Роль ИТ-стратегии в управлении операционными рисками ритейлового банка

Грибанов С.П.
старший преподаватель кафедры
"Системы управления бизнес-процессами"
Школа IT-менеджмента
АНХ при Правительстве РФ

Борьба за клиентов, поиск и привлечение ресурсов, использование наиболее эффективных и перспективных технологий (включая информационные) все это, так или иначе, характеризует текущее состояние рынка банковского сервиса.

Как показывают многочисленные аналитические обзоры и публикации в СМИ, развитие экономики России сопровождается резким возрастанием востребованности потребительских кредитов у населения. Наряду с этим, ускоренными темпами развиваются рынки страхования, автокредитования и ипотеки. Очевидно, что работа с физическими лицами на данный момент становится наиболее привлекательным сектором и обуславливает стремление банков к предоставлению розничных банковских продуктов населению России. Подъем именно розничного банковского рынка в России обусловил выбор темы данной публикации.

Следует отметить, что с т.з. системности, процесс бурного роста, т.е. высокоскоростное изменение состояний системы, всегда связан с увеличением возможности непредсказуемых последствий такого развития. Непредсказуемость, неопределенность общепринято выражать в терминах понятия риска.

Риск, как понятие, характеризующее неопределенность последствий наступления события, неблагоприятные формы проявления последствий этого события и возможный ущерб заставляют участников банковского рынка уделять этому понятию особое внимание.

Сложность процессов при предоставлении розничных банковских услуг, миллионы участников этих процессов многократно усиливают значение тех мер, которые банковские институты и государственные регуляторы вынуждены применять к минимизации возможности возникновения самих рисков и нивелирования последствий от их реализации.

Наиболее часто в банковской сфере выделяют кредитные, рыночные и операционные риски. Если для борьбы с двумя первыми видами рисков банки достаточно давно и успешно выработали методы и средства противодействия, то операционные риски выходят на передний план относительно недавно. К сожалению, на сегодняшний момент в банковском сообществе не существует единого эффективного универсального рецепта по идентификации, анализу и противодействию операционным рискам. Такое положение является второй причиной выбора данной темы.

С другой стороны, информационные технологии (ИТ) де-факто являются не только средствами автоматизации бизнес процессов, но и стали интегрированной частью самих эти процессов. В настоящий момент основные банковские бизнес процессы в принципе не могут быть реализованы без использования ИТ. Например, в ритейловом банке ежедневно могут появляться десятки тысяч новых клиентов, а однократное начисление процентов может потребоваться по нескольким миллионам выданных кредитов.

В свою очередь деятельность ИТ служб банка, использование ИТ в основных бизнес процессах, сопровождение и развитие банковских технологий на основе ИТ очевидно выступает третьей причиной рассмотрения заявленной темы.

Таким образом, тема данной статьи отражает следующее стремление автора:

• обозначить наличие взаимовлияния ИТ и операционных рисков банков;
• понять какие могут быть точки соприкосновения или пересечения интересов между ИТ подразделениями и подразделениями управления операционными рисками, с целью недопущения или снижения влияния последствий возможных противоречий;
• понять, каким образом может быть осуществлено разграничение полномочий и ответственности между ИТ службой и службой управления операционными рисками в процессах риск-менеджмента. (например корректировкой содержания ИТ стратегии);

Можно предположить, что в основе деятельности ИТ подразделения Банка лежат некоторые принципиальные положения. Причем, независимо от того, закреплены ли эти положения в официальных документах, или они являются не декларируемыми, но общепринятыми и разделяемыми на осознанном уровне всеми заинтересованными и взаимодействующими сторонами или они являются интуитивно понятными и зафиксированными в культуре сложившихся отношений, - неважно. В любом случае все эти принципы составляют содержательную часть реализуемой в банке ИТ стратегии. Даже отсутствие стратегии –можно считать одной из возможных стратегий.

Рассмотрению вопросов связанных с ролью, которую играет или может играть ИТ стратегия путем влияния на процессы управления операционными рисками в ритейловом банке и посвящена данная работа.

Современные тенденции в области операционного риска говорят о возрастающем внимании к нему со стороны ЦБ РФ и коммерческих банков (резидентов и не резидентов) присутствующих на российском банковском рынке. Стремление банковской системы к рекомендациям международного института, регламентирующего общие принципы функционирования интернациональных финансовых институтов (Базельского Комитета) уже сегодня вынуждает банки выстраивать систему управления операционным риском.

