Предлагаем вашему вниманию статью «Будь готов к новой системе управления операционным риском» наших экспертов — Ильи Исакова, управляющего директора RBtechnologies и Олега Огородникова, руководителя направления «Управления рисками» RBtechnologies, опубликованную в июньском номере журнала «Банковское обозрение».
В статье схематично обозначены основные сегменты необходимой системы управления операционным риском. Акцент сделан как на основных изменениях, которые необходимо будет внести для соответствия новым требованиям, так и на сопровождающих эти изменения трудозатратах.
В марте 2019 года Банк России выпустил обновленный проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Положение выпускается в целях подготовки банков к внедрению нового стандартизированного подхода «Базеля III»[1] к оценке операционного риска (далее ОР) для расчета нормативов достаточности капитала. Основные изменения «Базеля III», возникшие как ответ на последний экономический кризис, касаются внедрения в расчет компоненты убытков[2] от ОР и требований к сбору информации по убыткам, что обеспечивает повышение чувствительности расчета к риску. Банк России в проекте положения не вносит изменения в расчет Н1, но готовит банки как к сбору информации по убыткам в рамках нового стандартизированного подхода, так и к созданию информационной инфраструктуры для «продвинутых» подходов к оценке рисков. Срок приведения Системы Управления Операционным Риском (далее СУОР) банков в соответствие с Положением указан для крупных банков как конец 2019 года.
В целом, СУОР можно разбить на три крупных связанных сегмента, которые отображены на диаграмме: Организационная Структура, Процедуры Управления и ИТ-инфраструктура.
Сегмент «Организационная Структура» является наименее подверженным изменениям, поскольку в большинстве крупных банков общий функционал подразделений уже сложился. Основная нагрузка связана с документированием функционала подразделений во всем периметре управления ОР начиная от сбора информации до формирования отчетности. Нагрузка возрастет и для «специализированных» подразделений банка, поскольку Положение содержит детально прописанные требования по рискам Информационной Безопасности (ИБ) и Информационных Систем (ИС), которые необходимо привести в соответствие.
Сегмент «Процедуры управления» является наиболее трудозатратным, так как именно здесь содержатся ключевые изменения, которые также должны найти свое отражение в документации, поскольку Положение устанавливает полную процедуру документирования: все элементы СУОР, включая требования к ИТ-инфраструктуре и отдельных её элементов должны быть описаны.
Процедура идентификации ОР формирует стратегию выявления риска – на какие области фокусируется внимание банка. Это обеспечивается самооценкой, установкой ключевых индикаторов риска (КИР) и анализом внутренней информации, поступающей от подразделений. Эффективность процедуры может быть обеспечена BI инструментарием для аналитики КИР в различных разрезах по всем процессам банка.
Требования к идентификации рисков ИБ/ИС влекут за собой изменения в справочниках и базе событий риска ИБ. Дополнительные затраты связаны с анализом системы управления качества данных, синхронизацией с базой данных ОР в целях ведения единой классификации и встраиванием новых типов рисков (см. диаграмму) в общую СУОР.
Процедура регистрации риска обеспечивает сбор информации о событиях ОР и сопутствующих потерях. Положение предполагает наличие большого количества классификаторов и как следствие поддержку сложной, единой системы классификации, обновляющейся с учетом изменений бизнеса банка.
Для эффективного применения данной процедуры важно уже на этапе идентификации разделить ручной и автоматизированный режим обработки событий ОР. Специализированные ИТ-комплексы посредством настроенных справочников и алгоритмов фиксации событий ОР помогают автоматизировать сбор событий ОР и тем самым разгрузить персонал, задействованный в их обработке.
В процедуре определения потерь и возмещений, поступление данных из систем учета в базу событий является основным каналом в ИТ инфраструктуре СУОР. От качества настройки данного канала зависит качество всех данных и расчетных показателей ОР.
Банкам предстоит разработка методологии и настройка систем по классификации событий, правилам определения потерь, оценки стоимости возмещений. Оценка возмещений схожа по сложности с построением потока данных, обеспечивающего расчет LGD во внутренних моделях кредитного риска. Определение потерь потребует настроенных алгоритмов отбора определенных затрат/возмещений. Так же необходимо учесть и отразить влияние ОР на другие типы рисков Банка, что без специализированной ИТ-системы управления рисками превращается в очень трудоемкую задачу.
Процедура количественной и качественной оценки уровня риска предполагает разнесение ОР на множество бизнес процессов, и для выполнения этой задачи понадобится настроенный BI инструментарий, обеспечивающий аналитику ОР в различных разрезах.
В количественную оценку входят расчет капитала для целей ВПОДК и определение ожидаемых потерь (EL). Для расчета в целях ВПОДК требуется проведение сценарного анализа, который базируется в том числе на внешних данных по реализации ОР в индустрии. ИТ-инфраструктура должна поддерживать загрузку и анализ такой информации в системах банка.
Для выполнения требований по расчету EL и учету ОР в ценообразовании, банкам потребуются инструменты для обработки статистики, и вместе с требованиями анализа данных по EL в разрезе направлений бизнеса, потребуется аналитический инструментарий.
Процедуры реагирования и мониторинга предполагают наличие большого перечня мер по митигации риска. Автоматизированные процедуры позволят принимать своевременные решения по управлению ОР и вовремя сигнализировать о сигналах опасного сближения с критическим уровнем.
Оперативный расчет КИР, контрольных показателей и показателей объема ОР может быть автоматизирован в специальных ИТ-решениях, что снизит трудозатраты на подготовку данных и аналитику.
Составление отчетности предполагается в различных разрезах от процессов до типов рисков, включая агрегацию по банку и банковской группе. Отчетность характеризуется высокой степенью детализации и наполняется большим количеством показателей. Отдельные элементы отчетности потребуются на ежедневном уровне. Подобные требования делают автоматизацию построения отчетности критически необходимой.
Сегмент ИТ-инфраструктура — складывается из следующих ключевых компонентов Автоматизированной Информационной Системы (далее АИС):
— Система классификации;— База событий;— Система автоматизированного сбора событий;— Расчетный модуль;— Отчетный модуль.
База событий является центральным компонентом в ИТ-архитектуре СУОР, требования к которой существенно конкретизировались. Качество её построения будет глобально определять качество всей СУОР. База данных, должна быть связана со всеми бизнес-процессами банка, по сути являясь процессным описанием банка с точки зрения понесенных потерь.
Система автоматизированного сбора событий обеспечивает взаимодействие АИС с другими системами банка, обеспечивает сбор и классификацию событий ОР для дальнейшего расчета.
Расчетный модуль используется для оценки EL, расчета различных показателей и расчета сценариев для ВПОДК.
Функциональность АИС должна обеспечивать работу всей СУОР, осуществляя информационный обмен с другими ИС банка. Таким образом, регулятором ожидается что ИТ-инфраструктура должна поддерживать СУОР на качественно новом уровне, являясь полноценной интегрированной структурой, использование которой поможет банку управлять ОР во всем объеме задач от регистрации событий до формирования отчетности.
В заключение можно отметить, что на рынке присутствуют различные решения по СУОР, с той или иной степенью соответствующие ожиданиям регулятора, их внедрение потребует определенных методологических и стоимостных затрат, но такие инвестиции окупятся посредством построения корректного ценообразования и качественного управления операционным риском.
[1] Basel III: Finalising post-crisis reforms (12/2017). Базель III: Завершение посткризисных реформ.[2] Internal Loss Multiplier
Я даю согласие на обработку персональных данных в соответствие с требованиями статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
