11 февраля 2014
Российские банки готовы к внедрению системных решений для управления операционными рисками
Системные решения по управлению операционными рисками кредитно-финансовых организаций важны не только в свете ужесточения регулирования в банковской сфере. Позволяя понять потенциальные источники потерь и неэффективности, они становятся важным фактором в конкурентной борьбе. Опрошенные iBusiness.ru эксперты объясняют, насколько широк круг подобных решений, имеются ли типизированные предложения «из коробки» и до какой степени к их широкому применению готовы сами банки.
Михаил Кузьмин, аналитик агентства «Инвесткафе»:
«Для банков актуально усовершенствование всей системы риск-менеджмента: сокращение внешних и внутренних рисков, улучшение финансовой устойчивости и репутации на рынке. Банки пытаются выстроить эффективные процессы управления операционными рисками самостоятельно или с использованием внешних решений. Эти системы позволяют оценить текущие и возможные убытки, а также наладить управление внутренними политиками и контроль за соблюдением законодательства. Последнее особенно актуально, потому что даже небольшие нарушения требований банковского законодательства могут привлечь внимание регулятора.
Системные решения помогают учесть все события операционного характера, которые привели к убытку. Тем самым кредитная организация, наблюдая историю возникновения этих проблем, может менять процессы и внутренние методики для того, чтобы схожие ситуации в будущем не повторялись. Такие системы также могут стать помощниками в улучшении вопросов информационной безопасности банка. Системы помогают выявлять слабые места, а уже менеджмент банка предлагает решения для устранения проблем.
На рынке есть программные решения как от российских, так и от международных компаний. Серьезные системы управления операционными рисками востребованы лишь крупнейшими банками, которые, во-первых, пытаются повысить свою эффективность и снизить вероятность рисков, а, во-вторых, обладают необходимыми ресурсами для внедрения таких продуктов. Средние по размеру кредитные организации стараются самостоятельно наладить анализ и прогнозирование операционных рисков. Рынок диктует правила, и если раньше многие не были готовы даже к запуску интернет-банкинга, то сейчас никто не спорит с тем, что это неотъемлемый элемент банковского бизнеса. Соответственно и спрос на системы управления операционным риском также будет постепенно возрастать: с увеличением конкуренции, с сохранением нестабильности и с ужесточением регулирования в банковском секторе».
Антон Сороко, аналитик инвестхолдинга «Финам»:
«Дело не только в том, что российские банки начали задумываться над системным управлением операционными рисками после ужесточения регулирования в сегменте со стороны Центробанка, но и в том, что конкуренция в отрасли из года в год растет. Со временем конкурировать с другими банками только за счет роста доходных показателей становится невозможно. Поэтому необходимо как можно больше работать над снижением рисков, в особенности, операционных.
В целом, процесс управления операционным риском состоит из четырех ключевых этапов: определение, оценка, мониторинг и минимизация. Собственно, последний шаг и следует считать ключевым. Минимизация риска осуществляется за счет уменьшения вероятности его реализации, а также ограничения величины потенциальных потерь. Обычно автоматизированные системы управления операционным риском (АСУОР) являются заготовкой, которая потом приспосабливается под реалии и бизнес-процессы конкретного кредитного учреждения. Наладить производство таких систем «под ключ», учитывая специфику, практически нереально. За рубежом, конечно, этот рынок развит намного лучше. В частности, за счет более раннего насыщения банковского рынка и увеличения конкуренции между кредитными организациями. Но наш рынок существенно моложе, поэтому о каких-либо «упакованных» решениях в данном направлении пока говорить не приходится».
Мария Каншина, менеджер по развитию бизнеса компании «Информзащита»:
«Наиболее зрелый функционал по управлению рисками предоставляют решения класса GRC (Governance, Risk Management and Compliance), которые делятся на два типа: enterprise GRC (eGRC) и IT-GRC. Первые представляет собой единую платформу для управления операционными рисками разных типов и соответствием требованиям в масштабах всей организации. Как минимум, четыре-пять таких решений представлены на российском рынке. Вторые больше заточены на решение задач по управлению рисками информационной безопасности. На российском рынке есть несколько вендоров, в линейке решений которых имеются такие продукты.
Суть работы решений класса GRC заключается в автоматизации трудоемких процессов, которые составляют основу управления рисками. Во-первых, автоматизации поддается сбор данных для подсчета рисков. В качестве источников выступают как сотрудники компании, так и различные автоматизированные системы (преимущественно это бизнес-приложения, а также различные системы мониторинга и корреляции событий). Во-вторых, автоматизируется подсчет риска, который проводится на этапе после сбора данных — в соответствии с методикой, заложенной в решении. В третьих, автоматизировать можно представление результатов оценки риска: то есть генерацию отчетов различных форматов и разной степени детализации. И, наконец, автоматизируется контроль исполнения планов обработки рисков.
Некорректно говорить, что эти решения сами по себе минимизируют риски, на самом деле они лишь способствуют снижению рисков: делают внутренние процессы организации более прозрачными для руководства; минимизируют трудозатраты на деятельность по управлению операционными рисками; способствуют своевременному выявлению рисков, которые связаны с этими процессами; позволяют более оперативно реагировать на выявленные риски, контролировать деятельность по обработке рисков.
Внедрение таких решений — это всегда долгосрочный и трудоемкий проект, требующий взаимодействия бизнес– и ИТ-подразделений заказчика, компании-консультанта и вендора. Типовых решений нет и не может быть по определению, каждый проект уникален. Речь не всегда идет о доработке программного решения вендором, чаще о работах по внедрению, которые выполняются компанией-консультантом. Это, прежде всего, адаптация решения под специфику бизнес-процессов конкретного заказчика и под методику оценки рисков, которая принята у заказчика. Трудоемкость внедрения, как правило, зависит от степени зрелости процессов управления рисками, используемых методик оценки рисков в компании, а также от конкретного технического решения».
Фото: photogenica.ru