Принципы управления операционными рисками кратко

Обновлено: 02.07.2024

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Управление рисками организации: основные направления

Процессы управления рисками охватывают 4 основные области:

  1. Управление рисками угроз
  2. Внутренний контроль
  3. Внутренний аудит
  4. Соответствие регуляторным требованиям

Управление рисками угроз

Для оценки угроз, риск менеджеры следуют следующим пяти шагам:

  1. Определение вероятности риска
  2. Оценка частоты и серьезности последствий
  3. Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
  4. Выбор и реализация действий, определенных на предыдущем этапе
  5. Контроль реализации действий и их корректировка, по мере необходимости

Этот процесс ориентирован на превентивное и на антикризисное управление рисками.

В управлении рисками следует различать понятия риска, угрозы и воздействия:

  1. Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
  2. Угроза — возможная опасность, которую несет в себе риск
  3. Воздействие — величина последствий, которые происходят, в случае наступления риска
  4. Величина риска = вероятность возникновения риска * воздействие

Внутренний контроль

Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.

Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.

Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.

Внутренний аудит

Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.

Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.

Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.

Соответствие регуляторным требованиям

Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.

Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.

Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.

Примеры подходов к управлению рисками организации

В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.

ISO 31000

ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.

Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.

ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.

Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.

Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.

В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.

О ERM они сказали следующее:

…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management

Примеры типов рисков

  • Угрозы: стихийные бедствия, материальный ущерб и прочее.
  • Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
  • Стратегические риски: конкуренция, тенденции бизнеса и так далее.
  • Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта

Процессы управления рисками

  • Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
  • Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
  • Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
  • Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
  • Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
  • Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
  • Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.

COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:

Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance

COSO акцентирует внимание на пяти компонентах системы управления рисками организации:

  1. Руководство и культура и постановка целей
  2. Производительность
  3. Анализ и пересмотр
  4. Информация, коммуникации и отчетность

Руководство и культура

Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.

Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.

Стратегия и постановка целей

Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.

Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.

Производительность

Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.

В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.

После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.

Анализ и пересмотр

Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.

Информация, коммуникация и отчетность

ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.

Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.

Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):

Управление рисками организации. COSO

Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.

Процесс управления рисками организации

Процесс управления рисками организации состоит из пяти элементов:

Управление рисками организации. Процесс

Определение целей и обеспечение согласованности ERM со стратегией бизнеса

В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.

Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.

Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.

Идентификация и документирование рисков

Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.

Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.

Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.

Оценка документированных рисков

Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.

После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.

Процесс управления рисками

Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.

Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.

Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.

Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.

Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.

Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:

Управление рисками организации.Тепловая карта

Ответ на риск

Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.

Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.

Ответ на риск подразделяется на четыре собственные категории:

Уклонение

Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.

Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.

Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.

Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.

Снижение

Часто риски могут быть снижены различными способами.

Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.

Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.

Разделение

Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.

На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.

Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.

По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.

Принятие

Принять риск это значит не предпринимать никаких действий.

Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.

Мониторинг рисков

Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.

Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.

Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.


03.06.2019 | Елена Звягинцева | 0

Если Вы уже прочитали перевод первой части книги и поняли, что такое операционный риск, позвольте Вас запутать. Операционный риск может стоять за спиной у многих иных видов банковских рисков. Думали, что реализован кредитный риск? А нет, этот операционный. Предполагали, что вот тот риск нужно учитывать, как стратегический? Ну, нет же, этот тоже операционный! Разобраться в хитросплетении рисковых ситуаций и отличить один вид событий от другого поможет вторая глава книги итальянских авторов, перевод которой находится под ссылкой.

2.3. Основное сходство и различие между операционным риском и другими категориями риска.

2.3.1 Операционный риск и кредитный риск.

(i) структур, ответственных за мониторинг подверженности кредитному риску и его количественную оценку,

(ii) структур, отвечающих за контроль и управление операционными рисками,

чтобы обе стороны могли анализировать рисковые ситуации и определять любые необходимые меры по минимизации потерь. Также требуется определение наиболее подходящих структур для информирования о крупных событиях, четкого распределения обязанностей, а также определения сроков и процедур отчетности. Соответственно, лучше будет задействовать централизованную структуру, чем децентрализованную, в соответствии с полномочиями первой в области контроля над кредитным риском и оздоровлением проблемных областей. Ниже приведены некоторые примеры пересечений между операционным риском и кредитным риском:

