Важно!
30 июня в 11:00 состоится презентация модернизированной 100-рублевой банкноты.
Подробнее
Прожит. минимум
С 01.01.2023 г.
13 800 руб.
МРОТ
С 01.01.2023 г.
16 242 руб.
|
Операционные риски
Программа по оценке операционного риска
[11.05.2011]
Глухова О.В., начальник управления операционными рисками в коммерческом банке специально для riskovik.com
В настоящее время коммерческие банки активно внедряют программы по оценке и управлению операционными рисками. Такие методики определяют порядок управления операционными рисками, в основе которого лежит качественное выявление всех внутренних процессов и операций банка, подверженных идентифицируемым источникам рисков, оценка данных рисков и выработка путей предотвращения их возникновения.
Систему управления операционными рисками составляют следующие элементы:
- Идентификация и оценка категорий источников операционных рисков
- Составление каталога процессов и операций банка;
- Идентификация проявления тех или иных категорий операционных рисков и оценка их уровня на конкретных процессах и операциях;
- Выявление критических зон риска (или групп операций с повышенным уровнем риска);
- Разработка и реализация мероприятий по ограничению и нейтрализации выявленных критических зон риска;
- Внедрение инструментов контроля выявленных стандартных видов операционного риска, повышение надежности отдельных элементов процессов и технологий;
- Разработка предложений по организационным преобразованиям с целью оптимизации осуществляемых бизнес-процессов, включающих документооборот, информационные потоки, распределение функций, полномочий и ответственности.
На примере одной из таких программ рассмотрим алгоритм оценки и управления операционными рисками:
В первую очередь, пользователь программы (сотрудники различных отделов банка, например кредитный инспектор, операционист и т.д.), регистрирует события на ежедневной основе. Например, «Ошибочная операция из-за изменения правил формирования проводки». Далее, событие должно быть заполнено риск-факторами, например «Риск методологии или документооборота». Должна быть указана причина события, например «Не было своевременно сообщено об изменениях». И наконец, причина риска, например «Ошибки в распределении полномочий и ответственности, функций». Рассмотрим алгоритм регистрации события более подробно.
1. Риск-факторы
«Риск-факторы» представляют собой классификацию источников операционного риска, объединенных в риск-группы.
Наименование риск-фактора
Функционирование систем и оборудования
- Технологический риск сбоев оборудования (банкоматы, компьютерное и телекоммуникационное оборудование, и т.д.)
- Технологический риск сбоев (отказов) программного обеспечения и информационных технологий.
Внутренние системы
- Риск методологии (технологии) осуществления того или иного процесса, порядков, регламентов и методов расчета и т.д. (методология осуществления того или иного процесса отсутствует, либо принятая методология устарела и/или не соответствует процедуре выполнения процесса на практике и требует оптимизации).
- Риск неверной организационной структуры банка, области ответственности и распределения полномочий должностных лиц и подразделений банка (наличие ошибок в системе распределения функций, ответственности, полномочий, приводящих либо к их дублированию, либо к их исключению (потере) функций в реализуемых бизнес-процессах).
- Отсутствие (несовершенство) системы защиты информации и (или) порядка доступа к информации, неправильная организация информационных потоков внутри Банка.
Внешняя среда
- Риск несанкционированного проникновения в процессы банка (электронные базы данных, архивы, хранилище, помещения и т.д.)
- Риск хищения активов (наличные средства, безналичные платежи, ценные бумаги, имущество и т.д.).
- Риск неблагоприятных действий со стороны клиентов, пользователей, контрагентов (нарушения со стороны уполномоченных лиц клиентов/контрагентов, отказ от выполнения контрактных обязательств и т.д.).
- Риск предоставления клиентом неверной и/или неполной информации.
- Риск возникновения потерь и неблагоприятных ситуаций из-за техногенных катастроф и т.д.
Персонал
- Риск недобросовестного исполнения служебных обязанностей или установленных правил и процедур.
