Иногда производят интеграцию с другими справочниками, например, курсов валют, списками счетов, каталогами Active Directory (для возможности авторизации пользователей по своим учётным записям) и т. п.
Базу рисков интегрируют также с источниками данных об однотиповых множественных инцидентах (например, фактами осуществления исправительных проводок или излишками / недостачами в банкоматах).
Базу рисков интегрируют и с данными для расчета ключевых индикаторов рисков и т. д.
Этап 5. Настройка отчетов, настройка средств доступа к ним.
Всю отчетность целесообразно строить не в базе рисков, а из хранилища данных (предварительно обеспечив ежедневную выгрузку туда этих данных из базы рисков – см. выше этап 4 настоящего пункта).
От того, насколько удобными, понятными и актуальными для пользователей будут отчеты и прогнозы (а использовать отчеты и прогнозы по своим операционным рискам будут все подразделения банка), настолько и будет оцениваться эффективность управления операционным риском.
7.8. Аллокация инцидентов
7.8.1. Важность аллокации и инструменты.
Аллокация инцидентов[83] (по исполнителям, подразделениям, покрывающим убытки, и иным признакам) в рамках их учета является важным моментом, обеспечивающим работоспособность всей системы управления операционным риском. Ниже приводятся примеры наиболее важных аллокаций и раскрываются причины их важности.
1. Аллокация инцидента по типу (виду) инцидентов.
Если инциденты будут аллоцироваться не на те типы инцидентов, к которым они относятся то и направляться для обработки они будут не на те маршруты и не к тем экспертам (их обработки либо вовсе не будет, либо она будет некомпетентной). В этих условиях вся работа с инцидентами будет неэффективной.
2. Аллокация инцидента по виду бизнеса.
Если расходы на возмещение инцидентов и на их обработку не будут аллоцироваться на конкретные подразделения (и не вычитаться из их бюджетов), то у этих подразделений никогда не возникнет настоящего желания минимизировать свои риски и предотвращать инциденты.
Список названий оптимальных признаков инцидента и информационных полей приведен в Приложении 4.
Присвоение признаков играет ключевую роль и для последующей аналитики и построения отчетности, и для автоматической аллокации инцидентов на классификаторы Базель II (для расчета операционного риска продвинутым способом).
Основные проблемы при аллокации инцидентов возникают из-за неудобства механизмов присвоения их признаков. В ходе практического решения этой проблемы оказалось, что главным является одновременные интуитивная понятность и высокая детализация этих признаков. Они определяются при первоначальной регистрации инцидента и сопровождают его на всем протяжении жизненного цикла. Инициатор указывает эти признаки, отвечая на четыре вопроса:
• Что произошло?
• С чем произошло (ресурс)?
• Где произошло (территория)?
• Где произошло (процесс / продукт)?
Эффективность аллокации по многочисленным признакам будет зависеть от удобства выпадающих многоуровневых списков, их интуитивной понятности и детализации.
7.8.2. Особенности аллокации инцидентов по категориям и бизнес-линиям.
Нередко определение принадлежности инцидента к той или иной категории и бизнес-линии вызывает трудности и спорные моменты. Принадлежность определяется экспертным путем, а правила и особенности такого определения приводятся в конце Приложения 1 и Приложения 3.
7.8.3. Несоответствия между управленческим и финансовым учетом.
В случаях, если какие-либо инциденты и убытки учтены в базе операционных рисков, но не учтены в бухгалтерском, финансовом или управленческом учете, приоритет должен отдаваться сведениям из базы операционных рисков.
7.9. Правила расчета убытка по крупным инцидентам[84]
Банк производит оценку суммы убытка каждого инцидента по внутренним методикам, при этом расчет суммы убытка по инцидентам может производиться по следующим правилам:
Примерная формула расчета:
К убытку от инцидентов не относятся расходы, затраченные банком на выработку мер по недопущению инцидентов, аналогичных произошедшему (мер предотвращения инцидентов), а также расходы на реализацию таких мер.
В сводных отчетах по банку все инциденты, в которых сумма убытка имеет отрицательную величину (когда суммы поступлений, вызванных инцидентом, превышают суммы потерь), учитываются так чтобы они не искажали размера убытков от других инцидентов (не снижали сумм убытков от других инцидентов). Такими инцидентами могут быть, например, факты возникновения излишков в банкоматах или инциденты, по которым сумма возмещений превысила сумму убытков. При этом банк должен иметь возможность представить отчетность отдельно по инцидентам, где суммы поступлений, вызванных такими инцидентами, превышают суммы потерь.
Для обеспечения точности расчета убытков от однотипных инцидентов с примерно одинаковым убытком, например, исправительных проводок, не повлекших прямых убытков, размер убытка может назначаться нормативно (при этом убытком может быть себестоимость каждой исправительной проводки).
Следует различать убыток банка и убыток клиентов банка. Например, если хищение произошло со счетов клиентов (вклада, банковской карты или текущего счета), то такой убыток целесообразно регистрировать как потенциальный, который изменит статус на фактический, если эти средства будут возмещены клиенту из бюджета банка.
