В. Управление операционным риском: идентификация, оценка, мониторинг, контроль и ограничение
Принцип IV. Банк должен идентифицировать и оценивать операционный риск, присутствующий во всех продуктах, видах деятельности, процессах и системах банка, а также обеспечивать проведение соответствующих процедур оценки операционного риска, присущего новым продуктам, видам деятельности, процессам и системам, до их внедрения.
Принцип V. Банк должен осуществлять процесс постоянного мониторинга операционного риска и производственной подверженности к потерям. Постоянные отчеты с соответствующей информацией должны представляться исполнительному органу банка и уполномоченному органу управления банком, чтобы поддерживать активное управление операционным риском.
Принцип VI. Банк должен иметь политику, процессы и процедуры для осуществления контроля и ограничения производственных операционных рисков. Банк должен периодически пересматривать меры, принимаемые для ограничения риска, и стратегию контроля, а также регулировать параметры операционного риска, используя стратегии, соответствующие данным параметрам.
Принцип VII. Банк должен иметь планы действий в случае непредвиденных ситуаций и планы для обеспечения непрерывности процесса своего функционирования в целях ограничения потерь в случае серьезных производственных сбоев.
Управление операционным риском, предусмотренное локальными нормативными правовыми актами, представляет собой непрерывно действующий в банке процесс, включающий в числе основных составляющих: идентификацию, оценку, мониторинг, внутреннюю отчетность, контроль и ограничение операционного риска.
Идентификация операционных рисков осуществляется на всех этапах деятельности банка, начиная с определения банком своих стратегических целей и направлений деятельности, установления целевых параметров и ориентиров.
Идентификация операционных рисков учитывает как внутренние, так и внешние факторы их возникновения.
К внутренним факторам относятся специализация банка, профессиональный уровень работников, надежность организации документооборота, защита и предотвращение утечки информации и иные факторы, обусловленные деятельностью банка.
К внешним факторам относятся изменения в правовом регулировании, поведение клиентов, надежность контрагентов, воздействие технологического прогресса на безопасность банковских операций и иные факторы, не зависящие от деятельности банка.
В банке рекомендуется создать и вести аналитическую базу данных о понесенных операционных убытках, в которой отражаются сведения об их видах и размерах в разрезе направлений деятельности, отдельных банковских и иных операций, обстоятельств возникновения и выявления убытков.
При этом следует учитывать следующие два вида операционных потерь:
· небольшие потери в результате событий, происходящих с высокой частотой;
· крупные потери в результате событий, происходящих с низкой частотой.
Банк оценивает с точки зрения подверженности операционному риску свои операции и иную деятельность, а также осуществляет предварительную оценку рисков по всем планируемым операциям.
Банк может разрабатывать методы оценки операционного риска самостоятельно либо использовать следующие методы, принятые в международной банковской практике:
· статистический анализ распределения фактических убытков;
· балльно-весовой метод (метод оценочных карт);
· моделирование (сценарный анализ).
Методы, основанные на применении статистического анализа распределения фактических убытков, позволяют сделать прогноз потенциальных операционных убытков исходя из ретроспективного анализа размеров операционных убытков, имевших место в данном банке в прошлом. При применении этих методов в качестве исходных данных используется информация, накопленная в аналитической базе данных банка о понесенных операционных убытках.
Сущность балльно-весового метода заключается в оценке операционного риска в сопоставлении с мерами по его ограничению.
На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются в разрезе направлений деятельности банка, отдельных видов банковских операций и других сделок.
В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности банка, отдельных видов банковских операций и других сделок определяются возможные сценарии возникновения событий или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая используется для оценки операционного риска.
Эффективный процесс мониторинга является важным фактором для адекватного управления операционным риском. Постоянный мониторинг дает преимущество быстрого выявления и исправления недостатков в политике, процессах и процедурах по управлению операционным риском.
Наряду с мониторингом операционных потерь банку следует отслеживать параметры и пороговые значения установленных им критериев, позволяющих предсказать риск возможных потерь. Такие параметры (называемые ключевыми показателями риска или показателями раннего предупреждения) должны быть ориентированы на выявление потенциальных источников операционного риска.