• Внутреннее мошенничество: изменение сотрудником данных, представленных заемщиком в целях оценки кредитоспособности (например, изменение параметров оценки, таких как личные данные или данные о залоге, а также оставление без внимания негативных событий, связанным с заемщиком); предоставление кредитов фиктивным клиентам; неправомерное реализация залога; мошенничество при идентификации личности заемщика;

• Внешнее мошенничество: представление недостоверных персональных данных или фиктивных данных о финансовом состоянии получателя кредита; фальсификация оценок внешнего оценщика относительно залога; представление счетов / счетов-фактур, касающихся фиктивных или уже погашенных кредитов;

• Клиенты, продукты и бизнес-практика: небрежное или халатное управление кредитами в нарушение внутренних правил или соответствующего законодательства;

• Управление исполнением, доставкой и процессами: невозможность взыскания задолженности из-за потери кредитной документации; задержка в погашении кредита; халатность в оценке кредитоспособности клиента; халатность при мониторинге кредита; неполное или неправильное управление дополнениями к договору; халатность при сборе, управлении и сохранении залога (например, недостатки в управлении залогом из-за ошибок при подготовке соответствующей документации: недействительные положения, неоднозначные условия и т. д.).

2.3.2 Операционный риск и рыночный риск

• Внутреннее мошенничество: закрытие операций трейдерами по нерыночным ценам / параметрам;

• Перерывы в бизнесе и сбои систем: частичная или полная недоступность систем доступа к рынку, препятствующая правильному исполнению операций;

• Управление исполнением, доставкой и процессами: ошибки во время исполнения заказов (например, покупка / продажа неверных ценных бумаг; совершение покупок, а не заказов на продажу, и наоборот; обработка заказов с ошибками в количестве финансовых инструментов или в валюте покупки); закрытие позиций из-за ошибок в процессе оценки (невозможность обновить цены или другие соответствующие параметры).

• События из-за операционных ошибок (например, ошибки ввода или исполнения заказов, ошибки классификации из-за программного обеспечения, используемого фронт-офисом и центральным офисом, техническая недоступность рынка).

• События, вызванные сбоями в системе внутреннего контроля (сбои в работе контрольных процедур, превышение лимитов и т. д.).

• События, зависящие от неправильного выбора моделей вне четко определенных процессов и формализованных процедур (например, выбор модели без проверки ее пригодности для оценки финансового инструмента, и для текущих рыночных условий).

• События, возникающие из-за неправильной реализации моделей (например, ошибки во ИТ-внедрении выбранной модели).

И наоборот, сфера действия операционного риска должна исключать те события, которые вызваны неправильным выбором модели, если такой выбор делается посредством формализованного корпоративного процесса, в котором тщательно изучаются плюсы и минусы модели.

При использовании AMA-подхода в капитал на покрытие операционного риска также должны включаться потери операционного риска, связанные с рыночными рисками.

2.3.3 Операционный риск и стратегический риск.

Во избежание перекосов в банковской системе и штрафов, вытекающих из различий в расчете требований к капиталу на покрытие операционного риска, среди финансовых учреждений также должно быть четкое и общее определение событий и воздействий, рассматривающихся как операционные риски и как стратегические риски. Кроме того, полное понимание различий между управлением стратегическим и операционным риском – это ключ, позволяющий сотрудникам организации управлять риском и защищать организации от ущерба.

С одной стороны, текущий подход рассматривает как убытки от операционного риска те потери, которые были вызваны официальными расчетами или добровольным решением организации, желающей предотвратить любой будущий правовой риск. В сферу операционного риска также включаются события, возникающие из-за внутренних несоответствий и ошибок, и внешние события, возникающие при реализации проекта. С другой стороны, потери от реализации стратегического риска — это убытки, возникающие в результате неправильных или неуместных стратегических решений, не связанных с нарушением правил, норм или этического поведения, и не вызванные правовым риском (CEBS 2010).

Как описано в CEBS, объем операционного риска распространяется на следующие примеры (перечень не является завершенным):

• Агрессивные продажи, вытекающие из отдельных инициатив или из политики компании по достижению конкретных целей, с последующим нарушение законодательства, внутренних правил или этического поведения;

• толкование нормативных актов, противоречащее отраслевой практике;

• Возврат средств клиентам в результате событий операционного риска, до того, как клиенты подадут жалобу, но, после того, как организация уже была обязана возместить другим клиентам убытки за то же событие;

• Ошибки при уплате налогов, приводящие к убыткам (например, штрафы, проценты по задолженности).

