Примечания книги: Управление операционными рисками банка: практические рекомендации | Р. Бедрединов | LoveRead.ec

Примечания книги: Управление операционными рисками банка: практические рекомендации - читать онлайн, бесплатно. Автор: Р. Бедрединов

НАВИГАЦИЯ

Онлайн книга - Управление операционными рисками банка: практические рекомендации

Раскрываются цели и задачи банка в области управления операционными рисками, основные подходы, принципы и механизмы управления операционными рисками, а также линии защиты и соответствующие субъекты, управляющие рисками. Стандартное изложение информации об операционных рисках принесено здесь в жертву соображениям понятности, практичности и эффективности. Вся информация представлена в предельно сжатом и доступном виде, сопровождается наглядными схемами и приложениями. Может применяться и строго утилитарно – для формирования политики по операционным рискам. Рекомендации адресуются руководителям организаций, преследующим цель снижения убытков своих компаний, а также специалистам в области рисков, методологии, оптимизации деятельности. Они могут быть полезными и для учащихся, которые хотят узнать, что из себя представляет управление операционными рисками с практической точки зрения. Для всех заинтересованных читателей (и прежде всего незнакомых с операционными рисками) наибольший практический интерес вызовут стандарты минимизации рисков (раздел 6.7).

Перейти к чтению книги Читать книгу « Управление операционными рисками банка: практические рекомендации »

Примечания

По сравнению с кредитными и рыночными рисками.

Работа над рекомендациями велась 6 лет и была завершена в январе 2014 г. Все их положения полностью или по частям выносились автором на практическое экспертное обсуждение, согласование и одобрение в банковской среде (в рамках формирования нормативных документов, презентаций, отчетов, предложений рабочих групп и т. д.). Несмотря на это, изложенная информация представляет из себя лишь попытку отразить ключевые моменты управления операционным риском в сжатом и систематизированном виде, не является истиной в последней инстанции и предполагает необходимость дальнейшего обсуждения и улучшения. Также вполне очевидно, что разумность банка (с позиции операционных рисков) и как её считать по каждому из упомянутых здесь разделов можно предложить материал в объеме, превышающем настоящий труд, однако это не соответствовало бы его целям. В рекомендациях используется нумерация каждого пункта (как в нормативных документах) для обеспечения возможности использования перекрестных ссылок на какие-то пункты и разделы, и как следствие настоящие рекомендации могут применяться утилитарно – в качестве главного нормативного документа любой компании в части управления операционными рисками (при условии, если убрать некоторые разделы и заменить слова «банк» на «предприятие», «рекомендации» на «политика»).

Под детальным учетом понимается фиксация по инциденту всех видов данных, указанных в Приложении 4. Граница в 10 тыс. рублей может быть изменена решением комитета по рискам (см. п. 4.2.1).

В соответствии с п. 13–16 письма ЦБ N69-Т 16.05.12, а также документа «Principles for the Sound Management of Operational Risk», Basel Committee on Banking Supervision, June 2011.

Или заместитель председателя правления по рискам.

Сотрудники подразделения по операционным рискам.

Под департаментом здесь и далее подразумевается подразделение Центрального офиса / Головного банка, поименованное департаментом банка, а также иное подразделение банка, наделенное аналогичным статусом.

В соответствии с требованиями настоящих Рекомендаций.

Оформление субъектов, управляющих операционными рисками своего департамента (включая всех функционально курируемых им территориальных сотрудников) и их первичное обучение должно занимать от двух до четырех недель и производится риск-менеджерами последовательно (сначала один департамент, потом второй и т. д.). Для этих целей риск менеджеры оформляют план-график формализации субъектов первой линии защиты операционных рисков и утверждают этот план на комитете по рискам.

Имеются в виду сотрудники вне департамента, в т. ч. в регионах, функционально подчиненными этому департаменту.

Назначение риск-координаторов (помимо руководителей департаментов и лиц, замещающих их), производится из числа методологов или сотрудников, наиболее разбирающихся в процессах и регламентах своего департамента (при этом руководитель департамента контролирует их деятельность и несет солидарную с ними ответственность). Назначение производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого руководителя департамента и назначенных риск-координаторов фиксируется следующая обязанность: «Является риск-координатором и отвечает за организацию управления операционными рисками сотрудниками департамента (подразделения), и региональными сотрудниками, функционально подчиненными департаменту (подразделению) в соответствии с правилами, установленными нормативными документами банка».

