какое подразделение в банке является ответственным за операционные риски
№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об элементах системы управления операционным риском (часть 2)
Вопрос
1. Могут ли к центрам компетенций относиться подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), в обязанности которых входит обслуживание клиентов и которые несут ответственность за достижение целевых показателей, в том числе выполнение планов по продажам продуктов и услуг кредитной организации?
Какие подразделения кредитной организации могут быть отнесены к подразделениям, обеспечивающим процессы кредитной организации, в соответствии с абзацем восьмым пункта 1.3 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П)?
2. Могут ли следующие подразделения являться специализированными подразделениями по управлению отдельными видами операционного риска:
юридическое подразделение — правовым риском;
кадровое подразделение/подразделение по охране труда – риском ошибок управления персоналом;
подразделение информационной безопасности – риском информационной безопасности;
подразделение информационных технологий – риском информационных систем?
Ответ
К центрам компетенций для цели организации системы управления операционным риском относятся подразделения кредитной организации, отвечающие за осуществление операций и сделок в рамках осуществляемых ими процессов, которые выявляют события операционного риска на своих или смежных процессах и информируют о них. В соответствии с абзацем восьмым пункта 1.3 Положения № 716-П к центрам компетенций могут относиться как подразделения головного офиса, ответственные за организацию процесса и его результаты в целом (например, кредитный департамент, операционный департамент), так и подразделения, обеспечивающие данные процессы (например, подразделения бухгалтерского учета, административно-хозяйственной деятельности). Положением № 716-П не устанавливается список обеспечивающих процессов. Кредитная организация должна самостоятельно отнести тот или иной обеспечивающий процесс к одному из типов процессов (критически важным, основным или прочим) в зависимости от характера и масштаба деятельности кредитной организации. Примеры подразделений кредитной организации, которые могут быть отнесены к подразделениям, обеспечивающим процессы, изложены в подпункте 3.9.9 пункта 3.9 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П, таких как выявление событий операционного риска, информирование о них подразделение по управлению операционным риском, их оценку, разработку и проведение мероприятий, направленных на уменьшение негативного влияния. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В случае если подразделения кредитной организации, перечисленные в вопросе, в рамках своих функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в том числе в части отдельных видов операционного риска, определенных в пункте 1.4 Положения № 716-П, данные подразделения следует относить к специализированным подразделениям в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П.
Обращаем внимание, что специализированное подразделение может выполнять функции центра компетенции в отношении осуществляемых им операционных или бизнес-процессов в части выполнения функций, указанных в абзаце восьмом пункта 1.3 Положения № 716-П. Дополнительные комментарии Банка России по вопросу выполнения специализированным подразделением функций центра компетенций размещены на официальном сайте Банка России в следующем разделе: «Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора», «№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О ролях в системе управления операционным риском», вопрос 2.
В части иных видов деятельности кредитная организация вправе возложить функцию по управлению риском ошибок в процессах осуществления внутреннего контроля, например, на службу внутреннего контроля.
Организация управления операционным риском в коммерческом банке
«Управление в кредитной организации», 2008, N 5
В предыдущем номере были рассмотрены содержание, принципы и задачи управления операционным риском в коммерческом банке. В этом номере речь пойдет о классификации факторов данного риска по категориям (типам) и источникам, о способах и методах работы по выполнению задач управления операционным риском.
Факторы управления операционным риском
Для достижения целей и выполнения задач управления операционным риском в среднем и крупном банках целесообразно создавать систему по управлению операционным риском, которая представляет собой целостную совокупность взаимосвязанных, функциональных элементов организующих и обеспечивающих эффективный процесс управления операционным риском. При создании системы управления операционным риском в коммерческом банке необходимо учитывать ряд факторов (схема 3).
Факторы формирования системы управления операционным риском
Эффективность функционирования системы управления операционным риском зависит от подхода к созданию системы управления с учетом анализа вышеизложенных факторов. Система управления операционным риском должна представлять собой совокупность следующих элементов:
Вариант основных элементов системы управления операционным риском в коммерческом банке представлен на схеме 4.
Основные элементы системы управления операционным риском в коммерческом банке
Под органами управления операционным риском понимаются высшее руководство банка (совет директоров, наблюдательный совет), правление банка, а также специальное подразделение (сотрудник), отвечающие за координацию и централизацию управления операционным риском.