Что такое операционный риск и как им эффективно управлять? Ответ на этот вопрос связан с внедрением нового Базельского соглашения (так называемый Базель II), в котором вводятся понятие операционного риска и рекомендации в отношении методов начисления капитала на этот вид риска.

Системность операционного риск-менеджмента заключается в том, что она полностью пронизывает структуру финансового института. Управление операционным риском не может осуществляться на уровне отдельного департамента или отдела. Система операционного риск-менеджмента начинается на уровне топ-менеджмента и заканчивается на уровне исполнителей. При этом управление операционным риском осуществляется не только на структурном уровне, требующем наличия специального подразделения по управлению операционным риском, но и на функциональном уровне. Оно должно осуществляться на всех уровнях менеджмента, а также во всех структурных подразделениях. В процесс управления операционным риском вовлечены не только департамент риск-менеджмента, но и внутренний аудит, служба безопасности, служба внутреннего контроля, структура, отвечающая за управление качеством и другие подразделения, безусловно включая и ИТ службу.

Актуальность темы подтверждается статистическими исследованиями, приведенными компанией InfoWatch (Рис. 1.) в отношении использования стандартов ЦБ по информационной безопасности. Отвечая на вопрос о значимости введения процедур по управлению операционными рисками, респонденты опроса указали, что одним из основных стимулов к претворению в жизнь стандарта ЦБ по ИТ-безопасности является построение эффективной системы управления операционными рисками. Отсюда возникает вопрос, есть ли такая система в российских банках уже сейчас и каково ее качество. Чтобы прояснить этот момент, респондентам было предложено оценить эффективность уже существующей в их организациях системы управления операционными рисками. Оказалось, что подавляющее большинство банков (75 %) не довольны эффективностью такой системы: каждый пятый респондент (20 %) сообщил, что операционные риски являются вообще не управляемыми, а чуть больше половины анкетируемых (55 %) указали, что управление осуществляется недостаточно эффективно.

Лишь одна четверть респондентов (25 %) оказалась довольна эффективностью имеющейся системы управления операционными рисками. Следовательно, можно с уверенностью утверждать, что данная категория угроз являются самой серьезной проблемой для российских банков. Заметим, что этот вывод полностью согласуется с результатами исследования «Соглашение Base II в России 2006», так же приведенными в этом обзоре CNewsAnalytics. Таким образом, можно резюмировать, что именно операционные риски сегодня представляют наиболее серьезную проблему для банковского сектора. Причем на разрешение именно этой ситуации направлен стандарт по ИТ безопасности Центробанка РФ.

Рис. 1. Распределение респондентов по вопросу об эффективности управления операционными рисками [1]

Глобализация финансовых услуг наряду с возрастающей сложностью финансовых технологий делают деятельность банков (и их рисковый портфель) более разнообразной и комплексной. Разрабатываемые банковские законодательные и рекомендательные документы говорят о том, что риски отличные от кредитных и рыночных могут быть существенными. Примерами таких новых и увеличивающихся в своем количестве рисков могут быть:

• сбои и ошибки в работе автоматизированных банковских систем (АБС) при отсутствии или недостаточном контроле;
• внутреннее и внешнее мошенничество, связанное с предоставлением услуг, связанных с удаленным доступом к денежным средствам или информации;
• временные разрывы в деятельности банков в связи с выходом из строя компьютерных, телекоммуникационных и др. систем банковского «жизнеобеспечения»;
• превышение лимитов по операциям трейдерами, сотрудниками кредитных подразделений при отсутствии контроля за такими операциями.

На данный момент сформировалась категория рисков, включающих вышеперечисленные примеры и носящая название – «операционный риск». Однако сегодня не только не существует единой концепции определения, оценки и управления операционным риском, но и трудно найти какой-либо комплексный и последовательный подход к данной проблеме.

