Финист-Софт: Как автоматизировать управление операционными рисками банка и не нарушить требования ЦБ?

В 2020 году Банк России опубликовал Положения № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и дал до начала 2022 года банкам время на то, чтобы привести свои системы (практики) управления операционным риском в соответствие с требованиями регулятора. И все же времени оказалось мало и не все банки успевают к сроку. В чем же суть новых требований? Что необходимо сделать для их выполнения? И какова роль автоматизации в этом процессе?

Когда говорят об операционных рисках, то подразумевают четыре основные категории:

1. Угроза непрерывности деятельности кредитной организации (в первую очередь в части функционирования и безопасности информационных систем);

2. Угрозы, которые несут в себе неправильно выстроенные бизнес-процессы

3. Угрозы, возникающие от злонамеренных действий или непреднамеренных ошибок сотрудников

4. Наконец угрозы, которые несут в себе внешние факторы и изменение внешней среды, на которые нет влияния (например, такие, как пандемия).

И управление этими рисками – это не просто исполнение определенных нормативов, а сложная предметная область, где объем работы намного больше, чем кажется на первый взгляд, так как операционные риски присущи всем банковским процессам.

В Положении 716-П Банк России ориентирует кредитные организации на выявление факторов подобных рисков и оперативное на них реагирование в целях снижения возможных потерь. Оно делает такое управление обязательным и унифицированным.

Для четкого следования дорожной карте регулятора необходимо провести большую работу:

  • создать новые инструменты управления операционными рисками, то есть проанализировать все процессы и методологии, которыми до сего времени пользовался банк и модифицировать их, либо создать новые
  • для поддержки этих новых инструментов управления внедрить автоматизированные системы управления операционными рисками (АСУОР)

И если эта работа будет проделана в соответствии с требованиями Банка России, то банки смогут получить существенное снижение давления на капитал от уровня ОР, перейдя от фиксированного коэффициента расчета внутренних потерь на расчетный.

С чего же начать эту работу?

С разработки и внедрения процедур управления:

  • вовлечение всех подразделений в процесс управления ОР;
  • определение специализированных подразделений для выявления инцидентов и событий;
  • разработка процедур для координации подразделений;
  • введение контрольных показателей этих рисков;
  • разработка критериев оценки эффективности практик управления операционным риском;
  • разработка и внедрение системы мотивации, побуждающей работать над снижением риска.

Подразумевается, что в кредитной организации должна быть выстроена структура управления, которая включает в себя:

  • подразделение операционных рисков, которое отвечает за процедуры управления операционным риском в целом: формирует правила и методологию, проводит обучение, ведет аналитическую работу по выявлению уязвимостей и потенциальных угроз, ведет работу по вовлечению в принятие решений всех профильных служб и уровней управления банком, выявляет в организации службы со смежными функциями по видам операционного риска и привлекает их к работе по к классификации событий операционного риска и их регистрации. При этом подразделение операционного риска выстраивает работу по верификации: верно ли событие отнесено к операционному риску,
  • специализированные службы для управления каждым из видов операционного риска (службы ИТ, информационной безопасности, юристы и др.)

До недавнего времени при расчете операционного риска банки не уделяли должного внимания рискам информационной безопасности (ИБ) и информационных систем (ИС). Поскольку серьезных санкций регулятора за реализацию рисков ИБ и ИС не было, их игнорирование в некоторых банках стало обычной практикой. Положение 716-П эту практику ломает. Риски ИБ и ИС как подмножество операционного риска теперь напрямую будут влиять на величину достаточности капитала.

Ключевая роль и ответственность за риски ИБ и ИС переносятся с подразделений ИБ и ИТ на руководство кредитных организаций, а нормы обеспечения ИБ становятся обязательными.

А если в кредитной организации отсутствуют подразделения, которые в силу исполняемых ими функций имеют компетенции, необходимые для управления соответствующим видом операционного риска, то функции по управлению данным видом риска возлагаются на подразделение операционного риска.