- Риск недостаточной квалификации работников, осуществляющих данную операцию (вероятность потери средств либо возникновения косвенных убытков вследствие низкой квалификации имеющихся сотрудников, несущих ответственность за выполнение работы на определенном участке бизнес-процесса).
- Риск недостатка (нехватки) ключевых и/или квалифицированных сотрудников на конкретном участке.
- Риск перегрузки персонала, выполняющего объем (количество) операций, больше чем это допускается психофизиологическими нормами.
- Риск мошенничества (риск возникновения убытков (недополучения прибыли) вследствие умышленных действий сотрудников).
- Риск ошибки
Правовой риск
Внутренние факторы
- Риск несоответствия внутренних нормативных документов банка действующему законодательству.
- Неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности Банка вследствие действий служащих или органов управления кредитной организации;
- Нарушение банком условий договоров;
Внешние факторы
- Несовершенство правовой системы (отсутствие достаточного правового регулирования, противоречивость законодательства РФ, его подверженность изменениям, в том числе в части несовершенства методов государственного регулирования и (или) надзора, некорректное применение законодательства иностранного государства и (или) норм международного права), невозможность решения отдельных вопросов путем переговоров и как результат - обращение кредитной организации в судебные органы для их урегулирования;
- Нарушение клиентами, контрагентами условий договоров;
- Нахождение Банка, его филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.
Другие источники
Риск-факторы выявляются для каждого банковского продукта, например:
- агентские услуги - депозитарий, аренда сейфовых ячеек, хранение ценных бумаг, прочее
- брокерская деятельность – сделки РЕПО, ценные бумаги, дополнительные услуги, прочее
- коммерческое банковское обслуживание – аккредитивы, гарантии, валютный контроль, конверсионные операции, договор цессии, векселя, факторинг, эквайринг, привлечение депозитов, кассовое обслуживание, расчетное обслуживание, прочее
- обслуживание физических лиц – кредитование физ.лиц, гарантии, банковские карты, вклады, прочее
- операции и сделки на рынке ценных бумаг – привлечение и размещение межбанковских средств, прочее
- управление активами – доверительное управление, ПИФЫ, прочее
2. Операционные потери
При выявлении риск-фактора, оцениваются операционные потери, которые представляют собой классификацию операционных событий по типам.
Наименование риск-фактора
Общее
Сбой оборудования
Банкоматы
- Нарушены условия эксплуатации. отсутствие системы контроля и диагностики, несвоевременная диагностика; отсутствие предупредительного, планового ремонта
- Износ оборудования
- Качество приобретаемого оборудования
- Ошибки в программном обеспечении (персонал)
- Некорректная установка программ (персонал)
- Физические воздействия (внешние факторы - стихийных бедствий, акты вандализма, кражи)
- Нарушения в кабельных системах
- Технические ошибки
Компьютерное оборудование
- Сбои в работе программного обеспечения,
- Поломка оборудования;
- Износ оборудования;
- Различные аварии сетевого напряжения,
- Сбои в работе аппаратного обеспечения компьютеров и серверов,
- Несоблюдение требований условий эксплуатации (например: отсутствие своевременной очистки систем вентиляции и охлаждения)
- компьютерные вирусы;
- Не обеспечено надлежащее техническое обслуживание компьютеров, не проводятся профилактические (регламентные) работы;
- Неграмотные действия пользователей или персонала по обслуживанию компьютерного оборудования (системы)
- Преднамеренные противоправные действия персонала
- аварийный отказ аппаратуры;
- повреждение внешних носителей памяти (например, в результате поломки головок дисковых накопителей)
Телекоммуникационное оборудование
- Нарушение средств коммуникации;
- Неправильные коммуникации;
- Поломка оборудования
- Коммутационное оборудование
Сбой (отказ) программного обеспечения и информационных технологий
- Аварийное отключение электрического питания
- Внешние факторы
- Неустранимый сбой процессора
