Пожалуй, сегодня не найдётся другой темы, которая вызывала бы в банковском сообществе столько споров, сколько вызывают вопросы управления операционными рисками. При этом высказываются самые различные, даже, порой, полярные мнения.

Одни говорят, что развитие системы управления операционными рисками должно способствовать росту капитализации банка, и в этом есть определённое рациональное зерно.

Им возражают, что внедрение комплекса мероприятий управления операционными рисками — дело весьма и весьма дорогое и, с финансовой точки зрения, совершенно нецелесообразное. Спорить с этим трудно, так как никто не может ни подтвердить, ни опровергнуть это утверждение какими-то примерами из практики. Российских банков, обладающих системой операционного риск-менеджмента, в достаточной степени зрелой для того, чтобы судить об эффективности её функционирования, на сегодняшний день нет.

Наконец, все банки ожидают каких-то конкретных указаний от регулятора, в которых содержалось бы чёткое руководство к действию, но их до сих пор не поступает, несмотря на различные заявления Центрального банка. Также нелишним будет вспомнить «Соглашение о достаточности капитала», в обиходе чаще называемое как «Базель–2» — его неизменно упоминают, как только речь заходит об операционных рисках. При этом, однако, не придаётся совершенного никакого значения тому факту, что «Базель–2», будучи регулятивным документом, не содержит никаких практических рекомендаций в отношении подходов к управленческим процессам и процедурам. То, что говорится в «Соглашении…» относится, главным образом, к исчислению резервов капитала под возможные потери от реализации операционных рисков и правилам перехода на методы усовершенствованного исчисления (AMA, Advanced Measurement Approach).

Исчисление капитальных резервов как панацея?

На мой взгляд, исчисление капитальных резервов под операционные потери (то есть, под возможные потери, вызванные реализацией того или иного операционного риска), на сегодняшний день не является и не может являться сколько-нибудь важной задачей операционного риск-менеджмента. В первую очередь, потому, что формирование резервов должно соответствовать действующим требованиям Банка России, но такие требования пока не изданы, а применимость рекомендованных Базельским комитетом методов исчисления вызывает много вопросов. Столь часто муссируемый переход российской банковской системы на «Базель–2», ожидаемый (в отношении операционного риска) в ближайшее время, сегодня, тем не менее, так же далёк, как и три года назад.

Во-вторых, общим местом всех возможных подходов является то, что ни один из них не предлагает прямого ответа на вопросы, касающиеся непосредственного управления операционным риском: ежедневного и непрерывного мониторинга риска, выработки квалифицированных управленческих решений, претворения их в жизнь и контроля проводимых изменений. Ведь именно эта — ежедневная — деятельность и представляет собой основной интерес!

Наконец, факт формирования резерва ни в коем случае не означает, что банк с этого момента может прекратить всякую активность по управлению операционным риском.

