Опыт разработки систем управления операционными рисками

В данной статье авторы делятся опытом «правильной» организации проекта по созданию системы управления операционными рисками в банке, включающей в себя комплексное решение организационных, методологических и информационных задач.

Необходимость внедрения риск-ориентированных подходов к корпоративному управлению осознается по мере развития банка, когда его бизнес становится все более сложным: увеличиваются объемы операций, растет число их видов, увеличивается число филиалов, усложняется операционная среда и так далее. Вследствие этого, более значимой становится адекватная организация бизнес-процессов и неразрывно связанная с этим задача создания системы выявления, оценки и управления операционными рисками.

В соответствии с определениями Базельского Комитета «Операционный риск определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск , но исключает стратегический и репутационный риски».

В соответствии с рекомендациями Базеля, перед кредитными организациями ставится задача создания системы управления операционными рисками, под которой понимается комплекс мероприятий и процедур по идентификации, измерению, мониторингу, контролю и ограничению операционных рисков, осуществляемых на интегрированной основе в рамках отдельных направлений деятельности и Банка в целом на базе современных информационных технологий.

Банк России в своем письме от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» подтвердил, что в понимании задач и функционала системы управления операционными рисками он присоединяется к рекомендациям Базельского Комитета и дает прямые указания российским банкам «разработать основные принципы управления операционным риском, определяющие… цели и задачи управления операционным риском», а также методы выявления, мониторинга, контроля и минимизации операционного риска.

Национальные органы надзора стран СНГ, в частности Казахстана , также присоединяются к определениям и подходам Базельского Комитета. Роль и значение операционных рисков для банков СНГ в настоящее время неизмеримо возрастает в связи с развитием новых технологий и массовых продуктов. В прессе неоднократно приводятся примеры мошенничеств, связанных с потребительским кредитованием, или примеры интернет-мошенничеств и мошенничеств с пластиковыми картами.

В большинстве банков стран СНГ (в отличие от западных) на сегодняшний день отсутствует комплексная система накопления и анализа данных о потерях от операционных рисков. Создание такой системы – длительный процесс, и если не начать ее формирование сейчас, то банк еще долго не будет иметь возможности реально оценивать собственные операционные риски и определять экономически обоснованную потребность в капитале на покрытие операционных рисков.

В данной статье мы хотим поделиться с читателями опытом «правильной» организации проекта по созданию системы управления операционными рисками в банке, включающей в себя комплексное решение организационных, методологических и информационных задач. Этот опыт основан на участии авторов статьи в реальном проекте, который в настоящее время успешно выполняется в одном из крупнейших банков Казахстана.

Успешным, на наш взгляд, будет такой проект, в самом начале которого будут решены две основные задачи: определены цели, которых хочет достичь банк, внедряя у себя систему управления операционными рисками и создана команда, которая будет выполнять проект.

Цели определены

Начиная внедрение системы управления рисками, банк может ставить перед собой следующие цели.

Первая. Отчитаться «для галочки» перед надзорным банковским органом (центральным или национальным банком). Центральные банки большинства стран СНГ уже ввели, или планируют ввести с 2008 года, требования к капиталу на покрытие операционного риска в нормативы достаточности капитала на базе простейшего индикативного подхода. Однако эти требования пока соблюдаются коммерческими банками формально.

Вторая. Повысить свою репутацию перед западными партнерами. Иностранные банки и финансовые компании из стран Базельского соглашения очень внимательно и требовательно относятся к оценке системы операционного риск-менеджмента своих партнеров. Наличие адекватной системы является признаком стабильности партнера.

Третья. Построить в банке реальную систему управления операционными рисками (далее – СУОР) в первую очередь для собственных целей – оценки адекватности и мониторинга собственной операционной среды для своевременного выявления и иммунизации источников операционных рисков.

Достижение третьей цели позволит достичь и первых двух (разумеется, при условии, что созданная система пройдет аттестацию у надзорного банковского органа и будет признана адекватной рейтинговыми агентствами). Но этот процесс очень сложен, и не столько в финансовых затратах, сколько в организационном и технологическом аспектах. Руководство каждого банка, выбирая одну из вышеуказанных целей в части операционных рисков, расставляет собственные приоритеты деятельности, определяемые стратегией и задачами акционеров. Ясно, что банки, реально, а не для «галочки» разрабатывающие СУОР, нацелены на долгосрочное и стабильное развитие, ответственно относятся к своим институциональным задачам и к своим партнерам. Именно такие банки в будущем будут обладать наибольшим доверием общества и клиентов.

Создать проектную команду

Для построения адекватной и эффективной СУОР в проектную команду должны входить специалисты определенного класса. Во-первых, это аналитики консалтинговой компании. Их задачей является описание методики и процедуры операционного риск-менеджмента в банке, в том числе рекомендаций по организации информационной части СУОР. Во-вторых, аналитики и программисты компании поставщика программного обеспечения. Их задачей является построение информационной части СУОР в соответствии с методикой, разработанной консультантами, и адаптированной специалистами банка в части деталей ее реализации. И, наконец, в-третьих, риск-менеджеры, технологи, сотрудники ИТ подразделения банка. Их задачей является выполнение всех необходимых работ в банке.

Возглавлять команду должен менеджер проекта, который координирует работу всех ее членов и обеспечивает достижение поставленных целей в установленные сроки.

Как выбрать консалтинговую компанию

Следует заметить, что идентификация, анализ и моделирование операционных рисков, а также формирование требований к капиталу для покрытия операционных рисков является одной из самых сложных проблем нового Базельского соглашения по капиталу. В этой связи для банка целесообразно привлечь консультантов, профессионально владеющих методологией операционного риск-менеджмента. Найти таких консультантов можно, например, анализируя опыт других кредитных учреждений по внедрению СУОР, или объявив тендер.

Проблема состоит в том, что при формировании системы операционного риск менеджмента нужно одновременно решить две задачи – соответствия собственной СУОР стандартам Базельского соглашения и ее соответствия специфике бизнес-процессов банка. Сочетание этих задач приводит к сложному конгломерату организационных и методических противоречий, которые необходимо решить внутри банка.

Для решения этих задач банки приглашают консультантов. Консультант должен обладать как специальными знаниями в конкретной области риск-менеджмента, уникальными (не тиражируемыми) разработками, расширяющими и дополняющими существующую методологию, так и практическим опытом построения таких систем именно в банках с соответствующей региональной спецификой СНГ. И не всегда таким опытом обладают международно-признанные крупные консалтинговые компании – как правило, они пытаются переносить опыт с одних национальных систем на другие, да и специализируются на широком спектре задач, в списке которых операционный риск-менеджмент занимает совсем не первое место. Если перенесение опыта происходит формально, то возникает существенный внедренческий риск не адаптивности предлагаемых консультационных решений. Именно поэтому наиболее ценным является опыт национальных небольших консалтинговых компаний, накопивших и обобщивших лучшую международную практику, специализирующихся на оказании соответствующих услуг в области риск-менеджмента, имеющих опыт соответствующего реинжиниринга бизнес-процессов национальных компаний в соответствии с международными стандартами.

Как выбрать компанию - поставщика программного обеспечения (ПО)

В том, что для функционирования системы управления операционными рисками в банке нужны программные средства, нет никаких сомнений. Задачи идентификации, оценки и анализа операционных рисков требуют технологии коллективного ввода данных и обработки больших объемов разнообразной информации.

Рис.1. Пример технологической цепочки процесса управления операционными рисками в автоматизированной системе

На рисунке 1 приведена схема возможной технологической цепочки процесса управления операционными рисками в автоматизированной системе, демонстрирующая основные функции программного обеспечения. Из приведенной схемы следует, что для реализации функций такого рода обойтись использованием MS Excel (с чего обычно пытаются начать банки) затруднительно - требуется специализированное программное обеспечение (ПО). В настоящее время на рынке стран СНГ имеется некоторое количество предложений такого ПО, главным образом от западных поставщиков. Это очень большие и дорогостоящие системы, в основном класса ВРМ (Business Performance Management - системы управления эффективностью бизнеса), базирующиеся на технологиях хранилищ данных. Модуль управления операционными рисками является в таких системах одной из подсистем. На рынке ПО имеются также и российские разработки в области ВРМ-систем, более скромные по цене, но не менее качественные по составу функций и инструментальных средств. Тема операционных рисков является новой для большинства наших разработчиков. Однако имеющийся богатый опыт наработок в области автоматизации с помощью таких систем разнообразных управленческих процессов (финансового управления, моделирования финансовых ресурсов, анализа кредитных рисков, формирования отчетности по международным стандартам и т.п.) создает базу для решения задачи информационной поддержки процесса управления операционными рисками, поскольку эти процессы имеют немало точек пересечения.

В банке, о проекте в котором мы говорим, уже эксплуатируется BPM–система российского разработчика. На ней функционируют модули бюджетирования и финансового управления. В системе налажен регулярный сбор бухгалтерской и управленческой информации, которая может служить хорошей базой для расчетов, например, объемных индикаторов, необходимых для оценки операционных рисков. Имеющийся в системе инструментарий позволяет легко расширять состав загружаемой в систему информации, а также настраивать хранилище на определенную предметную область и бизнес-логику обработки данных. Поэтому банк выбрал путь реализации модуля управления операционными рисками именно на этой платформе. Это позволяет сохранить сделанные ранее инвестиции и получить результат с минимальными затратами.

Таким образом, при выборе программного обеспечения, по нашему мнению, банк должен руководствоваться следующими факторами: позволяет ли ПО в принципе решить задачу информационной поддержки процесса управления операционными рисками; создает ли ПО перспективы для комплексного решения прочих задач управления бизнесом; насколько хорошо ПО вписывается в ИТ - инфраструктуру банка; соотношение цена/качество ПО.

Современное состояние банковской системы стран СНГ характеризуется стабильностью и высокими темпами развития. С другой стороны, глобальное внедрение стандартов нового Базельского соглашения снижает шансы банков, не внедряющих у себя современные системы риск-менеджмента, в конкурентной борьбе. Наличие необходимых финансовых ресурсов и квалифицированных кадров позволяет банкам СНГ уже сейчас приступать к созданию систем операционного риск-менеджмента.

Автор: Р. Лозовая, М. Бухтин, Т. Анитова

Источник: Аналитический банковский журнал, 2006, № 8