Кто владеет информацией - тот управляет рисками (М. Валашек, Н. Козырева, "БДМ. Банки и деловой мир", N 5, май 2007 г.)

Кто владеет информацией - тот управляет рисками

Проблема идентификации, оценки, анализа и мониторинга операционных рисков становится все более актуальной для российских банков. Особенно - на фоне изменений в банковских технологиях и роста массового кредитования. Более того, сегодня речь идет уже об эффективном управлении этими изменениями.

Необходимость управления операционными рисками заложена в самой специфике банковской деятельности. Она охватывает огромный спектр потенциальных ошибок и потерь, связанных с информационными системами, человеческими ресурсами, бизнес-процессами и внешними событиями. Диапазон потерь, которые может повлечь за собой реализация операционных рисков, весьма обширен. Для того же, чтобы ими управлять, в первую очередь необходим эффективный процесс сбора данных, где были бы задействованы все подразделения и направления деятельности банка.

В международной банковской практике появление Базеля II и его нового компонента - стандартов по управлению и измерению подверженности финансового института операционным рискам - заметно повлияло на саму культуру понимания этого вида риска, а параллельно способствовало разработке и построению необходимых систем и инструментов управления. Большинство европейских банков уже давно подходят к управлению операционными рисками не только с формальной точки зрения. Здесь в процессе принятия решений и для совершенствования принятых технологий используются разнообразные качественные и количественные инструменты. Преуспела Европа и в решении проблем, связанных с продвинутыми подходами к измерению операционных рисков. Одна из них - качество статистических данных, прямо связанное с процессом сбора как внутренних, так и внешних данных по событиям этого вида рисков.

Но если для эффективного сбора внутренней информации можно построить соответствующую систему, то с внешними данными дело обстоит сложнее. Как правило, внутренние базы данных не включают особо критичные убытки, поскольку случаются они довольно редко. Внешняя же информация о потерях из-за реализации операционных рисков нужна, чтобы повысить предикативные возможности используемых моделей. Особенно когда речь идет о расчете капитала под покрытие операционных рисков. Многие европейские банки одолевают недоступность внешней информации, создавая открытые базы данных по событиям операционных рисков или частные "консорциумы".

Однако, даже имея источник внешних данных, не избежать дополнительных сложностей, которые связаны с выбором надлежащего метода включения таких сведений, их масштабированием и так далее.

В российских банках управление операционными рисками - пока в зачаточной стадии. А поскольку регулятор не выдвигает конкретных требований в этой области, нет и особых стимулов приступать к недешевому процессу построения эффективной системы управления операционными рисками. В этой ситуации банки с иностранным капиталом, такие как КМБ-БАНК, входящий в состав крупной итальянской финансовой группы "Интеза Санпаоло", оказываются в особом положении. Во-первых, они обязаны соответствовать требованиям своих акционеров - зарубежных банков, в том числе и по управлению операционными рисками. А во-вторых, имеют возможность использовать уже опробованные в этих банках опыт и методы. В нашем банке сотрудничество специалистов с коллегами из "Интеза Санпаоло" носит регулярный характер, обмен опытом происходит также за счет тренингов и процедур benchmarking*(1), организованных банком-акционером.

Учитывая относительную молодость частного банковского сектора в России, а следовательно, и небогатую историю последствий реализации кредитных, рыночных, а тем более операционных рисков, проблема сбора данных особо актуальна. К тому же нередко банки ревниво охраняют накопленные ими базы данных, ни в коем случае не желая ими делиться, а тем более распространять эти сведения в масштабах всей отрасли. Поэтому получается, что сегодня - именно из-за нехватки внутренней и внешней информации - по сути, невозможно использовать усовершенствованные подходы к измерению операционных рисков.

По собственной практике мы знаем, что организовать процесс сбора данных даже внутри банка - задача не из легких, и выполнима она только в рамках внедрения комплексной системы управления рисками. Полагаем, коллегам пригодится наш опыт, и коротко расcкажем об основных этапах работы.

Прежде всего необходимо провести комплексный анализ расхождений существующей в банке системы управления операционными рисками по сравнению с лучшими международными практиками или требованиями иностранного банка-акционера.

Такой анализ можно предпринять собственными силами (но это требует определенного опыта) или привлечь внешних консультантов. Надо сказать, нам эта работа позволила получить четкое представление о том, насколько наша система управления операционными рисками соответствует требованиям акционера и мировой практике, и подготовить подробный, детально расписанный план действий.

Следующий этап - создание организационной структуры управления операционными рисками.

