Совсем скоро вступят в силу новые требования Банка России. Все банковское сообщество ждет их с нетерпением и изрядной долей опасения, каждый по-своему готовится к ним. Эти требования несут в себе новый подход к оценке операционного риска для целей расчета норматива достаточности капитала. Изменения существенно повлияют на капитал организации, поэтому важно выстроить эффективную систему управления операционным риском (ОР), которая удовлетворит требованиям регулятора.

Варвара Солодилова, консультант по операционным рискам, SAS Россия / СНГ (слева) и Надежда Ермохина, старший консультант SAS по риск-менеджменту, SAS Россия / СНГ (справа). Фото: Вадим Ференец/«Б.О»

Проект Положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» разработан Банком России и устанавливает требования к политике кредитной организации в сфере информационных технологий и к управлению ОР, риском ИБ (включая киберриск) и риском информационных систем, а также определяет подходы к дополнительным требованиям к капиталу в рамках внутренних процедур оценки достаточности капитала, необходимого на покрытие потерь от реализации ОР, в том числе киберриска. Поэтому перед банками стоит задача в минимальные сроки внедрить все инструменты комплексной системы управления операционным риском. Чтобы соответствовать этим комплексным требованиям регулятора, кредитным организациям необходимо решать все более масштабные задачи в сферах совершенствования корпоративного управления, повышения эффективности процедур обработки данных и осуществления непрерывного мониторинга.

ОР — это риск возникновения убытков в результате несовершенства или наличия ошибочных процессов в кредитной организации, действий персонала или иных лиц, сбоев и недостатков информационных, технологических или иных систем, а также влияния внешних событий.

Александр Чуричев, руководитель практики управления рисками компании SAS Россия/СНГ. Фото: SAS

«По сути, после прохождения нескольких непростых обсуждений в Комитете по рискам в АБР совместно с Банком России и банковским сообществом Положение № 3624-У стало первым нормативным актом, выпускаемым в целях внедрения нового стандартизированного подхода “Базеля III” к оценке операционного риска для расчета нормативов достаточности капитала», — отметил Александр Чуричев, руководитель практики управления рисками компании SAS Россия/СНГ.

Чего хотели банкиры от регулятора в ходе дискуссий? Во-первых, четкого обозначения спектра кредитных организаций, на которые распространится Положение № 3624-У. Во-вторых, выделения конкретных сроков на внедрение систем управления операционными рисками. В-третьих, более детализованной информация по классификаторам, порогам регистраций, датам событий.

18 апреля 2019 года состоялось успешное повторное обсуждение проекта Положения сообществом, но точная дата его вступления в силу пока неизвестна. Но в SAS полагают, что это произойдет до начала 2020 года. Что известно твердо, так это то, что будут единые требования к качеству работы систем управления ОР. Будет и оценка возможных потерь для целей бюджетирования и экономического капитала плюс нововведения при расчете регуляторного капитала.

Надежда Ермохина, старший консультант SAS по риск-менеджменту, SAS Россия/СНГ. Фото: Вадим Ференец/«Б.О»

Кроме того, Банк России планирует внести изменения в Определение ОР (3624-У гл. 4, прил. 1) и добавить форму отчетности (4927-У). Будут изменены отдельные нормативные акты в части требований к расчету капитала и индивидуальных значений показателей потерь для расчета норматива достаточности. По словам Надежды Ермохиной, старшего консультанта по риск-менеджменту компании SAS Россия/СНГ, скорее всего, будут выпущены дополнительные методологические инструкции по сбору данных об инцидентах и по другим инструментам: оценке рисков, сценарному анализу, ключевым индикаторам риска и планам действий.

Что касается градации по размеру капитала, то выделены понятия «крупный банк» (универсальная лицензия, активы ≥ 500 млрд рублей), «некрупный банк» (универсальная лицензия, активы < 500 млрд рублей) и «банк с базовой лицензией & НКО». На первую категорию будут распространяться все требования Положения, причем они должны быть внедрены до конца 2019 года. Вторая категория банкиров подпадает под большинство требований Положения, а сроки внедрения — до конца 2020 года. Третья группа будет соблюдать минимальные требования Положения, сроки внедрения — до конца 2021 года.

Какие сложности и вызовы несет с собой внедрение нового Положения? В ходе обсуждения в АРБ банкирам был задан вопрос: «Соответствует ли БД требованиям к базе данных внутренних потерь?». Оказалось, что у 63% — «скорее соответствует», нежели «полностью соответствует». Второй вопрос сколько времени потребуется кредитной организации для устранения несоответствия требованиям? Ровно половине банкиров для этого необходимо до года, 46% считают, что потребуется от года до трех лет, а 4% запрашивает более четырех лет. Необходимо уточнить, что положительный ответ на вопрос «Соответствует ли требованиям только база данных?» вовсе не говорит о том, что в кредитной организации уже в полной мере выстроена система эффективного риск-менеджмента. Недостаточно внедрения всего лишь одного инструмента по сбору данных, естественно, необходимо внедрять и другие инструменты по оценке рисков, сценарному анализу, ключевым индикаторам риска и т.д.

Таким образом, по наблюдениям экспертов SAS, можно выделить пять сложностей при внедрении нового подхода: не вся организация вовлечена в процесс управления ОР, функции контрольных подразделений и бизнес-подразделений не закреплены, принцип трех линий защиты не соблюдается, отсутствует единая система сбора, а также велик «страх» регистрации инцидентов.

Предложения SAS:

• комплексное решение — единая точка получения информации и единое окно управления риск-инструментами;

• полный цикл управления операционным риском с отображением связей между различными инструментами;

• вовлечение всей организации в процесс управления операционным риском;

• интерактивная отчетность для проактивного мониторинга и принятия решений в любой момент времени.

В качестве комплексного продукта в ходе бизнес-завтрака было презентовано решение для управления операционными рисками, позволяющее снизить расходы банка за счет более эффективного их обнаружения. SAS Governance and Compliance Manager (GCM) Local Russia позволяет регистрировать события ОР, классифицировать их по всем требуемым ЦБ категориям, устанавливать связь с последствиями, рисками, процессами и другими событиями. Благодаря SAS GCM можно реализовать проактивное и систематизированное управление подверженностью риску, в том числе составить план действий по отслеживанию и устранению проблем вплоть до их окончательного решения.

В части реализации требований Банка России, предусматривающих наличие перечня банковских процессов, отнесенных к направлениям деятельности, с указанием их уровня критичности, функций подразделений-владельцев, подразделений-участников процессов, в решении реализованы модули «Процессы», а также двухуровневая классификация источников риска.

GCM создано для бизнес-руководителей и операционных менеджеров, которые используют бизнес-аналитику для принятия решений, мониторинга действий, влияющих на бухгалтерский баланс, и обеспечения прозрачности для заинтересованных сторон. К целевой аудитории относятся руководители по управлению рисками, финансовые руководители, бизнес-руководители различных уровней (вплоть до членов правления банка), внешние аудиторы и представители регуляторов.