В случае создания такого подразделения разрабатывается и утверждается положение о новом структурном подразделении банка, в котором определяются его полномочия, порядок взаимодействия с другими подразделениями банка, отвечающими за управление другими рисками, а также со службами внутреннего контроля и безопасности.
На это подразделение возлагаются разработка методик по оценке операционного риска, разработка и внедрение процедур, механизмов и технологий по ограничению или снижению операционного риска. В случае отказа руководства банка от создания подразделения по управлению операционными рисками выполнение задач по управлению операционными рисками и координация деятельности возлагаются на отдельного сотрудника. В этом случае во внутренних документах банка необходимо отразить его функциональные обязанности и порядок взаимодействия с подразделениями банка по вопросам операционных рисков.
К средствам управления относятся технические средства, которыми оперируют органы управления (компьютерные системы, средства связи, вычислительная техника, средства автоматизированного управления). В целях приобретения надежных средств управления банк проводит конкурсы (тендеры) на поставку операционных систем, программных продуктов и средств связи, оборудования для кассовых узлов, хранения и транспортировки ценностей, охранного, противопожарного и другого оборудования, обеспечивающего безопасность банковской деятельности.
Важнейшим элементом системы управления операционного риска является надежная подсистема информационного обеспечения. Она предназначена для обеспечения условий управления операционным риском и создания информационной аналитической базы. Порядок ведения аналитической базы данных о понесенных операционных убытках, форму представления и требования к содержанию вводимой информации определяет подразделение, осуществляющее управление операционным риском. Наличие обширной базы по операционному риску позволяет банкам производить более точную оценку риска и избегать непредвиденных потерь, которые могут иметь серьезные последствия. Качественное управление операционным риском возможно только при ежедневном сборе адекватных данных, которые включают в себя:
Кроме того, в целях анализа и мониторинга операционного риска в базе данных ведется реестр операционных рисков банка и осуществляются сбор и регистрация о рисковых событиях и их последствиях.
Реестр операционных рисков банка представляет собой автоматизированную систему с возможностью ввода и обработки данных об операционном риске. В реестр может заноситься следующая информация:
В базе может регистрироваться информация о каждом событии по следующим критериям:
а) событие произошло в результате нарушений или ошибок в действиях работников банка, нарушений хода внутренних бизнес-процессов и функционирования систем или вследствие внешних событий;
б) может ли быть это событие причиной возникновения фактических и потенциальных финансовых или материальных убытков;
в) наличие резервов и капитала для покрытия операционного риска.
Таким образом, подсистема информационного обеспечения обеспечивает целенаправленный и непрерывный сбор соответствующей информации для принятия оперативных управленческих решений по минимизации или снижению операционного риска в банке.
Объектом управления в данной системе являются операционный риск и факторы, его порождающие. К факторам операционного риска относятся несостоятельность внутренних процессов или систем, некомпетентность сотрудников либо внешние события. Воздействуя на эти факторы, можно добиться положительных результатов и снижения убытков по операционным рискам.
Основные факторы операционного риска в коммерческом банке:
Для целенаправленной работы с факторами риска и более полного учета проявления источников операционного риска и эффективного управления факторы операционного риска могут быть разделены на категории (типы) (табл. 2).
Классификация факторов риска по категориям (типам) и источникам риска
Как показывает изучение данных таблицы 2, источники возникновения операционных рисков можно разделить на обусловленные действиями персонала, неправильной организацией управления, недостатками функционирования систем организации процессов и форс-мажорными обстоятельствами.
Анализ данной классификации показывает, что большая часть операционных рисков связана с деятельностью человека. В большинстве случаев убытки по операционным рискам возникают из-за ошибок сотрудников. Даже в случаях, когда убытки вызваны сбоями в работе оборудования и систем, в их основе лежат ошибки человека. В таблице 2 четыре из пяти приведенных факторов так или иначе связаны с деятельностью сотрудников: человеческий фактор, ошибки в управлении, технический фактор и бизнес-процессы.
В процессе управления основное внимание должно быть уделено сотрудникам структурных подразделений банка. Совершенно очевидно, что все ошибки сотрудников в первую очередь связаны с низким уровнем квалификации.