Цикл Бойда в применении к операционным рискамКогда говорят об управлении риском любой природы, любят приводить в качестве примера парадигму, известную как OODA Loop («Цикл НОРД»), предложенную полковником ВВС США Джоном Бойдом: Observe — Orient — Decide — Act («Наблюдай — Ориентируйся — Решай — Действуй»). Нам необходима среда, позволяющая наблюдать и идентифицировать проявления операционного риска, оценить их текущее влияние в определённой выбранной системе координат и выработать стратегию управления каждым отдельным риском. Наконец, стратегия должна быть претворена в конкретные управленческие воздействия, после чего цикл замыкается, и мы снова переходим к идентификации рисков — уже в новых, изменившихся условиях.Слова «нам необходима среда» являются ключевыми. В виду изначальной неопределённости структуры операционного риска, а также в силу того, что операционный риск по своей природе является эндогенным, то есть, порождаемым факторами, являющимися внутренними по отношению к финансовой организации, для его измерения не походят методы, хорошо зарекомендовавшие себя для оценки других видов риска. Тем более сложен контур управления операционным риском, подразумевающий реорганизацию внутренних процессов и систем банка, направленную на снижение влияния риска и сдерживания его на уровне, соответствующем некоторому определенному «аппетиту к риску».Идентификация операционных потерьОсновным и важнейшим методом идентификации, измерения и анализа текущего влияния операционного риска является сбор данных о фактически понесённых финансовой организации операционных потерях.В качестве одного из источников таких данных можно рассматривать автоматизированную банковскую систему (АБС); в частности, интерес могут представлять проводки по счёту 702 в разрезе ряда символов отчёта о прибылях и убытках: 29401, 29402, 29416, 29419, 29420, 29423, 29425, 281 и других. (Нумерация приведена в соответствии с «Правилами ведения бухгалтерского учёта в кредитных организациях…», действующими на момент написания статьи.) Такой регламент может выглядеть довольно просто, однако реализация его может оказаться достаточно сложной с технологической точки зрения. Кроме того, практика показывает, что полнота и достоверность данных АБС в целях управления операционным риском составляет около 20%. Дополнительные сведения об операционных потерях могут быть почерпнуты из отчётов Службы внутреннего аудита, а самый интересный пласт для анализа появляется тогда, когда в контур регистраций операционных событий включаются все сотрудники банка.Для налаживания процесса сбора данных требуются значительные усилия, которые связаны как с проработкой методологических аспектов идентификации потерь (необходимо вручную «очищать» данные, извлекаемые из различных систем и баз данных, необходимо уметь классифицировать потери, необходимо проводить обучение персонала на местах), так и с внедрением информационной системы для обработки данных. Об информационной системе и технологическом аспекте рассматриваемой проблемы стоит поговорить особо. Дело в том, что, на первый взгляд, процесс сбора данных кажется достаточно тривиальным, чтобы затрачивать какие либо средства на разработку или внедрение информационной системы. Может показаться, что электронные таблицы Microsoft® Excel® есть необходимый и достаточный инструмент, а обмен данными может быть организован при помощи электронной почты. С одной стороны, это действительно так: для анализа данных трудно представить себе более гибкий инструмент, чем электронные таблицы. С другой стороны, отсутствие гарантий целостности и безопасности данных, невозможность наладить мало-мальски эффективный контроль и невозможность включения в контур управления риском линейных и функциональных менеджеров (чьей обязанностью, по сути, и должно являться ежедневное управление операционными рисками) и ошибки, возникающие при импорте данных из АБС в электронные таблицы вручную, привносящие дополнительный фактор операционного риска — всё это способно одномоментно перечеркнуть все усилия риск-менеджмента. Ни один банк не может позволить себе роскошь собирать просто «какие-то» данные «просто так». Необходима уверенность в их полноте, чистоте и актуальности — в противном случае, цикл Бойда изначально основывается на неверных предпосылках.

«Культура риска»

Наконец, ни для кого не является секретом, что заставить сотрудника сообщать об операционных потерях — задача, не имеющая решения. Сильное административное воздействие в этом случае только мешает делу, ибо приводит к тому, что регистрируются либо совсем мелкие потери, находящиеся ниже выбранного уровня отсечения, либо потери, размер которых близок к катастрофическому. «Середина» выборки, как раз и представляющая основной интерес для анализа, остаётся скрытой от наблюдателя.

Для обеспечения эффективного процесса сбора данных необходимо распространение в банке так называемой «культуры риска». Её основой является полное и безоговорочное понимание каждым сотрудником банка важности и необходимости мероприятий по ежедневному непрерывному контролю операционных рисков на вверенном ему участке деятельности. Не существует универсального рецепта для возникновения культуры риска. Не существует никаких объективных или субъективных факторов, позволяющих одномоментное возникновение культуры риска; это процесс, занимающий годы и годы. Однако можно перечислить ряд условий, необходимых для её существования:

• безусловная и полная поддержка проводимых мероприятий со стороны высшего руководства банка;

• должная подготовка и грамотность персонала, обуславливающая возможность выявить операционный риск;

• ответственность рядовых сотрудников подразделений за отслеживание уровня риска;

• информирование сотрудников об уровне риска и о принимаемых мерах для его снижения;

• непрерывный мониторинг уровня риска и результатов текущих управленческих мероприятий;

• наличие обратной связи централизованного аппарата риск-менеджмента с сотрудниками на местах.

Если не выполняется хотя бы одно из приведённых выше условий, культура риска будет разрушена — и восстановить её будет значительно сложнее.

В конечном итоге, необходимость существования информационной системы в полной мере определяется культурой риска.

Технологии на службе риск-менеджмента

Для различных банков могут быть применены различные подходы к регистрации операционных потерь. Так, для одних организаций может быть установлено, что первичную регистрацию осуществляют только уполномоченные сотрудники, непосредственно имеющие дело с информацией об операционных потерях: сотрудники главной бухгалтерии, юридического департамента, служб внутреннего аудита и экономической и информационной безопасности. В других организациях, с широким распространением «культуры риска» на местах, к регистрации могут быть допущены все сотрудники банка; этот подход видится мне наиболее разумным и прогрессивным.

