Методологические аспекты проведения самооценки операционных рисков it-подразделений банков второго уровня РК 

Цель исследования – совершенствование методологической базы банков второго уровня Казахстана для прикладной технологизации операционного риск-менеджмента в сфере IT-рисков.

Методология – диалектико-логический и информационно-системный подходы, сравнительный анализ, анализ причин и последствий, материалистическая диалектика, синтез.

Оригинальность/ценность – в ходе исследования был проведен структурный и сравнительный анализ регуляторной база НБРК по операционным рискам. Эталонными критериями выступили стандарты Базельского комитета и ISO, практика управления IT-проектами и компаниями. Произведена систематизация в виде структурно-логических схем некоторых понятий. Статья посвящена сравнительно новому направлению управления рисками в Казахстане.

Выводы – совместное применение методологического аппарата нефинансовых компаний к банкам является новым и интересным для казахстанской практики инструментом, на основе которого возможна дальнейшая адаптация и конкретизация стандартов. Разработанный словарь терминов с комментариями и схемы системы рисков позволяют применять их на практике для проведения качественной самооценки операционных рисков IT-подразделений банков второго уровня РК с учетом их специфики.

В последние годы идет бурный рост объема и спектра услуг, оказываемых банками как юридическим, так и физическим лицам, повышается качество сервиса, развиваются современные технологии кредитования, основанные на использовании скоринговых и рейтинговых моделей, совершенствуются он-лайн сервис (интеренет-банкинг), услуги по платежным картам. Современный банк немыслим без выхода в он-лайн и Интеренет.

IT сегодня выступает в роли ключевого элемента,  определяющего  конкурентоспособность банка [3]. И казахстанские банки второго уровня (далее – БВУ РК) здесь не исключение. Например, 14 июня 2013 года в рамках пресс-клуба Евразийского банка прошел круглый стол «Инновации в банке – операционные возможности и новые направления развития». На нем руководители Евразийского банка и председатель правления Майкл Эгглтон рассказали о ряде инновационных проектов, которые кредитная организация внедрила или собирается внедрить в ближайшее время. Перспективы дальнейшего развития банка Майкл Эгглтон связывает с новыми, инновационными для казахстанского рынка, продуктами:

«Будущее, над которым мы работаем, – это технологичный банк». Управляющий директор банка по ITнаправлению Герман Тишендорф привел пример внедрения электронных кассиров-рециркуляторов, позволяющих в 7-10 раз увеличивать эффективность работы отделений, в которых они установлены. Также Майкл Эгглтон отметил, что банки во всем мире подвержены операционным рискам [9].

С другой стороны, увеличение числа клиентов приводит к необходимости обработки и хранения большого количества информации в единицу времени, особенно в связи с распространением розничного бизнеса. Например, 13.06.2013г. лидер банковской системы АО «Народный банк Казазхстана» заявил о привлечении 100000-го клиента в системе Интернет-банкинга для физических лиц [10]. В настоящее время 12 БВУ РК предоставляют услуги по осуществлению платежей и переводов денег через Интернет. Лидером рынка Интернет-банкинга является Казкоммерцбанк. В его системе «Homebank. kz» зарегистрировано 400000 пользователей, что больше количества всех вместе взятых пользователей Интернет-банкинга других 11 банков РК. Ежемесячно в системе «Homebank.kz» регистрируется около 7-9 тыс. новых пользователей. Количество операций в системе «Homebank.kz» достигает 1000000 транзакций в месяц, в то время как в 151 отделении Казкоммерцбанка клиенты совершают их в 2 раза меньше – 500000 операций в месяц.

Все это может привести к тому, что информационные системы финансовых организаций выйдут за пределы своих возможностей [1].

Таким образом, в современном банке информационные технологии уже настолько интегрированы в бизнес-процесс, что никакая деятельность без них невозможна, более того, сами технологии порождают новые банковские продукты.

О каком бы продукте банка мы не говорили, есть общие моменты, касающиеся IT-инфраструктуры для работы с ними.

Такая инфраструктура должна минимально содержать четыре основных блока. Первый блок – фронтальные офисные приложения, обслуживающие непосредственное взаимодействие с  клиентом, в том числе  и удаленное.

Второй блок образуют программные решения, связанные с принятием различных решений. Третий блок – это бэк-офисные системы, т.е. системы, реализующие продуктовый учет уже совершенных сделок, четвертый блок – ведение бухгалтерского учета и формирование отчетности для регулирующих органов [3]. 

