Процесс и инструменты управления операционным риском.
Как известно, управление операционным риском можно подразделить на этапы.
К ним относятся: идентификация риска, его оценка, мониторинг, минимизация.
Идентификации или выявление рисков осуществляются путем анализа операционных финансовых потерь предприятия и включает в себя следующие этапы:
Loss Data Collection ‒ сбор и регистрация случаев операционного риска;
RCSA (Risk and Control Self-Assessment) ‒ проведение опросов сотрудников-экспертов с целью самостоятельной оценки ими наличия и масштабов факторов операционного риска на внутренние процессы предприятия.
Оценка рисков предприятия по AMA складывается из:
• RCSA ‒ экспертных оценок владельцев процессов;
• анализа распределения фактических убытков предприятия по подразделениям их генерации;
• сценарный анализ (дополнение фактических данных о потерях гипотетическими);
• оценка рисков новых продуктов и процессов.
В целях мониторинга риска определяются:
• KRIs (Key Risk Indicators) ‒ индикаторы уровня операционного риска по процессам предприятия банка;
• heat map monitors ‒ визуальная карта операционного риска по направлениям деятельности;
• Aсtions - планы по минимизации/снижению уровня риска.
При анализе конкретного уже реализовавшегося операционного риска на предприятии эксперт подразделения способен достаточно точно указать вероятность такого события в дальнейшем. В задачу эксперта также входит формирование плана (Aсtions) действий по минимизации операционного риска. План действий включает в себя как минимум плановую величину приемлемого уровня риска, описание набора инструментов, внедрение которых позволит снизить уровень риска до приемлемого и стоимостную оценку внедрения такого набора инструментов.
Сценарный анализ является важным этапом борьбы с еще не реализовавшимися, но вполне возможными видами операционного риска. В отличие от уже реализовавшихся на предприятии видов операционного риска, не реализовавшиеся виды риска обладают некой неопределенностью (неточностью) как по масштабу влияния на бизнес-процесс предприятия, так и по вероятности такого события вообще.
Какие же виды риска включать в сценарный анализ, а какие нет? Если предприятие входит в группу компаний, то необходимо выяснить у других предприятий группы, какие виды операционных рисков реализовались у них. Как минимум. Вероятность реализации такого вида операционного риска является самой высокой из всех видов сценарного анализа.
Далее необходимо исследовать виды операционного риска отрасли. Логично предположить, что вероятность такого операционного риска ниже, чем по группе компаний.
Следующим шагом сценарного анализа является исследование операционного риска региона с соответствующим понижением вероятности события. Затем - странового и мирового уровня.
Как мы уже говорили выше, продвинутый подход позволяет выработать механизмы существенного снижения потерь от операционных рисков. Т.е. потери на уровне 10% от GI подразделения считаются чрезмерно высокими и не приемлемыми (за рядом исключений).
В зависимости от важности бизнес-процесса, в котором выявлен операционный риск, масштаба риска и затратам на минимизацию можно предложить следующие варианты .
1. Выработка мер снижения операционного риска. Исходя из предложенных мер, декларирование нового (более низкого) уровня операционного риска. Подсчет затрат на внедрение таких мер и нового уровня предполагаемых потерь. Само собой разумеется, что общая сумма потерь, включая затраты на минимизацию, должна быть существенно ниже 10% от GI. Как правило, это значение не превышает 0.1% от GI.
2. Если снизить операционный риск ниже уровня 10% от GI невозможно (или существенно затратно), а данный бизнес-процесс не является важным для предприятия, то такой бизнес-процесс подлежит ликвидации, как чрезмерно затратный/рисковый.
3. Если снизить операционный риск ниже уровня 10% от GI невозможно (или существенно затратно), а данный бизнес-процесс является важным для предприятия, то такой ОР должен быть принят на уровне руководства предприятия или уполномоченного органа, например комитета по операционным рискам.
Существуют несколько вариантов минимизации/снижения операционного риска.
Итак, что же необходимо для более эффективного управления операционным риском? В первую очередь это преодоление сложившихся стереотипов в отношении управления операционным риском. Необходимо добиться понимания каждым руководителем, что:
1. Работа по управлению операционным риском – это ежедневная работа каждого сотрудника.
2. Бизнес-подразделения не только зарабатывают, но и управляют присущим их деятельности операционным риском.
3. Наиболее эффективный подход – это борьба с риском в том подразделении, которое этот риск генерирует.
4. При выявлении риска сотрудник, ответственный за возникновение риска, должен привлекаться к ответственности только в том случае, если его действия являлись преднамеренными.
Политика предприятия по управлению операционным риском складывается из следующих принципов.
Основную ответственность за процесс риск-менеджмента в каждом подразделении несут руководители бизнес-процесса, в которых эти риски выявлены.