Очевидно, что во втором случае технологическая среда должна позволять любому сотруднику банка отрапортовать о наблюдаемом операционном событии немедленно — в момент выявления события. Это означает необходимость тесной интеграции информационной системы с централизованными каталогами LDAP, отвечающими за аутентификацию пользователя в информационной инфраструктуре предприятия (например, Microsoft® Active Directory).

Немаловажно при этом также, что сотрудник, осуществляющий первичную регистрацию факта операционных потерь, может не обладать достаточной квалификацией для его классификации и быть не в состоянии со сколь угодно приемлемой точностью оценить размер этих потерь. Это означает, что информационная система должна предоставлять сотруднику предельно лаконичную и интуитивно понятную форму, дающую, тем не менее, возможность привести подробное описание наблюдаемой ситуации, чтобы на последующих этапах процесса определить суммы убытка, проведя соответствующее расследование.

Сформированная сотрудником запись должна быть в дальнейшем рассмотрена на различных уровнях. Централизованный аппарат риск-менеджмента при этом должен являться конечным звеном в цепочке рассмотрения, но не может быть единственным звеном, так как его возможности по текущему оперативному управлению на местах весьма и весьма ограничены. Следовательно, в процесс должны быть включены линейные и функциональные менеджеры, стоящие на различных ступенях иерархии, и чём серьёзнее рассматриваемое событие, тем больший интерес к нему должен быть проявлен, и тем на более высоком уровне ему должно быть уделено внимание. Всё это приводит к тому, что классические системы docflow/workflow, предполагающие наличие некоторой предопределённой модели процесса, малопригодны для организации информационного обмена.

При анализе операционных потерь финансовое бремя должно быть распределено по различным измерениям: организационной структуре, финансовой структуре, продуктовой линейке, территориальной организации, модели бизнес-процессов. Здесь, например, нельзя ограничиться только отнесением потерь на восемь рекомендованных Базельским комитетом бизнес-линий: во-первых, потому, что нет никакой уверенности о их соответствии модели конкретной финансовой организации, а во-вторых, в силу невозможности оперативного управления бизнес-линией как таковой, представляющей собой лишь совокупность ряда банковских продуктов.

Измерение потерь может быть выполнено в количественных (деньги) и качественных (баллы) показателях. Хорошей практикой является количественное измерение потерь в той валюте, в которой они фактически были понесены. Для анализа, однако, потери должны быть приведены к некоторой базовой валюте (как правило, к валюте, в которой ведётся управленческий учёт в банке). С этой целью информационная система должна получать сведения о курсах валют из источников данных автоматически. Важно также и то, что система должна позволять изменять базовую валюту в ходе эксплуатации (такие случаи совсем не редки). Балльная шкала для качественной оценки потерь также может время от времени пересматриваться.

Наконец, важнейший компонент информационной системы — аналитическое хранилище для многомерного анализа данных. Вне зависимости от того, намерена финансовая организация оценивать капитальные резервы методами усовершенствованного исчисления или нет, риск-менеджеру необходимы отчёты о распределении и концентрации потерь в различных разрезах, отражающих как отдельные участки бизнеса банка, так и различные показатели шкалы операционного риска. Без мощного аналитического аппарата деятельность по идентификации и оценке потерь не имеет ни малейшего смысла.

Вместо заключения

Рамки журнальной публикации позволяют мне лишь поверхностно коснуться вопроса автоматизации управления операционными рисками — так, за пределами рассмотрения остались вопросы выявления операционного риска при помощи фокус-групп, изучения экспертного мнения и измерения ключевых индикаторов риска, формирование оценочных карт риска и многое другое. Об этом я надеюсь рассказать в одном из следующих номеров журнала.

Напоследок хочется напомнить вот о чём: идеальных систем, как и идеальных банков, конечно же, не существует. Но стремление к совершенству есть залог успеха. Мы никогда не забываем об этом в своей работе.

Глеб Дьяконов. Старший партнёр.

Практика управления операционными рисками. Info Industries Group.

E-mail: gdiakonov@iig.ru

http://operrisk.ru

«Банки и Технологии», № 1, 2007