Методологические аспекты проведения самооценки операционных рисков it-подразделений банков второго уровня Республики Казахстан

Методологические аспекты проведения самооценки операционных рисков it-подразделений банков второго уровня РК

Цель исследования — совершенствование методологической базы банков второго уровня Казахстана для прикладной технологизации операционного риск-менеджмента в сфере IT-рисков.

Методология — диалектико-логический и информационно-системный подходы, сравнительный анализ, анализ причин и последствий, материалистическая диалектика, синтез.

Оригинальность/ценность — в ходе исследования был проведен структурный и сравнительный анализ регуляторной база НБРК по операционным рискам. Эталонными критериями выступили стандарты Базельского комитета и ISO, практика управления IT-проектами и компаниями. Произведена систематизация в виде структурно-логических схем некоторых понятий. Статья посвящена сравнительно новому направлению управления рисками в Казахстане.

Выводы — совместное применение методологического аппарата нефинансовых компаний к банкам является новым и интересным для казахстанской практики инструментом, на основе которого возможна дальнейшая адаптация и конкретизация стандартов. Разработанный словарь терминов с комментариями и схемы системы рисков позволяют применять их на практике для проведения качественной самооценки операционных рисков IT-подразделений банков второго уровня РК с учетом их специфики.

В последние годы идет бурный рост объема и спектра услуг, оказываемых банками как юридическим, так и физическим лицам, повышается качество сервиса, развиваются современные технологии кредитования, основанные на использовании скоринговых и рейтинговых моделей, совершенствуются он-лайн сервис (интеренет-банкинг), услуги по платежным картам. Современный банк немыслим без выхода в он-лайн и Интеренет. банк технологизация менеджмент операционный.

IT сегодня выступает в роли ключевого элемента, определяющего конкурентоспособность банка [3]. И казахстанские банки второго уровня (далее — БВУ РК) здесь не исключение. Например, 14 июня 2013 года в рамках пресс-клуба Евразийского банка прошел круглый стол «Инновации в банке — операционные возможности и новые направления развития». На нем руководители Евразийского банка и председатель правления Майкл Эгглтон рассказали о ряде инновационных проектов, которые кредитная организация внедрила или собирается внедрить в ближайшее время. Перспективы дальнейшего развития банка Майкл Эгглтон связывает с новыми, инновационными для казахстанского рынка, продуктами:

«Будущее, над которым мы работаем, — это технологичный банк». Управляющий директор банка по IT направлению Герман Тишендорф привел пример внедрения электронных кассиров-рециркуляторов, позволяющих в 7−10 раз увеличивать эффективность работы отделений, в которых они установлены. Также Майкл Эгглтон отметил, что банки во всем мире подвержены операционным рискам [9].

С другой стороны, увеличение числа клиентов приводит к необходимости обработки и хранения большого количества информации в единицу времени, особенно в связи с распространением розничного бизнеса. Например, 13.06.2013 г. лидер банковской системы АО «Народный банк Казазхстана» заявил о привлечении 100 000-го клиента в системе Интернет-банкинга для физических лиц [10]. В настоящее время 12 БВУ РК предоставляют услуги по осуществлению платежей и переводов денег через Интернет. Лидером рынка Интернет-банкинга является Казкоммерцбанк. В его системе «Homebank. kz» зарегистрировано 400 000 пользователей, что больше количества всех вместе взятых пользователей Интернет-банкинга других 11 банков РК. Ежемесячно в системе «Homebank.kz» регистрируется около 7−9 тыс. новых пользователей. Количество операций в системе «Homebank.kz» достигает 1 000 000 транзакций в месяц, в то время как в 151 отделении Казкоммерцбанка клиенты совершают их в 2 раза меньше — 500 000 операций в месяц.

Все это может привести к тому, что информационные системы финансовых организаций выйдут за пределы своих возможностей [1].

Таким образом, в современном банке информационные технологии уже настолько интегрированы в бизнес-процесс, что никакая деятельность без них невозможна, более того, сами технологии порождают новые банковские продукты.

О каком бы продукте банка мы не говорили, есть общие моменты, касающиеся IT-инфраструктуры для работы с ними.

Такая инфраструктура должна минимально содержать четыре основных блока. Первый блок — фронтальные офисные приложения, обслуживающие непосредственное взаимодействие с клиентом, в том числе и удаленное.

Второй блок образуют программные решения, связанные с принятием различных решений. Третий блок — это бэк-офисные системы, т. е. системы, реализующие продуктовый учет уже совершенных сделок, четвертый блок — ведение бухгалтерского учета и формирование отчетности для регулирующих органов [3].

Практически любой банк время от времени сталкивается с ситуациями, способными остановить весь бизнес. Мы имеем в виду события, которые можно реально ожидать: разрушение логической целостности данных, сбои в программном и аппаратном обеспечении, отключение электропитания, локальные катастрофы (пожар, затопление и т. п.) [2]. С учетом того, что большинство головных офисов БВУ РК находятся в сейсмически активной зоне, то актуальными являются также и риски физического уничтожения и повреждения активов.

В настоящее время законодательно такого рода риски регулируются Постановлением правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 30 сентября 2005 года № 359 «Об утверждении Инструкции о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня» (далее — Инструкция в рамках управления операционным риском, в частности:

Операционный риск — риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников, функционирования информационных систем и технологий, а также вследствие внешних событий. Операционный риск включает в себя:

риск, вызванный неадекватными стратегиями, политиками и/или стандартами в области информационных технологий, недостатками в использовании программного обеспечения (далее — риски стратегии);

риск, вызванный непредвиденными или неконтролируемыми факторами внешнего воздействия на операции банка.

Обеспечение функционирования информационных систем и систем управленческой информации предусматривает наличие в банке программно-технических комплексов, персонала и информационно-коммуникационных систем, адекватных проводимым банком операциям, в том числе ограничивающих степень подверженности банка операционному риску.

Правление разрабатывает, Совет директоров утверждает внутренний документ, содержащий план на случай возникновения непредвиденных обстоятельств, которые могут повлиять на финансовую устойчивость банка и его дочерних организаций.

План на случай возникновения непредвиденных обстоятельств содержит превентивные и оперативные мероприятия.

По операционному риску превентивные меры банка включают выявление следующих фактов:

определение и оценка размера убытков, вызванных сбоями и отказами функционирования информационных систем и технологий (программ или баз данных, систем передачи информации, а также иных систем, необходимых для повседневного функционирования банка).

Банк оценивает риски, связанные с предоставлением новых банковских услуг или с использованием новых информационных технологий.

Процедуры банка по выявлению операционного риска учитывают как внутренние факторы (структуру, масштаб деятельности, качество ресурсов, организационные изменения, текучесть кадров), так и внешние факторы (изменения в банковском секторе, технологий), которые могут неблагоприятно отразиться на достижении банком своих целей. Поэтому они предусматривают использование, но не ограничиваясь ими, следующих инструментов для выявления и оценки операционного риска:

cамооценка или оценка риска. Банк оценивает свою операционную и иную деятельность, соотнося ее с перечнем своей уязвимости к потенциальному операционному риску. Банк использует перечень контрольных вопросов и (или) проводит рабочие встречи для выявления сильных и слабых сторон в управлении операционным риском;

карта риска, представляющая собой графическое или текстовое описание различных бизнес и организационных подразделений или бизнес-процессов по видам риска. Карта риска представляет банку возможность выявить проблемные области и приоритетность последующих шагов по управлению рисками;

измерение. Банк располагает внутренним документом, содержащим процедуры создания базы данных по убыткам, позволяющим адекватно оценить подверженность банка операционному риску, а также разработать соответствующие меры для контроля (снижения) операционного риска. Процедурами банка по измерению операционного риска предусмотрен систематический мониторинг и регистрация частоты, серьезности и иной достаточной информации о конкретных случаях убытков.

Система управления операционным риском (далее — СУОР) определяется общими характеристиками, свойственными управлению рисками вообще и включает четыре основных элемента: оценка риска, измерение риска, контроль риска и мониторинг риска. Однако, еще до выхода рекомендаций по расчету капитала [4] в феврале 2003 г. Базельский комитет (далее — Комитет) выпустил консультативный документ [5], где отмечает особенное отличие управления операционными рисками от кредитного или рыночного.

Классическая модель системы управления риском: идентификация-измерение-мониторинг-контроль. Для операционного риска она выглядит иначе: идентификация-оценка/самооценка-мониторинг-контроль/снижение.

При этом вопросы этапа «идентификации-оценки», которые в лучших практиках реализуются через инструменты самооценки (self-assesment) и оценки (assessment), их необходимо организовать для полноценного функционирования СУОР в финансовой организации в соответствии с лучшими практиками управления операционными рисками [12,13,14].

Как мы видим, требование 359-й Инструкции «Банк использует перечень контрольных вопросов и (или) проведение рабочих встреч для выявления сильных и слабых сторон в управлении операционным риском» как раз указывает на необходимость проведения самооценки риска и составление карт рисков для процессов и продуктов, но практическая методическая сторона вопроса остается открытой. При этом данное требование является общим для всех операционных рисков, не выделяя специфику информационных рисков.

Заложенная, таким образом, нормативно-методологическая база имеет три существенных недостатка:

отсутствует технологическая составляющая организации требуемых процессов, что влечет невозможность их соответствующего построения со стороны банка и объективной проверки соответствия со стороны регулятора;

имеются противоречия с рекомендациями Базельского комитета (по управлению операционным риском);

не учтен опыт стандартизации управления операционными, информационными и IT-рисками, общепризнанными в данной сфере стандартов и методик управления рисками (COSO, ISO, ГОСТ, СТРК, PCI DSS, OCTAVE и др.) [15,16,17,18,19,20];

не учтена специфика оценки рисков информационных технологий.

Кроме того, существует проблема низкого уровня культуры управления операционными рисками у основных бизнес-владельцев. Ни для кого не секрет, что традиционные руководители бизнес-подразделений в связи с отсутствием инструментов управления специфическими IT-рисками не могут выступать полноценными владельцами высокотехнологичных, автоматизированных процессов, становятся зависимыми от IT-подразделений, склонны передавать им руководство процессом, вынуждены резервировать избыточные ресурсы на управление неидентифицированными и неоцененными рисками. В итоге управление рисками бизнес-процессов перекладывается на IT-подразделения.

Для построения СУОР в БВУ РК, которая осуществляется практически с нуля, для организации процессов самооценки операционного риска необходимо включить ряд дополнительных регуляторных определений. Полезным в данной ситуации выступает опыт управления рисками небанковских компаний, стандартов ISO и COSO. Принимая во внимание низкий уровень культуры банков второго уровня в отношении такого рода стандартизации, на первых этапах мы рекомендуем применять упрощенную терминологию, которая позволит начать работу по самоценке рисков с непосредственными исполнителями процессов, сформировать у последних общее представление об управлении рисками.

Данный набор терминов, в частности, отсутствующий в Инструкции 359, в целом призван улучшить действующую регуляторную базу НБРК,.

Таблица 1 — Менеджмент риска. Термины и определения.

С учетом определений таблицы 1 и Инструкции 359, мы предлагаем применять пирамиду ITрисков (рисунок 1), на которой отражены основные понятия в их логической взаимосвязи.

ИТ-риски можно условно разделить на две группы: риски стратегического уровня и тактического уровня (в основном по критерию уровня принятия решения, управления риском). Риски тактического уровня, в свою очередь так же подразделяются на связанные с обеспечением непрерывности бизнеса (эксплуатационные), и риски реализации новых проектов (проектные).

Эксплуатационные риски связаны с вопросами:

эксплуатации ИТ-систем;

обеспечения коммуникаций;

технического обеспечения информационной безопасности;

технических условий для сохранности информации;

восстановления после аварий и т. д.

Цель управления данной группой IT-рисков — обеспечение непрерывности обеспечивается: уменьшением влияния сбоя, увеличением среднего времени между сбоями и уменьшением времени восстановления.

Значимость IT-рисков определяется как степенью влияния сбоя, так и значительным временем восстановления работоспособности [6].

Вторая группа — управление рисками, и прежде всего — их идентификации, в проектах внедрения информационных систем управления.

Рисунок 1. Пирамида самооценки IT-рисков.

Значительная доля проектов в области ИТ является неудачной в части соответствия целям, бюджету или срокам — в среднем в мире этот показатель превышает 50%, а в государственном секторе даже 70%. Во многом такие проблемы связаны с недостаточно полным и качественным управлением рисками [6]. В контексте данной статьи первоочередным является вопрос идентификации: в ходе проекта ситуация может выйти из-под контроля. Это происходит потому, что управление рисками строится в основном на эмоциях и инстинктах, а не на формальных процессах, и менеджер зачастую может просто не заметить вовремя появление новых рисков в ходе проекта [11]. Самооценка рисков в данной ситуации носит профилактический характер, позволяет реализовывать цели проекта, управляя его рисками с учетом того, что карта рисков является динамически изменяющимся объектом. Неизбежность изменений обусловлена самой природой проектов в банке — это открытая система, испытывающая на себе влияние различных уровней среды.

Рисунок 2. Области идентификации источников проектных рисков [11].

Разделение между тремя выделенными группами на практике проведения самооценки и построения системы управления достаточно условно. Переход от одного к другому является логически неразрывным процессом. Выстраивание системы управления операционным риском с помощью инструментов самооценки в части IT в контексте вышеизложенной терминологии и в соответствующей последовательностью позволяет банку:

охватить идентификацией все поля источников риска;

создает процесс развития, улучшения информационных систем банка;

разграничить зоны ответственности правления, подразделений бизнеса и подразделений IT.

Позволяет регулятору:

контролировать качество построения системы управления операционными рисками;

исполнять надзорные функции с минимальным субъективным контекстом.

• 1. Якуш А. ЦОД — панацея? Одного ЦОД недостаточно // Банковские технологии. — 2008. — № - С. 62−65.
• 2. Тетеркин А. Практика внедрения эффективных систем хранения данных в российских банках // Банковские технологии. — 2008. — № 6. — С. 24−26.
• 3. Баранов А. Конкуренция на розничном рынке — это конкуренция IT-инфраструктур // Банковское обозрение. — 2008. — № - С. 108−109.
• 4. International Convergence of Capital Measurement and Capital A Revised Framework, Comprehensive Version [Electronic source]. — 2006. — URL: http://www.bis.org (дата обращения: 04.07.2013)
• 5. Sound practices for the Management and Supervision of operational risk [Electronic source]. -
• 6. URL: http://www.bis.org (дата обращения: 07.2013)
• 7. Слюсаренко А. Управление рисками в проектах внедрения информационных систем управления предприятием [Электрон. ресурс] // CIO-руководитель информационной службы (электронный журнал). — - URL: http://www.computerra.ru/cio/old/products/370 199/ (дата обращения: 04.07.2013)
• 8. Аккерман К. IT для банков: больше, чем до кризиса [Электрон. ресурс] - - URL: http:// bankir.ru/publikacii/s/it-dlya-bankov-bolshe-chem-do-krizisa-10 001 492/ (дата обращения: 04.07.2013)
• 9. Смирнов А. Внедрение методологии управления ИТ-рисками [Электрон. ресурс] // Корпоративные системы. — - № 2. — URL: http://betatester.bir.ru/article11.html (дата обращения: 04.07.2013)
• 10. Нагорный Ю. Будущее — за технологичным банком [Электрон. ресурс] // Деловой Казахстан. — 2013. — № 23 (370). — URL: http://www.afk.kz/index.php/ru/bankovsky-sekt or/7349−210 613————22 370—210 613—-(дата обращения: 07.2013)
• 11. Шаманин М. IT аутсорсинг — новые горизонты развития банка [Электрон. ресурс] // Банковские технологии. — - № 7−8. — URL: http://www.bis.ru/pr/articles/BT078−2009;2.pdf (дата обращения: 01.07.2013)
• 12. Йордан Э. Смертельный марш. — М.: Лори,
• 13. Principle for the Sound Management of Operational Risk [Electronic source]. — 2011. — URL: http:// bis.org (дата обращения: 04.07.2013)
• 14. Principle for enhancing corporate governance [Electronic source]. — - URL: http://www.bis.org (дата обращения: 04.07.2013)
• 15. Operational Risk management [Electronic source]. — - URL: http://www.bis.org (дата обращения: 04.07.2013)
• 16. Ричард М. Стейнберг, Майлс И. Эй. Эверсон, Фрэнк Джей. Мартене, Люси И. Ноттингэм. Управление рисками организаций. Интегрированная модель [Электрон. ресурс]. — 2004. — URL: http:// www.coso.org/documents/COSO_ERM_ExecutiveSummary_Russian.pdf (дата обращения: 07.2013)
• 17. Дунаев Г. Построение бизнес-процессов управления ИТ-инфраструктурой банка на основе ITIL [Электрон. ресурс]. — URL: www.abajour.ru/files/dunaev.doc (дата обращения: 04.07.2013)
• 18. Никишин М. Е. Обоснование использования методологии ITIL/ITSM в управлении ИТ-службы коммерческого банка [Электрон. ресурс] // Системы управления бизнес-процессами. — - URL: http://www.itsmforum.ru/reference/publication/article-84 (дата обращения: 08.07.2013)
• 19. Исайченко Д. Управление уровнем ИТ-услуг [Электрон. ресурс]. — - URL: http://www. osp.ru/itsm/2013/05/13 035 617.html (дата обращения: 26.06.2013)
• 20. Christopher Alberts, Sandra G. Behrens, Richard D. Pethia, William R. Wilson Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM) Framework, Version 1.0 [Электрон. ресурс]. — URL: http://www.sei.cmu.edu/library/abstracts/reports/99tr017.cfm (дата обращения: 04.07.2013)
• 21. Carol Woody, Applying OCTAVE: Practitioners Report [Электрон. ресурс] - 2006. — URL: http:// cmu.edu/cgi/viewcontent.cgi?article=1390&context=sei (дата обращения: 04.07.2013)
• 22. Payment Card Industry Data Security Standard, PCI DSS v 2.0 [Электрон. ресурс]. — URL: https:// pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2−0#pci_dss_v2−0 (дата обращения: 04.07.2013)