Практически любой банк время от времени сталкивается с ситуациями, способными остановить весь бизнес. Мы имеем в виду события, которые можно реально ожидать: разрушение логической целостности данных, сбои в программном и аппаратном обеспечении, отключение электропитания, локальные катастрофы (пожар, затопление и т.п.) [2]. С учетом того, что большинство головных офисов БВУ РК находятся в сейсмически активной зоне, то актуальными являются также и риски физического уничтожения и повреждения активов.

В настоящее время законодательно такого рода риски регулируются Постановлением правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 30 сентября 2005 года №359 «Об утверждении Инструкции о требованиях к наличию систем управления рисками и внутреннего контроля   в банках второго уровня» (далее –   Инструкция в рамках управления операционным риском, в частности:

Операционный риск – риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников, функционирования информационных систем и технологий, а также вследствие внешних событий. Операционный риск включает в себя:

• риск, вызванный неадекватными стратегиями, политиками и/или стандартами в области информационных технологий, недостатками в использовании программного обеспечения (далее – риски стратегии);
• риск, вызванный непредвиденными или неконтролируемыми факторами внешнего воздействия на операции банка.

Обеспечение функционирования информационных систем и систем управленческой информации предусматривает наличие в банке программно-технических комплексов, персонала и информационнокоммуникационных систем, адекватных проводимым банком операциям, в том числе ограничивающих степень подверженности банка операционному риску.

Правление разрабатывает, Совет директоров утверждает внутренний документ, содержащий план на случай возникновения непредвиденных обстоятельств, которые могут повлиять на финансовую устойчивость банка и его дочерних организаций.

План на случай возникновения непредвиденных обстоятельств содержит превентивные и оперативные мероприятия.

По операционному риску превентивные меры банка включают выявление следующих фактов:

• определение и оценка размера убытков, вызванных сбоями и отказами функционирования информационных систем и технологий (программ или баз данных, систем передачи информации, а также иных систем, необходимых для повседневного функционирования банка).

Банк оценивает риски, связанные с предоставлением новых банковских услуг или с использованием новых информационных технологий.

Процедуры банка по выявлению операционного риска учитывают как внутренние факторы (структуру, масштаб деятельности, качество ресурсов, организационные изменения, текучесть кадров),  так и внешние факторы (изменения в банковском секторе, технологий), которые могут неблагоприятно отразиться на достижении банком своих целей. Поэтому они предусматривают использование, но не ограничиваясь ими, следующих инструментов для выявления и оценки операционного риска:

• cамооценка или оценка риска. Банк оценивает свою операционную и иную деятельность, соотнося ее с перечнем своей уязвимости к потенциальному операционному риску. Банк использует перечень контрольных вопросов и (или) проводит рабочие встречи для выявления сильных и слабых сторон в управлении операционным риском;
• карта риска, представляющая собой графическое или текстовое описание различных бизнес и организационных подразделений или бизнес-процессов по видам риска. Карта риска представляет банку возможность выявить проблемные области и приоритетность последующих шагов по управлению рисками;
• измерение. Банк располагает внутренним документом, содержащим процедуры создания базы данных по убыткам, позволяющим адекватно оценить подверженность банка операционному риску, а также разработать соответствующие меры для контроля (снижения) операционного риска. Процедурами банка по измерению операционного риска предусмотрен систематический мониторинг и регистрация частоты, серьезности и иной достаточной информации о конкретных случаях убытков.

Система управления операционным риском (далее – СУОР) определяется общими характеристиками, свойственными управлению рисками вообще и включает четыре основных элемента: оценка риска, измерение риска, контроль риска и мониторинг риска. Однако, еще до выхода рекомендаций по расчету капитала [4] в феврале 2003г. Базельский комитет (далее – Комитет) выпустил консультативный документ [5], где отмечает особенное отличие управления операционными рисками от кредитного или рыночного.

Классическая модель системы управления риском: идентификация-измерение-мониторинг-контроль. Для операционного риска она выглядит иначе:    идентификация-оценка/самооценка-мониторинг-контроль/снижение.

При этом вопросы этапа «идентификации-оценки», которые в лучших практиках реализуются через инструменты самооценки (self-assesment) и оценки (assessment), их необходимо организовать для полноценного функционирования СУОР в финансовой организации в соответствии с лучшими практиками управления операционными рисками [12,13,14].

Как мы видим, требование 359-й Инструкции «Банк использует перечень контрольных  вопросов и (или) проведение рабочих встреч для выявления сильных и слабых сторон в управлении операционным риском» как раз указывает на необходимость проведения самооценки риска и составление карт рисков для процессов и продуктов, но практическая методическая сторона вопроса остается открытой. При этом данное требование является общим для всех операционных рисков, не выделяя специфику информационных рисков.