Стоит заметить, что здесь работа не заканчивается самим по себе созданием независимой структуры, в которую входят подразделения, ответственные за управление рыночными, кредитными и операционными рисками. На этом этапе должны быть внедрены необходимые элементы корпоративного управления. Иными словами, нужно четко определить роли и обязанности разных подразделений банка в процессе управления операционными рисками.

В КМБ-БАНКе эта структура организована следующим образом: коллегиальные органы несут ответственность за определение стратегии управления операционными рисками и "аппетита" на риск, а также принятие риска на банк в рамках их компетенции. Отдел по операционным рискам отвечает за комплексный анализ и контроль над операционными рисками по банку и создание системы контроля, охватывающей все структурные подразделения банка. Руководители структурных подразделений несут ответственность за контроль над теми операционными рисками, которые присущи выполняемым ими функциям. И, наконец, на уровне подразделений существует отдельная роль - менеджеры по управлению операционными рисками. Одна из возложенных на них задач - сбор данных по потерям вследствие реализации операционных рисков и предоставление регулярных отчетов в отдел по операционным рискам.

Важная стадия процесса - разработка стратегии и политики управления операционными рисками.

Стратегия обычно определяет миссию и цели управления операционными рисками и аппетит на риск в соответствии с бизнес-стратегией банка. Политика по операционным рискам создает необходимую структуру управления, определяя концепцию и принципы управления операционными рисками, распределяет полномочия и обязанности подразделений банка, выделяет основные элементы системы управления операционными рисками.

Совершенно ясно, что практическая работа по управлению операционными рисками требует соотнести бизнес-процессы с регулируемыми направлениями деятельности, как того требуют Базель II и рекомендации, изложенные в письме Банка России N 76-Т.

Для этого надлежит сопоставить рекомендованную классификацию направлений деятельности*(2) с существующими бизнес-процессами - это необходимо как для сбора данных по событиям операционного риска, так и для расчета прибыли в разрезе каждого направления.

И, наконец, этап, завершающий подготовительную работу, - формирование системы управления операционными рисками.

Суть его состоит в разработке конкретных методологий и процедур, а также в определении IТ-архитектуры, наиболее соответствующей конкретным условиям и задачам банка. Поскольку, как уже говорилось, процесс сбора данных по случаям реализации операционного риска должен носить комплексный характер, необходим четкий порядок их сбора и регистрации, определяющий состав аккумулируемой информации, распределение ответственности между разными подразделениями и так далее.

Опираясь на свою практику, подчеркнем, что состав собираемых данных стоит максимально детализировать. Основываясь на принятой в банке классификации событий операционных рисков, необходимо разработать инструкции для разных подразделений - причем с конкретными примерами в разрезе каждой категории события. Скажем, для российских банков противоправная деятельность (как внутрибанковская, так и третьих лиц) является событием операционных рисков, способных нанести значительный финансовый и репутационный ущерб. Чтобы обеспечить эффективный сбор информации по подобным событиям, недостаточно разработать дополнительные процедуры - должны быть ясно определены как возможные виды противоправной деятельности, так и механизмы выявления, анализа, расследования и принятия решений по дальнейшим действиям.

Что касается IТ-архитектуры, то банк может использовать и собственную разработку, и приобретенное готовое решение.

В заключение хотелось бы сказать, что перечисленные шаги не завершают работу по управлению операционными рисками, а лишь закладывают для нее необходимую базу. Успех дальнейших действий зависит от того, насколько они последовательны, соотнесены с основными бизнес-процессами и конкретны. В принципе, создание эффективной системы управления рисками - по силам любому банку. Хотелось бы, чтобы в будущем российским банкам стали бы так же доступны и внешние данные, без которых даже хорошо выстроенная система работоспособна лишь наполовину.

М. Валашек,

директор по управлению рисками КМБ-Банка

Н. Козырева,

начальник управления по операционным рискам

и противодействию мошенничеству КМБ-Банка

"БДМ. Банки и деловой мир", N 5, май 2007 г.

-------------------------------------------------------------------------

*(1) Под процедурой Benchmarking мы имеем в виду сравнительный анализ отдельных вопросов, методов и технологий управления операционными рисками, который происходит между банками, входящими в Группу Интеза Санпаоло.

*(2) Рекомендованная классификация включает восемь направлений деятельности: банковское обслуживание физических лиц; банковское обслуживание юридических лиц; осуществление платежей (кроме платежей и расчетов, осуществляемых в рамках обслуживания своих клиентов); агентские услуги; операции и сделки на рынке ценных бумаг и срочных финансовых инструментов; оказание банковских услуг корпоративным клиентам, органам государственной власти и местного самоуправления на рынке капиталов; управление активами; брокерская деятельность (источник: Приложение к Письму ЦБР N 76-Т). В зависимости от специфики предоставляемых банком услуг не все восемь направлений могут быть представлены.