путем формирования служебных записок в адрес руководства;
путем вынесения на обсуждение правлением банка;
путем вынесения на обсуждение специализированным коллегиальным органом управления (далее — КОУ) (технологическим комитетом, комитетом по операционным и информационным рискам);
при отсутствии специализированного КОУ — путем сбора информации о действующих коллегиальных органах управления банка и вынесения вопросов минимизации операционных рисков на обсуждение данными КОУ (в рамках полномочий каждого КОУ).
Решение задач по минимизации (устранению) ОР
В целях минимизации операционных рисков принимают как стандартные, так и нестандартные решения. К первым можно отнести принятие несущественного риска (в случае когда затраты на его устранение превышают ожидаемый эффект), а также выставление лимитов, страхование и аутсорсинг процессов (передача рисков сторонним организациям). По мере развития СУОР все большее применение получают нестандартные решения, т.к. операционные риски разноформатны и охватывают практически всю деятельность банка. В зависимости от трудоемкости, сложности задачи и компетенции риск-менеджеров ОР снижают различными способами:
силами ответственного подразделения (владельца риска);
силами подразделения риск-менеджмента;
путем формирования рабочих (кросс-функциональных) групп;
путем запуска проекта (проектный подход). Допустим, процесс кредитования в конкретном банке является длительным, дорогим и неэффективным (с высокой долей просроченных кредитов), т.е. банк несет прямые потери (кредитный риск) из-за неправильно выстроенного процесса (операционный риск). В ходе анализа процесса на соответствие бизнес-логике выявляют его недостатки и конкретизируют операционные риски. Далее разрабатывают варианты мероприятий по оптимизации процесса кредитования и минимизации операционных рисков. Затем реализуют утвержденные мероприятия по повышению прозрачности процесса (в том числе за счет автоматизации), вводят контрольные управленческие процедуры, изменяют входы и выходы подпроцессов и последовательность выполнения подпроцессов, актуализируют нормативные документы. Проведенная работа позволяет увеличить скорость кредитования, снизить стоимость процесса, рост и долю просроченных кредитов. Работу проводят несколько подразделений, и вклад каждого подразделения (в процентном соотношении) в финансовый результат определить сложно. Однако практика показывает, что в целом применение СУОР может в значительной степени влиять на финансовый результат. Кроме опосредованного влияния (в виде снижения операционных рисков, оптимизации бизнес-процессов, усиления внутреннего контроля за процессами, участия в коллегиальных органах управления и т.д.) подразделение по операционным рискам может оказывать и прямое влияние на финансовый результат, выражающееся в предупреждении мошенничества (в том числе возврат денежных средств), организации возмещения страховых сумм при наступлении страховых случаев, инициировании внедрения новых продуктов и технологий. По мнению авторов, СУОР должна функционировать таким образом, чтобы минимизация операционных рисков производилась комплексно. Рассмотрим несколько комплексов мероприятий (проектов), направленных на решение указанной задачи.
Комплекс мероприятий по снижению риска персонала
Повышение стандартов обслуживания и регулярный мониторинг качества обслуживания клиентов.
Разработка системы поддержки фронтофиса через call-центр.
Внедрение системы противодействия мошенничеству.
Распределение прав доступа в информационных системах и соблюдение правил информационной безопасности.
Внедрение эффективной системы мотивации персонала.
Анализ хронометража оказания услуг клиенту (сравнение нормативного значения с фактическим).
Создание «единого окна обслуживания» для сотрудников фронт-офиса (в случае если банк использует несколько разнородных информационных систем).
Анализ показателей по управлению персоналом (текучесть кадров, количество обученных сотрудников и т.д.).
Комплекс мероприятий по снижению риска процесса
Внедрение процессного подхода (структурирование бизнеса на процессы, описание процессов, определение владельцев процессов, нейтрализация «зон безответственности», своевременная актуализация внутренней нормативной документации и т.д.).