Шкалу рисков см. в п. 3.3.2.

Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в его компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».

Например, экспертами по инцидентам являются сотрудники службы Helpdesk, службы противодействия мошенничеству, расследующие инциденты; юристы, занимающиеся судебными делами; сотрудники, обрабатывающие претензии клиентов банка.

Регистраторами является каждый сотрудник банка по умолчанию. При этом в должностных инструкциях каждого сотрудника банка фиксируется следующая обязанность: «Выполняет обязанности регистратора операционных рисков в соответствии с правилами, установленными нормативными документами банка; при обнаружении инцидентов и проблем, которые могут вызывать ущерб или операционный риск, обязан незамедлительно сообщать о них экспертам по инцидентам; обязан оказывать помощь риск-координаторам и риск-менеджерам в организации функционирования риск-процедур)». Не реже 1 раза в полгода, а также при приеме на работу новых сотрудников все сотрудники знакомятся с памяткой регистратора (в электронном или бумажном варианте).

Факт несовершенства процессов является операционным риском (см. определение операционного риска).

Или заместитель председателя правления банка по рискам.

Сотрудники подразделения по операционным рискам.

Эти права внутренними нормативными документами могут быть предоставлены другим органам управления банка.

Шкалу рисков см. в п. 3.3.2.

Понятие инцидента см. в п. 3.2.

Например, служба Helpdesk отвечает за организацию идентификации сбоев и их устранение, служба противодействия мошенничеству отвечает за организацию идентификации мошенничества и работу по фактам его выявления. Арбитром при разграничении компетенции по работе с теми или иными рисками или инцидентами между подразделениями являются риск-менеджеры, а при необходимости – комитет по рискам. Учет разделения ответственности за работу с рисками ведется риск-менеджерами в матрице рисков (согласно п. 6.3.7.).

Назначение экспертов по инцидентам (и в обязательном порядке лиц, замещающих их) производится из числа сотрудников, которые в текущем режиме уже занимаются работой с инцидентами или которые более всего подходят к такой работе в силу своих должностных или функциональных обязанностей (риск-координатор готовит списки всех функционально курируемых им экспертов по инцидентам, в т. ч. в регионах). Назначение статуса эксперта по инцидентам производится приказом Председателя правления банка (проект приказа готовится риск-менеджером). При этом в должностных инструкциях каждого эксперта по инцидентам фиксируется следующая обязанность: «Является экспертом по инцидентам и отвечает за организацию и осуществление эффективной идентификации и работы с инцидентами, находящимися в своей компетенции, а также за оказание помощи в организации функционирования риск-процедур в соответствии с правилами, установленными нормативными документами банка».

Вне зависимости от суммы убытка каждого инцидента, если количество таких инцидентов более 30 в месяц.

Шкалу рисков см. в п. 3.3.2.

Значимые инциденты – это инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей (см. в п. 3.2).

Вне зависимости от величины суммы убытка.

Имеются в виду департаменты, в которых субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).

Сумма может меняться комитетом по рискам.

Имеется в виду регистрация сообщений об инцидентах, их маршрутизация экспертам по инцидентам, регистрация отчетов об обработке инцидентов, напоминания об актуализации инцидентов, осуществляемые в технических системах банка.

При условии, что такая система внедрена и используется банком.

Формат этой страницы в обязательном порядке должен быть согласован с риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на эту страницу (с названием «Сообщить об инциденте») должна быть размещена и на главной внутренней странице банка (обычно мелким шрифтом в нижней части главной страницы сайта), и на рабочих столах каждого сотрудника банка. Не допускается помещение этой ссылки на второй уровень ссылок.

Указанные положения в числе прочих были предложены автором для отражения в инструкции ЦБ о правилах управления операционным риском (в рамках рабочей группы Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России).

Business continuity plan – план непрерывности деятельности (обеспечения бесперебойной деятельности).

Disaster Recovery Plan – план восстановления деятельности во время и после аварий. Применяется в основном для ИТ систем.

Или заместитель председателя правления по рискам.

Сотрудники подразделения по операционным рискам.