В противоположность этому, в рамки операционного риска не включаются следующие аспекты:

• Неправильные решения при слиянии/поглощении и при организационно-управленческой проверке;

• Решения, несовместимые с уровнем чувствительности к риску компании, когда эти решения не нарушают правил, норм или этического поведения;

• Возврат средств клиентам по собственной инициативе компании, где нет нарушения правил, норм или этического поведения.

Кроме того, поскольку некоторые стратегические вопросы могут влиять на организацию в целом — а не на одну или несколько ее частей — и увеличивать подверженность организации риску, стратегические риски управляются на уровне совета директоров, тогда как операционный риск влияет на повседневную работу и, следовательно, управляется в основном на уровне риск-менеджеров.

2.3.4 Операционный риск и репутационный риск.

В отличие от вышеупомянутых случаев, для которых надзорные органы предоставили документацию и описания, на связь операционного риска и репутационного официальных ссылок нет. Однако связи между двумя типами риска есть и многочисленны.

Действительно, события операционного риска, в первую очередь связанные с отношениями с клиентами и нарушениями законодательства, во многих случаях наносят ущерб репутации банка, особенно если получают широкое освещение в СМИ. Например, недоступность ИТ-систем может привести к соответствующему репутационному ущербу даже в случае незначительных сбоев. Так, сбой, препятствующий некоторым клиентам осуществлять онлайн-торговлю, повлечет последующие жалобы пострадавших клиентов и усиленное распространение новостей в СМИ. Репутации банка будет нанесен непоправимый ущерб.

Существуют некоторые типы операционного риска, которые встречаются часто, но имеют незначительное влияние, и если их рассматривать отдельно от их репутационного компонента, могут быть в значительной степени недооценены при разработке стратегий минимизации риска. Случай с банкоматом (ATM) является подходящим примером: хотя частые сбои могут не повлечь за собой значительные потери, эти события могут сильно повлиять на способность банка развивать деловые отношения с текущими клиентами или привлекать новых. Другим примером является распространение дистанционного обслуживания, которое предоставило банковской отрасли прекрасную возможность для развития новых коммерческих каналов. Несмотря на свой потенциал, этот инструмент влечет за собой риск утраты доверия клиентов, если их информация не защищена должным образом: на самом деле, сейчас задача IT риск-менеджера не ограничивается мониторингом рисков, связанных с доступом к данным, а распространяется на проблемы целостности и конфиденциальности информации и тесно связана с кибер-риском.

Следовательно, операционный и репутационный риск могут быть сильно взаимосвязанны. Действительно, несколько случаев ущерба репутации, нанесенного финансовой системе, показывают, как операционный риск может вызвать репутационный риск. Так было в случае со скандалом с участием Société Générale в 2008 году, упомянутым выше: помимо потери в размере 7,1 млрд. долларов США и падения стоимости ценных бумаг на фондовой бирже, банк также пострадал от шумихи в СМИ. Аналогично, в 2004 году LTSB был оштрафован за ненадлежащую продажу финансовых продуктов своим розничным клиентам, таким образом нанеся значительный ущерб своему имиджу (Bazzarello и Де Мори 2009).

Следовательно, интеграция оценок операционного риска с количественными и качественными оценками репутационного риска имеет ключевое значение. Также важно, чтобы возможная количественная оценка репутационного риска позволила избежать двойного учета убытков в расчет требований к общему капиталу финансового учреждения.

Наконец, выбранные стратегии минимизации должны поддерживаться разумной коммуникационной стратегией, которая в некоторых случаях может быть более эффективной, чем только предотвращение рисков и управление ими. В случае подверженности банка риску мошенничества и ненадлежащего размещения финансовых инструментов клиентов, своевременное уведомление о произошедших событиях, и наличие плана действий банка имеет основополагающее значение для управления экономическими последствиями, связанными как с операционными, так и с репутационными рисками.

2.3.5. Операционный риск и комплаенс-риск.

  • Внутреннее мошенничество: отсутствие формальных правил и / или несоблюдение правил личных сделок;
  • Практика трудоустройства и безопасность на рабочем месте: неподходящая политика для различных компенсаций;
  • Клиенты, продукты и бизнес-процессы: отсутствие формальных правил и / или несоблюдение правил, регулирующих взаимодействие с клиентами, продукты или деловые практики;
  • Исполнение, доставка и управление процессами: несоблюдение законодательства и внутренних правил по борьбе с отмыванием денег.

Таблица 2.2. BCBS: сравнение определений риска (Birindelli and Ferretti 2013).