Большие убытки банку могут принести ошибки, допущенные при разработке руководящих документов, инструкций и юридической документации.
Особо можно выделить технический фактор, выход из строя, сбои или отказы в работе информационных систем и ошибки в компьютерных программах. Для минимизации рисков в этом случае в банке необходимо разрабатывать планы на случай сбоя информационных систем и проводить тестирование программ.
Одним из необходимых элементов системы управления является контроллинг.
Подсистема контроллинга является неотъемлемой составной частью системы контроля за рисками в банке. Сущностью контроллинга является «управление по отклонениям», то есть выявление фактов и источников операционного риска, их диагностика и разработка соответствующего решения, направленного на предотвращение убытков в случае реализации операционного риска.
Приведем основные задачи контроллинга при управлении операционными рисками в банке.
Задачи самостоятельной идентификации и оценки операционного риска подразделениями:
Таким образом, система управления представляет собой совокупность элементов, реализующих процесс управления операционным риском.
Организация процесса управления операционными рисками в коммерческом банке
Организация управления операционным риском представляет собой совокупность способов и методов работы по выполнению задач управления операционным риском. Она осуществляется, как уже отмечалось раньше, на основе утвержденной политики (меморандума) об операционном риске в банке и разработанных внутренних нормативных документов, регламентирующих процесс управления и внутреннего контроля. Грамотная организация управления операционным риском предполагает не только своевременное их выявление, но и сбор исчерпывающей информации и оценку влияния рисковых событий на деятельность банка и другие мероприятия (схема 5).
Организация управления операционным риском в коммерческом банке
Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования банка на предмет возникновения факторов операционного риска, который необходимо проводить на нескольких уровнях:
На этапе идентификации (выявления) операционного риска особое внимание необходимо обращать на пресечение (дублирование) полномочий и ответственности подразделений и работников банка.
Все нововведения в банке (изменение структуры или процедур внедрения новых услуг и технологий) на этапе разработки должны подвергаться тщательному анализу с целью выявления факторов операционного риска.
Для обеспечения идентификации операционных рисков новых продуктов в банке необходимо:
Оценка операционного риска предполагает оценку вероятности наступления рискового события или обстоятельств, приводящих к операционным убыткам, и оценку размера потенциальных убытков. Банки могут разрабатывать методы оценки операционного риска самостоятельно либо использовать следующие методы, применяемые в международной банковской практике:
Методы, основанные на применении статистического распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков, исходя из понесенных убытков в прошлом. При применении этих методов в качестве исходных данных используется информация, накопленная в аналитической базе данных по операционным рискам.
Сущность балльно-весового метода заключается в оценке операционного риска путем сопоставления с мерами по его минимизации. На основе экспертного анализа выбираются наиболее информативные для управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с помощью различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направления деятельности отдельных банковских операций и сделок. Пример балльной оценки операционных рисков приведен в таблице 3.
Балльная оценка операционных рисков по направлению деятельности
Применение балльно-весового метода наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении операционным риском.
Качественная оценка операционного риска происходит путем присвоения операциям, бизнес-процессам и бизнес-направлениям рейтинга, характеризующего уровень их операционного риска. Оценка в форме рейтинга позволяет производить более глубокий анализ операционных рисков бизнес-процессов и операций, в том числе сравнивать различные направления деятельности, наиболее подверженные операционному риску. Для определения рейтинга операционного риска бизнес-процесса или бизнес-направления оцениваются следующие вопросы:
В зависимости от анализа вышеперечисленных позиций операционному риску присваивается балл. Балльная система разрабатывается в каждом банке самостоятельно. Итоговый рейтинг операционного риска определяется путем суммирования полученных баллов. Результаты рейтингования бизнес-направлений (процессов) отдельных операций и сделок необходимо периодически пересматривать по мере изменения порядка их проведения. Для каждого результата банк определяет пороговое значение, в соответствии с которым принимается адекватное решение.
В рамках метода моделирования (сценарного анализа) бизнес-направлений отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или рисковых событий, приводящих к операционным убыткам, и происходит принятие управленческих решений. В коммерческом банке необходимо периодически производить оценку операционного риска в целом по направлениям деятельности с целью своевременного выявления и минимизации источников возникновения операционных рисков.
