В марте 2019 года Банк России выпустил обновленный проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Положение выпускается в целях подготовки банков к внедрению нового стандартизированного подхода Базеля III¹ к оценке операционного риска (далее ОР) для расчета нормативов достаточности капитала. Основные изменения Базеля III, возникшие как ответ на последний экономический кризис, касаются внедрения в расчет компоненты убытков² от ОР и требований к сбору информации по убыткам, что обеспечивает повышение чувствительности расчета к риску. Банк России в проекте Положения не вносит изменений в расчет Н1, но готовит банки как к сбору информации по убыткам в рамках нового стандартизированного подхода, так и к созданию информационной инфраструктуры для «продвинутых» подходов к оценке рисков. Срок приведения системы управления операционным риском (далее СУОР) банков в соответствие с Положением для крупных банков — конец 2019 года.

В целом, СУОР можно разбить на три крупных связанных сегмента: «Организационная структура», «Процедуры управления» и «IT-инфраструктура».

Сегмент «Организационная структура» наименее подвержен изменениям, поскольку в большинстве крупных банков общий функционал подразделений уже сложился. Основная нагрузка связана с документированием функционала подразделений во всем периметре управления ОР — от сбора информации до формирования отчетности. Нагрузка возрастет и для «специализированных» подразделений банка, поскольку Положение содержит детально прописанные требования по рискам информационной безопасности (ИБ) и информационных систем (ИС), которые необходимо привести в соответствие.

Сегмент «Процедуры управления» наиболее трудозатратен, так как именно здесь содержатся ключевые изменения, которые также должны найти свое отражение в документации, поскольку Положение устанавливает полную процедуру документирования: все элементы СУОР, включая требования к IT-инфраструктуре и отдельных ее элементам, должны быть описаны.

Процедура идентификации ОР формирует стратегию выявления риска — на каких областях фокусируется внимание банка. Это обеспечивается самооценкой, установкой ключевых индикаторов риска (КИР) и анализом внутренней информации, поступающей от подразделений. Эффективность процедуры может быть обеспечена BI-инструментарием для аналитики КИР в различных разрезах по всем процессам банка.

Требования к идентификации рисков ИБ/ИС влекут за собой изменения в справочниках и базе событий риска ИБ. Дополнительные затраты связаны с анализом системы управления качеством данных, синхронизацией с базой данных ОР в целях ведения единой классификации и встраиванием новых типов рисков в общую СУОР.

Процедура регистрации риска обеспечивает сбор информации о событиях ОР и сопутствующих потерях. Положение предполагает наличие большого количества классификаторов и как следствие поддержку сложной, единой системы классификации, обновляющейся с учетом изменений бизнеса банка.

Оценка возмещений схожа по сложности с построением потока данных, обеспечивающего расчет LGD во внутренних моделях кредитного риска

Для эффективного применения данной процедуры важно уже на этапе идентификации разделить ручной и автоматизированный режимы обработки событий ОР. Специализированные IT-комплексы посредством настроенных справочников и алгоритмов фиксации событий ОР помогают автоматизировать сбор событий ОР и тем самым разгрузить персонал, задействованный в их обработке.

В процедуре определения потерь и возмещений поступление данных из систем учета в базу событий является основным каналом в IT-инфраструктуре СУОР. От качества настройки данного канала зависит качество всех данных и расчетных показателей ОР.

Банкам предстоит разработка методологии и настройка систем по классификации событий, правилам определения потерь и оценки стоимости возмещений. Оценка возмещений схожа по сложности с построением потока данных, обеспечивающего расчет LGD во внутренних моделях кредитного риска. Определение потерь потребует настроенных алгоритмов отбора определенных затрат/возмещений. Также необходимо учесть и отразить влияние ОР на другие типы рисков банка, что без специализированной IT-системы управления рисками превращается в очень трудоемкую задачу.

Процедура количественной и качественной оценки уровня риска предполагает разнесение ОР на множество бизнес-процессов, и для выполнения этой задачи понадобится настроенный BI-инструментарий, обеспечивающий аналитику ОР в различных разрезах.

В количественную оценку входят расчет капитала для целей ВПОДК и определение ожидаемых потерь (EL). Для расчета в целях ВПОДК требуется проведение сценарного анализа, который базируется в том числе на внешних данных по реализации ОР в индустрии. IT-инфраструктура должна поддерживать загрузку и анализ такой информации в системах банка.

Для выполнения требований по расчету EL и учету ОР в ценообразовании банкам потребуются инструменты для обработки статистики, и вместе с требованиями анализа данных по EL в разрезе направлений бизнеса потребуется аналитический инструментарий.

Процедуры реагирования и мониторинга предполагают наличие большого перечня мер по митигации риска. Автоматизированные процедуры позволят принимать своевременные решения по управлению ОР и вовремя сигнализировать о сигналах опасного сближения с критическим уровнем.

Требования к идентификации рисков ИБ/ИС влекут за собой изменения в справочниках и базе событий риска ИБ

Оперативный расчет КИР, контрольных показателей и показателей объема ОР может быть автоматизирован в специальных IT-решениях, что снизит трудозатраты на подготовку данных и аналитику.

Составление отчетности предполагается в различных разрезах — от процессов до типов рисков, включая агрегацию по банку и банковской группе. Отчетность характеризуется высокой степенью детализации и наполняется большим количеством показателей. Отдельные элементы отчетности потребуются на ежедневном уровне. Подобные требования делают автоматизацию построения отчетности критически необходимой.

Сегмент «IT-инфраструктура» складывается из следующих ключевых компонентов автоматизированной информационной системы (далее — АИС):

• система классификации;

• база событий;

• система автоматизированного сбора событий;

• расчетный модуль;

• отчетный модуль.

База событий является центральным компонентом в IT-архитектуре СУОР, требования к которой существенно конкретизировались. Качество ее построения будет глобально определять качество всей СУОР. База данных должна быть связана со всеми бизнес-процессами банка, по сути, являясь процессным описанием банка с точки зрения понесенных потерь.

Система автоматизированного сбора событий обеспечивает взаимодействие АИС с другими системами банка, обеспечивает сбор и классификацию событий ОР для дальнейшего расчета.

Расчетный модуль используется для оценки EL, расчета различных показателей и расчета сценариев для ВПОДК.

Функциональность АИС должна обеспечивать работу всей СУОР, осуществляя информационный обмен с другими ИС банка. Таким образом, регулятор ожидает что IT-инфраструктура должна поддерживать СУОР на качественно новом уровне, являясь полноценной интегрированной структурой, использование которой поможет банку управлять ОР во всем объеме задач — от регистрации событий до формирования отчетности.

В заключение можно отметить, что на рынке присутствуют различные решения по СУОР, с той или иной степенью соответствующие ожиданиям регулятора. Их внедрение потребует определенных методологических и стоимостных затрат, но такие инвестиции окупятся посредством построения корректного ценообразования и качественного управления операционным риском.

1. Basel III: Finalising post-crisis reforms (12/2017). Базель III: Завершение посткризисных реформ.
2. Internal Loss Multiplier.

Реклама