Программа по оценке операционного риска

Глухова О.В., начальник управления операционными рисками в коммерческом банке специально для riskovik.com

В настоящее время коммерческие банки активно внедряют программы по оценке и управлению операционными рисками. Такие методики определяют порядок управления операционными рисками, в основе которого лежит качественное выявление всех внутренних процессов и операций банка, подверженных идентифицируемым источникам рисков, оценка данных рисков и выработка путей предотвращения их возникновения.

Систему управления операционными рисками составляют следующие элементы:

1. Идентификация и оценка категорий источников операционных рисков
2. Составление каталога процессов и операций банка;
3. Идентификация проявления тех или иных категорий операционных рисков и оценка их уровня на конкретных процессах и операциях;
4. Выявление критических зон риска (или групп операций с повышенным уровнем риска);
5. Разработка и реализация мероприятий по ограничению и нейтрализации выявленных критических зон риска;
6. Внедрение инструментов контроля выявленных стандартных видов операционного риска, повышение надежности отдельных элементов процессов и технологий;
7. Разработка предложений по организационным преобразованиям с целью оптимизации осуществляемых бизнес-процессов, включающих документооборот, информационные потоки, распределение функций, полномочий и ответственности.

На примере одной из таких программ рассмотрим алгоритм оценки и управления операционными рисками:

В первую очередь, пользователь программы (сотрудники различных отделов банка, например кредитный инспектор, операционист и т.д.), регистрирует события на ежедневной основе. Например, «Ошибочная операция из-за изменения правил формирования проводки». Далее, событие должно быть заполнено риск-факторами, например «Риск методологии или документооборота». Должна быть указана причина события, например «Не было своевременно сообщено об изменениях». И наконец, причина риска, например «Ошибки в распределении полномочий и ответственности, функций». Рассмотрим алгоритм регистрации события более подробно.

1. Риск-факторы

«Риск-факторы» представляют собой классификацию источников операционного риска, объединенных в риск-группы.

Наименование риск-фактора

Функционирование систем и оборудования

1. Технологический риск сбоев оборудования (банкоматы, компьютерное и телекоммуникационное оборудование, и т.д.)
2. Технологический риск сбоев (отказов) программного обеспечения и информационных технологий.

Внутренние системы

1. Риск методологии (технологии) осуществления того или иного процесса, порядков, регламентов и методов расчета и т.д. (методология осуществления того или иного процесса отсутствует, либо принятая методология устарела и/или не соответствует процедуре выполнения процесса на практике и требует оптимизации).
2. Риск неверной организационной структуры банка, области ответственности и распределения полномочий должностных лиц и подразделений банка (наличие ошибок в системе распределения функций, ответственности, полномочий, приводящих либо к их дублированию, либо к их исключению (потере) функций в реализуемых бизнес-процессах).
3. Отсутствие (несовершенство) системы защиты информации и (или) порядка доступа к информации, неправильная организация информационных потоков внутри Банка.

Внешняя среда

1. Риск несанкционированного проникновения в процессы банка (электронные базы данных, архивы, хранилище, помещения и т.д.)
2. Риск хищения активов (наличные средства, безналичные платежи, ценные бумаги, имущество и т.д.).
3. Риск неблагоприятных действий со стороны клиентов, пользователей, контрагентов (нарушения со стороны уполномоченных лиц клиентов/контрагентов, отказ от выполнения контрактных обязательств и т.д.).
4. Риск предоставления клиентом неверной и/или неполной информации.
5. Риск возникновения потерь и неблагоприятных ситуаций из-за техногенных катастроф и т.д.

Персонал

1. Риск недобросовестного исполнения служебных обязанностей или установленных правил и процедур.
2. Риск недостаточной квалификации работников, осуществляющих данную операцию (вероятность потери средств либо возникновения косвенных убытков вследствие низкой квалификации имеющихся сотрудников, несущих ответственность за выполнение работы на определенном участке бизнес-процесса).
3. Риск недостатка (нехватки) ключевых и/или квалифицированных сотрудников на конкретном участке.
4. Риск перегрузки персонала, выполняющего объем (количество) операций, больше чем это допускается психофизиологическими нормами.
5. Риск мошенничества (риск возникновения убытков (недополучения прибыли) вследствие умышленных действий сотрудников).
6. Риск ошибки

Правовой риск

Внутренние факторы

1. Риск несоответствия внутренних нормативных документов банка действующему законодательству.
2. Неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности Банка вследствие действий служащих или органов управления кредитной организации;
3. Нарушение банком условий договоров;

Внешние факторы

1. Несовершенство правовой системы (отсутствие достаточного правового регулирования, противоречивость законодательства РФ, его подверженность изменениям, в том числе в части несовершенства методов государственного регулирования и (или) надзора, некорректное применение законодательства иностранного государства и (или) норм международного права), невозможность решения отдельных вопросов путем переговоров и как результат - обращение кредитной организации в судебные органы для их урегулирования;
2. Нарушение клиентами, контрагентами условий договоров;
3. Нахождение Банка, его филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.