Количественная оценка операционного риска позволяет оценить величину убытка (потерь) операционного риска и определить величину капитала, резервируемого под операционный риск. Количественная оценка операционного риска рассчитывается в соответствии с рекомендациями Базельского комитета: базовый индикативный подход, стандартизованный подход и продвинутые подходы AMA.
Банки, использующие базовый индикативный подход, должны поддерживать капитал под операционный риск, равный среднему показателю за предыдущие три года, выраженному в фиксированных процентах (обозначенному альфа) от положительного ежегодного валового дохода. Показатели за любой год, в котором ежегодный валовый доход был отрицательным или нулевым, исключаются из расчета. Требование к капиталу может выражаться следующей формулой:
Валовый доход определяется как чистый процентный доход плюс чистый непроцентный доход. Данный индикатор должен включать все резервы (например, под невыплаченные проценты) и операционные издержки и исключать реализованные убытки, нерегулярные позиции и доход, полученный от страхования.
Стандартизованный подход измерения операционного риска основан на выделении в банке восьми бизнес-линий. Валовый доход служит общим показателем масштаба операций и, следовательно, ожидаемого масштаба операционных рисков в рамках каждой из бизнес-линий. Требование к капиталу для бизнес-линий рассчитывается путем умножения валовых доходов на фактор (обозначаемый бета), присваиваемый данной бизнес-линии. Общая сумма требований к капиталу рассчитывается как трехлетняя средняя простого суммирования требований к регулятивному капиталу для каждой из бизнес-линий за каждый год. В любой отдельно взятый год отрицательное значение валового дохода любой из бизнес-линий могут без ограничений компенсировать положительные требования к капиталу в других бизнес-линиях.
Общее требование к капиталу в рамках стандартизованного подхода выражается следующей формулой:
Каждое из приведенных в таблице 5 направлений деятельности может конкретизироваться более детально. В таблице 5 представлена классификация направлений деятельности (бизнес-процессов), которую предлагает Банк России [5].
Классификация направлений деятельности кредитной организации
Такая классификация по категориям риск-факторов и источникам операционных рисков позволяет более эффективно определять пути идентификации, оценки, проведения мониторинга и управлять различными источниками операционного риска.
Коэффициенты покрытия капиталом (бета-фактор)
Чтобы применить продвинутый подход AMA, банк должен как минимум продемонстрировать органу надзора, что:
Мониторинг операционного риска производится как на уровне подразделений, так и в целом по банку. Полученная в процессе мониторинга операционного риска информация о потенциальном изменении уровня риска доводится до соответствующих органов управления, подразделений и работников банка для принятия необходимых мер.
Кроме мониторинга в банке необходимо проводить риск-аудит с целью идентификации и выработки мер по минимизации операционных рисков наиболее критических бизнес-процессов и направлений деятельности банка.
Риск-аудит является комплексной проверкой и проводится совместными усилиями управления внутреннего контроля, департамента анализа и контроля банковских рисков и управления (отдела) операционного риска. Задачами риск-аудита являются:
В ходе риск-аудита проверяются:
По фактам выявления и оценки операционного риска с учетом его рейтинга определяется метод управления им. В банке могут применяться следующие методы:
При идентификации операционного риска и его всесторонней оценке принимается решение: либо исключить риск, либо принять риск и управлять им.
Принятие операционного риска производится в том случае, когда упущена ранняя стадия его выявления, когда стоимость мер по минимизации операционного риска превышает величину возможных потерь от выявленного риска. При этом величина возможных потерь банка от выявленного риска не должна быть критической для банка и не должна приводить к потере экономической целесообразности реализации того вида деятельности, в котором выявляется риск.
Принятие операционного риска может осуществляться в следующих формах:
а) документирование операций, бизнес-процессов и бизнес-направлений, в том числе в форме нормативно-технологических документов;
б) разработка и утверждение внутренних нормативных документов и вынесение решений коллегиальными органами управления банка и должностными лицами по вопросам принятия операционного риска.