Руководители бизнес-подразделений ответственны за внедрение процедур управления рисками в свои бизнес-процессы. Процедуры управления составляются совместно с риск-менеджментом компании. Более того, все процедуры управления бизнес-процессом должны проходить проверку на предмет наличия рисков. Персональную ответственность за предотвращение потерь от реализации операционного риска несут сотрудники бизнес-подразделений, осуществляющих операции, связанные с принятием риска. Первоочередную ответственность за управление операционным риском несут подразделения, ответственные за IT, кадровые службы, юридическое, финансовое и налоговое направления так как их деятельность также сопряжена с принятием рисков (операционного, правового и др.).
Таким образом, политика предприятия по управлению рисками должна четко формулировать степень ответственности за риски. Управление риском может быть эффективно, если на каждого руководителя подразделения возложена такая ответственность. Подобное делегирование поможет внести ясность в процесс управления риском и в необходимых случаях найти виновных, что поможет регулировать и, впоследствии, минимизировать операционный риск.
Рассмотрим далее некоторые механизмы управления операционным риском. Как уже было отмечено, регулярная работа по управлению рисками лежит на двух звеньях процесса: сотрудниками предприятия, т.е. операционные подразделения и риск-менеджеры на уровне центра компетенции операционного риска (подразделение, ответственное за оценку и управление операционного риска).
Последовательность действий при реализации риска в бизнес-процессе:
• наступление события операционного риска; сотрудники подразделения, выявившего риск, незамедлительно информируют владельца бизнес-процесса.
• владелец бизнес-процесса, т.е. операционное подразделение предприятия незамедлительно принимает меры по минимизации последствий риска;
• владелец бизнес-процесса, проводит оценку потенциальных потерь;
• в случае если сумма потенциальных потерь по оценке владелец бизнес-процесса превышает установленный критический уровень, информация об этом незамедлительно доводится до центра компетенции операционного риска (риск-менеджмент);
• в случае если сумма потенциальных потерь по оценке владелец бизнес-процесса не превышает установленный критический уровень, информация об этом доводится до центра компетенции операционного риска (риск-менеджмент) на стандартной регулярной основе;
• центр компетенции проводит проверку полноты полученной информации и корректности действий владельца бизнес-процесса;
• разработка владельцем бизнес-процесса долгосрочных планов мероприятий по минимизации риска;
• отправка на регулярной основе владельцем бизнес-процесса долгосрочных планов мероприятий по минимизации риска в центр компетенции операционного риска;
• в случае если для реализации принятых мер по минимизации риска у владельца бизнес-процесса не хватает полномочий, то он должен эскалировать задачу в центр компетенции и совместными усилиями добиваться ее решения;
• мониторинг центром компетенции операционного риска долгосрочных планов мероприятий по минимизации рисков.
Как видим, процесс управления рисками напрямую зависит от качества коммуникаций между вовлеченными в процесс подразделениями. Для эффективного взаимодействия между подразделениями требуется в каждом бизнес-процессе назначить риск-координаторов.
Риск-координаторы – это сотрудники предприятия, отвечающие за организацию внедрения и обеспечение функционирования системы управления операционного риска внутри каждого подразделения предприятия. Риск-координаторами могут быть назначены как руководители подразделений, так и рядовые сотрудники, обладающие знаниями на уровне эксперта бизнес-процесса. Сформулируем основные требования для выполнения функционала координирования процессов риск-менеджмента в подразделении.
1. глубокие знания и практический опыт работы по бизнес-процессам подразделения;
2. понимание уязвимых мест бизнес-процессов;
3. аналитический склад ума и умение работать с информацией.
Для успешной работы риск-координатора, он должен быть наделен полномочиями соответствующими возложенным на него задачам. Задачи у риск-координатора следующие: внедрение системы управления операционным риском в своем подразделении и выполнение функции коммуникатора между своим подразделением и центром компетенции операционного риска.
В процессе риск-менеджмента на предприятии у взаимодействующих участников (риск-координаторы и центр компетенции операционного риска) выстраивается определенный функционал и ответственность. Так, риск-координаторы подразделений осуществляют:
• управление операционным риском внутри подразделения;
• координацию внедрения инструментов по минимизации рисков.
В функционал центра компетенции входит:
• внедрение методологии по управлению рисками;
• обеспечение методологической помощи риск-координаторам предприятия;
• контроль за внедрением инструментов по минимизации рисков;
• анализ эффективности системы противодействия операционным рискам;
• анализ адекватности мер по снижению операционных рисков.
Сотрудники предприятия также должны быть вовлечены в процесс управления рисками. Они могут выявлять, проводить участие в оценке, давать рекомендации по снижению рисков и проводить мониторинг. В описанной схеме взаимодействия можно отметить отсутствие дублирование функционала и обязанностей сотрудников.
О корректности работы системы по управлению рисками будет свидетельствовать повышение прибыльности бизнес-процесса, существенной экономии времени и ресурсов каждого подразделения при возникновении рисковых случаев, эффективному функционированию бизнес-процессов. Внедрение культуры риск-менеджмента позволит привлечь каждого сотрудника к управлению риском, и следовательно, добиться максимального результата по снижению потерь предприятия.