Другие источники

Риск-факторы выявляются для каждого банковского продукта, например:

• агентские услуги - депозитарий, аренда сейфовых ячеек, хранение ценных бумаг, прочее
• брокерская деятельность – сделки РЕПО, ценные бумаги, дополнительные услуги, прочее
• коммерческое банковское обслуживание – аккредитивы, гарантии, валютный контроль, конверсионные операции, договор цессии, векселя, факторинг, эквайринг, привлечение депозитов, кассовое обслуживание, расчетное обслуживание, прочее
• обслуживание физических лиц – кредитование физ.лиц, гарантии, банковские карты, вклады, прочее
• операции и сделки на рынке ценных бумаг – привлечение и размещение межбанковских средств, прочее
• управление активами – доверительное управление, ПИФЫ, прочее

2. Операционные потери

При выявлении риск-фактора, оцениваются операционные потери, которые представляют собой классификацию операционных событий по типам.

Наименование риск-фактора

Общее

Сбой оборудования

Банкоматы

• Нарушены условия эксплуатации. отсутствие системы контроля и диагностики, несвоевременная диагностика; отсутствие предупредительного, планового ремонта
• Износ оборудования
• Качество приобретаемого оборудования
• Ошибки в программном обеспечении (персонал)
• Некорректная установка программ (персонал)
• Физические воздействия (внешние факторы - стихийных бедствий, акты вандализма, кражи)
• Нарушения в кабельных системах
• Технические ошибки

Компьютерное оборудование

• Сбои в работе программного обеспечения,
• Поломка оборудования;
• Износ оборудования;
• Различные аварии сетевого напряжения,
• Сбои в работе аппаратного обеспечения компьютеров и серверов,
• Несоблюдение требований условий эксплуатации (например: отсутствие своевременной очистки систем вентиляции и охлаждения)
• компьютерные вирусы;
• Не обеспечено надлежащее техническое обслуживание компьютеров, не проводятся профилактические (регламентные) работы;
• Неграмотные действия пользователей или персонала по обслуживанию компьютерного оборудования (системы)
• Преднамеренные противоправные действия персонала
• аварийный отказ аппаратуры;
• повреждение внешних носителей памяти (например, в результате поломки головок дисковых накопителей)

Телекоммуникационное оборудование

• Нарушение средств коммуникации;
• Неправильные коммуникации;
• Поломка оборудования
• Коммутационное оборудование

Сбой (отказ) программного обеспечения и информационных технологий

• Аварийное отключение электрического питания
• Внешние факторы
• Неустранимый сбой процессора
• Недостаток оперативной памяти
• Неисправности аппаратного обеспечения
• Неисправности систем связи; каналов связи
• Нехватка системных ресурсов
• Недостаточно грамотная настройка
• Намеренные действия злоумышленников (сотрудников)
• Некорректная работа пользователей

Внутренние системы

Риск методологии (технологии)

• Несоблюдение иили нарушение единства подходов, методов ведения бизнеса, совершения операций
• Дублирование функций
• Исключение (потеря) функций
• Нарушение законодательства
• Неправильная организация информационных потоков

Неверная организационная структура

• Невозможность определить области ответственности и полномочий
• Ошибки в распределении полномочий и ответственности, функций
• Дублирование функций
• Исключение (потеря) функций
• Ошибки в предоставлении доступа к информации
• Неправильная организация информационных потоков

Персонал

• Несоблюдение, нарушение единства подходов, методов
• Недобросовестное исполнение должностных обязанностей
• Потери вследствие низкой квалификации
• Недостаток персонала
• Перегрузка персонала
• Нарушение законодательства
• Неверный ввод информации
• Неправильная деловая или рыночная практика

Преднамеренные противоправные действия персонала

• Несанкционированное вторжение в системы
• Сбой оборудования
• Мошеннические действия, хищение, вымогательство, присвоение активов сотрудниками Банка
• Злоупотребление служебным положением
• Неразрешенные операции
• Искажение отчетности
• Умышленное уничтожение активов сотрудниками Банка
• Подделка документов сотрудниками Банка
• Раскрытие конфиденциальной в т.ч. личной информации, банковской тайны, злоупотребление конфиденциальной информацией
• Превышение лимитов (совершения операций, полномочий)
• Нарушение сроков или обязательств
• Несанкционированное использование информационных систем и ресурсов, неавторизованный (несанкционированный) доступ к счетам
• Преднамеренное сокрытие фактов совершения банковских операций и других сделок
• Нарушение инструкций; законодательства

Внешняя среда

• Выход из строя, сбой (отказ) систем, оборудования
• Нарушение процессов банка
• Повреждение, утрата основных средств и других материальных активов
• Неисполнение или ненадлежащее исполнение банковских функций, законодотельства
• Неисполнение или ненадлежащее исполнение возникающих из договоров обязательств
• Ненадлежащее использование конфиденциальной информации, банковской тайны
• Сговор
• Непредоставление информации, предоставление заведомо ложной, информации; предоставление не полной информации; предоставление неверной информации
• Противоправные действия сторонних по отношению к банку (третьих) лиц
• Подделка платежных и иных документов
• Нарушение клиентами (третьими лицами) законодательства (в том числе банковского, антимонопольного, по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма
• Потери в результате техногенных катастроф, стихийных бедствий, пожара, актов терроризма 

3. Финансовая классификация потерь

Потери могут быть классифицированы следующим образом: расходы, связанные с внешними и внутренними убытками.