Операционный риск-менеджмент приобретает большую значимость, особенно в свете рекомендаций Базельского Комитета. Банки РФ в своей деятельности для оценки уровня управления операционным риском должны будут использовать целый набор факторов, а именно:

• существование адекватной, эффективной, доведенной исполнителям внутренней нормативной базы (положений, процедур и т.п.) относительно управления операционно-технологическим риском, утвержденной соответствующими органами банка исходя из принципов корпоративного управления, а также соответствующей практики выполнения ее требований;
• количество и сложность обработки операций в сравнении с уровнем развития и мощностью операционных и контрольных систем, учитывая предшествующие результаты работы этих систем, их текущее состояние и перспективы дальнейшего усовершенствования;
• вероятность технологических и операционных сбоев, превышение полномочий персоналом, недостатки в предшествующем анализе операций во время принятия решений, а также отсутствие (в том числе временное) мониторинга или регистрации операций с клиентами или контрагентами;
• наличие и соблюдение банком технологических карт осуществления операций;
• наличие, количество, причины и характер нарушений процедур административного и учетного контроля;
• потенциальная возможность финансовых убытков вследствие:
  • ошибки исполнителей или мошенничества;
  • низкой операционной конкурентоспособности банка;
  • неадекватности имеющихся информационных систем;
  • неполной информации относительно контрагента или операции;
  • операционных и технологических сбоев;
• история и характер жалоб и обращений клиентов в банк в связи с недостатками работы операционных систем и реакция на них банка;
• объемы и адекватность средств контроля за банковским программным обеспечением и его сопровождением и другими услугами, которые осуществляются с привлечением третьих лиц (outourcing);
• адекватность стратегии относительно информационных технологий, стратегия относительно информационных технологий должна отвечать текущим и предвиденным требованиям относительно деятельности банка и учитывать структуру технических средств, телекоммуникационных средств, программного обеспечения, данных и сетей, а также целостность информационной базы данных;

Как видно из вышесказанного, банки должны серьезно относиться к проблеме операционного риска и для оценки его уровня должен быть определен большой объем критериев оценки. На основании оценки адекватности вышеуказанных факторов, а также специальных матриц оценки, сотрудники банковского надзора смогут не только оценить количество операционного риска и качество управления им, но и дать оценку тенденции уровня операционного риска в будущих периодах.

Задача департамента риск-менеджмента - стратегическое управление рисками и оперативное управление или координация действий профильных отделов. Это позволяет получать синергетический эффект, оперативно принимать правильные решения. С сожалением приходится констатировать, что в большинстве российских банков системный подход в риск-менеджменте отсутствует. Управление рисками зачастую сводится к выполнению нормативов надзора, написанию огромного количества внутренних документов (которые большей частью не выполняются) и созданию службы безопасности, пытающейся контролировать сотрудников и контрагентов. Все это достаточно далеко от полноценной системы риск-менеджмента. К тому же не налажен обмен информацией между профильными отделами, что напрямую может быть отнесено к одной из основных задач ИТ стратегии банка.

Еще одно слабое звено - IT. Практически вся технологическая инфраструктура банков предназначена для решения в первую очередь учетных задач, плюс бизнес-планирование и бюджетирование. Из-за этого специалистам и риск-менеджерам приходится тратить огромное количество времени на поиск и структурирование информации. Даже «хорошая» ERP-система не всегда позволяет эффективно решать эту задачу. В ней обязательно должен присутствовать блок, отвечающий за оценку и анализ рисков.

Банковские информационные технологии на сегодняшний день являются самостоятельным направлением в сфере информационного бизнеса и включают в себя наряду с программным обеспечением, комплекс вопросов, касающихся информационного, аппратно-технического обеспечения банковских операций и телекоммуникаций.

Информационные технологии предоставляют возможность ведения автоматизированного учета всего спектра операций, осуществляемых банком. С приемлемой степенью скорости и надежности, получение всей бухгалтерской и финансовой отчетности. Они поддерживают управленческий учет и стратегическое планирование, предоставляют широкие возможности для контроля и анализа управленческой и учетной информации. Несмотря на универсальность большинства российских банков с т.з. спектра операций, практически невозможно найти два банка, похожих друг на друга своей организационной структурой, технологией предоставления клиентам услуг, структурой документооборота и т.д. Хотя экономический смысл банковских операций в любом случае остается неизменным, каждый коммерческий банк работает по своей сложившейся технологии. Она может быть не всегда оптимальной, характеризуется неоправданно высокими затратами, но тем не менее эта технология является «исторически сложившейся» для данного банка. [2]

Именно данное обстоятельство позволяет сделать суждение о том, что уникальность каждого банка в этом смысле должна иметь отражение как в процессах управления операционными рисками, так и в формировании специфической для данного банка ИТ стратегии с учетом требований риск-менеджмента.

