Прошло три года с момента определения Банком России требований к системе управления операционным риском, а тема по-прежнему недооценена. Зачем? Что? Кто и как Должен делать? Предлагаем еще раз проговорить об этих вопросах.

Ответ на вопрос «Зачем?»

Короткий ответ: для обеспечения операционной устойчивости, снижения потерь, улучшения клиентского сервиса и «выигрыша в капитале», который можно направить на развитие бизнеса.

Обеспечение устойчивости, или непрерывности деятельности. «Бенефициар» здесь — прежде всего сам банк в лице его акционеров и руководства.

Как понять, где кроются угрозы и в чем уязвимость? Как выстроить защиту? Можно ли предвидеть и подготовиться заранее? На решение именно этих задач и нацелена система управления операционным риском. И здесь мы хотим подчеркнуть: под системой следует понимать практику управления — процессы, процедуры, инструментарий, участников, комплекс корректирующих мероприятий. На удивление, широко распространено понимание, что требования 716-П закрываются внедрением автоматизированной системы. Это понимание неверно, об этом подробно — далее.

Итак, мы никогда до конца не знаем, какие риски несем или с чем столкнемся в будущем, но действовать должны так, как если бы знали. Уязвимость может быть в том, как выстроены процессы в организации, или в действии сотрудника. Угроза также может исходить извне, например стихийное бедствие, пандемия. Выявление уязвимостей и устранение их причин через совершенствование процессов и систем контроля, а также выработка стратегий минимизации возможных потерь и снижения риска до приемлемого уровня — это и есть управление операционным риском.

Важно отметить также существование угроз, реализацию которых нельзя было предвидеть. На такие случаи в компании должны быть разработаны планы действия в целях минимизации последствий и вывода организации из критической ситуации — так называемые планы обеспечения непрерывности деятельности.

Обеспечение операционной устойчивости сегодня приобретает новое звучание. Во-первых, лежащие в ее основе процессы (управление операционным риском и разработка планов обеспечения непрерывности деятельности) не должны более восприниматься как факультативные, и формальный подход к их реализации должен остаться в прошлом. Во-вторых, должен быть изменен сам подход: уже недостаточно обеспечивать поддержание или быстрое восстановление деятельности организации до приемлемого уровня в случае наступления чрезвычайного условия.

Обеспечение операционной устойчивости начинается существенно раньше — на этапе идентификации возможных угроз.

Это позволяет не только проработать возможные сценарии и выработать алгоритмы реагирования, но и заблаговременно устранить многие уязвимости, выстроить механизмы защиты.

Что касается капитала. Банк России меняет порядок расчета капитала под операционный риск. Нововведения направлены на формирование капитала соразмерно уровню риска и следуют принципу «достаточно, но не избыточно»: теперь расчет позволяет учитывать данные о фактически понесенных потерях и их возмещении. Это значит, что повышение эффективности систем управления рисками и внутреннего контроля (а через это — снижение присущего риска) дают теперь экономию капитала. а значит, высвобожденный таким образом капитал может быть направлен на бизнес-цели.

Это актуально для всех кредитных организаций, но особое внимание нововведениям стоит уделить кредитным организациям с универсальной лицензией с величиной базового актива до 70 млрд рублей. С изменением порядка расчета капитала под операционный риск меняется множитель расчета, и для данной группы кредитных организаций он уменьшается — с 15 до 12%.

Нововведения являются обязательными для кредитных организаций с универсальной лицензией. Банки с базовой лицензией и небанковские кредитные организации могут выбрать: продолжить применять текущие правила или перейти на расчет по-новому. Задел для экономии капитала есть у всех.

Экономия становится возможной при соответствующем ведении базы данных. Под этим понимается ее достоверность (полнота и своевременность отражения событий, охват всех направлений деятельности и рисков, данные не менее чем за пять лет), корректность оценки потерь, соблюдение порядка учета возмещений. А несоблюдение требований к сбору данных о событиях операционного риска не только лишает кредитную организацию возможности экономии капитала, но и, напротив, играет на его повышение.