Комплаенс-риск Операционный риск Правовой риск
Причины Несоблюдение законов, норм и стандартов саморегулирования (например, кодексов поведения) Некорректные, ошибочные внутренние процессы, персонал, системы и внешние события Несоблюдение законов, правил, договорных и внеконтрактных обязательств или других споров
Последствия Правовые или нормативные санкции, материальные финансовые потери или потеря репутации Потери Потери
Риск включает Репутационный риск Правовой риск х
Риск исключает х Стратегический и правовой риск х

Кроме того, правовой риск, как компонент операционного риска, не включает влияние на репутацию банка. Более того, его причины отличаются от тех причин, что вызывают комплаенс-риск: несмотря на общие источники, нарушение правил саморегулирования следует отнести только к комплаенс-риску. И наоборот, убытки, возникающие из-за неадекватной и неправильной юридической документации или из-за документации с чрезмерно обременительными условиями для банка, включаются в правовой риск, так же как и потери из-за несоответствующего поведения со стороны контрагентов банка, а не самого банка.

Сходство между подразделением комплаенс и подразделением операционного риска проистекает из управления общими рисками, а также из того факта, что они оба представляют собой контролирующие структуры второго уровня с задачей идентифицировать риски процессов, реализуемых различными структурами. Для достижения общей цели должна быть создана модель эффективной синергии: кросс-риск менеджмент, чему способствует взаимный обмен информацией и ее проверка (Birindelli and Ferretti 2013).

Наконец, стоит отметить, что взаимосвязь между комплаенс-риском и правовым риском проанализирована с точки зрения банков, работающих в общей правовой системе (Terblanché 2012). Комплаенс-риск должен рассматриваться как компонент правового риска и, в свою очередь, также как компонент операционного риска в общей правовой системе. Тербланше (2012) определяет правовой риск как широкую концепцию, которая включает в себя все аспекты правовой системы, в то время как комплаенс-риск является более узкой концепцией, которая включает только кодифицированные аспекты правовой системы. Таким образом, правовой риск включает в себя комплаенс-риск, но комплаенс-риск не включает в себя правовой риск.

2.4 Заключение.

В течение долгого времени операционный риск признавался только как технический вопрос. В отличие от кредитного и рыночного рисков, полагаемых руководителями банков как основной источник беспокойства, ученые, казалось, не интересовались этой темой. Исследователи заинтересовались этой темой только в последние годы, когда Базельский комитет по банковскому надзору начал публиковать информацию о том, как банки должны управлять своей подверженностью операционному риску. Такие события, как крах банка Barings в 1995 году и другие финансовые скандалы (например, Daiwa, Enron, Sumitomo и т. д.), подчеркнули реальную опасность операционного риска с точки зрения прямых потерь и ущерба репутации, и убедили банковскую индустрию обращаться с ним осторожно.

С тех пор операционный риск был предметом нескольких исследований. Многие анализы сфокусировались на профиле операционного риска банка, описанном матрицей бизнес-линий и типов событий, а также на основных факторах, лежащих в основе подверженности банка операционному риску. Большое внимание также уделялось эволюции операционного риска с течением времени и его взаимосвязи с другими банковскими рисками. Все эти обсуждения нашли общую платформу в Базель 2, где, среди прочего, операционному риску впервые было дано определение. Это определение подняло вопросы необходимости четкого разграничения операционного риска и других видов рисков (кредитный, рыночный, стратегический, репутационный и риск соблюдения), чтобы избежать дублирования в управлении ими.

[1] Прим. переводчика: в качестве иллюстрации возможно привести случай кредитования по подложным документам, когда физическое лицо предоставляет фиктивную справку о доходах, получает кредит, а потом уходит в дефолт из-за невозможности обслуживать долг. Таким образом, реализуется кредитный риск – вынос задолженности заемщика на счета просроченных ссуд. Однако причиной реализации кредитного риска послужил риск операционный – целенаправленные мошеннические действия клиента. Событие должно быть зафиксировано в системе учета инцидентов операционного риска, но в целях корректного учета, должно учитываться при формирования капитала на покрытие потерь по кредитному риску.

[2] European Banking Authority. Европейское банковское управление. Регулирующий орган, который работает для поддержания финансовой стабильности в банковской отрасли Европейского союза (ЕС). Европейское банковское управление (EBA) было создано в 2010 году Европейским парламентом и заменило Комитет европейских банковских надзоров (CEBS)

[3]Committee of European Banking Supervisors. Европейский комитет органов банковского надзора.