Связи между ИТ стратегией и операционными рисками также проявляется в том, что информационные технологии не только выполняет обслуживающие функции, но и участвуют в работе всех подразделений и напрямую определяют возможности банка по развитию бизнеса и совершенствованию как внутренних процессов, так и системы обслуживания клиентов.

ИТ стратегия, определяет путь достижения бизнес целей, позволяет достичь соответствия между различными внутренними и внешними требованиями, удовлетворить требования качества, требования локальных и международных стандартов, контролирующих органов, законодательных актов и соответствовать общепризнанным подходам и методологиям в области ИТ.

Так же следует отметить, что именно ИТ стратегия может являться источником серьезных ограничений бизнес инициатив по стоимости, времени и реализуемости. И таким образом оказывать непосредственное влияние на операционные риски.

ИТ стратегия увязывает во едино цели, ресурсы и методологии.

Под ресурсами следует понимать: персонал (ИТ-специалисты, сторонние специалисты и консультанты); информацию; технологии (оборудование, системное ПО, СУБД, телекоммуникации); информационные системы (прикладное ПО); инфраструктуру (помещения, оснащение, обеспечение);

В свою очередь, методологии содержат: структуру организации управления; основные цели и задачи; функциональные блоки и подходы к организации работы по ним; описание лучшего мирового опыта и практические примеры; количественные метрики и показатели оценки результатов; систему приоритетов в организации работы;

Использование методологий при разработке и реализации ИТ стратегии дает следующие преимущества: структурированный подход к управлению ИТ; проверенные практикой подходы и решения; относительные гарантии достижения результата; соответствие нормативным актам и стандартам; положительный маркетинговый и рыночный эффект;

Важнейшей составляющей ИТ стратегии должен являться риск-менеджмент. ИТ является одной из самых рискованных областей деятельности и может быть сопоставима для банков с уровнем рискованности финансовых операций.

Такое положение приводит к необходимости постоянной оценки наихудшего сценария по всем направлениям, оценки вероятности его наступления, потенциального влияния и возможного ущерба. Что и представляет собой риск-менеджмент.

Основными направлениями риск-менеджмента в контексте ИТ стратегии являются: планирование непрерывности деятельности и действий в чрезвычайных ситуациях (Business Continue and Disaster Recovery Planning); разделение ключевых ИТ функций (разработка, внедрение, тестирование, сопровождение, развитие, изменения); снижение зависимости от ключевого ИТ персонала; информационная безопасность, инциденты, связанные с доступом и раскрытием конфиденциальной информации;

Для минимизации рисков ИТ стратегия предполагает внедрение контрольных процедур, направленных на предотвращение, выявление и смягчения негативных ситуаций.

К основным составляющим элементам ИТ стратегии можно отнести следующие элементы [3] (Рис. 2.): Организационная структура, Внутренние процессы, Архитектура и Технологии, Бизнес приложения, Персонал, Регламенты и Стандарты, Стратегические коммуникации, Мониторинг и риски, Анализ, Планирование, Финансирование.

Рис. 2. Составляющие элементы процесса формирования ИТ стратегии

Совершенно очевидно, что все выше перечисленные сферы ИТ стратегии сами по себе имеют операционную составляющую, а следовательно обладают потенциальными операционными рисками. С другой стороны, реализация этих элементов ИТ стратегии в банке, безусловно влияет на всю операционную деятельность и тем самым изменяет ландшафт операционных рисков всего банка.

Реализация корпоративной стратегии ИТ — полный контроль над ИТ-ресурсами и ИТ-процессами — была важной темой еще до выхода Basel II и американского Sarbanes-Oxley Act (SOX). Однако под действие этих законодательных предписаний попадают очень многие предприятия, а до момента, когда они станут обязательными для выполнения, осталось уже немного времени. Что означает это для банковских служб ИТ и какую часть ответственности могут взять на себя внешние провайдеры услуг?