Наименование потери

• Возмещение ущерба другой стороне
• Затраты на устранение
• Прочие расходы и убытки
• Списание на убытки
• Судебные издержки, взыскания по решению суда
• Утрата и/или обесценивание обеспечения, залога
• Ущерб материальным активам
• Штрафы

4. Косвенные потери

В отдельную группы могут быть выделены «Косвенные потери», которые представляют собой балльную классификацию косвенных убытков.

Примечание

• Потери оказывают критическое влияние на деятельность Банка. Существенный ущерб деловой репутации Банка, крупномасштабная потеря клиентов. Упущенная выгода и снижение доходов будущих периодов. Потери препятствуют достижению стратегических целей Банка.
• Потери оказывают значительное влияние на деятельность Банка. Ущерб деловой репутации банка, потеря части клиентов. Упущенная выгода и снижение доходов. Потери затрудняют достижение стратегических целей Банка.
• Потери оказывают заметное влияние на деятельность Банка. Возможна потеря некоторого числа клиентов. Существенного влияния на репутацию Банка и достижение стратегических целей нет.
• Потери связаны с упущенной выгодой, снижением доходов будущих периодов. Ущерба репутации банка, потери клиентов, влияния на достижение стратегических целей нет.

5. Причины

Далее необходимо классифицировать причины реализации операционного риска.

Наименование риск-фактора

Функционирование систем и оборудования

• Технологический риск сбоев оборудования (банкоматы, компьютерное и телекоммуникационное оборудование, и т.д.)
• Технологический риск сбоев (отказов) программного обеспечения и информационных технологий.

Внутренние системы

• Риск методологии (технологии) осуществления того или иного процесса, порядков, регламентов и методов расчета и т.д. (методология осуществления того или иного процесса отсутствует, либо принятая методология устарела и/или не соответствует процедуре выполнения процесса на практике и требует оптимизации).
• Риск неверной организационной структуры банка, области ответственности и распределения полномочий должностных лиц и подразделений банка (наличие ошибок в системе распределения функций, ответственности, полномочий, приводящих либо к их дублированию, либо к их исключению (потере) функций в реализуемых бизнес-процессах).
• Отсутствие (несовершенство) системы защиты информации и (или) порядка доступа к информации, неправильная организация информационных потоков внутри Банка.

Внешняя среда

• Риск несанкционированного проникновения в процессы банка (электронные базы данных, архивы, хранилище, помещения и т.д.)
• Риск хищения активов (наличные средства, безналичные платежи, ценные бумаги, имущество и т.д.).
• Риск неблагоприятных действий со стороны клиентов, пользователей, контрагентов (нарушения со стороны уполномоченных лиц клиентов/контрагентов, отказ от выполнения контрактных обязательств и т.д.).
• Риск предоставления клиентом неверной и/или неполной информации.
• Риск возникновения потерь и неблагоприятных ситуаций из-за техногенных катастроф и т.д.

Персонал

• Риск недобросовестного исполнения служебных обязанностей или установленных правил и процедур.
• Риск недостаточной квалификации работников, осуществляющих данную операцию (вероятность потери средств либо возникновения косвенных убытков вследствие низкой квалификации имеющихся сотрудников, несущих ответственность за выполнение работы на определенном участке бизнес-процесса).
• Риск недостатка (нехватки) ключевых и/или квалифицированных сотрудников на конкретном участке.
• Риск перегрузки персонала, выполняющего объем (количество) операций, больше чем это допускается психофизиологическими нормами.
• Риск мошенничества (риск возникновения убытков (недополучения прибыли) вследствие умышленных действий сотрудников).
• Риск ошибки

Правовой риск

• Внутренние факторы
• Риск несоответствия внутренних нормативных документов банка действующему законодательству.
• Неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности Банка вследствие действий служащих или органов управления кредитной организации;
• Нарушение банком условий договоров;
• Внешние факторы
• Несовершенство правовой системы (отсутствие достаточного правового регулирования, противоречивость законодательства РФ, его подверженность изменениям, в том числе в части несовершенства методов государственного регулирования и (или) надзора, некорректное применение законодательства иностранного государства и (или) норм международного права), невозможность решения отдельных вопросов путем переговоров и как результат - обращение кредитной организации в судебные органы для их урегулирования;
• Нарушение клиентами, контрагентами условий договоров;
• Нахождение Банка, его филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.

Другие источники

6. Связь с риском

Целесообразно при создании события по вышеуказанному алгоритму присвоить ему «связь с риском». Например, не связан, связан с кредитным, связан с рыночным или репутационным.

7. Потери

Потери необходимо классифицировать на потенциальные и фактические.

Все события поступают риск-менеджеру, который проверяет правильность их заполнения и экспортирует в базу данных. Далее, рассматриваются способы снижения операционных рисков. И конечно же, моделируется вероятность их возникновения.