Финист-Софт: Как автоматизировать управление операционными рисками банка и не нарушить требования ЦБ?

В 2020 году Банк России опубликовал Положения № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и дал до начала 2022 года банкам время на то, чтобы привести свои системы (практики) управления операционным риском в соответствие с требованиями регулятора. И все же времени оказалось мало и не все банки успевают к сроку. В чем же суть новых требований? Что необходимо сделать для их выполнения? И какова роль автоматизации в этом процессе?

Когда говорят об операционных рисках, то подразумевают четыре основные категории:

1. Угроза непрерывности деятельности кредитной организации (в первую очередь в части функционирования и безопасности информационных систем);

2. Угрозы, которые несут в себе неправильно выстроенные бизнес-процессы

3. Угрозы, возникающие от злонамеренных действий или непреднамеренных ошибок сотрудников

4. Наконец угрозы, которые несут в себе внешние факторы и изменение внешней среды, на которые нет влияния (например, такие, как пандемия).

И управление этими рисками — это не просто исполнение определенных нормативов, а сложная предметная область, где объем работы намного больше, чем кажется на первый взгляд, так как операционные риски присущи всем банковским процессам.

В Положении 716-П Банк России ориентирует кредитные организации на выявление факторов подобных рисков и оперативное на них реагирование в целях снижения возможных потерь. Оно делает такое управление обязательным и унифицированным.

Для четкого следования дорожной карте регулятора необходимо провести большую работу:

• создать новые инструменты управления операционными рисками, то есть проанализировать все процессы и методологии, которыми до сего времени пользовался банк и модифицировать их, либо создать новые
• для поддержки этих новых инструментов управления внедрить автоматизированные системы управления операционными рисками (АСУОР)

И если эта работа будет проделана в соответствии с требованиями Банка России, то банки смогут получить существенное снижение давления на капитал от уровня ОР, перейдя от фиксированного коэффициента расчета внутренних потерь на расчетный.

С чего же начать эту работу?

С разработки и внедрения процедур управления:

• вовлечение всех подразделений в процесс управления ОР;
• определение специализированных подразделений для выявления инцидентов и событий;
• разработка процедур для координации подразделений;
• введение контрольных показателей этих рисков;
• разработка критериев оценки эффективности практик управления операционным риском;
• разработка и внедрение системы мотивации, побуждающей работать над снижением риска.

Подразумевается, что в кредитной организации должна быть выстроена структура управления, которая включает в себя:

• подразделение операционных рисков, которое отвечает за процедуры управления операционным риском в целом: формирует правила и методологию, проводит обучение, ведет аналитическую работу по выявлению уязвимостей и потенциальных угроз, ведет работу по вовлечению в принятие решений всех профильных служб и уровней управления банком, выявляет в организации службы со смежными функциями по видам операционного риска и привлекает их к работе по к классификации событий операционного риска и их регистрации. При этом подразделение операционного риска выстраивает работу по верификации: верно ли событие отнесено к операционному риску,
• специализированные службы для управления каждым из видов операционного риска (службы ИТ, информационной безопасности, юристы и др.)

До недавнего времени при расчете операционного риска банки не уделяли должного внимания рискам информационной безопасности (ИБ) и информационных систем (ИС). Поскольку серьезных санкций регулятора за реализацию рисков ИБ и ИС не было, их игнорирование в некоторых банках стало обычной практикой. Положение 716-П эту практику ломает. Риски ИБ и ИС как подмножество операционного риска теперь напрямую будут влиять на величину достаточности капитала.

Ключевая роль и ответственность за риски ИБ и ИС переносятся с подразделений ИБ и ИТ на руководство кредитных организаций, а нормы обеспечения ИБ становятся обязательными.

А если в кредитной организации отсутствуют подразделения, которые в силу исполняемых ими функций имеют компетенции, необходимые для управления соответствующим видом операционного риска, то функции по управлению данным видом риска возлагаются на подразделение операционного риска.