Уменьшение финансовых последствий операционного риска (покрытие потенциальных убытков) возможно с помощью страхования. Банки используют процедуру страхования риска возможных потерь по следующим операционным рискам:
Страхование осуществляется с использованием обычных видов имущественного и финансового страхования (рискованных операций и сделок) и страхования ответственности. Банком могут быть застрахованы:
Банку необходимо учитывать целесообразность страхования с учетом как стоимости страхования, так и вероятности влияния страхового события на его финансовое состояние. Оценки страховщиков, данные в ходе сюрвея и заключения договора страхования, могут быть использованы в банке с целью оптимизации управления операционными рисками. При заключении договора о страховании необходимо также обращать внимание на процедуры и сроки выплат страхового возмещения.
Отказ от деятельности (операции или сделки) осуществляется в том случае, когда при комплексной оценке выявлено, что этот вид деятельности (операция или сделка) сопряжен с высокой вероятностью появления операционного риска, обусловливающего большие финансовые или материальные потери, которые перекрывают выгоду от этого вида деятельности (операции или сделки). При этом реализация мер по его минимизации не является экономически обоснованной, то есть стоимость этих мер, включая стоимость процедур контроля, превышает величину возможных убытков от выявления риска.
Минимизация операционного риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления рисковых событий или обстоятельств, приводящих к убыткам или уменьшению размера потенциальных потерь. Этот метод применяется с учетом характера и масштабов деятельности банка.
Основным способом минимизации операционного риска, контролируемого на уровне банка, является разработка организационной структуры, внутренних правил и процедур совершения банковских операций и других сделок с учетом снижения возможности появления факторов операционного риска.
Следующим методом управления операционными рисками (снижения его уровня) является способ передачи риска или его части третьим лицам (аутсорсинг).
Решение об использовании механизмов передачи риска посредством аутсорсинга может быть принято по результатам тщательного анализа с учетом ожидаемого эффекта стоимости и возможности трансформации одного вида риска в другой. При этом необходимо отслеживать уровень остаточного риска и сохранять возможность контроля за размером передаваемого операционного риска.
Аутсорсинг осуществляется на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между банком и поставщиком услуг. В этом случае банку необходимо также предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании.
Для покрытия величины ожидаемых убытков операционных рисков в банке разрабатываются процедуры формирования резервов под прогнозируемые операционные риски.
С целью покрытия непредвиденных убытков, возникающих в процессе реализации операционных рисков, в банке производится расчет достаточности капитала (резервный капитал на покрытие операционных убытков), обеспечивается поддержание достаточности капитала на уровне, соответствующем требованиям регулирующих органов в отношении операционных рисков.
Величина резервируемого капитала под операционные риски зависит от развития системы управления операционным риском в банке и определяется следующими методами: методом базового индикатора, стандартизированным методом и внутрибанковскими методами.
Перед принятием решения о применении того или другого метода управления операционным риском производится обоснование его применения с учетом конечного результата.
Обеспечение непрерывности деятельности банка представляет собой комплекс организационных, технических и других мероприятий, направленных на минимизацию потерь в случае наступления непредвиденных (форс-мажорных) обстоятельств, которые могут привести к остановке работы информационных систем, бизнес-процессов, повлиять на работу персонала.
Для минимизации негативных последствий срывов планомерной деятельности банка могут проводиться следующие мероприятия:
В целях согласованного своевременного реагирования и оперативного восстановления работы банка при сбоях и непредвиденных ситуациях в банке разрабатываются и утверждаются в установленном порядке планы работ на случай возникновения чрезвычайных и аварийных ситуаций. Как правило, планы обеспечения непрерывности деятельности банка разрабатываются для потенциальных рисковых событий с низкой вероятностью реализации и высокой тяжестью последствий. Такой план может включать следующие разделы:
Разработку планов по обеспечению деятельности банка необходимо осуществлять в комплексе с мерами, направленными на предотвращение операционных рисков. Актуальность планов по обеспечению непрерывности деятельности банка необходимо периодически проверять путем тренировок сотрудников структурных подразделений банка.
Контроль за эффективностью управления операционными рисками осуществляется постоянно высшим руководством банка и руководителями структурных подразделений и включает проведение следующих мероприятий:
Информацию по управлению операционным риском банки доводят до акционеров, кредиторов, вкладчиков, рейтинговых агентств и других заинтересованных лиц в установленном порядке в соответствии с требованиями новых подходов (Базель II) по раскрытию информации о деятельности организаций.