Деловой журнал Банковское обозрение №02 Февраль (276)/2022

Огромные убытки финансовых организаций последних месяцев заставляют по-новому взглянуть на управление риском, особенно операционным.

Операционный риск, возможно, самый крупный риск любой организации. Практически каждый крупный убыток, с которым столкнулась та или иная компания на протяжении последних 20 лет, начиная с Enron и Wolrdcom и заканчивая убытками трейдера в Societe Generale и последним кредитным кризисом, был вызван операционным нарушением.

Многие финансовые компании потратили десятки миллионов долларов на разработку надежных систем оценки и контроля операционного риска. Но, несмотря на эти огромные инвестиции, для многих фирм разработка жизнеспособной программы операционного риск-менеджмента (ОРМ) продолжает оставаться недостижимой целью.

Почему это так? Зачастую из-за подхода к данной проблеме, выбранного организацией, и предпосылок, из которых исходило руководство в самом начале процесса. Многие руководители не считают операционный риск банка значительным. Это отражается в низком уровне капитала, приходящегося на этот риск, относительно общего уровня капитала компании (например, 15–20% от общего уровня). Многие видят операционный риск банка просто как риск сбоя в работе бэк-офиса. Как правило, руководители полагают, что ОРМ заключается в разработке систем контроля качества для процессов низкого уровня. Эти взгляды во многом сформировали инвестиционные и кадровые решения, которые, в свою очередь, повлияли на размещение ресурсов и развитие технологий.

Нынешняя лавина убытков в мировой финансовой индустрии заставляет многих руководителей переосмыслить свой подход к управлению рисками в целом. Сегодня многим очевидно, что операционный риск намного более важен, чем считалось раньше. В результате большой интерес вызывают новые подходы к управлению такого рода рисками. Один из таких подходов — современный ОРМ.

Что такое операционный риск?

Али Самад-Хан, старший партнер в Towers Perrin в Нью Йорке, занимающийся операционным риском, является одним из ведущих мировых экспертов в этой сфере. Его клиентами были более 50 крупнейших банков, страховых, энергетических и транспортных компаний, Федеральный резерв США, FSA UK, Всемирный банк и МВФ. Али изучал экономику и финансы в Станфордском и Йельском университетах.

Вообще говоря, операционный риск — это риск потерь от операционного нарушения. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.

Тем не менее много лет назад Базельский комитет постановил, что кредитные потери, вызванные операционным сбоем, должны с точки зрения составляющих компонент капитала классифицироваться как кредитные убытки. Это компромиссное решение, основанное на историческом прецеденте, имело ненамеренный эффект уменьшения значения операционного риска — не только в банковской области, но и в других отраслях, перенявших в риск-менеджменте банковские принципы.

Следуя этому узкому определению, операционный риск требовал небольшого количества капитала в резерве и, как следствие, рассматривался банками как вопрос низкого приоритета. Это не только отвело ресурсы и внимание руководства от этого основного риска, но и затемнило причины многих крупнейших убытков.

Традиционный и современный ОРМ — различные бизнес-проблемы

Есть два общих подхода к ОРМ: традиционный и современный. Поясним основные различия на примерах.

Традиционный ОРМ: Вы идете вдоль по рельсам, навстречу вам мчится поезд со скоростью 100 км/час, что вам нужно сделать? Проведем оценку риска: вероятность = 90%, убыток = =10 млн долларов (ваша стоимость для общества). Следовательно, ваша оценка риска — 9 млн долларов. Так как это превышает ваш уровень терпимости риска, вы разрабатываете план действия: спрыгнуть с рельсов. Проблемы традиционного ОРМ связаны с осязаемой угрозой, которая требует тактического решения.

Современный ОРМ: Спрыгнув с рельсов, вы спрашиваете себя: насколько общество подвержено риску железнодорожных несчастных случаев и являются ли имеющиеся методы их предотвращения оптимальными в рамках терпимости риска/убытка нашего общества? Для ответа на эти вопросы вам надо выяснить, сколько людей погибают в среднем каждый год (ожидаемые потери) и в худший из последних 10 лет (грубая мера риска).