В чем основная сложность для банков при выполнении этих требований? Трудоемкость процесса и отсутствие достаточного количества квалифицированных кадров.

С учетом серьезности требований Положения № 716-П управление рисками без автоматизированной системы превращается в весьма сложную задачу.

Эта задача может быть решена с помощью АСУОР компании Финист-Софт.

В части выполнения требований 716-П Банка России компания Финист готова предложить банкам не только реально работающий инструмент с максимальным количеством автоматизированных процессов, который позволит значительно снизить объем финансовых и репутационных потерь в долгосрочной перспективе, но и методологическую поддержку для приведения своих внутренних нормативных документов в соответствие регуляторным требованиям.

В систему внутренних нормативных документов по управлению операционным риском, предлагаемым компанией Финист-Софт, включены:

• Регламент взаимодействия (в вопросах выявления и идентификации риска; сбора данных, определения причин и обстоятельств инцидента, величины потерь; порядка регистрации инцидентов; порядка (каналов) и сроков предоставления информации; порядка определения потерь и возмещений; процедуры мониторинга уровня риска; выработки решений, мониторинга их исполнения).
• Порядок координации подразделений, участвующих в процессах управления операционным риском.
• Процедуры управления отдельными видами риска.
• Процедуры идентификации и актуализации источников данных.
• Методика регистрации событий операционного риска (порядок ведения реестра).
• Алгоритмизированные правила: что является событием, как его учитывать (классификация, порядок определения потерь и возмещений; порядок обновления данных).
• Порядок и методика проведения самооценки, формы анкет (по всем направлениям деятельности, процессам, видам операционного риска). Методика определения уровней существенности. Методика оценки эффективности контроля и уровня возможных потерь.
• Порядок и методика проведения сценарного анализа. Определение нереализованных рисков. Критерии проведения сценарного анализа. Источники информации о нереализованном риске. Методика определения вероятности реализации риска.
• Система ключевых индикаторов риска. Определение методик их расчета, автоматизация сбора данных и расчета. Валидация значений, пороговые значения, порядок реагирования на превышение пороговых значений.
• Опросники для сотрудников и руководства.
• Система контрольных показателей в разрезе подразделений, направлений деятельности, процессов, в том числе в части эффективности выявления, полноты и своевременности информирования.
• Методика определения потерь. Порядок выявления расходов, сверки событий с бухгалтерским учетом; потенциальных потерь; недополученных расходов. Регламентация порядка привлечения экспертов.
• Методика определения стоимости возмещений. Регламентация порядка привлечения экспертов.
• Методика и порядок проведения оценки ожидаемых потерь.
• Порядок и методика проведения профессиональной экспертизы.
• Методика определения лимитов потерь и регламентация процедуры их контроля. Регламентация источников данных, автоматизации.
• Описание механизмов принятия решений. Методы оценки выбранного способа реагирования, полномочия, регламенты работы профильных комитетов.
• Методика определения остаточного риска.

Автоматизированная система управления операционным риском Finist-OperRisk создана с соблюдением всех условий Положения 716-П и позволяет банку построить свою АСУОР с учетом интегрированного подхода, заложенного принципами Базеля III.

Что представляет из себя АСУОР Finist-soft?

Это инструмент, реализованный на собственной BPM-платформе (Buisness Process Model), которая разработана специалистами компании и позволяет самим пользователям модифицировать и расширять функционал продукта без написания программного кода, используя язык моделирования бизнес-процессов.