В приложениях не приводятся примеры сигнальной отчетности о ключевых индикаторах рисков; отчетов, формируемых в рамках раннего предупреждения; специальных адресных уведомлений руководства о крупных инцидентах и угрозах.

Ключевые показатели эффективности.

Если в этих подразделениях все субъекты управления операционными рисками формализованы согласно требованиям настоящих Рекомендаций (см. п. 4.1).

Если такая работа производится подразделениями в своих автоматизированных программах, то эти подразделения должны обеспечить выгрузку данных из этих систем в формате, доступном для загрузки в единую базу операционных рисков.

Если такая база внедрена в банке.

В качестве целевых показателей могут выбираться количественные, проектные или событийные критерии.

Эти критерии должны определяться директором по рискам или заместителем председателя правления банка по рискам, согласовываться с комитетом по рискам и при необходимости утверждаться подразделением по персоналу, Правлением банка или Советом директоров. В качестве критериев могут быть избраны такие показатели, связанные с операционными рисками, как: предельное количество нарушений лимитов за период, предельная сумма нарушения лимитов, предельная сумма хищений денежных средств в курируемых процессах, предельная доля претензий клиентов от общего количества клиентов и др. Учет размеров убытков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.

• сумма предотвращенного годового убытка (за счет идентификации несовершенных процедур, в т. ч. в рамках согласования проектов нормативных документов, бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом суммы рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам;

• количество устраненных критичных рисков (за счет идентификации несовершенных процедур в т. ч. бизнес-требований и технических заданий, ошибочных настроек систем и иных процедур, генерирующих этот убыток, и их исправления); при этом критичность рисков и факты их устранения должны быть подтверждены владельцами процесса и подразделением по операционным рискам.

Учет предотвращенных убытков и рисков осуществляется в рамках процедур разделов 6.1 и 6.2 настоящих Рекомендаций.

Или иное подразделение, соответствующее уровню отдела банка.

Бенчмаркинг (в данном контексте) – сравнение с аналогичными показателями в других банках.

Так называемый, грейдинг (англ. grading) – система грейдов, разновидность мотивации персонала, в основе которой лежит оценка относительной ценности должностей в компании.

Имеются в виду крупные группы сотрудников (не менее 30) со сходными обязанностями (например, кредитные эксперты, верификаторы и т. д.). Сотрудники одной группы не должны иметь возможность ознакамливаться с достижениями сотрудников другой группы. Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр страницы. Ссылка на эту страницу с названием «Достижения сотрудников (по производительности)» должна быть размещена и на внутреннем портале банка.

На этой странице приводятся все предложения сотрудников с обеспечением возможности ознакомиться с датами их подачи, резолюции и внедрения; с содержанием предложений и резолюций; с мерами поощрения за каждое предложение (начисленными бонусами). Сотрудники могут голосовать за или против тех или иных предложений и оставлять свои комментарии. Должна быть создана возможность сортировки этих предложений по инициатору, дате, вознаграждению, значимости, виду процесса (названию продукта). Эта страница должна обновляться не реже одного раза в день и хранить историю изменений за квартал. Все действующие сотрудники банка должны иметь доступ к этой странице (с учетом уровней конфиденциальности). Формат этой страницы в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже одного раза в год банк производит пересмотр этой страницы. Ссылка на страницу с названием «Достижения сотрудников по улучшению процессов» должна быть размещена на портале банка, а также на странице «ВНД банка» (внутренние нормативные документы банка).

Формат страницы «Внутренние нормативные документы банка» (ВНД банка) в обязательном порядке должен быть согласован риск-менеджерами и утвержден комитетом по рискам. Не реже чем раз в год банк производит пересмотр этой страницы. Ссылка на эту страницу (с названием «ВНД банка») должна быть размещена и на главной внутренней странице банка (обычно мелким шрифтом в нижней части главной страницы сайта), и на рабочих столах каждого сотрудника банка. Не допускается помещение этой ссылки на второй уровень ссылок.

Или иного документа, описывающего порядок взаимодействия двух и более сотрудников или подразделений.

Или ином документе, описывающем порядок взаимодействия двух и более сотрудников или подразделений.