7.10. Оценка состоятельности системы управления операционным риском
Уровень управления операционным риском можно определять по следующим критериям.
Критерий 1 – по уровню технологичности.
Этот критерий больше характеризует силу, грамотность и техническое оснащение второй линии защиты операционных рисков (подразделения по операционным рискам).
Показателями высокой технологичности можно обозначить следующие критерии:
• эффективность механизмов раннего предупреждения рисков (в т. ч. индикаторов рисков и контролей рисков), перечисленных в разделе 6.3.;
• наличие в банке технической системы управления операционными рисками известного производителя;
• полнота, актуальность и качественность первичных данных об инцидентах и рисках;
• интересные и актуальные отчетность и прогнозы;
• действующие инструменты расчета рисков продвинуты способом.
Критерий 2 – по уровню культуры.
Здесь имеется в виду уровень проникновения культуры управления операционными рисками во все подразделения банка и уровень их заинтересованности и вовлеченности в эти процессы. Эти критерии больше характеризуют силу, грамотность и техническое оснащение первой линии защиты операционных рисков (всех подразделений банка).
Показателями высокой культуры можно обозначить следующие критерии:
• высокий уровень предотвращения убытков на первой линии защиты, где более 9/10 убытка предотвращено всеми подразделениями банка и соответственно менее 1/10 предотвращено подразделением по операционным рискам;
• высокий уровень выявления и устранения рисков на первой линии защиты, где более 9/10 рисков идентифицируются всеми подразделениями банка и соответственно менее 1/10 выявляется подразделением по операционным рискам;
• наличие в каждом подразделении банка заинтересованных и активно действующих методологов, которые помимо прочего организуют работу с рисками и инцидентами своего подразделения и активно взаимодействуют с подразделением по операционным рискам (согласно разделу 4.1);
• аллокация убытков и рисков на подразделения и взыскание с этих подразделений возмещений расходов по убыткам и работам с рисками и инцидентами, аллокация управленческих резервов по операционным рискам на эти подразделения;
• использование каждым подразделением банка отчетов о своих убытках, рисках, возмещениях;
• регулярное заслушивание комитетом по рискам вопросов соблюдения стандартов минимизации рисков;
• эффективность механизмов минимизации рисков (в т. ч. высокого уровня методологии, визуальных схем процессов, схем действий сотрудников; паспортов продуктов и т. д.), перечисленных в разделе 6.7.
Заключение
Импульсивное поведение компаний может допускаться в непредвиденных условиях выживания (и то с большой натяжкой). Но оно недопустимо как перманентное состояние повседневной деятельности.
Компании должны вести свою деятельность системно и проактивно[85] с пониманием шагов долгосрочного планомерного стабильного развития. Ведение дел должно быть разумным.
Такое разумное состояние невозможно без соблюдения практик управления операционными рисками, указанных в настоящих Рекомендациях (и прежде всего стандартов раздела 6.7).
Желательно чтобы они были внедрены и эффективно использовались во всех крупных банках, а затем, по мере адаптации, и во всех крупных отечественных компаниях.
Именно доступность понимания материала и его актуальность определяет, будет ли он внедрён или нет. И по этой причине Рекомендации изложены в формате и объеме, который позволяет понять их как специалистам, так и людям, не сведущим в этой области.
Представленный труд преследует именно эти цели.
Благодарности
Работы над этими рекомендациям велись 6 лет и были завершены в январе 2014 г. Их написание стало возможным исключительно Провидению, которое сталкивало меня с яркими и незаурядными коллегами и руководителями, вдохновлявшими к написанию этих материалов (прямо или косвенно, дружелюбно или императивно, наставлениями, информацией или личным примером). Это были то подготовка презентаций, то оперативное разрешение проблемных ситуаций, то аргументация перед оппонентами. Благодаря возникавшей необходимости небольшие разрозненные кусочки информации на глазах складывались в более крупные блоки и «обрастали» сопутствующими материалами как бы сами собой.
Отдельно хочу выразить признательность своим друзьям и родственникам, чья поддержка была крайне важна и незаменима.
Об авторе
Бедрединов Рустам в банковской сфере с 2004 г.: свою карьеру начал в РегионИнвестБанке в должности специалиста. Специализируется на риск ориентированных функциях – руководил подразделениями верификации[86] и андеррайтинг[87] (МДМ Банк), коллекшн[88] (МДМ Банк), банковских рисков (БТА Банк), операционных рисков (МДМ Банк, БТА Банк, БИНБАНК, Восточный экспресс банк). В своей деятельности придерживается стандартов комплексного и высокотехнологичного подхода в управлении рисками, охватывающих каждое подразделение банка и каждого его сотрудника.
Принимает участие в развитии бизнес-культуры с регулярными докладами на различных конференциях и публикациями в специализированных изданиях. Принимал участие в рабочей группе Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России.