- Недостаток оперативной памяти
- Неисправности аппаратного обеспечения
- Неисправности систем связи; каналов связи
- Нехватка системных ресурсов
- Недостаточно грамотная настройка
- Намеренные действия злоумышленников (сотрудников)
- Некорректная работа пользователей
Внутренние системы
Риск методологии (технологии)
- Несоблюдение иили нарушение единства подходов, методов ведения бизнеса, совершения операций
- Дублирование функций
- Исключение (потеря) функций
- Нарушение законодательства
- Неправильная организация информационных потоков
Неверная организационная структура
- Невозможность определить области ответственности и полномочий
- Ошибки в распределении полномочий и ответственности, функций
- Дублирование функций
- Исключение (потеря) функций
- Ошибки в предоставлении доступа к информации
- Неправильная организация информационных потоков
Персонал
- Несоблюдение, нарушение единства подходов, методов
- Недобросовестное исполнение должностных обязанностей
- Потери вследствие низкой квалификации
- Недостаток персонала
- Перегрузка персонала
- Нарушение законодательства
- Неверный ввод информации
- Неправильная деловая или рыночная практика
Преднамеренные противоправные действия персонала
- Несанкционированное вторжение в системы
- Сбой оборудования
- Мошеннические действия, хищение, вымогательство, присвоение активов сотрудниками Банка
- Злоупотребление служебным положением
- Неразрешенные операции
- Искажение отчетности
- Умышленное уничтожение активов сотрудниками Банка
- Подделка документов сотрудниками Банка
- Раскрытие конфиденциальной в т.ч. личной информации, банковской тайны, злоупотребление конфиденциальной информацией
- Превышение лимитов (совершения операций, полномочий)
- Нарушение сроков или обязательств
- Несанкционированное использование информационных систем и ресурсов, неавторизованный (несанкционированный) доступ к счетам
- Преднамеренное сокрытие фактов совершения банковских операций и других сделок
- Нарушение инструкций; законодательства
Внешняя среда
- Выход из строя, сбой (отказ) систем, оборудования
- Нарушение процессов банка
- Повреждение, утрата основных средств и других материальных активов
- Неисполнение или ненадлежащее исполнение банковских функций, законодотельства
- Неисполнение или ненадлежащее исполнение возникающих из договоров обязательств
- Ненадлежащее использование конфиденциальной информации, банковской тайны
- Сговор
- Непредоставление информации, предоставление заведомо ложной, информации; предоставление не полной информации; предоставление неверной информации
- Противоправные действия сторонних по отношению к банку (третьих) лиц
- Подделка платежных и иных документов
- Нарушение клиентами (третьими лицами) законодательства (в том числе банковского, антимонопольного, по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма
- Потери в результате техногенных катастроф, стихийных бедствий, пожара, актов терроризма
3. Финансовая классификация потерь
Потери могут быть классифицированы следующим образом: расходы, связанные с внешними и внутренними убытками.
Наименование потери
- Возмещение ущерба другой стороне
- Затраты на устранение
- Прочие расходы и убытки
- Списание на убытки
- Судебные издержки, взыскания по решению суда
- Утрата и/или обесценивание обеспечения, залога
- Ущерб материальным активам
- Штрафы
4. Косвенные потери
В отдельную группы могут быть выделены «Косвенные потери», которые представляют собой балльную классификацию косвенных убытков.
Примечание
- Потери оказывают критическое влияние на деятельность Банка. Существенный ущерб деловой репутации Банка, крупномасштабная потеря клиентов. Упущенная выгода и снижение доходов будущих периодов. Потери препятствуют достижению стратегических целей Банка.
- Потери оказывают значительное влияние на деятельность Банка. Ущерб деловой репутации банка, потеря части клиентов. Упущенная выгода и снижение доходов. Потери затрудняют достижение стратегических целей Банка.
- Потери оказывают заметное влияние на деятельность Банка. Возможна потеря некоторого числа клиентов. Существенного влияния на репутацию Банка и достижение стратегических целей нет.