В чем основная сложность для банков при выполнении этих требований? Трудоемкость процесса и отсутствие достаточного количества квалифицированных кадров.

С учетом серьезности требований Положения № 716-П управление рисками без автоматизированной системы превращается в весьма сложную задачу.

Эта задача может быть решена с помощью АСУОР компании Финист-Софт.

В части выполнения требований 716-П Банка России компания Финист готова предложить банкам не только реально работающий инструмент с максимальным количеством автоматизированных процессов, который позволит значительно снизить объем финансовых и репутационных потерь в долгосрочной перспективе, но и методологическую поддержку для приведения своих внутренних нормативных документов в соответствие регуляторным требованиям.

В систему внутренних нормативных документов по управлению операционным риском, предлагаемым компанией Финист-Софт, включены:

  • Регламент взаимодействия (в вопросах выявления и идентификации риска; сбора данных, определения причин и обстоятельств инцидента, величины потерь; порядка регистрации инцидентов; порядка (каналов) и сроков предоставления информации; порядка определения потерь и возмещений; процедуры мониторинга уровня риска; выработки решений, мониторинга их исполнения).
  • Порядок координации подразделений, участвующих в процессах управления операционным риском.
  • Процедуры управления отдельными видами риска.
  • Процедуры идентификации и актуализации источников данных.
  • Методика регистрации событий операционного риска (порядок ведения реестра).
  • Алгоритмизированные правила: что является событием, как его учитывать (классификация, порядок определения потерь и возмещений; порядок обновления данных).
  • Порядок и методика проведения самооценки, формы анкет (по всем направлениям деятельности, процессам, видам операционного риска). Методика определения уровней существенности. Методика оценки эффективности контроля и уровня возможных потерь.
  • Порядок и методика проведения сценарного анализа. Определение нереализованных рисков. Критерии проведения сценарного анализа. Источники информации о нереализованном риске. Методика определения вероятности реализации риска.
  • Система ключевых индикаторов риска. Определение методик их расчета, автоматизация сбора данных и расчета. Валидация значений, пороговые значения, порядок реагирования на превышение пороговых значений.
  • Опросники для сотрудников и руководства.
  • Система контрольных показателей в разрезе подразделений, направлений деятельности, процессов, в том числе в части эффективности выявления, полноты и своевременности информирования.
  • Методика определения потерь. Порядок выявления расходов, сверки событий с бухгалтерским учетом; потенциальных потерь; недополученных расходов. Регламентация порядка привлечения экспертов.
  • Методика определения стоимости возмещений. Регламентация порядка привлечения экспертов.
  • Методика и порядок проведения оценки ожидаемых потерь.
  • Порядок и методика проведения профессиональной экспертизы.
  • Методика определения лимитов потерь и регламентация процедуры их контроля. Регламентация источников данных, автоматизации.
  • Описание механизмов принятия решений. Методы оценки выбранного способа реагирования, полномочия, регламенты работы профильных комитетов.
  • Методика определения остаточного риска.

Автоматизированная система управления операционным риском Finist-OperRisk создана с соблюдением всех условий Положения 716-П и позволяет банку построить свою АСУОР с учетом интегрированного подхода, заложенного принципами Базеля III.

Что представляет из себя АСУОР Finist-soft?

Это инструмент, реализованный на собственной BPM-платформе (Buisness Process Model), которая разработана специалистами компании и позволяет самим пользователям модифицировать и расширять функционал продукта без написания программного кода, используя язык моделирования бизнес-процессов.