Это сервисное подразделение обычно генерирует большое количество ИТ изменений, а также особых мнений относительно организационно-штатной структуры. Такая деятельность обуславливает дополнительную нагрузку на ИТ подразделения и подразделения по персоналу, вызывает негативное отношение со стороны курирующих их руководителей.

При наличии финансовых возможностей банка.

Фронт – это подразделения и сотрудники банка, занимающиеся продажей банковских продуктов (в первую очередь кредитных банковских продуктов). В их обязанности прежде всего входит поиск клиентов (контрагентов) и определение условий продаваемого банковского продукта (условий приемлемых и клиенту и банку).

Мидл – это подразделения и сотрудники банка, занимающиеся оформлением распорядительных и договорных документов для предоставления клиенту банковского продукта (в первую очередь кредитных банковских продуктов), а также отслеживанием и инициированием своевременных действий клиента и банка в соответствии с условиями банковского продукта и заключенного договора.

Бэк – это подразделения и сотрудники банка, занимающиеся исполнением договора от лица банка (зачисление / снятие средств, прием / передача ценных бумаг, активов во исполнение договора).

Акцепт – это проставление / непроставление в автоматизированной банковской системе учета расчетных операций (АБС) обязательного подтверждающего признака (одобрение операции), без которого операция технически не может быть исполнена. Акцепт проставляется по результатам проверки правильности операций, ранее зарегистрированных другими сотрудниками, и прав лиц, которые пытаются их осуществить. Акцепт проставляется в обособленном интерфейсе, не доступной сотруднику, зарегистрировавшему операцию. Доступ к этому интерфейсу имеют только сотрудники, специально уполномоченные на проведение акцепта (ими не могут быть сотрудники, регистрирующие операции). Акцепт ставится только в случае, если проверка проведена с положительным результатом.

Для организации рабочих мест таких сотрудников банк широко использует принципы, изложенные в исследовании Т. Демарко и Т. Листер «Человеческий фактор: успешные проекты и команды».

Система управления архитектурой бизнес-процессов (Business Process Management System).

Подробнее об акцепте значимых операций см. п. 6.7.3.1.5.

АБС – это автоматизированная банковская система (термин обычно применяется к системам учета расчетных операций).

Условия, в т. ч. размер сумм, могут меняться комитетом по рискам.

Внешняя АБС – это автоматизированная расчетная система для осуществления транзакций, прежде всего на счета, открытые в других организациях. Обычно к таким системам подключено множество банков на правах клиентов. Такими системами могут быть:

• Way4 (для расчетов с банковскими картами);

• Анелик, Контакт, Вестерн Юнион (для осуществления денежных переводов физических лиц);

• SWIFT, Telex, СКЗИ "Янтарь-МЦИ" (для межбанковских расчетов);

• QUIK, ММВБ (для расчетов по ценным бумагам).

Электронное досье – это карточка клиента в АБС, в которой хранятся идентификационные признаки клиента, используемые прежде всего для его верификации (представлен минимальный перечень):

• номер мобильного телефона, который используется банком для проверки правомочий лица посредством направления на него верифицирующих кодов (которые клиент в последующем должен указать в системе или сообщить операционисту, чтобы тот указал их в АБС) или для совершения на этот телефон верифицирующих звонков;

• образец фотографии клиента или видеозаписи с его изображением;

• образец подписи клиента;

• копия паспорта;

• образец отпечатка пальца клиента (в зашифрованном виде) если такая система идентификации имеется в банке.

В электронном досье также отображаются все счета клиента, сканы документов и прочая информация.

В соответствии с требованиями настоящих Рекомендаций.

Оформление субъектов, управляющих операционными рисками департамента (включая всех функционально курируемых им территориальных сотрудников) и их первичное обучение должно занимать от двух до четырех недель и производится риск-менеджерами последовательно (сначала один департамент, потом второй и т. д.). Для этих целей риск-менеджеры оформляют план-график формализации субъектов первой линии защиты операционных рисков и утверждают этот план на заседании комитета по рискам.

Подробнее о миссии подразделения по операционным рискам см. в п. п. 7.6.5.

Информация настоящего подпункта приведена в предельно упрощенном виде.

Представлена одна из нескольких форм интерпретации отчета VaR.

Юнит – это отдел или группа сотрудников, ответственные за выполнение обособленной группы задач.