Закончил Московский юридический институт и Московский университет экономики, статистики и информатики. Защитил диссертацию на тему: «Риски операций с ценными бумагами».
Приложения
Приложение 1. Классификация рисков и инцидентов по видам (типам)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Настоящий список соотносится с Приложением 7 Базель II (для соотнесения выделенный ниже 8-й тип должен быть включен в 6-й, а 9-й тип должен быть включен в 7-й).
Для разграничения рисков, инцидентов и убытков операционного риска от событий, относимых к иным видам рисков, используются следующие критерии.
Не являются инцидентами операционного риска ошибки персонала (неумышленные) в оценке кредитного, рыночного рисков (в т. ч. процентного, валютного, фондового) – они относятся к кредитному и рыночному риску, с соответствующим источником покрытия. Не являются инцидентами операционного риска ошибки персонала в оценке стратегического и репутационного риска. Не является инцидентом операционного риска ущерб, возникший от реализации кредитного, рыночного, стратегического и репутационного рисков.
Если какое-либо событие классифицируется согласно Приложению 1 как инцидент операционного риска (вне зависимости от направления деятельности банка, в котором оно произошло), работа с ним производится по правилам, предусмотренным работой с инцидентами (прежде всего раздела 6.1 Рекомендаций). Это правило распространяется также на события, произошедшие в процессах, подверженных кредитному или рыночному рискам, если такие события классифицируются согласно Приложению 1 как инциденты операционного риска. Например, такие события, как факт просрочки по ссуде, при проверке которой установлено, что клиент заведомо не собирался ее погашать, или попытки получения ссуд с предоставлением поддельных документов (согласно Приложению 1 – злоумышленные действия) признаются инцидентами 102 операционного, а не кредитного риска (несмотря на то, что они произошли в процессе, подверженном кредитному риску с соответствующим покрытием). Например, такие события, как факт ошибки в стороне сделки с ценной бумагой – вместо покупки осуществление продажи (согласно Приложению 1 – ошибка персонала при осуществлении операции) признаются инцидентами операционного, а не рыночного риска (несмотря на то, что они произошли в процессе, подверженном рыночному риску).
Формирование управленческих резервов для покрытия убытков операционного риска осуществляется в рамках управленческой отчетности (за исключением инцидентов кредитного мошенничества, резервирование которых осуществляется в рамках стандартных процедур кредитного риска).
Операционный риск включает в себя юридический (правовой) риск (согласно Базель II), включая ошибки персонала в оценке правовых рисков, инциденты, связанные с уплатой банком штрафов, пеней или исполнением взысканий, в т. ч. являющихся результатом действия органов надзора, а также частных судебных исков (включая любой ущерб, возникший от реализации правового риска). Порядок сбора информации об инцидентах правового риска производится в том же порядке, что и при других инцидентах операционного риска.
Принадлежность инцидента к категории определяется экспертным путем. При этом экспертное мнение является приоритетным в сравнении с формально наличествующими признаками. Например, если инцидент (злоумышленные действия) имеет признаки того, что мог быть совершен только при участии сотрудника банка, но прямых доказательств этому нет, то такой инцидент должен быть всё равно отнесён к категории злоупотреблений или противоправных действий.
Приложение 2.1. Классификация рисков и инцидентов по значимости (нефинансовая шкала)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
При использовании шкалы обозначается максимальный уровень рисков (в случае если риск идентифицируется по финансовому и по нефинансовому критерию (см. также Приложение 2.2).
Приложение 2.2. Классификация рисков и инцидентов по значимости (финансовая шкала)
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
При использовании шкалы обозначается максимальный уровень рисков (в случае если риск идентифицируется по финансовому и по нефинансовому критерию (см. также Приложение 2.1).
Приложение 3. Классификация рисков и инцидентов по бизнес-линии
Настоящее приложение может пересматриваться. Новая редакция приложения утверждается решением комитета по рискам.
Настоящий список соотносится с Приложением 6 Базель II.
Правила распределения рисков, инцидентов и убытков по бизнес-линиям.
Для распределения инцидентов используются объективные критерии, представленные здесь и позволяющие произвести такое деление между восемью бизнес-линиями взаимоисключающим и исчерпывающим образом.
В случаях, когда инцидент произошел во вспомогательном процессе (например, в процессе кадрового делопроизводства), устанавливается предназначение этой вспомогательной операции (бизнес-линия, для которой производилась эта операция, в которой произошел инцидент или обнаружен риск). Например, если инцидент произошел в процессе кадрового делопроизводства (не связанного с бизнес-линиями) при назначении сотрудника на должность в подразделение кредитования физических лиц, то этому инциденту назначается бизнес-линия «Банкинг физических лиц». Если же трудоустройство сотрудника, в ходе которого произошел инцидент, осуществлялось в подразделение корпоративного кредитования, то этому инциденту назначается бизнес-линия «Банкинг юридических лиц». При применении правил настоящего пункта в отчете об инциденте в обязательном порядке приводятся пояснения подтверждающие взаимосвязь инцидента с бизнес-линией.