Управление операционными рисками, обеспечение операционной надёжности и непрерывности деятельности организаций является несомненным трендом на долгие годы вперёд. Всё это нуждается в качественной регламентации и моделировании. Т. е. важно не просто внедрять новые методики, стандарты и технологии, а сопровождать и обеспечивать все разработки детальной системой регламентации и моделей, которые будут исполняться на практике. В статье рассмотрим структуру (Рис. 1) данной системы и приведём примеры её компонентов. Эта структура показывает, какой полный набор моделей и документов в идеале должен иметь современный департамент риск-менеджмента средней и крупной организации (многих отраслей, особенно высокотехнологичных, производственных, финансовых).
В работу активно входит новое понятие — операционная надёжность. Это способность организации обеспечить непрерывность функционирования критически важных процессов в случае возникновения отказов и (или) нарушений функционирования применяемых организацией информационных, технологических и других систем, оборудования и (или) несоответствия их функциональных возможностей и характеристик потребностям организации или реализации киберриска. [1]
Рис. 1. Структура системы регламентации и моделей по операционным рискам и операционной надёжности
При разработке данной схемы автор учитывал следующие факторы.
- Возможности систем бизнес-моделирования (Microsoft Visio, Business Studio [2] и др.) по разработке соответствующих моделей и документов. Это ключевой фактор, т. к. не имеет смысла говорить о каких-то моделях и включать их в рекомендуемую структуру, если их разработку не поддерживают современные системы.
- Готовые типовые решения — «Большая библиотека риск-менеджера и специалиста по операционным рискам» [3].
- Успешные практики и проектный опыт.
- Актуальные задачи и потребности департаментов риск-менеджмента ведущих организаций.
- Требования национальных и международных стандартов в области рисков (ISO 31000, ISO 31010, FERMA, COSO ERM, Положение № 716-П Банка России, BASEL III и др.).
Сразу следует обратить внимание, что данная схема не является абсолютной истиной и должна дорабатываться (корректироваться) под конкретную организацию. Т. е. можно перемещать разные компоненты (блоки) между категориями (группами), удалять, добавлять новые. Но предложенные подходы являются универсальными и применимы для широкого круга задач.
Область операционных рисков и операционной надёжности тесно связана с ИТ-архитектурой организации, поэтому для получения более подробной информации по теме ИТ рекомендуется авторская статья «ИТ-архитектура организации и система регламентации ИТ-департамента». [4]
Рассмотрим более подробно, что входит в каждый из компонентов схемы (Рис. 1) с примерами.
1. Нормативные документы (ОР)
Данная группа включает непроцессные верхнеуровневые нормативные документы: политики, положения, порядки, методики. Процессные регламенты относятся в группе «4. Процессы и процедуры». Приведём список нескольких важных документов.
- Политика по управлению операционными рисками.
- Политика обеспечения непрерывности и восстановления деятельности организации.
- Политика в области обеспечения качества ИТ (IT quality assurance).
- Положение об управлении операционными рисками.
- Положение об организации системы риск-менеджмента.
- Положение о разработке и тестировании плана обеспечения непрерывности и восстановления деятельности.
- Положение об исполнении требований по операционной надёжности.
- Положение об обеспечении информационной безопасности.
- Методика проведения оценки эффективности системы риск-менеджмента.
- Методика проведения стресс-тестирования различных видов рисков.
Плюс дополнительные категории (группы) нормативных документов: информационная безопасность, обеспечение непрерывности и восстановление деятельности, ИТ (информационные технологии) и другие. Чем крупнее организация, тем больше нормативных документов требуется для регламентации всей деятельности по управлению операционными рисками.
2. Организационные регламенты
Данная группа включает: должностные инструкции (всех сотрудников департамента риск-менеджмента), положения о подразделениях (входящих в состав департамента риск-менеджмента), положения о рабочих группах и комитетах (в сфере управления рисками), организационная структура департамента риск-менеджмента (в его состав входит несколько управлений, одно из них на Рис. 2). Дополнительный важный компонент — учебные материалы и тесты для персонала, которые должны быть обязательно проработаны и постоянно актуализироваться.
Перечислим ключевые подразделения в организационной структуре, которые принимают активное участие в управлении операционными рисками, кроме департамента риск-менеджмента.
- Служба внутреннего контроля.
- Служба внутреннего аудита.
- Отдел информационной безопасности.
- Отдел развития ИТ-архитектуры.
- Служба качества и стандартизации.
- Департамент бизнес-архитектуры (включая процессный офис).
Согласно современным требованиям и рекомендациям по управлению операционными рисками в подразделениях организации необходимо назначать риск-офицеров или центры компетенции. Их задача — управление операционными рисками в области своих бизнес-процессов.