В ряде банков эти функции относят к Бэк-офису, в других банках к блоку рисков. Даже если эти функции отнесены к блоку рисков, они должны быть отделены от подразделения по операционным рискам.

Директор по рискам именуется также CRO (Chief Risk Officer).

В соответствии с пп. 7.6.1.1–7.6.1.3.

Здесь не приводится аргумент, что часть рисков, упомянутых в знаменателе, впоследствии реализуется (приносит убыток) и возмещается именно из капитала («разъедает капитал» и возмещается собственником).

Экономические обоснования п. 7.7.1 приведены в предельно упрощенном виде. При этом такая мотивация подходит только для банков «показывающих» ощутимый доход и намеревающихся этот доход увеличивать (если доход банка равен нулю, то и операционный риск (15 % от дохода) будет равен нулю).

Распределение инцидента на те или иные сущности (в т. ч. подразделения, территории, типы инцидентов, виды процессов и т. д.). В рамках настоящей работы под аллокацией понимается присвоение инциденту различных признаков.

Указанные положения в числе прочих были предложены автором для отражения в инструкциях ЦБ о правилах управления операционным риском (в рамках рабочей группы Ассоциации российских банков по внедрению стандартов управления операционным риском Базельского комитета в банках России).

В сравнении с реактивным поведением. Подробнее см.: Кови С. Семь навыков высокоэффективных людей.

Служба проверки достоверности данных, представляемых потенциальными заёмщиками, и предотвращения кредитных мошенничеств.

Служба оценки вероятности погашения кредита потенциальным заёмщиком.

Служба взыскания просроченной задолженности.

Бланк учета рекомендаций по минимизации обнаруженных рисков для удобства работы может вестись в формате MS Excel для фильтрации по столбцам, сокрытия / отображения служебных полей, автоматического суммирования убытков, вероятностей и т. д.

В схеме должны отражаться следующие элементы: 1. Этапы процесса. 2. Исполнители этапов процесса. 3. Системы, используемые для исполнения этапов. 4. Критически значимые входные/выходные документы. 5. Ветвления процесса, отображающие критически значимые варианты процесса.

В регламенте / порядке содержание пунктов отображается в той же последовательности, что и блоки на схеме. Начало и конец, входы и выходы схемы всегда представляют собой элемент «Событие».

Необходимо предварительно установить MS Visio. Для облегчения составления схем: 1) копируйте представленную выше схему на лист MS Visio (дважды кликнуть по схеме представленной выше, выделить все элементы схемы, копировать выделенное (Ctrl+Ins), вставить копированное на лист MS Visio (Shift+Ins)); 2) изменяйте схему в MS Visio (создавайте новые объекты (копируя уже имеющиеся), удаляйте объекты, изменяйте связи (перетаскивая объекты), изменяйте содержание (изменяя текст объектов и их размер)); 3) после того как схема составлена, скопируйте ее в Word (аналогично порядку п. 2) и оформите приложением к нормативному документу.

Вариант 1 используется для схем без ветвления процесса, вариант 2 – для схем с ветвлением процессов. Схема верхнего уровня состоит только из блоков «Действие». Подразумевается, что каждый элемент этой схемы включает в себя одну схему нижнего уровня. Схема верхнего уровня составляется на одном листе. Разделы регламента именуются идентично блокам этой схемы.

Схема верхнего уровня должна в обязательном порядке включать все возможные этапы жизненного цикла описываемого продукта или процесса (даже если они не рассмотрены в регламенте и в схемах нижнего уровня). Если процедура в регламенте не рассматривается (например, приведена в другом нормативном документе), раздел в регламенте все равно присутствует и его содержанием будет ссылка на другой документ или описание причины, по которой содержание раздела не приводится.

Вернуться к просмотру книги

ВХОД

Регистрация|Забыли пароль?

ПОИСК ПО САЙТУ

КАЛЕНДАРЬ

читать книги онлайн бесплатно © 2020 LoveRead.ec - электронная библиотека в которой можно читать онлайн книги бесплатно . Все материалы взяты из открытых источников и представлены исключительно в ознакомительных целях. Все права на книгу Управление операционными рисками банка: практические рекомендации принадлежат автору Р. Бедрединов и издательствам.