Многие банки относятся к безопасности ИТ всерьез: они следят за тем, чтобы данные предоставлялись лишь тем, кому они нужны и у кого есть право их использовать, защищают корпоративную сеть от отказов и от атак как снаружи, так и изнутри и т. д. Эти меры, безусловно, важны, однако их недостаточно, чтобы соответствовать таким правовым нормам, как Basel II и Sarbanes-Oxley. К сожалению, всеобъемлющее структурированное управление рисками зачастую отсутствует. И это еще одно веское основание для отражения этих вопросов в ИТ стратегии.

На практике это означает, что ответственные за ИТ должны провести глубокий анализ систем и процессов; проверить потенциально уязвимые места и связанные с ними риски в отношении надежности, целостности и готовности данных; определить, какие процессы, имеющие отношение к бизнесу и соответствующие ИТ-системы, следует подвергнуть анализу. Исходя из анализа процессов и риска определяется, какие меры обеспечения безопасности уже приняты, а какие еще ждут своей очереди. Поэтому менеджеры и ответственные за ИТ обязаны составить подробный перечень вопросов, касающихся управления рисками. Эта деятельность время - и трудо-затратная, требующая ресурсов, а значит должна быть планируемая, т.е. быть управляемым следствием реализуемой ИТ стратегии.

Безопасность ИТ — важная часть управления ИТ. Список задач может стать следующим: непрерывность бизнеса; развитие систем; контроль доступа; коммуникация и эксплуатация; физическая безопасность; сотрудники; классификация систем; организация ИТ; директивы безопасности.

Издержки на корпоративные стратегии соответствия законодательным нормам весьма велики. Эксперты консалтинговой компании KPMG прогнозируют, что затраты крупных европейских компаний на соответствующие цели составят несколько десятков миллиардов долларов. Неудивительно, что это порождает недовольство и критику. Однако регулирование вводится для своевременного распознавания и минимизации деловых рисков. Скандалы, связанные с неплатежеспособностью, показывают, насколько необходимо такое управление.

Соблюдение требований SOX или Basel II имеет и некоторые преимущества: анализ собственных процессов с большой долей вероятности послужит стимулом к оптимизации и снижению стоимости, что, в свою очередь, позволит добиться прозрачности этих процессов и тем самым повышения доверия со стороны клиентов.

IT-обеспечение розничного бизнеса банков базируется на основополагающих принципах автоматизации любых массовых операций и тиражируемых процессов (на основании материалов Дитхельма Зибура [4]). Это минимизация издержек на проведение каждой операции. При этом качество ее выполнения может быть несколько cнижено по сравнению с процессами при обслуживании клиентов, например privat banking. Вместе с тем важной задачей является повышение степени надежности всех IT-систем, поскольку сбой любого процесса в массовом обслуживании приводит к серьезным негативным последствиям. И хотя банки предпочитают хранить молчание о тех случаях, когда в результате сбоя в IT-системе возникали серьезные потери, это не снимает важности самой проблемы.

Ритейл является сейчас одним из самых модных направлений в банковском бизнесе России. Олицетворение ритейла в самом банке — фронт-офис, ориентированный на работу с клиентами и на массовые продажи. Он может находиться как внутри самого банковского офиса, так и представлять собой географически весьма удаленную точку продаж. В то же время агрессивная и целенаправленная политика банков по расширению филиальной сети и стремительное наращивание «мест присутствия» в торговых сетях — пока, скорее, экстенсивный, а не интенсивный путь развития, поскольку уровень автоматизации фронт-офисов далек от совершенства.

Банковская стратегия в области IT развивается в трех основных направлениях: розничный бизнес, дистанционное обслуживание, обеспечение информационной безопасности.

Анализ информационных источников показал, что если по проблеме формулирования и реализации ИТ – стратегии существует достаточный объем публикаций, специализированных изданий и даже монографии, включая специальную литературу по применению ИТ в банках, то вопросам управления операционными рисками имеется информационный дефицит. Такое положение объясняется относительной новизной данной проблемы для российского банковского рынка

Следует отметить высокую значимость проблемы управления операционными рисками для банков, присутствующих на российском рынке вследствие неизбежности использования рекомендаций Базельского комитета. (Ориентировочно 2009 г.)

Регулятор банковской сферы, ЦБ РФ, готовит банковское сообщество России к переходу на расчет достаточности собственного капитала с учетом не только кредитных и рыночных рисков, но и операционных. (Письмо Банка России от 24 мая 2005 года N 76-Т "Об организации управления операционным риском в кредитных организациях").