- Потери связаны с упущенной выгодой, снижением доходов будущих периодов. Ущерба репутации банка, потери клиентов, влияния на достижение стратегических целей нет.
5. Причины
Далее необходимо классифицировать причины реализации операционного риска.
Наименование риск-фактора
Функционирование систем и оборудования
- Технологический риск сбоев оборудования (банкоматы, компьютерное и телекоммуникационное оборудование, и т.д.)
- Технологический риск сбоев (отказов) программного обеспечения и информационных технологий.
Внутренние системы
- Риск методологии (технологии) осуществления того или иного процесса, порядков, регламентов и методов расчета и т.д. (методология осуществления того или иного процесса отсутствует, либо принятая методология устарела и/или не соответствует процедуре выполнения процесса на практике и требует оптимизации).
- Риск неверной организационной структуры банка, области ответственности и распределения полномочий должностных лиц и подразделений банка (наличие ошибок в системе распределения функций, ответственности, полномочий, приводящих либо к их дублированию, либо к их исключению (потере) функций в реализуемых бизнес-процессах).
- Отсутствие (несовершенство) системы защиты информации и (или) порядка доступа к информации, неправильная организация информационных потоков внутри Банка.
Внешняя среда
- Риск несанкционированного проникновения в процессы банка (электронные базы данных, архивы, хранилище, помещения и т.д.)
- Риск хищения активов (наличные средства, безналичные платежи, ценные бумаги, имущество и т.д.).
- Риск неблагоприятных действий со стороны клиентов, пользователей, контрагентов (нарушения со стороны уполномоченных лиц клиентов/контрагентов, отказ от выполнения контрактных обязательств и т.д.).
- Риск предоставления клиентом неверной и/или неполной информации.
- Риск возникновения потерь и неблагоприятных ситуаций из-за техногенных катастроф и т.д.
Персонал
- Риск недобросовестного исполнения служебных обязанностей или установленных правил и процедур.
- Риск недостаточной квалификации работников, осуществляющих данную операцию (вероятность потери средств либо возникновения косвенных убытков вследствие низкой квалификации имеющихся сотрудников, несущих ответственность за выполнение работы на определенном участке бизнес-процесса).
- Риск недостатка (нехватки) ключевых и/или квалифицированных сотрудников на конкретном участке.
- Риск перегрузки персонала, выполняющего объем (количество) операций, больше чем это допускается психофизиологическими нормами.
- Риск мошенничества (риск возникновения убытков (недополучения прибыли) вследствие умышленных действий сотрудников).
- Риск ошибки
Правовой риск
- Внутренние факторы
- Риск несоответствия внутренних нормативных документов банка действующему законодательству.
- Неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности Банка вследствие действий служащих или органов управления кредитной организации;
- Нарушение банком условий договоров;
- Внешние факторы
- Несовершенство правовой системы (отсутствие достаточного правового регулирования, противоречивость законодательства РФ, его подверженность изменениям, в том числе в части несовершенства методов государственного регулирования и (или) надзора, некорректное применение законодательства иностранного государства и (или) норм международного права), невозможность решения отдельных вопросов путем переговоров и как результат - обращение кредитной организации в судебные органы для их урегулирования;
- Нарушение клиентами, контрагентами условий договоров;
- Нахождение Банка, его филиалов, дочерних и зависимых организаций, клиентов и контрагентов под юрисдикцией различных государств.
Другие источники
6. Связь с риском
Целесообразно при создании события по вышеуказанному алгоритму присвоить ему «связь с риском». Например, не связан, связан с кредитным, связан с рыночным или репутационным.
7. Потери
Потери необходимо классифицировать на потенциальные и фактические.
Все события поступают риск-менеджеру, который проверяет правильность их заполнения и экспортирует в базу данных. Далее, рассматриваются способы снижения операционных рисков. И конечно же, моделируется вероятность их возникновения.
Материалы по теме
|
Личный кабинет
Приветствуем Вас на нашем портале!
|