Продукт (коробочное решение) реализован на базе крупного регионального банка, уже прошел внедрение более, чем в 30 банках РФ, и включает в себя:

Базу событий операционного риска, в функционал которой входит

• Ведение базы событий операционного риска
• Отражение потерь и возмещений в соответствии с классификацией 716-П
• Отражение источников риска, связей между событиями операционного риска
• Базовый процесс обработки событий операционного риска
• Базовый процесс анкетирования для анализа стрессоустойчивости
• Возможность ведения базы обращений в качестве источников информации об инцидентах

Реестр операционных рисков

• Формирование и ведение реестра операционных рисков
• Отражение лимитов потерь в разрезе видов потерь, предусмотренных 716-П
• Отражение ключевых индикаторов риска (далее — КИР)
• Ведение мероприятий для снижения негативного воздействия от событий ОР
• Ведение перечня контрольных процедур
• Возможность ведения базы обращений в качестве источников

Методологическую базу

• Ведение описаний бизнес-процессов и связей между ними
• Отражение специальных подразделений по видам операционного риска
• Отражение центров компетенций, владельцев и функций подразделений бизнес-процесса
• Ведение классификаторов в соответствии с 716-П
• Инструменты для внутренней аналитики и отчетности (система визуализации и тепловая карта риска)
• Отчетные формы, предоставляемые в Банк России

В процессе внедрения в банке АСУОР Finist-Soft обеспечивается:

Миграция накопленных данных

• Импорт базы событий операционного риска из имеющихся баз данных банка
• Импорт реестра операционных рисков (если он есть в банке)
• Импорт данных в ключевые справочники системы

Настройка методологии Банка

• Настройка расчета параметров риска
• Изменение сценариев обработки событий операционного риска
• Настройка процесса идентификации операционного риска
• Настройка процесса анкетирования и анализа стрессоустойчивости
• Автоматизация расчета Контрольных Индикаторов Риска (КИР)

Интеграция с источниками данных

• Интеграция с учетными системами Банка (АБС) для отражения прямых потерь
• Интеграция с учетными системами Банка для анализа проводок
• Интеграция с учетными системами Банка для расчета КИР
• Интеграция c системами приема и обработки внутренних и внешних обращений
• Интеграция с SIEM/IDM системами для создания событий операционного риска
• Взаимодействие с «Финсерт»

В процессе внедрения специалисты компании настраивают систему, чтобы она могла соответствовать главным требованиям Банка России по точному и объемному сбору событий операционного риска, а именно:

• точность и достоверность данных;
• полнота данных;
• актуальность данных;
• согласованность данных;
• доступность данных;
• контролируемость данных;
• восстанавливаемость данных;

Какие задачи удастся решить банку при внедрении автоматизированного решения Финист-ОперРиск?

Удовлетворить все требования Банка России к АСУОР в банке и банковской группе, которые предусматривают автоматизацию процесса сбора информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска, а также количественную и качественную оценку уровня операционного риска.

Адаптировать или разработать все внутренние нормативные документы под новые требования Банка России.

Система Финист-ОперРиск может быть настроена под задачи любого по размеру банка: от крупнейших КО, входящих в первую сотню российской банковской системы, до замыкающих ренкинг, так система гибкая и функционал может быть как «свернут» (но не удален!), для выполнения требований банка с базовой лицензией и расширен для крупной организации. Такими же гибкими являются цены на лицензии и внедрение АСУОР.

Не секрет, что профессиональное управление рисками с использованием современных подходов к их оценке осуществляется в основном в крупных банках. В большинстве небольших банков отчеты по рискам, как правило, агрегируются в таблицах Excel или в самописных ИС.

Службы управления рисками в банках перегружены текущей работой, от которой их не освобождают при внедрении новых процедур и практик. С учетом этого зачастую работа либо ведется формально, либо откладывается до «первого предписания» надзорного органа. Такая позиция тоже несет в себе операционный риск, но уже регуляторный.

Компания «Финист-софт» с начала 2020 г. предлагает своим клиентам уже полностью готовое программное решение по АСУОР, которое включает комплект нормативной документации по Положению 716-П, может быть адаптировано под бизнес-процессы любого банка и размеры его бизнеса и полностью соответствует регуляторным требованиям по управлению операционным риском в кредитной организации.

Полный текст статьи читайте на CNews