В теории риск-менеджмента процесс управления риском традиционно представляется в виде последовательности этапов:
Идентификация риска
Оценка риска
Реагирование на риск
Мониторинг и контроль
В Указании Банка России от 15.04.2015 N 3624-У содержится прямое требование о создании в банке отдела и ответственного за управление рисками лица, однако управление риском, конечно, не может являться задачей одного структурного подразделения. На практике для управления рисками кредитной организации используются концепция трех линий защиты. Первую линию представляют отделы, непосредственно «встречающие» риски. На первой линии защиты, называемой также «менеджментом», проводится идентификация и оценка рисков, контролируется соблюдение установленных лимитов и принимаются меры по снижению риска. Функции второй линии можно назвать методологическими: разработка моделей оценки рисков, разработка системы лимитов. Данные подразделения, как правило, включаются в группу «Управления рисками». Третьей линией защиты является внутренний аудит, который оценивает эффективность системы управления рисками банка. Независимость оценки обеспечивается подотчетностью внутреннего аудита напрямую наблюдательному совету.
Таблица 3. Контроль на соответствие установленным ограничениям
|
1 линия защиты Соблюдение ограничений, установленных 2-ой линией защиты |
2 линия защиты Контроль установленных ограничений (независимый) |
|
|
Бизнес-подразделения |
Подразделения, отвечающие за управление рисками |
|
|
Идентификация риска |
Установление ограничений |
|
|
Независимая оценка уровня риска |
||
|
Выявление и первичная оценка риска |
Оценка агрегированного уровня риска |
|
|
Контроль на соответствие установленным ограничениям |
Прогнозирование уровня рисков |
|
|
Тестирование и валидация моделей |
В таблице ниже приводятся общенаучные и экономические методы, применимые к различным этапам управления операционными рисками
Таблица 4. Методы, применяемые в ходе управления операционным риском
|
Метод |
Алгоритм |
Цель |
Этап управления |
|
|
Опросы сотрудников |
Определение круга опрашиваемых Разработка вопросов Проведение опроса сотрудников банка, руководителей. |
Получение независимого мнения сотрудников банка |
Определение риска, оценка эффективности реагирования на риск, мониторинг и контроль |
|
|
Тест систем |
1.Моделирование ситуации (проведение контрольной процедуры, угроза ИТ-безопасности, попытка мошеннических действий) 2.Анализ реакции системы и персонала на ситуацию |
Получения представления о фактических деталях операционной деятельности |
Определение риска и его оценка, оценка эффективности реагирования на риск, мониторинг и контроль |
|
|
Экспертная оценка (балльная, метод «Дельфи») |
1. Определение значимых факторов; 2.Количесвенная оценка экспертами каждого параметра; 3.Вывод общего интегрального показателя; |
Получение мнения экспертов относительно значимости видов событий операционного риска |
Оценка рисков, мониторинг и контроль |
|
|
Ранжирования |
1. Определение показателей; 2. Оценка значимости каждого из них в зависимости от конкретных целей анализа. |
Получение представления о наиболее критичных рисках для стратегических целей банка, обоснование порядка реагирования на «одновременные» риски. |
Оценка рисков, реагирования на риск |
|
|
Коэффициентный анализ |
1. Расчет коэффициентов-показателей 2. Определение различных сценариев осуществления деятельности 3. Выбор оптимального сценария на основе лучших значений коэффициентов |
Обоснование управленческого решения по управлению операционными рисками |
Реагирование риск |
|
|
Визуальные методы (Паук-цисс, дэшборды, светофоры, матрицы) |
1. Формирование критериев оценивания 2. Определение значений критериям 3. Построение диаграмм, дэшбордов и тд. |
Получение наглядного представления о работе системы, состояния операционных рисков в текущий момент времени |
Мониторинг и контроль |
Специфические методы управления риском включают процедуры по его устранению, передаче или принятию. Можно отметить, что подход «принятия риска» также часто называют «управлением риском», сужая данное понятия до последовательности шагов, принимаемых руководством после наступления событий риска. Подробное описание подходом и инструментов управления риском приводится в таблице ниже.