Продукт (коробочное решение) реализован на базе крупного регионального банка, уже прошел внедрение более, чем в 30 банках РФ, и включает в себя:

Базу событий операционного риска, в функционал которой входит

  • Ведение базы событий операционного риска
  • Отражение потерь и возмещений в соответствии с классификацией 716-П
  • Отражение источников риска, связей между событиями операционного риска
  • Базовый процесс обработки событий операционного риска
  • Базовый процесс анкетирования для анализа стрессоустойчивости
  • Возможность ведения базы обращений в качестве источников информации об инцидентах

Реестр операционных рисков

  • Формирование и ведение реестра операционных рисков
  • Отражение лимитов потерь в разрезе видов потерь, предусмотренных 716-П
  • Отражение ключевых индикаторов риска (далее – КИР)
  • Ведение мероприятий для снижения негативного воздействия от событий ОР
  • Ведение перечня контрольных процедур
  • Возможность ведения базы обращений в качестве источников

Методологическую базу

  • Ведение описаний бизнес-процессов и связей между ними
  • Отражение специальных подразделений по видам операционного риска
  • Отражение центров компетенций, владельцев и функций подразделений бизнес-процесса
  • Ведение классификаторов в соответствии с 716-П
  • Инструменты для внутренней аналитики и отчетности (система визуализации и тепловая карта риска)
  • Отчетные формы, предоставляемые в Банк России

В процессе внедрения в банке АСУОР Finist-Soft обеспечивается:

Миграция накопленных данных

  • Импорт базы событий операционного риска из имеющихся баз данных банка
  • Импорт реестра операционных рисков (если он есть в банке)
  • Импорт данных в ключевые справочники системы

Настройка методологии Банка

  • Настройка расчета параметров риска
  • Изменение сценариев обработки событий операционного риска
  • Настройка процесса идентификации операционного риска
  • Настройка процесса анкетирования и анализа стрессоустойчивости
  • Автоматизация расчета Контрольных Индикаторов Риска (КИР)

Интеграция с источниками данных

  • Интеграция с учетными системами Банка (АБС) для отражения прямых потерь
  • Интеграция с учетными системами Банка для анализа проводок
  • Интеграция с учетными системами Банка для расчета КИР
  • Интеграция c системами приема и обработки внутренних и внешних обращений
  • Интеграция с SIEM/IDM системами для создания событий операционного риска
  • Взаимодействие с «Финсерт»

В процессе внедрения специалисты компании настраивают систему, чтобы она могла соответствовать главным требованиям Банка России по точному и объемному сбору событий операционного риска, а именно:

  • точность и достоверность данных;
  • полнота данных;
  • актуальность данных;
  • согласованность данных;
  • доступность данных;
  • контролируемость данных;
  • восстанавливаемость данных;

Какие задачи удастся решить банку при внедрении автоматизированного решения Финист-ОперРиск?

Удовлетворить все требования Банка России к АСУОР в банке и банковской группе, которые предусматривают автоматизацию процесса сбора информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска, а также количественную и качественную оценку уровня операционного риска.

Адаптировать или разработать все внутренние нормативные документы под новые требования Банка России.

Система Финист-ОперРиск может быть настроена под задачи любого по размеру банка: от крупнейших КО, входящих в первую сотню российской банковской системы, до замыкающих ренкинг, так система гибкая и функционал может быть как «свернут» (но не удален!), для выполнения требований банка с базовой лицензией и расширен для крупной организации. Такими же гибкими являются цены на лицензии и внедрение АСУОР.

Не секрет, что профессиональное управление рисками с использованием современных подходов к их оценке осуществляется в основном в крупных банках. В большинстве небольших банков отчеты по рискам, как правило, агрегируются в таблицах Excel или в самописных ИС.

Службы управления рисками в банках перегружены текущей работой, от которой их не освобождают при внедрении новых процедур и практик. С учетом этого зачастую работа либо ведется формально, либо откладывается до «первого предписания» надзорного органа. Такая позиция тоже несет в себе операционный риск, но уже регуляторный.

Компания «Финист-софт» с начала 2020 г. предлагает своим клиентам уже полностью готовое программное решение по АСУОР, которое включает комплект нормативной документации по Положению 716-П, может быть адаптировано под бизнес-процессы любого банка и размеры его бизнеса и полностью соответствует регуляторным требованиям по управлению операционным риском в кредитной организации.

Обсудить и заказать можно через форму ниже

Финист-Софт: Как автоматизировать управление операционными рисками банка и не нарушить требования ЦБ?
Создание недорогих сайтов
Добавить комментарий