Заложенная, таким образом, нормативно-методологическая база имеет три существенных недостатка:

• отсутствует технологическая составляющая организации требуемых процессов, что влечет невозможность их соответствующего построения со стороны банка и объективной проверки соответствия со стороны регулятора;
• имеются противоречия с рекомендациями Базельского комитета (по управлению операционным риском);
• не учтен опыт стандартизации управления операционными, информационными и IT-рисками, общепризнанными в данной сфере стандартов и методик управления рисками (COSO, ISO, ГОСТ, СТРК, PCI DSS, OCTAVE и др.) [15,16,17,18,19,20];
• не учтена специфика оценки рисков информационных технологий.

Кроме того, существует проблема низкого уровня культуры управления операционными рисками у основных бизнес-владельцев. Ни для кого не секрет, что традиционные руководители бизнес-подразделений в связи с отсутствием инструментов управления специфическими IT-рисками не могут выступать полноценными владельцами высокотехнологичных, автоматизированных процессов, становятся зависимыми от IT-подразделений, склонны передавать им руководство процессом, вынуждены резервировать избыточные ресурсы на управление неидентифицированными и неоцененными рисками. В итоге управление рисками бизнес-процессов перекладывается на IT-подразделения.

Для построения СУОР в БВУ РК, которая осуществляется практически с нуля, для организации процессов самооценки операционного риска необходимо включить ряд дополнительных регуляторных определений. Полезным в данной ситуации выступает опыт управления рисками небанковских компаний, стандартов ISO и COSO. Принимая во внимание низкий уровень культуры банков второго уровня в отношении такого рода стандартизации, на первых этапах мы рекомендуем применять упрощенную терминологию, которая позволит начать работу по самоценке рисков с непосредственными исполнителями процессов, сформировать у последних общее представление об управлении рисками.

Данный набор терминов, в частности, отсутвующий в Инструкции 359, в целом призван улучшить действующую регуляторную базу НБРК,.

Таблица 1 – Менеджмент риска. Термины и определения

С учетом определений таблицы 1 и Инструкции 359, мы предлагаем применять пирамиду IT- рисков (рисунок 1), на которой отражены основные понятия в их логической взаимосвязи.

ИТ-риски можно условно разделить на две группы: риски стратегического уровня и тактического уровня (в основном по критерию уровня принятия решения, управления риском). Риски тактического уровня, в свою очередь так же подразделяются на связанные с обеспечением непрерывности бизнеса (эксплуатационные), и риски реализации новых проектов (проектные).

Эксплуатационные риски связаны с вопросами:

• эксплуатации ИТ-систем;
• обеспечения коммуникаций;
• технического обеспечения информационной безопасности;
• технических условий для сохранности информации; 
• восстановления после аварий и т.д.

Цель управления данной группой IT-рисков – обеспечение непрерывности обеспечивается: уменьшением влияния сбоя, увеличением среднего времени между сбоями и уменьшением времени восстановления.

Значимость IT-рисков определяется как степенью влияния сбоя, так и значительным временем восстановления работоспособности [6].

Вторая группа – управление рисками, и прежде всего – их идентификации, в проектах внедрения информационных систем управления.

Рисунок 1 – Пирамида самооценки IT-рисков 

Значительная доля проектов в области ИТ является неудачной в части соответствия целям, бюджету или срокам – в среднем в мире этот показатель превышает 50%, а в государственном секторе даже 70%. Во многом такие проблемы связаны с недостаточно полным и качественным управлением рисками [6]. В контексте данной статьи первоочередным является вопрос идентификации: в ходе проекта ситуация может выйти из-под контроля. Это происходит потому, что управление рисками строится в основном на эмоциях и инстинктах, а не на формальных процессах, и менеджер зачастую может просто не заметить вовремя появление новых рисков в ходе проекта [11]. Самооценка рисков в данной ситуации носит профилактический характер, позволяет реализовывать цели проекта, управляя его рисками с учетом того, что карта рисков является динамически изменяющимся объектом. Неизбежность изменений обусловлена самой природой проектов в банке – это открытая система, испытывающая на себе влияние различных уровней среды.

Рисунок 2 – Области идентификации источников проектных рисков [11] 

Разделение между тремя выделенными группами на практике проведения самооценки и построения системы управления достаточно условно. Переход от одного к другому является логически неразрывным процессом. Выстраивание системы управления операционным риском с помощью инструментов самооценки в части IT в контексте вышеизложенной терминологии и в соотвествующей последовательностью позволяет банку:

• охватить идентификацией все поля источников риска;
• создает процесс развития, улучшения информационных систем банка;
• разграничить зоны отвественности правления, подразделений бизнеса и подразделений IT.