Рис. 2. Организационная структура Управления операционных рисков (фрагмент)
3. Формы документов (ОР)
Данная группа включает: приказы, служебные записки, планы, отчёты, анкеты, чек-листы, формы регистрации рисков, технические задания и т. п. Наличие детально проработанной библиотеки форм документов позволяет эффективно спроектировать и исполнять бизнес-процессы и соответствующие им технологии (автоматизация).
4. Процессы и процедуры
Данная группа включает: дерево (реестр) процессов по управлению рисками (Рис. 3) как часть единого дерева всех процессов организации, модели процессов и процедур (Рис. 4), показатели KPI процессов, матрицы распределения ответственности и ролей в процессах. Виды ролей, которые желательно утвердить по всем наиболее важным (критичным) процессам организации: владелец (ответственный), бизнес-аналитик (системный аналитик), риск-офицер (риск-менеджер), исполнитель (участник). Примеры всех процессов и процедур по управлению операционными рисками, а также всех основных компонентов бизнес-архитектуры организации и бизнес-кейсы приведены в книге [5].
Рис. 3. Дерево (реестр) процессов и процедур по управлению рисками, фрагмент
Рис. 4. Модель процедуры «Идентификация, анализ и оценка операционных рисков»
5. Базовые справочники и модели
Данная группа включает: идентификация рисков (план), факты (события) рисков (Рис. 5), задачи (предупреждающие и корректирующие действия по рискам), матрицы и карты рисков, показатели (Key Risk Indicators — KRI). Все справочники обычно имеют формат иерархических каталогов (реестров), которые ведутся в Microsoft Excel или специализированных программных продуктах, например Business Studio [2]. А графические модели и матрицы позволяют наглядно отобразить и изучить необходимую информацию по рискам для быстрого принятия решений и системного понимания.
Рис. 5. Пример карточки события (факта) риска из справочника (каталога) всех событий (фактов) рисков
6. Вспомогательные справочники
Данная группа включает: типы событий операционного риска, виды операционного риска, виды убытков (потерь), виды возмещений потерь, источники рисков. Эта информация необходима для формирования отчётов и выполнения расчётов по операционным рискам в разрезе разных аналитических параметров.
7. Другие модели и материалы
Данная группа включает: стратегические карты и цели по ОР (Рис. 6), ИТ-архитектура (для ИТ-рисков), модели (графики) проектов в области ОР, другие аналитические и технические модели.
Рис. 6. Стратегическая карта «Развитие системы управления операционными рисками (СУОР)»
Расчёт уровня зрелости системы регламентации и моделей по операционным рискам
На основе Рис. 1 можно разработать чек-лист, с помощью которого оценить уровень развития (проработки) каждого компонента и затем получить агрегированную оценку для системы в целом. Предлагаемая шкала: 2 — полностью проработано и используется, 1 — проработано и используется частично, 0 — отсутствует. Формула: сумма оценок разделить на максимально возможный суммарный балл по всем компонентам. Автору известны организации, у которых данный чек-лист показывает 100%, т. е. максимальный уровень зрелости. А значит и другие организации тоже могут приблизиться к совершенству, выполнив соответствующие работы.
Ещё раз обратим внимание, что важно не просто разработать все необходимые регламенты и модели по операционным рискам и операционной надёжности, а постоянно поддерживать их в актуальном состоянии, исполнять на практике и развивать. Только в таком случае всё это имеет ценность и даёт долгосрочные конкурентные преимущества.
Электронную версию чек-листа в формате Excel можно получить у автора по контактам, указанным в данной статье.
Заключение
Построение полноценной и комплексной системы регламентации и моделей в области операционных рисков и операционной надёжности — это трудоёмкая и длительная задача, требующая высокопрофессионального подхода. Чтобы не разрабатывать большинство документов и моделей с чистого листа, рекомендуется использовать готовое решение — «Большая библиотека риск-менеджера и специалиста по операционным рискам» [3]. Данная библиотека позволит получить следующие экономические эффекты и практические выгоды для организации.
- Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике.
- Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т. е. дополнительных расходов.
- Минимизация операционных рисков и ошибок за счёт готовых проверенных на практике материалов и решений.
- Улучшение показателей KPI бизнес-процессов, качества и эффективности работы организации в целом. Снижение операционных убытков (потерь).
Рекомендуемая литература и источники информации:
- Проект Положения Банка России «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».
- Business Studio — Risk Manager: система управления операционными рисками.
- Большая библиотека риск-менеджера и специалиста по операционным рискам.
- Исаев Р. А. ИТ-архитектура организации и система регламентации ИТ-департамента.
- Исаев Р. А. Управление операционными рисками: процессы, технологии, практика. Электронное пособие.
«Внутренний контроль в кредитной организации», №1/2022.
Март 2022 г.
Поделиться: