организацией. Результат достигается путем передачи соответствующих сообщений по обнаруженным департаментами событиям.

Возможности решения FIS Управления рисками:

Оценка и контроль результатов работы СУОР в рамках 716-П.
Сбор данных о рисковых событиях, потерях, возмещениях.
Расчет ключевых показателей в разрезе оперрисков.
Формирование профиля риска в учреждении.
Анкетирование персонала с целью оценки итогов работы СУОР.
Оценка, анализ информации по всем доступным источникам.
Корректировка бизнес-процессов при необходимости.
Формирование сводной отчетности для руководителей банка.

Ключевая задача развития корпоративной системы заключается в соблюдении требований Центробанка и одновременно в соответствии внутреннему регламенту учреждения. Текущая версия продукта обеспечивает исполнение всех действующих норм, учитывает практический опыт внедрения решения в ведущих банках России.

Решение FIS разработано на платформе No-code. За счет гибких настроек допускается интеграция продукта с большинством внешних систем, к примеру, с учетной или другой. Управление параметрами модулей приложения выполняется с учетом пожеланий заказчика, его вида деятельности, требований бизнес-проекта. Для работы с продуктом более не требуется знание языков программирования или оплата труда «дорогих» IT-разработчиков. Автоматизация осуществляется собственными силами посредством использования встроенных конструкторов.