Банк разрабатывает собственные механизмы мониторинга операционного риска, принимая во внимание:
· виды и сущность допускаемых ошибок;
· вид, степень сложности осуществляемых и планируемых банком банковских операций;
· состояние телекоммуникационных систем и информационных технологий в банке;
· уровень квалификации работников банка, а также кадровые и организационные изменения в его структуре;
· иные показатели.
Результаты, получаемые в процессе мониторинга операционного риска, являются основой регулярного информирования органов управления банка. Для этих целей банк разрабатывает систему внутренней отчетности, при этом уполномоченный и исполнительный органы банка должны регулярно получать отчеты как от подразделений, осуществляющих операции, так и от подразделения (должностного лица), осуществляющего функции внутреннего контроля за эффективностью управления операционным риском.
Внутренние отчеты содержат:
· внутреннюю финансовую и операционную информацию;
· оценку соответствия деятельности банка локальным нормативным актам и политике в области операционного риска;
· информацию о внешних факторах и условиях на рынке, которые могут оказывать влияние на операционный риск банка и принятие решений в сфере управления им;
· данные о выявленных проблемных сферах и сферах потенциального возникновения проблем в управлении операционным риском и предложения по их предотвращению (устранению).
Внутренние отчеты доводятся до подразделений, должностных лиц, которые уполномочены принимать соответствующие решения или непосредственно осуществлять управление операционным риском.
Внутренние отчеты следует анализировать с точки зрения оценки эффективности управления операционным риском, а также совершенствования принципов, процедур и практики управления операционным риском.
Органы управления банка обеспечивают осуществление постоянного контроля за операционным риском. В случаях, если банк не в состоянии осуществлять эффективный контроль за операционным риском при осуществлении тех или иных операций, следует оценить объемы потенциальных потерь в целях принятия решения о целесообразности отказа от проведения данных операций либо об ограничении их объемов.
Банк обязан внедрить на практике процесс регулярного контроля за операционным риском, наиболее важными элементами которого являются: соблюдение установленных лимитов или пороговых пределов риска, поддержание режимов безопасности доступа к банковским активам и учетным записям, надлежащее обучение работников, выявление направлений деятельности и отдельных операций, по которым получена прибыль значительно ниже планируемых показателей, регулярная проверка и сверка осуществленных операций и данных бухгалтерского учета.
Банку следует по мере возможности совершать обмен информацией о возникновении финансовых потерь вследствие реализации операционного риска с другими банками, а также анализировать соответствующую информацию, полученную от других банков, с целью избежания аналогичных потерь.
В целях обеспечения безопасной и бесперебойной деятельности банк разрабатывает планы действий в случае непредвиденных ситуаций, в том числе планы восстановления нормального функционирования, в которых учитываются различные типы вероятных сценариев реализации операционного риска. Банку следует обратить внимание на наличие возможностей восстановления записей на машинном и бумажном носителях, необходимых для нормального функционирования банка.
Банк периодически анализирует данные планы на их соответствие характеру и объемам текущих банковских операций и стратегии развития банка. В целях обеспечения адекватности планов действий в случае непредвиденных ситуаций возможным последствиям реализации операционного риска при их разработке рекомендуется использовать стресс-тесты с различными неблагоприятными сценариями, а также регулярно подвергать данные планы последующему тестированию.
Некоторые значительные операционные риски имеют низкую вероятность возникновения, но потенциально могут привести к существенным финансовым потерям. В таких случаях рекомендуется для переноса риска единовременных потерь прибегать к услугам страховых организаций. При этом страхование не должно расцениваться как альтернатива надлежащему управлению операционным риском.
В целях снижения уровня отдельных видов операционного риска путем передачи риска или его части третьей стороне возможно использование аутсорсинга - привлечение сторонней организации (поставщика услуг) для выполнения отдельных видов работ.
В то же время аутсорсинг является источником операционного риска, связанного с деятельностью третьей стороны.
Банку следует разработать надежные практические методы по управлению рисками, связанными с аутсорсингом, приняв во внимание, что:
· аутсорсинг базируется на договорной основе, обеспечивающей четкое распределение обязанностей и ответственности между поставщиками услуг и банком;
· банк сохраняет контроль за рисками, связанными с договорными отношениями с поставщиком услуг, включая риск расторжения договора на оказание услуг;
· банк осуществляет предварительный сбор информации о поставщике услуг и последующий мониторинг его деятельности.