Для упрощения проблемы будем оптимизировать только отношение риск–контроль (игнорируя отношение риск–награда) и только по отношению к ожидаемым потерям (строго говоря, это терпимость убытков, а не терпимость риска). Допустим, в среднем от поездов погибает 10 человек в год. Также предположим, что за 5 млн долларов можно построить новые ограждения и что это понизит уровень смертности до двух человек в год. Наконец, предположим, что за 10 млн долларов можно построить туннель, который снизит среднюю смертность до 0,01 в год (прибыль = 99 млн долларов). В соответствии с принципами современного ОРМ детальный анализ затрат-прибыли показал, что оптимальным решением будет построить ограждения и терпеть средние убытки двух смертей в год.

Традиционный ОРМ используется для принятия тактических решений. Это важно, но традиционные методы не могут помочь в решении стратегических задач, таких как оптимизация систем контроля над рисками в терминах вашей терпимости к риску/потерям. Современный ОРМ разработан для того, чтобы помочь старшим руководителям в принятии стратегических решений. Это требует изначально другого подхода, основанного на данных, моделировании и тщательном анализе. В современной системе ОРМ измерение риска и управление риском идут рука об руку.

Проблемы традиционных методов управления рисками

Во многих организациях центральной частью ОРМ является традиционная самооценка риска и контроля. Следуя традиционному подходу, высокий риск характеризуется высокой вероятностью и высоким убытком. На самом деле высокий риск должен характеризоваться низкой вероятностью и высоким убытком в соответствии с подходом к рыночному, кредитному или андеррайтинговому риску. В традиционном подходе небольшой риск, например, распространенная потенциально значительная ошибка в обработке транзакции, описывается как высокий риск. В то же время низковероятный (но огромный) трейдинговый убыток, такой как недавние потери 7,2 млрд долларов от несанкционированного трейдинга в Societe Generale, классифицируется как относительно низкий риск (рис. 1).



(Нажмите чтобы увеличить)

В силу того, что традиционная оценка риска и контроля — ключевой элемент программ ОРМ многих организаций, многие компании уделяют большое внимание вопросам операций, а не более общим вопросам операционного риска. В результате они излишне контролируют области низкого риска и недостаточно контролируют области высокого риска. Управление операциями сильно отличается от управления операционным риском.

С точки зрения аналитика, еще один недостаток традиционного метода заключается в том, что он описывает операционные убытки так, как будто они имеют всего один возможный исход. На самом деле операционные убытки могут иметь распределение, предписывающее каждому значению исхода соответствующую вероятность (рис. 2). Традиционный анализ фактически использует единственную среднюю точку на этой кривой.



(Нажмите чтобы увеличить)

Современный подход к ОРМ

Современный подход к ОРМ — это не просто методика измерений риска. В него входит развитие надежного систематического процесса включения информации о риске-награде и риске-контроле в принятие бизнес-решений. Это процесс принятия деловых решений, при которых уровень риска соизмеряется со стандартами терпимости к риску различных заинтересованных сторон.

Измерение риска

Центральная часть современной системы ОРМ — анализ исторических данных и актуарная модель убытков. При этом подходе исторические данные используются для нахождения распределений частоты и размера убытков, для измерения ожидаемых и неожиданных потерь в данном классе бизнеса на протяжении периода времени, например одного года. Рисунок 3 иллюстрирует этот процесс.

В случаях, когда имеются хорошие данные, форма распределения может определяться историческим уровнем убытков, который отражает качество сегодняшних систем контроля. Уровень риска и качество контроля могут быть измерены для каждой клетки в матрице организационных единиц — типов риска. Сравнение изменения в ожидаемых потерях (среднее) и неожиданных потерях (риск) на протяжении времени дает возможность оценить эффект изменений в системах контроля.

Из-за нехватки собственной статистики убытков и несоответствия внешних данных моделирование операционного риска может быть унылым занятием. Традиционных статистических/актуарных методов для этого недостаточно. Разработаны новые научные методы, но многие организации в своем нынешнем состоянии еще не готовы к применению этих методов.

Большинство организаций, моделирующих операционный риск, делают это для подсчета регулируемого капитала. В таких случаях они склонны выбирать методы, дающие результаты, кажущиеся приемлемыми, а не честно оценивающие полную величину риска. В настоящее время в моделировании операционного риска присутствует большой разрыв между общими распространенными и высшими стандартами.



(Нажмите чтобы увеличить)

Систематика

Одна из причин, почему управлять операционным риском так сложно, — это отсутствие работающей схемы классификации или систематики для этого типа риска. Для управления операционным риском через структурированный процесс важно иметь полный список непересекающихся категорий риска. Сложность в том, что каждая операционная неудача имеет три измерения: причинные факторы, события и последствия (рис. 4). Современный ОРМ основан на многомерной системе, в центре которой находится измерение события, являющееся стартовой точкой анализа.