Таблица 5 Подходы к управлению риска
|
Подход к управлению риском |
Инструменты |
Примеры |
|
|
Непринятие, ограничения риска |
Внутренняя политика компании, регламентация процессов, установление лимитов |
Запрет на кредитование отдельных категорий заемщиков, ограничения на вложения в определенные виды активов |
|
|
Диверсификация |
Вклад в финансовые инструменты с расчетом рисков |
||
|
Передача |
Снижение риска путем передачи третьей стороне - страхования |
Деривативы |
|
|
Снижение риска без передачи третьей стороне |
Залоговое обеспечение, поручительство, гарантии |
||
|
Принятия риска |
Диверсификация |
Вклад в финансовые инструменты без расчета риска |
|
|
Буфер капитала |
Резерв ЦБ под риски |
Кроме этого, для построения системы управления операционным риском в банках должна быть разработана система сбора данных о наступивших событиях операционного риска. Данные события, или инциденты, классифицируются по различным атрибутам.
Таким образом, модель управления операционными рисками в кредитной организации может быть представлена в виде модифицированного куба COSO.
Рисунок 1. Куб COSO.
1.3 Разработка алгоритма управления операционным риском
Аспекты нормативно-правовой базы управления операционным риском банка устанавливает основные ориентиры для организации такой системы, однако, не прописывают четкого алгоритма действий по реализации процесса. Более подробное описание системы управления операционным риском разрабатывается в проекте положения Банка России “О требованиях к системе управления операционным риском в кредитной организации и банковской группе” (по состоянию на 22.03.2019). На основе рассмотренных в предыдущих подпунктах методов, инструментов, и нормативного регулирования управления операционными рисками в рамках данной работы осуществляется попытка описания алгоритма управления операционным риском банка.
Шаг 1: Идентификация риска
При идентификации операционных рисков возможно применение нескольких подходов: «сверху-вниз» (Top-Down) и «снизу-вверх» (Bottom-Up).
Таблица 6. Подходы к оцениванию риска.
|
Подход/критерии сравнения |
Top-Down |
Bottom-Up |
|
|
Оцениваемый фактор |
Последствий реализации риска |
Источников и причин риска |
|
|
Уровень корпоративной системы |
Результаты деятельности банка в целом |
Подразделения банка и бизнес-процессы |
|
|
Исполнитель |
Руководство, коллегиальные органы |
Сотрудники подразделений |
|
|
Периодичность |
По мере необходимости |
В процессе текущей деятельности |
В ходе идентификации операционных рисков проводится процедура самооценки, Risk and Control Self-Assesment. Данная процедура проводится на всех уровнях корпоративной структуры банка, объединяя в результате применение обоих подходов.
Риски персонала, процессов, системы и внешние риски анализируется в разрезе
- текущих рисков банка (существующих и новых выявленных инцидентов);
- потенциальных рисков, ожидаемых из-за технологических, инфраструктурных изменений внутри банка;
- изменений внешней среды (изменения в действующем законодательстве, появление новых видов мошенничества).
Шаг 2. Идентификация контрольных процедур
В идеальном случае, каждому выявленному риску соответствует контрольная процедура. Если контроля в отношении риска не определено, появляется необходимость его разработки.
Шаг 3. Оценка экспертами вероятности и влияния рисков и эффективности контролей
Риски, выявленные на предыдущем этапе, проходят экспертную оценку по критериям оценки влияния и вероятности. Один из примеров такой оценки приводится ниже.