Почему сбору и накоплению данных о событиях операционного риска уделяется такое внимание? Это своего рода квинтэссенция всех процессов управления операционным риском. Полнота данных, своевременность их отражения говорят об уровне идентификации риска, об уровне риск-культуры; о том, насколько полно идентификация риска охватывает деятельность организации, и о том, насколько полное представление имеет кредитная организация о присущих ее операционной деятельности уязвимостях и угрозах.

Итак, подытоживаем. Что дает нам внедрение 716-П: защиту, снижение потерь и управление капиталом.

Ответ на вопрос: «Что делать?»

Прежде всего необходимо наладить процессы идентификации риска. Это ключевое условие.

Речь идет, во-первых, о сборе данных об уже случившихся событиях, их анализе и определении причин (факторов риска). И здесь основной вызов — это поиск источников данных. Ошибочно думать, что вся необходимая информация лежит на счетах бухгалтерского учета и для идентификации риска достаточно выстроить «интеграцию проводок в базу данных». Это заблуждение задает изначально неверное движение в идентификации риска. Рассмотрим подробно.

На счетах бухгалтерского учета будет отражена лишь информация о финансовых потерях. На счетах бухгалтерского учета, исходя из их сути, НЕ отражается информация во всех требуемых 716-П разрезах (и не должна). Так, на счетах бухгалтерского учета не хранится информация об инцидентах и не приводится их описание (что, где, когда и по каким причинам произошло), не отражается оценка качественных потерь, не приводится связь с процессами, нет обобщения событий по конкретным рискам, нет связи рисков с планом мероприятий и т.д.

Формирование такого массива данных — и есть одна из задач риск-менеджмента. В терминах 716-П это создание базы данных. Для ее формирования в организации должны быть выстроены соответствующие процессы сбора: определены участники, их роли, взаимодействие; источники данных, с чем работаем на входе, что получаем на выходе. База данных — это результат сбора данных о рисках.

Здесь стоит отметить еще одно бытующее заблуждение: большинство банков в настоящее время сосредоточили свои усилия исключительно на внедрении автоматизированных систем, полагая, что внедрение автоматизированной системы, отвечающей в структуре классификаторов требованиям 716-П, тем самым — по умолчанию — обеспечивает построение системы управления риском в значении «практика управления».

Это, конечно, не так. Автоматизированная система — это инструмент, сопровождающий процессы управления. Если не выстроены процессы, не будет и наполнения. Процессы — фундамент, и их выстраивание должно стать основным вектором работ.

Вернемся к счетам бухгалтерского учета: они — один из источников информации в части финансовых потерь. Для использования этой информации прежде всего необходимо определить, финансовые потери от какого рода событий на каких счетах отражены. Таким образом, движение должно идти не от счетов бухгалтерского учета к реестру рисков, а наоборот, — от риска к счетам.

Важно помнить, что ориентация риск-менеджера только на счета бухгалтерского учета существенно сужает его исследовательское поле: на счетах бухгалтерского учета — по объективным причинам — может быть получена информация далеко не обо всех событиях, являющихся операционным риском. Например, там нет информации об IT-инцидентах (их сути, критичности, продолжительности, влиянии, причинах и пр.).

Идентификация риска не ограничивается сбором информации о произошедшем. Можно выявить уязвимость через «примерку» имеющихся данных об уже реализованном риске к схожим процессам и провести оценку контролей — в данном случае работа направлена на потенциальный риск. Инструментом для этого служат самооценка по операционным рискам, сценарный анализ и анализ внешней базы данных (данных об операционном риске иных компаний соответствующей отрасли).

Отметим, что управление операционным риском и обеспечение операционной устойчивости — это сферы, в которые должна быть вовлечена вся организация: все направления деятельности и уровни менеджмента. Краеугольным камнем здесь выступает глубокое понимание процессов и технологий организации и их взаимосвязи, а выявление всех существующих и возможных угроз возможно лишь в тесном контакте с владельцами процессов. Только вовлечение в идентификацию риска организации в целом даст полную картину. И здесь мы вновь возвращаемся к процессной составляющей, подчеркивая ее первостепенность.

Подводим итог: как внедрить 716-П: выстраивая процессы 1 — сбора данных, 2 — оперативного реагирования, 3 — мониторинга результатов управления.

Что искать и где смотреть?