Формирование электронной базы бизнеспроцессов, поддерживаемых в актуальном состоянии (например, с применением программного обеспечения BusinessStudio (www.businessstudio.ru)).
Внедрение системы мониторинга показателей деятельности на ежедневной основе (применение ключевых индикаторов риска в рамках общей системы мониторинга показателей банка).
Анализ организационной структуры банка.
Внедрение системы разработки (от идеи до ввода в действие) дополнительных процессов и новых продуктов. В качестве примеров подобных процессов можно указать следующие:
— «Управление инновациями и рацпредложениями»;
— «Анализ внутренних инвестиционных проектов» (чистый денежный поток (NCF), индекс прибыльности (PI), срок окупаемости проекта (PBP), внутренняя норма рентабельности (IRR), модифицированная внутренняя норма рентабельности (MIRR), дисконтирование, средневзвешенная стоимость капитала (WACC));
— «Расчет маржинальной доходности в разрезе продуктов для эффективного управления продуктовым рядом».
Внедрение системы определения приоритетности автоматизации процессов (с учетом рисков).
Создание единого хранилища данных и формирование на его основе ERP-системы, системы бизнес-анализа (BusinessIntelligence, BI).
Усиление внутреннего контроля бизнеспроцессов.
Комплекс мероприятий по снижению риска систем
Оперативный учет информационных активов (информационные системы, оборудование, каналы связи).
Формирование планов восстановления IT-сервиса.
Внедрение системы оперативной замены оборудования, системы резервирования каналов связи.
Внедрение системы Help-Desk.
Виртуализация серверов.
Внедрение проектного подхода к деятельности подразделения, отвечающего за доработку используемого ПО и разработку нового.
Внедрение сервисного подхода к деятельности подразделения, отвечающего за обслуживание IT-сервисов (информационных систем) (IT Service Management, ITSM).
Четкое разделение функций между отделами, занимающимися разработкой программного обеспечения и обслуживанием информационных систем.
Комплекс мероприятий по снижению риска внешней среды
Комплексное страхование бизнеса.
Внедрение системы ОНиВД (обеспечения непрерывности деятельности и/или восстановления деятельности банка в случае возникновения непредвиденных обстоятельств): — повышение физической безопасности объектов банка; — повышение информационной безопасности банка; — повышение организационной безопасности банка. Представленные выше проекты могут быть как взаимодополняющими, так и взаимоисключающими. Мы понимаем, что решение данных задач требует активного участия всех подразделений банка. Успех описанных проектов зависит от уровня слаженности управленческой команды и понимания общих целей и задач.
Мониторинг и контроль минимизации ОР
Мониторинг проводят с установленной периодичностью путем наблюдения, т.е. операционному риску (группе операционных рисков) присваивается статус: «устранен», «минимизирован», «принят», «передан сторонним организациям», «в работе». Необходимо фиксировать, каким образом был минимизирован тот или иной операционный риск. Существует несколько вариантов проведения мониторинга.
На основании анализа индикаторов операционного риска. Отметим, что в некоторых случаях внедрение учетной системы ключевых индикаторов риска требует значительных затрат, при этом получаемый эффект остается «непрозрачным» в денежном выражении.
На основании отчетов руководителя рабочей группы о ходе выполнения того или иного проекта.
На основании повторного выявления операционных рисков.
На основании данных системы административного контроля (результаты выполнения задач, зафиксированных в письменной или электронной форме в контрольных карточках). Административный контроль позволяет снижать вероятность затягивания работ по минимизации ОР и зачастую помогает улучшить качество и эффективность выполнения решений. По мнению авторов, наиболее сложным моментом в мониторинге процесса минимизации ОР является определение качества выполняемых работ. Этот вопрос можно решить путем повышения компетентности риск-менеджеров в той или иной профессиональной области, а также с помощью сторонних экспертов (дорогой вариант решения) либо путем проведения опроса внутренних потребителей услуг. Система управления операционными рисками может быть представлена следующими отчетами:
отчеты, рекомендуемые ЦБ РФ;