Таблица 7. Критерии оценки влияния операционных рисков
|
Оценка влияния риска |
||||||
|
Балл |
Описание |
Финансы |
Репутация |
Законодательство |
Участники процесса (сотрудники, поставщики, покупатели, поставщики) |
|
|
1 |
Незначительный |
<=уровня существенности |
Не несет последствий для репутации |
Нет нарушения действующего законодательства |
Отсутствуют последствия для подчиненных, покупателей, поставщиков |
|
|
2 |
Заметный |
|||||
|
3 |
Крупный |
<=10-кратное превышение уровня существенности |
Последствия для репутации на региональном уровне |
Административная ответственность, официальные предупреждения |
Минимальные последствия для подчиненных, покупателей, поставщиков |
|
|
4 |
Критический |
|||||
|
5 |
Катастрофический |
>=100 кратное превышение уровня существенности |
Последствия для репутации на уровне группы |
Уголовная ответственность, прекращение деятельности |
Значительные последствия для подчиненных, покупателей, поставщиков |
Таблица 8. Критерии оценки вероятности операционных рисков
|
Балл |
Описание |
Вероятность |
Учет опыта прошлых лет |
|
|
1 |
Минимальная (нет оснований для инцидента в настоящий момент времени) |
1% - 5% |
Не случалось |
|
|
2 |
Редкая |
6%-25% |
Один раз за 5-летний промежуток |
|
|
3 |
Возможная (процесс ручной, возможны ручные корректировки) |
26%-50% |
Один раз за 3-летний промежуток |
|
|
4 |
Высокая |
51% - 80% |
Один раз за год |
|
|
5 |
Повышенная (новый процесс, зафиксированы инциденты за настоящий момент) |
80%- 99% |
Один за полгода |
Для расчета последствий для банка от реализации рисков может быть применен сценарный анализ, позволяющий определить возможные потери. Так, каждый риск должен быть оценен по критериям влияния и вероятности. Полученные значения перемножаются, итоговое значение риска находит отражение в матрице рисков для банка (см. таблицу 7).
Таблица 9. Матрица выявленных рисков
|
Влияние |
|||||||
|
1 |
2 |
3 |
4 |
5 |
|||
|
Вероятность |
1 |
1 |
2 |
3 |
4 |
5 |
|
|
2 |
2 |
4 |
6 |
8 |
10 |
||
|
3 |
3 |
6 |
9 |
12 |
15 |
||
|
4 |
4 |
8 |
12 |
16 |
20 |
||
|
5 |
5 |
10 |
15 |
20 |
25 |
1-4 балла характеризует низкий риск (небольшое влияние и минимальные последствия для банка)
5-12 баллов характеризуют средний риск
12 - 25 характеризуют высокий риск (повышенная вероятность наступления рискового события и наличие значительных последствий для группы)
Цель разработки контрольных процедур - снизить влияние и вероятность наступления рискового события для банка. Критерии оценки эффективности контроля предлагаются в таблице 8.
Таблица 10. Критерии оценки эффективности контрольных процедур
|
Балл |
Описание |
Вероятность устранения риска |
Качество |
Зрелость процедуры |
|
|
1 |
Эффективная |
99% |
Процедура разработана, регламентирована, действует в полном соответствии с регламентом |
Процесс постоянно совершенствуется, адаптирует лучшие практики |
|
|
2 |
Ограниченно-эффективная (требуются корректирующие действия) |
75% |
Наблюдается несоответствия регламента и практики осуществления процедуры / Процедура выполняется, регламент отсутствует / Процедура адекватна в целом, но не покрывает все возможные события |
Процесс управляем |
|
|
3 |
50% |
Разработан регламент процесса, процесс воспроизводится сотрудниками |
|||
|
4 |
25% |
Процесс воспроизводится сотрудниками |
|||
|
5 |
Неэффективная (требуется реинжиниринг процедуры) |
1% |
Процедура не предотвращает, не предсказывает событие и не корректирует последствия |
Процесс в стадии разработки |
Итоговое значение риска, или остаточный риск, рассчитывается путем наложения показателя выявленного риска (см. матрицу рисков) и показателя эффективности контрольной процедуры, призванной перекрыть риск.
Шаг 4. Реагирование на риск
Данный этап управления операционным риском представляется наиболее перспективным для исследования и подробно рассматривается в третьей главе настоящей работы, поскольку существует множество форматов ответных действий кредитной организации на события риска. Наиболее интересным из рассмотренных выше подходов к управлению риском является его снижение за счет совершенствования тех или иных процессов внутри кредитной организации:
принятие различных управленческих решений
моделирование бизнес-процессов, регламентирование операции?, реинжиниринг бизнес-процессов;
разработка систем лимитов, позволяющих принимать риски до превышения их критического объема;
создание резервов, аналогичным резервам по ссудам, то есть поддержание достаточности капитала под операционные риски.
Шаг 5. Мониторинг изменения операционного риска
Мониторинг изменения операционного риска осуществляется на основании системы ключевых показателей, охватывающей все бизнес-процессы банка.