Анализу должны быть подвергнуты абсолютно все направления деятельности. В фокусе внимания должны быть следующие вопросы:

1. Как организованы бизнес-процессы? Наличие в них необходимых эффективных и адекватных контролей.
2. Насколько организация защищена от злоупотреблений и ошибок сотрудников?
3. Как обеспечено функционирование информационных систем и как выстроена работа по их восстановлению в случае сбоев?
4. Каким внешним угрозам может быть подвержена деятельность организации и каковы механизмы защиты?

Следующим шагом в построении системы становится оперативное принятие решений. Это особенно критично в чрезвычайных условиях, где крайне необходимы скорость и прозрачность информации, лежащей в основе решений. Соответственно важно, как выстроена аналитика. Ее структура должна давать моментальный ответ, позволяющий буквально одним взглядом выхватывать суть: что произошло, причины произошедшего (с акцентом на процессные!), что делать и зачем нам нужно это знать.

На какие вопросы должна отвечать аналитика в отношении практик управления операционным риском? Прежде всего — формировать понимание уязвимости компании, всех факторов риска. Кроме этого аналитика должна позволять вырабатывать и принимать меры, направленные на снижение рисков. Оперативно, адекватно и своевременно. Это подразумевает формирование единого информационного пространства.

Когда это должно произойти?

Элементы системы управления операционным риском, предусмотренные 716-П, должны были быть реализованы кредитными организациями к 1 января 2022 года.

Расчет капитала под операционный риск, согласно 744-П, становится обязательным для банков с универсальной лицензией с 1 января 2023 года. Но им предоставляется право перейти на новый порядок расчета досрочно, уведомив об этом Банк России. Две кредитные организации данным правом уже воспользовались.

Кредитные организации, размер активов которых составляет 500 млрд рублей и более, с 1 января 2027 года должны перейти на применение расчетного коэффициента. До этого времени они имеют возможность использовать в расчете фиксированный коэффициент и привести систему управления операционным риском в соответствие с требованиями регулятора (716-П и 744-П).

Кто может это реализовать?

Вопрос кадров здесь стоит остро. Сотрудник, обладающий необходимыми компетенциями и навыками, на сегодняшний день — ресурс редкий.

Речь идет не только о понимании методологии и практическом, реальном опыте реализации предусмотренных 716-П элементов управления. Таких специалистов на сегодняшний день единицы, они известны поименно и востребованы. Но помимо крайне ограниченного сложившегося круга экспертов вопрос в том, какими качествами должен обладать специалист в области управления операционным риском и где такого человека найти.

Специалист в области управления рисками должен обладать гибкостью мышления при твердости характера. Функции риск-менеджмента не сводятся к контролю и ограничениям. Это партнерская функция. Риск-менеджмент должен участвовать в выработке решений — это значит совместно их искать.

Таким образом, главными качествами такого специалиста должны быть, с одной стороны, способность выдерживать напряжение, с другой — умение слышать и создавать новое. Такое сочетание найти непросто, и интерес такого специалиста удержать непросто.

Более того, этот специалист должен быть проводником риск-культуры в организации, уметь выстраивать влияние, выстраивать доверие, выстраивать диалог. Здесь важна открытость сторон. В таких вопросах подход «ты должен» не работает, более того — вредит. Культуру открытости насадить нельзя.

Если говорить об особенностях риск-менеджера именно в области операционных рисков, то необходимо также глубокое понимание процессов организации, причем не только в какой-то конкретной области, но и их взаимосвязь. Надо понимать, как элементы разных процессов и технологий оказывают влияние друг на друга, видеть полную картину. Специалист с пониманием истории развития процессов, их взаимного влияния, истории и логики принятых когда-то решений, без ложной скромности, бесценен. А широкий кругозор такого специалиста — это то, что даст возможность создавать новое и находить решения. И здесь помимо редкости такого ресурса встают вопросы его стоимости (это достаточно дорогая компетенция) и привлечения. Как его заинтересовать?

Один из вариантов выхода из ситуации: на выстраивание процессов привлекать соответствующую компетенцию на аутсорсинг, т.е. привлекать ресурс тех, кто уже имеет опыт практической реализации 716-П и 744-П и это подтверждено регулятором, брать под конкретные проекты на определенный срок.