[МУЗЫКА] [МУЗЫКА] Оценка
риска является базовым элементом процесса управления операционными рисками.
Без процессов идентификации рисков, оценки эффективности контролей и разработки
мер реагирования на риск невозможно построить комплексную эффективную систему
управления операционным риском.
Жизненный цикл оценки рисков основан на подходе, при котором в рамках деятельности
отдельных структурных подразделений или процессов выделяют проблемы,
приведшие к возникновению рисков, и разрабатывают планы по их минимизации,
а затем оценивают результаты.
Начинается жизненный цикл оценки рисков с определения участников оценки.
Существует два подхода к оценке: функциональный и процессный.
В первом случае оценка рисков выполняется в разрезе структурных подразделений,
во втором случае — в разрезе процессной модели организации.
У каждого подхода есть свои плюсы и минусы.
Например, в случае функционального подхода оцениваются риски, присущие определенному
подразделению, что гораздо проще, чем оценивать риски процесса, который
может быть достаточно сложным и содержать большое количество этапов и участников.
В Сбербанке мы используем процессный подход.
Он позволяет комплексно рассмотреть риски, присущие всему процессу в целом вне
зависимости от того, какие подразделения выполняют те или иные функции,
и позволяет соотнести сумму потерь с доходностью продукта.
Процессный подход тесно связан с конечным результатом — продуктом или услугой —
и в конечном счете нацелен на повышение качества продуктов и надежности услуг.
После того, как определен подход и участники процесса оценки,
начинается следующий этап жизненного цикла — формирование рабочих групп.
Определяются владельцы процессов, и создаются рабочие группы,
в которые входят как руководители, так и специалисты, хорошо разбирающиеся в
процессах и имеющие опыт выявления рисков и построения контрольных процедур.
Для оценки риска используется подход top down.
При данном подходе руководители выделяют ключевые области рисков,
которые должны быть проанализированы в ходе данной оценки на основании своего
опыта и понимания бизнес-стратегии организации.
После этого в работу включаются специалисты,
знающие все тонкости и узкие места процесса,
которые со своей стороны могут раскрыть новые причины рисковых событий.
Именно такой подход позволяет наиболее полно использовать
потенциал рабочей группы.
Реализован процесс может быть по-разному: это может быть анкетирование,
персональные встречи или рабочие группы.
Наш опыт показывает,
что наиболее эффективным инструментом является использование рабочих групп,
в которых сотрудники подразделения рисков выполняют роль модераторов.
После того, как выделены ключевые риски и расставлены приоритеты,
рабочая группа приступает к рассмотрению существующих контрольных процедур,
то есть инструментов,
которые направлены на недопущение реализации риска или минимизацию потерь.
Это необходимый этап жизненного цикла оценки рисков,
поскольку значительная часть рисков может быть минимизирована в рамках реализованных
к настоящему моменту контролей.
Однако случаются ситуации, когда мы имеем дело с впервые проявившимися рисками,
для которых еще не разработаны контрольные процедуры.
Следующий этап оценки (один из ключевых этапов) — это анализ процессов и
присущих им рисков.
На данном этапе выделяется перечень существенных рисков, определяются основные
показатели, отражающие количественные и качественные характеристики риска.
Например, если мы рассматриваем проблему минимизации рисков, связанных с
сетью банкоматов, основными рисками будут являться риски краж наличности,
вандализма и сбои в программном обеспечении.
Основные показатели, характеризующие риск — это количество событий и сумма ущерба.
На основании этих двух показателей в дальнейшем проводится ранжирование рисков.
Выделяются наиболее значимые риски,
а также они используются для построения AMO модели для расчета капитала.
На этом этапе могут быть выделены ключевые индикаторы риска.
Им мы в курсе посвятим отдельный раздел.
Затем проводится оценка существующих контрольных процедур.
В рамках этого этапа решаются две основные задачи: оценивается,
насколько полно существующие контрольные процедуры охватывают все
идентифицированные риски, а также насколько они эффективны.
Здесь под эффективностью контроля мы понимаем способность контрольных процедур
выполнять свои функции по ограничению рисков.
В процессе анализа эффективности контролей выявляются проблемные зоны или
зоны концентрации риска.
Поэтому на следующем этапе жизненного цикла оценки рисков мы сосредоточим
внимание на идентификации проблем и выработке стратегии по работе с риском.
Основной из таких стратегий может быть минимизация риска.
Иногда в литературе используется другой термин — смягчение риска.
Как правило, стратегия по минимизации рисков содержит ключевые установки по
снижению уровня ключевых видов риска либо удержанию риска в определенных границах,
соответствующих развитию бизнеса и риск-аппетиту.
Другими вариантами выбранной стратегии может быть принятие риска,
передача его либо отказ от риска.
Этап создания плана мероприятий для рисков,
по которым в качестве стратегии выбрана минимизация, состоит в разработке
конкретного перечня работ для достижения целевого состояния риска.
Это могут быть такие мероприятия, как внедрение дополнительных
автоматизированных процедур контроля, нового программного обеспечения, работа с
персоналом по обучению либо разработка нормативно-методических материалов.
При этом выбирают конкретные показатели, характеризующие состояние риска
до и после реализации плана мероприятий по его ограничению.
Как правило, это количество реализованных рисковых событий,
нанесенный ущерб или убыток.
Следующий этап — подтверждение выбранных стратегий и планов мероприятий по
минимизации рисков владельцами процессов и руководством финансовой организации.
Заключительным этапом жизненного цикла является мониторинг.
На данном этапе производится оценка выполнения стратегических установок в
отношении каждого риска.
Удалось ли достичь запланированных показателей по снижению или
удержанию риска?
По тем рискам, по которым удалось достичь цели, делается вывод об эффективности
реализованного плана мероприятий и внедренных контролей.
По тем рискам, по которым достичь запланированных целей не удалось,
анализируется причина невыполнения плана и осуществляется мозговой штурм по
разработке новых контрольных мероприятий.
[МУЗЫКА] [МУЗЫКА]