Позволяет регулятору:

• контролировать качество построения системы управления операционными рисками;
• исполнять надзорные функции с минимальным субъективным контекстом.

Список литературы

1.  Якуш А. ЦОД – панацея? Одного ЦОД недостаточно // Банковские технологии. – 2008. – № – С. 62-65.
2. Тетеркин А. Практика внедрения эффективных систем хранения данных в российских банках // Банковские технологии. – 2008. – № 6. – С. 24-26.
3. Баранов А. Конкуренция на розничном рынке – это конкуренция IT-инфраструктур // Банковское обозрение. – 2008. – № – С. 108-109.
4. International Convergence of Capital Measurement and Capital A Revised Framework, Comprehensive Version [Electronic source]. – 2006. – URL: http://www.bis.org (дата обращения: 04.07.2013)
5. Sound practices for the Management and Supervision of operational risk [Electronic source]. –
6. URL: http://www.bis.org (дата обращения: 07.2013)
7. Слюсаренко А. Управление рисками в проектах внедрения информационных систем управления предприятием [Электрон. ресурс] // CIO-руководитель информационной службы (электронный журнал). – – URL: http://www.computerra.ru/cio/old/products/370199/ (дата обращения: 04.07.2013)
8. Аккерман К. IT для банков: больше, чем до кризиса [Электрон. ресурс] – – URL: http:// bankir.ru/publikacii/s/it-dlya-bankov-bolshe-chem-do-krizisa-10001492/ (дата обращения: 04.07.2013)
9. Смирнов А. Внедрение методологии управления ИТ-рисками [Электрон. ресурс] // Корпоративные системы. – – №2. – URL: http://betatester.bir.ru/article11.html (дата обращения: 04.07.2013) 
10. Нагорный Ю.   Будущее   –   за   технологичным   банком   [Электрон.   ресурс]   //    Деловой Казахстан. – 2013. – № 23 (370). – URL: http://www.afk.kz/index.php/ru/bankovsky-sekt or/7349-210613--------22370--210613---(дата обращения: 07.2013)
11. Шаманин М. IT аутсорсинг – новые горизонты развития банка [Электрон. ресурс] // Банковские технологии. – – № 7-8. – URL: http://www.bis.ru/pr/articles/BT078-2009-2.pdf (дата обращения: 01.07.2013)
12. Йордан Э. Смертельный марш. – М.: Лори,
13. Principle for the Sound Management of Operational Risk [Electronic source]. – 2011. – URL: http:// bis.org (дата обращения: 04.07.2013)
14. Principle for enhancing corporate governance [Electronic source]. – – URL: http://www.bis.org (дата обращения: 04.07.2013)
15. Operational Risk management [Electronic source]. – – URL: http://www.bis.org (дата обращения: 04.07.2013)
16. Ричард М. Стейнберг, Майлс И. Эй. Эверсон, Фрэнк Джей. Мартене, Люси И. Ноттингэм. Управление рисками организаций. Интегрированная модель [Электрон. ресурс]. – 2004. – URL: http:// www.coso.org/documents/COSO_ERM_ExecutiveSummary_Russian.pdf (дата обращения: 07.2013)
17. Дунаев Г. Построение бизнес-процессов управления ИТ-инфраструктурой банка на основе ITIL [Электрон. ресурс]. – URL: www.abajour.ru/files/dunaev.doc (дата обращения: 04.07.2013)
18. Никишин М. Е. Обоснование использования методологии ITIL/ITSM в управлении ИТ-службы коммерческого банка [Электрон. ресурс] // Системы управления бизнес-процессами. – – URL: http://www.itsmforum.ru/reference/publication/article-84 (дата обращения: 08.07.2013)
19. Исайченко Д. Управление уровнем ИТ-услуг [Электрон. ресурс]. – – URL: http://www. osp.ru/itsm/2013/05/13035617.html (дата обращения: 26.06.2013)
20. Christopher Alberts, Sandra G. Behrens, Richard D. Pethia, William R. Wilson Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM) Framework, Version 1.0 [Электрон. ресурс]. – URL: http://www.sei.cmu.edu/library/abstracts/reports/99tr017.cfm (дата обращения: 04.07.2013)
21. Carol Woody, Applying OCTAVE: Practitioners Report [Электрон. ресурс] – 2006. – URL: http:// cmu.edu/cgi/viewcontent.cgi?article=1390&context=sei (дата обращения: 04.07.2013)
22. Payment Card Industry Data Security Standard, PCI DSS v 2.0 [Электрон. ресурс]. – URL: https:// pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (дата обращения: 04.07.2013)