Несмотря на имеющие рекомендации по организации системы управления операционного риска общего характера, очевидно, что практическая реализация таких рекомендаций абсолютно индивидуальна для каждого банка, его сферы деятельности и включает значительную субъективную составляющую.

Реализация системы управления операционными рисками в ритейловом банке должна учитывать следующие его особенности: миллионы ежедневных транзакций, значительное число банковских продуктов и акций, частое изменения в продуктовой линейке, специфическую сложность используемых банковских и информационных технологий, обилие разнообразных бизнес процессов, географическую распределенность бизнеса, сложную организационную структуру менеджмента ритейла, обилие используемых прикладных информационных систем.

Управление операционными рисками в ритейловом банке невозможно без внедрения специализированной роли риск-координатора в каждое функциональное подразделение Банка и без использования экспертного мнения по вопросам операционных рисков функциональных руководителей всех значимых структурных подразделений.

Управление операционными рисками должно основываться на базе организованного системного обучения в области операционных рисков.

Использование средств автоматизации процедур управления операционными рисками является обязательным.

Так как и ИТ стратегия банка и управление операционными рисками разделяют одни и те же объекты воздействия (люди, процессы, технологии, системы), то их взаимовлияние очевидно и требует учета данного факта путем коррекции принятой ИТ –стратегии.

Формирование и реализация ИТ – стратегии ритейлового банка однозначно влияет прямым (как часть технологического процесса и совокупность наиболее критичных с т.з. операционных рисков систем) и опосредованным (как функция сопровождения ИТ инфраструктуры и сервисов).

Информационная безопасность, как часть информационной стратегии является той сферой деятельности, которая также оказывает значительное влияние на операционные риски.

Внутренний аудит (Служба Внутреннего Контроля), а также топ-менеджмент банка разделяют ответственность за построение и реализацию эффективных процедур управления операционными рисками.

Скоринг, является не только ядром управления кредитными рисками, но и объектом пристального внимания с точки зрения операционных рисков ритейлового банка в связи с высокой операционной значимостью.

Имеющиеся стандарты в области управления ИТ, информационной безопасности и риск-менеджмента создают достаточную документарную основу для организации эффективной системы управления операционными рисками.

Непрерывность и взаимодействие с ИТ менеджментом.

Исходя из предположения о том, что операционная дискретность представляет собой главный атрибут любого процесса, как совокупности связных целью операций, можно достаточно уверенно констатировать, - операционный риск, также атрибут любого процесса (в том числе и банковских бизнес - процессов).

Из этого следует вывод, что именно бизнес - процесс должен являться основным объектом изучения при построении системы управления операционными рисками и именно бизнес – процессы наиболее подвержены влиянию ИТ решений, проистекающих из ИТ стратегии.

На Рис. 3. представлена схема декомпозиции операционных рисков по уровням совокупных факторов, влияющих на бизнес – процесс а, следовательно, и на операционные риски.

Рис. 3. Уровни декомпозиции операционных рисков

С другой стороны, перечень составляющих ИТ стратегии (Рис. 2.) показывает, что эти составляющие также могут быть представлены в проекции тех же факторов реализации, что и операционные риски на предыдущем рисунке.

Таким образом, на основании изложенного, можно сделать заключение о том, что реализация эффективно действующей системы управления операционными рисками невозможна без учета факта тесного взаимовлияния ИТ и операционных рисков. Такое взаимовлияние должно находить свое отражение как в процессе разработки ИТ стратегии так и на этапе ее практического воплощения.

Также безусловен обязательный учет основных положений ИТ стратегии при разработке и реализации планов построения системы управления операционными рисками.

«Ритейловая» специфика банка, многократно усиливает необходимость учета выше отмеченного взаимовлияния.

---

[1] Источник: InfoWatch, 2006
[2] Тютюнник А.В., Шевелев А.С. Информационные технологии в банке. М.: Издательская группа «БДЦ-пресс», 2003, - 368 с.
[3] Тютюнник А.В., Шевелев А.С. Информационные технологии в банке. М.: Издательская группа «БДЦ-пресс», 2003, - 368 с.
[4] Генеральный Директор отделения компании Easyplanet в Германии wg@lanline.awi.de

Copyright © 2008 Грибанов С.П.