Воплощение современного ОРМ

Операционный риск проникает во все аспекты возможных рисков, усложняя их. Он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности.

Многие организации рассматривают ОРМ как последовательность индивидуальных задач, таких как определение слабых сторон контроля, развитие планов действия, сбор данных об убытках и подсчет регулируемого капитала. По сути, эти действия — ответ на требования Sarbanes-Oxley и Basel II. Фирмы инвестировали значительные суммы в развитие таких программ, но, разочаровавшись в их результатах, многие пришли к ошибочному заключению, что ОРМ еще одно бесполезное занятие, нужное для галочки.

Но ОРМ не должен быть последовательностью независимых шагов. Напротив, его нужно воспринимать как структурированный процесс для принятия более грамотных решений в управлении, в котором соответствующая информация о риске и контроле интегрирована в единую систему. Такой подход и есть современный ОРМ. Современный ОРМ использует как основание актуарную науку: метод оценки ожидаемого убытка (стоимость) и непредвиденного убытка (риск), который можно использовать для оптимизации риска-награды и риска-контроля в рамках анализа стоимости-прибыльности.



(Нажмите чтобы увеличить)

В современной среде ОРМ операционный риск для старшего руководителя — не запоздалая мысль, а неотъемлемая часть стратегического планирования, управления бизнесом и процесса управления рисками организации. Многие компании уже осознали преимущества современного ОРМ, и это может привести к установлению новых стандартов в индустрии.

Уроки нынешнего финансового кризиса

В настоящее время широко признается, что нынешний финансовый кризис был вызван последовательными грубыми операционными нарушениями, которые привели к огромным кредитным потерям или потерям рыночной стоимости. Для предотвращения подобного кризиса в будущем представленные на биржах корпорации должны создать должность независимого главного директора по управлению рисками (Chief Risk Officer —CRO), который будет отчитываться непосредственно перед советом директоров. Этот CRO должен быть экспертом в ОРМ и должен отвечать за оценку нового бизнеса так же, как за мониторинг имеющихся рисков. Для того чтобы эта модель действовала, работа CRO и других риск-менеджеров должна оплачиваться так, чтобы не мешать им открыто выражать точку зрения, противоречащую недобросовестным способам получения прибыли.

Финансовые Информационные Системы

Управление операционным риском в банке

Управление операционным риском в банке

Выставки и форумы

Особенность управления операционным риском в кредитно-финансовой организации заключается в необходимости обеспечения соответствия требованиям регулятора и одновременно положениям внутренних регламентов банка. Вероятность успешного решения данной задачи в современном банке зависит, прежде всего, от эффективности работы автоматизированных решений, обеспечивающих функционирование системы управления рисками.

Определение операционного риска

Основные требования Положения, которые вводятся впервые:

  • Требования к системе управления операционным риском.
  • Требования к риску информационной безопасности.
  • Требования к риску информационных систем.
  • Требования к ведению базы событий (включая порядок ведения базы событий, требования к форме и содержанию вводимой информации, контролю учета прямых и косвенных потерь, определение стоимости возмещений потерь от реализации событий операционного риска в базе событий, обновление информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации).


Положение 716-П: ключевые требования

Кредитная организация для целей управления операционным риском выделяет следующие его виды:

  • риск информационной безопасности;
  • риск, возникающий при обеспечении функционирования информационных систем;
  • правовой риск;
  • риск ошибок в управлении проектами;
  • риск ошибок в управленческих процессах;
  • риск ошибок в процессах осуществления внутреннего контроля;
  • модельный риск (применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений);
  • риск утраты средств клиентов, контрагентов, работников и иных лиц;
  • риск ошибок процесса управления персоналом;
  • операционный риск платежной системы (в случае сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы)).

Система управления операционным риском в банке должна содержать ряд обязательных элементов. В их число входят:

  • процедуры управления операционным риском;
  • база событий, в том числе классификаторы событий операционного риска;
  • контрольные показатели уровня операционного риска;
  • ключевые процессы в рамках направлений деятельности банка;
  • автоматизированная информационная система, обеспечивающая функционирование управления операционным риском;
  • отчеты по операционному риску;
  • интеграция системы управления операционным риском с другими видами рисков.

