Управление операционными рисками банка: практические рекомендации

Бедрединов Р.

Остальные замечания снимаются ссылкой на то, что эти нормативные документы составлены во исполнение требований регулятора и обещаниями, что внедрение будет производиться в предельно щадящем режиме путем наименьших издержек.

В тех случаях, когда отдельные замечания не снимаются, формируется таблица разногласий, которая подается Председателю правления банка или на коллегиальный орган для принятия окончательного решения. При этом многое зависит от оформления этой таблицы.

Пример оптимального оформления такой таблицы представлен ниже:

Столбец № 3:

«Замечания». Оставшиеся неурегулированными замечания обычно – это либо очень краткие необоснованные оценки (например: «Это все формальность»), либо очень большие и пространные. И это делается намеренно: высшее руководство обычно не вчитывается в большие объемы текстов, поэтому такие замечания целесообразно разделять на строки, а также представлять их краткий смысл.

Столбец № 4: «Краткий смысл замечаний (в интерпретации рисков)» – самый важный в таблице столбец. Обычно за многословными и витиеватыми замечаниями кроется конкретный смысл «Это не наша функция, мы не хотим брать ответственность за риски своего подразделения» и т. п.

После составления такой таблицы проект нормативного документа с приложением указанной таблицы выносится на рассмотрение высшего руководства или коллегиального органа банка, где принимается окончательное решение.

Целесообразно отметить, что при взаимодействии с подразделениями, в т. ч. при согласовании документов, надо проявлять максимальную дружелюбность, встречаться, разъяснять, показывать презентации. Важно всегда озвучивать миссию: «Наша задача говорить подразделениям об их рисках, убытках и помогать закрывать их. Мы помогаем обеспечивать безопасность бизнеса, для того чтобы он мог уверенно зарабатывать деньги» [74] .

74

Подробнее о миссии подразделения по операционным рискам см. в п. п. 7.6.5.

7.3. Организация мер по минимизации рисков

7.3.1. Назначение ответственных за исполнение мер по минимизации рисков.

Практически во всех случаях назначения ответственных за минимизацию рисков они говорят: «Конечно эти меры нужны, вот вы их и делайте – вы же риски», или: «Пусть это делают методологи или ИТ-специалисты, там же нужно изменение регламента или доработка ИТ-системы» и т. п. Т. е. персонал не хочет выполнять излишнюю, по их мнению, работу и брать на себя обязанности, за неисполнение которых могут наказать.

Специально для таких ситуаций предусмотрены следующие правила назначения ответственных за исполнение мер по минимизации рисков (см п. 6.2.2.3 настоящих Рекомендаций).

Повторно приведем его:

«Ответственным за организацию исполнения рекомендации всегда обозначается одно лицо (во избежание перекладывания ответственности) – соответствующий руководитель департамента в чьем процессе обнаружен риск. В тех случаях, когда для исполнения рекомендации необходимы доработки информационно технологической структуры (далее ИТ), регламентов, оборудования или его закупки, проведение различных работ (в т. ч. рекламных кампаний, коррекции процессов, продуктов, систем мотивации и т. д.), указанный руководитель организует формирование необходимых требований на такие доработки, закупки, работы (при необходимости

согласовывает их с риск-менеджерами) и контролирует их реализацию. При обнаружении некачественного исполнения таких требований ответственный эскалирует эту проблему до уровня риск-менеджера и комитета по рискам.

Ответственность за организацию исполнения рекомендации возлагается на нескольких ответственных только в тех случаях, когда не может возникнуть вероятность ситуации, в которой один ответственный может переложить часть ответственности за неисполнение рекомендации на другого ответственного. Например, рекомендация о представлении отчетов по единому формату может быть возложена на неограниченное число руководителей департаментов, так как каждый из них не сможет обосновать неисполнение рекомендации тем, что другой начальник не представил своего отчета».

7.3.2. Техника учета и контроля мер по минимизации рисков.

Количество рисков, мер по их минимизации со временем многократно увеличивается. И их контроль становится возможным только с использованием соответствующих ИТ-инструментов. Простейший пример такого инструмента приведен в Приложении 5 в виде excel-файла с раскрывающимися столбцами и возможностью фильтрации рисков и мер по суммам, датам, исполнителям, значимости и т. д.

7.4. Организация непрерывности деятельности (планов ОНиВД)

7.4.1. Техника учета и контроля планов ОНиВД.

Планы непрерывности деятельности изначально достаточно объемны, а при росте их количества обновление таких планов, и их использование при возникновении чрезвычайных происшествий становится затруднительным. Пример упрощения такой работы приведен ниже в виде пояснений к excel-файлу, в котором на одном листе ведутся все планы непрерывности деятельности (см. схему 7).

Обычно для организации работы участников обеспечения непрерывности деятельности создают сетевую папку, в которой размещают планы непрерывности деятельности, акты проверок и иную документацию.

Схема 7

7.5. Принципы подсчета размера операционного риска [75]

Этот процесс условно можно разделить на три основных этапа.

Этап 1. Подготовка данных. Он охватывает:

75

Информация настоящего подпункта приведена в предельно упрощенном виде.

• фильтрацию инцидентов для включения их в расчет (по сумме, дате, потенциальным, внешним потерям и т. д.);

• распределение по бизнес-линии и по категории убытка;

• распределение по сумме убытка и частоте (см. схему 8).

Этап 2. Подборка модели распределения тяжести последствий, которая наиболее точно описывает распределение фактических потерь Банка (см. схему 9)