Операционный риск-менеджмент

Операционный риск-менеджмент (Управление операционными рисками; англ. Operational Risk Management) — процесс управления операционными рисками.

Цели управления операционным риском могут иметь разный масштаб и приоритет (в зависимости от субъекта, который ставит такие цели).

Для государства и общества целью управления операционными рисками в банках и компаниях является, прежде всего, обеспечение стабильности экономики.

Для владельцев и менеджмента конкретной организации важны практические цели, достижение которых несёт экономические выгоды и поддаётся однозначной количественной или качественной оценке.

Так, на практике менеджмент компаний обычно ставит следующие группы целей:

1. Минимизация убытков организации (в том числе устранение несовершенства процессов);
2. Обеспечение стабильности бизнеса;
3. Обеспечение достаточности капитала для покрытия будущих убытков (максимально точная оценка будущих убытков);
4. Повышение статуса организации (для улучшения условий привлечения ресурсов, для получения различных режимов благоприятствования, для повышения рейтинга, например, перед IPO).

Для менеджмента организации важна прозрачность и понятность задач, которые будут способствовать достижению указанных выше целей.

В Базельских соглашениях и основанных на них предписаниях Банка России предусмотрены три «линии обороны» (англ. «lines of defense»)^[1][2]:

1. Управление направлениями деятельности (англ. Business line management) — распознавание и управление рисками, присущими банковским продуктам, соответствующим процессам и IT-системам;
2. Независимая корпоративная функция управления операционными риском (англ. Independent operational risk management function) — (i) оценка операционных рисков, (ii) выстраивание процесса отчётности об операционных рисках, (iii) организация деятельности комитетов по риску для оценки и мониторинга операционных рисков, (iv) представление отчётности совету директоров.
   Роль второй «линии обороны» в банках возложена на функцию управления операционным риском (ФУОР; англ. Corporate Operational Risk Function; CORF);
3. Независимый анализ (англ. Independent reviews) — выполняется особо подготовленными компетентными сотрудниками, не участвующими в разработке системы управления операционными рисками.

Базельский комитет выделяет следующие 11 принципов операционного риск-менеджмента:

1. Строгая культура управления рисками.

   Совет директоров и/или старшие управляющие должны:

   • Заложить основу надёжной культуры риск-менеджмента;
   • Утвердить кодекс поведения или этическую политику, распространяемые на всех сотрудников;
   • Проводить подготовку сотрудников в области операционного риска.
2. Разработка, внедрение и поддержка Системы управления.

   Совет директоров и/или старшие управляющие должны:

   • Иметь полное представление о природе и сложности рисков, присущих портфелю банковских продуктов, услуг и видов деятельности;
   • Полностью интегрировать Систему управления в общий процесс управления рисками банка.
3. Одобрение и периодический анализ Системы управления.

   Совет директоров и/или старшие управляющие должны:

   • Сформировать культуру управления рисками для понимания характера и величины операционного риска;
   • На регулярной основе анализировать Систему управления;
   • Выработать для менеджеров чёткое руководство о принципах операционного риск-менеджмента;
   • Обеспечивать независимый анализ Системы управления;
   • Контролировать применение лучших практик операционного риск-менеджмента;
   • Выстроить чёткие критерии ответственности менеджмента.
4. Установление и анализ аппетита к риску и допустимого уровня операционного риска.

   Совет директоров должен:

   • При одобрении аппетита к риску принимать во внимание все имеющие значение риски;
   • На периодической основе пересматривать аппетит к риску и допустимый уровень операционного риска.
5. Разработка чёткой управленческой структуры.

   Совет директоров и/или старшие управляющие должны:

   • Внедрить системы отчётности и отслеживания операционных рисков;
   • Преобразовать Систему операционного риск-менеджмента, утвержденную советом директоров, в конкретные принципы и процедуры, применяемые в различных структурных подразделениях;
   • Выстроить коммуникации между менеджерами, ответственными за операционный риск-менеджмент, и менеджерами, ответственными за управление кредитным, рыночным и другими рисками;
   • Обеспечить достаточный уровень позиции ФУОР-менеджеров;
   • Контролировать необходимый уровень подготовки сотрудников в части операционного риск-менеджмента;
   • Разработать структуру управления, соответствующую масштабу и сложности компании.
6. Выявление операционного риска, присущего всем существенным продуктам, направлениям деятельности, процессам и IT-системам — выполняется исполнительным органом.
7. Организация процесса оценки потенциальных операционных рисков.

   Совет директоров и/или старшие управляющие должны:

   • Поддерживать строгий процесс одобрения новых банковских продуктов и процессов;
   • Тщательно пересматривать новые активности и продуктовые линии.
8. Организация процесса регулярного мониторинга операционных рисков и вероятности возникновения существенных убытков.

   Совет директоров и/или старшие управляющие должны:

   • На постоянной основе обеспечивать улучшение отчётности по операционным рискам;
   • Обеспечивать своевременную отчётность, включающую в том числе:
     • Информацию о нарушениях аппетита к риску;
     • Информацию о перелимитах;
     • Подробности о недавних реализациях операционного риска;
     • Внешних событиях, могущих повлиять на капитал банка для покрытия операционного риска;
     • Внутренних и внешних факторах операционного риска.
9. Организация внутреннего контроля над применением принципов, процессов и систем;
10. Организация непрерывности ведения основной бизнес-деятельности.

    Совет директоров и/или старшие управляющие должны:

    • Разработать планы по обеспечению непрерывности ведения основной бизнес-деятельности;
    • На периодической основе пересматривать вышеуказанные планы;
11. Раскрытие информации для заинтересованных сторон.

• Риск-аудит операций, процедур и направлений деятельности.
• Сбор и анализ внутренних и внешних данных по операционным рискам.
• Мониторинг ключевых индикаторов риска:
  • англ. Key Risk Indicators; KRI — метрики определяющих факторов риска и подверженности риску.
  • англ. Key Performance Indicators; KPI — формируют представление об операционных процессах и уязвимостях.
• Оценка (включая сценарный анализ) и самооценка операционного риска бизнес-подразделениями (англ. Risk Control Self-Assessments; RCSA).
• Регламентация бизнес-процессов (внутренних правил и процедур).
• Контроль соблюдения законодательства и внутренних правил и процедур.
• Контроль информационно-технологических рисков.
• Обучение и совершенствование системы мотивации персонала.
• Автоматизация бизнес-процессов, в том числе отдельных (стандартных) процедур контроля.
• Регулярная внутренняя отчетность по операционным рискам.
• Разработка планов по обеспечению непрерывности деятельности и действий на случай реализации операционных рисков.
• Страхование от операционных рисков.
• Аутсорсинг отдельных функций.

• Girling P. X. Operational Risk Management: A Complete Guide to a Successful Operational Risk Framework. — Hoboken, New Jersey: John Wiley & Sons, 2013. — 352 p. — (Wiley Finance). — ISBN 1118744780.