В свою очередь, процедуры управления операционным риском включают:

  • идентификацию;
  • качественную оценку уровня операционного риска;
  • сбор и регистрацию информации о внутренних событиях операционного риска и потерях;
  • выбор и применение способа реагирования на операционный риск по результатам проведенной оценки;
  • определение потерь и возмещений от событий операционного риска;
  • мониторинг операционного риска;
  • количественную оценку уровня операционного риска.

Правомерно говорить о том, что качество работы информационной системы, соответствующей требованиям Положения № 716-П, в решающей степени влияет на качество практического управления операционным риском в современном банке. На практике подобные информационные системы представлены специальной категорией программных продуктов.


Программные решения для управления рисками: критерии эффективности

Ключевая задача в процессе интеграции системы управления операционными рисками в инфраструктуру банка — реализация определенного функционала. В случае с банковской сферой данный функционал обусловлен традиционно жесткими требованиями регулятора. Вместе с тем, важную роль играют возможности системы в части реагирования на конкретные риски. Важна скорость такого реагирования: при ее недостаточности кризисные явления неизбежны, несмотря на формальное соответствие требованиям регулятора.

Конкурентоспособным можно считать то решение, которое приспособлено к полному циклу обработки рисковых событий — от момента их выявления (регистрации в системе) до закрытия (при возможном наличии понесенных потерь, обусловленных возмещениями и прочими затратами банка). Высокая эффективность рассматриваемых платформ для управления операционным риском достигается, в том числе, за счет гибкой классификации рисков и событий операционного риска. Задействование различных классификаторов обычно обусловлено требованиями регулятора. Функционал системы должен учитывать такие требования, но не только их: современный банк ожидает, что соответствующие классификаторы (справочники) будут расширены с учетом его потребностей.

Эффективно функционирующая система управления рисками обеспечивает заметное снижение количества событий операционного риска. В свою очередь, банк получит преимущества в виде снижения финансовых и репутационных издержек, а также сокращения требуемых резервов.

Так или иначе, риски информационной безопасности, как и риски информационных систем — неотъемлемая составляющая политики управления операционным риском в современных банках в силу предписаний регулятора, отраженных в Положении № 716-П. Качество учета таких рисков — один из факторов, определяющих величину достаточности капитала организации.

FIS — опытный разработчик технологических решений для банковской сферы, в том числе современного ПО для управления операционными рисками. Информационная система FIS Управление рисками предназначена для идентификации и предотвращения рисковых событий в кредитных и иных финансовых организациях.

Данное ПО представляет собой технологичный, созданный в рамках концепции No-code продукт, который соответствует требованиям Положения № 716-П и может быть внедрен в любой кредитно-финансовой организации при минимальных организационных и финансовых издержках.

FIS Управление рисками: возможности и преимущества

Особенность нашего продукта — в возможности учета всех видов рисков, предусмотренных положением № 716-П, а также специфичных для каждого конкретного заказчика. При этом обеспечивается автоматизация всего цикла управления такими рисками, характерными для деятельности организации.

  • измерять и контролировать эффективность работы, направленной на снижение уровня рисков;
  • собирать данные о событиях риска, связанных с ними убытках и возмещениях;
  • рассчитывать значения ключевых индикаторов по рискам;
  • формировать профиль риска в банке;
  • производить анкетирование (самооценку результатов работы с системой);
  • производить оценку рисков на основании всех доступных источников данных;
  • производить корректировку бизнес-процессов в случае изменения кадрового состава компании.

Важнейший приоритет дальнейшего развития системы — обеспечение соответствия действующим и перспективным требованиям регулятора, и одновременно — внутренним методикам кредитно-финансовой организации по работе с рисками. Текущая версия системы учитывает все актуальные требования, принятые на нормативном уровне, как и опыт практического ее внедрения в крупнейших российских банках.

Благодаря универсальной No-code платформе в качестве базы, решение FIS Управление рисками может быть интегрировано практически с любой внешней системой — например, связанной с учетом или же прочей, что может присылать информацию о событиях операционного риска. Кроме того, обеспечивается настройка системы с учетом пожеланий конкретного заказчика, его бизнес-требований в рамках индивидуального подхода.

Платформа обеспечивает общий подход, который позволяет автоматизировать различные бизнес-процессы на стороне клиента с учетом специфики его бизнеса с помощью встроенных конструкторов. Концепция No-code позволяет при этом обеспечить до 90% процедур, связанных с настройкой приложений на стороне заказчика, его собственными силами — без привлечения высококвалифицированных IT-разработчиков со стороны.

Читайте также: