Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
В статье схематично обозначены основные сегменты необходимой системы управления операционным риском. Акцент сделан как на основных изменениях, которые будет необходимо внести для соответствия новым требованиям, так и насопровождающих эти изменения трудозатратах
В марте 2019 года Банк России выпустил обновленный проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Положение выпускается в целях подготовки банков к внедрению нового стандартизированного подхода Базеля III1 к оценке операционного риска (далее ОР) для расчета нормативов достаточности капитала. Основные изменения Базеля III, возникшие как ответ на последний экономический кризис, касаются внедрения в расчет компоненты убытков2 от ОР и требований к сбору информации по убыткам, что обеспечивает повышение чувствительности расчета к риску. Банк России в проекте Положения не вносит изменений в расчет Н1, но готовит банки как к сбору информации по убыткам в рамках нового стандартизированного подхода, так и к созданию информационной инфраструктуры для «продвинутых» подходов к оценке рисков. Срок приведения системы управления операционным риском (далее СУОР) банков в соответствие с Положением для крупных банков — конец 2019 года.
В целом, СУОР можно разбить на три крупных связанных сегмента: «Организационная структура», «Процедуры управления» и «IT-инфраструктура».
Сегмент «Организационная структура» наименее подвержен изменениям, поскольку в большинстве крупных банков общий функционал подразделений уже сложился. Основная нагрузка связана с документированием функционала подразделений во всем периметре управления ОР — от сбора информации до формирования отчетности. Нагрузка возрастет и для «специализированных» подразделений банка, поскольку Положение содержит детально прописанные требования по рискам информационной безопасности (ИБ) и информационных систем (ИС), которые необходимо привести в соответствие.
Сегмент «Процедуры управления» наиболее трудозатратен, так как именно здесь содержатся ключевые изменения, которые также должны найти свое отражение в документации, поскольку Положение устанавливает полную процедуру документирования: все элементы СУОР, включая требования к IT-инфраструктуре и отдельных ее элементам, должны быть описаны.
Процедура идентификации ОР формирует стратегию выявления риска — на каких областях фокусируется внимание банка. Это обеспечивается самооценкой, установкой ключевых индикаторов риска (КИР) и анализом внутренней информации, поступающей от подразделений. Эффективность процедуры может быть обеспечена BI-инструментарием для аналитики КИР в различных разрезах по всем процессам банка.
Требования к идентификации рисков ИБ/ИС влекут за собой изменения в справочниках и базе событий риска ИБ. Дополнительные затраты связаны с анализом системы управления качеством данных, синхронизацией с базой данных ОР в целях ведения единой классификации и встраиванием новых типов рисков в общую СУОР.
Процедура регистрации риска обеспечивает сбор информации о событиях ОР и сопутствующих потерях. Положение предполагает наличие большого количества классификаторов и как следствие поддержку сложной, единой системы классификации, обновляющейся с учетом изменений бизнеса банка.
Оценка возмещений схожа по сложности с построением потока данных, обеспечивающего расчет LGD во внутренних моделях кредитного риска
Для эффективного применения данной процедуры важно уже на этапе идентификации разделить ручной и автоматизированный режимы обработки событий ОР. Специализированные IT-комплексы посредством настроенных справочников и алгоритмов фиксации событий ОР помогают автоматизировать сбор событий ОР и тем самым разгрузить персонал, задействованный в их обработке.
В процедуре определения потерь и возмещений поступление данных из систем учета в базу событий является основным каналом в IT-инфраструктуре СУОР. От качества настройки данного канала зависит качество всех данных и расчетных показателей ОР.
Банкам предстоит разработка методологии и настройка систем по классификации событий, правилам определения потерь и оценки стоимости возмещений. Оценка возмещений схожа по сложности с построением потока данных, обеспечивающего расчет LGD во внутренних моделях кредитного риска. Определение потерь потребует настроенных алгоритмов отбора определенных затрат/возмещений. Также необходимо учесть и отразить влияние ОР на другие типы рисков банка, что без специализированной IT-системы управления рисками превращается в очень трудоемкую задачу.
Процедура количественной и качественной оценки уровня риска предполагает разнесение ОР на множество бизнес-процессов, и для выполнения этой задачи понадобится настроенный BI-инструментарий, обеспечивающий аналитику ОР в различных разрезах.
В количественную оценку входят расчет капитала для целей ВПОДК и определение ожидаемых потерь (EL). Для расчета в целях ВПОДК требуется проведение сценарного анализа, который базируется в том числе на внешних данных по реализации ОР в индустрии. IT-инфраструктура должна поддерживать загрузку и анализ такой информации в системах банка.
Для выполнения требований по расчету EL и учету ОР в ценообразовании банкам потребуются инструменты для обработки статистики, и вместе с требованиями анализа данных по EL в разрезе направлений бизнеса потребуется аналитический инструментарий.
Процедуры реагирования и мониторинга предполагают наличие большого перечня мер по митигации риска. Автоматизированные процедуры позволят принимать своевременные решения по управлению ОР и вовремя сигнализировать о сигналах опасного сближения с критическим уровнем.
Требования к идентификации рисков ИБ/ИС влекут за собой изменения в справочниках и базе событий риска ИБ
Оперативный расчет КИР, контрольных показателей и показателей объема ОР может быть автоматизирован в специальных IT-решениях, что снизит трудозатраты на подготовку данных и аналитику.
Составление отчетности предполагается в различных разрезах — от процессов до типов рисков, включая агрегацию по банку и банковской группе. Отчетность характеризуется высокой степенью детализации и наполняется большим количеством показателей. Отдельные элементы отчетности потребуются на ежедневном уровне. Подобные требования делают автоматизацию построения отчетности критически необходимой.
Сегмент «IT-инфраструктура» складывается из следующих ключевых компонентов автоматизированной информационной системы (далее — АИС):
• система классификации;
• база событий;
• система автоматизированного сбора событий;
• расчетный модуль;
• отчетный модуль.
База событий является центральным компонентом в IT-архитектуре СУОР, требования к которой существенно конкретизировались. Качество ее построения будет глобально определять качество всей СУОР. База данных должна быть связана со всеми бизнес-процессами банка, по сути, являясь процессным описанием банка с точки зрения понесенных потерь.
Система автоматизированного сбора событий обеспечивает взаимодействие АИС с другими системами банка, обеспечивает сбор и классификацию событий ОР для дальнейшего расчета.
Расчетный модуль используется для оценки EL, расчета различных показателей и расчета сценариев для ВПОДК.
Функциональность АИС должна обеспечивать работу всей СУОР, осуществляя информационный обмен с другими ИС банка. Таким образом, регулятор ожидает что IT-инфраструктура должна поддерживать СУОР на качественно новом уровне, являясь полноценной интегрированной структурой, использование которой поможет банку управлять ОР во всем объеме задач — от регистрации событий до формирования отчетности.
В заключение можно отметить, что на рынке присутствуют различные решения по СУОР, с той или иной степенью соответствующие ожиданиям регулятора. Их внедрение потребует определенных методологических и стоимостных затрат, но такие инвестиции окупятся посредством построения корректного ценообразования и качественного управления операционным риском.
1. Basel III: Finalising post-crisis reforms (12/2017). Базель III: Завершение посткризисных реформ.
2. Internal Loss Multiplier.
Реклама
Уход западных IT-вендоров стал не только вызовом, но и стимулом: импортозамещение ускоряется и охватывает все больше сегментов рынка. В авангарде — финансовый сектор: в банках уже появляются надежные программно-аппаратные комплексы на базе российских решений