VII Международная студенческая научная конференция Студенческий научный форум - 2015

Неустойчивость развития финансовых рынков, возросшая конкуренция и диверсификация подвергают банки новым рискам и проблемам, требующего от них постоянного обновления способов, приемов управления бизнесом и связанными с ним рисками, чтобы сохранить его конкурентоспособность. Растущая рыночная ориентация банков также вызывает необходимость изменений принципов регулирования и надзора.

Особенностью операционного риска является то, что операционный риск возникает не только вовремя проведения операций, но он присущ всем процессам, сотрудникам, системам и внешним факторам. Поэтому по сравнению с иными видами рисков возможность прогнозирования и оценка некоторых видов операционного риска ограничена.

Управление операционными рисками направлено на снижение убытков от различного рода инцидентов операционного риска, обеспечение риск-менеджмента банка системой формирования комплексных мероприятий по предупреждению операционных рисков и разработке мер, направленных на минимизацию операционного риска.

Управление операционными рисками заключается в создании систем быстрого и адекватного реагирования на появление угроз рисков в целях предотвращения появления у банков убытков, а также исключения повторной реализации событий рисков.

В целом, система управления операционными рисками в банке включают в себя следующие этапы:

• выявления (идентификация) операционного риска;

• оценка операционного риска;

• мониторинг операционного риска;

• контроль и минимизация операционного риска.

Исходя из вышеперечисленных пунктов для того, чтобы усовершенствовать механизмы управления операционными рисками была разработана автоматизированная система для управления операционными ИТ-рисками.

Цель ИС для управления операционными IT-рисками:

•  

  • проактивно выявлять новые операционные ИТ-риски;

  • предлагать пути минимизации рисков на основе оценок экспертов, выработанных ранее мер по минимизации типовых рисков;

  • обеспечивать поддержку активностей по минимизации рисков (выполнение мероприятий).

Задачи системы:

•  

  • осуществление первичной проверки корректности предоставленных данных по рискам;

  • поддержание в актуальном состоянии реестра операционных ИТ-рисков;

  • проведение анализа предложенных мероприятий по снижению риска;

  • формирование набора типовых рисков на основе результатов экспертной оценки;

  • контроль выполнения утвержденных компенсационных мероприятий;

  • формирование периодической отчётности и отчётности по запросам;

  • поддержание в актуальном состоянии статусов мероприятий по рискам, путём сбора данных от ответственных лиц.

Система управления операционными ИТ-рисками предназначена для проактивного выявления операционных ИТ-рисков, предотвращения реализации ИТ-рисков или максимально возможного снижения потенциальных убытков (прямых или косвенных) при реализации рисков.

Система позволяет осуществлять фиксацию возможных негативных последствий при неблагоприятном стечении обстоятельств и инициацию проработки мероприятий по снижению вероятности наступления рискового события, либо минимизацию его последствий.

Охват и границы процесса управления операционными ИТ-рисками: процесс управляет всеми операционными ИТ-рисками ИТ-Блока Центрального аппарата Сбербанка России, а также Территориальных Банков (ТБ) и Подразделений центрального подчинения (ПЦП). Процесс не управляет операционными рисками, не относящимися к ИТ.

Общие требования к АС УОР (Автоматизированная система "Управление операционными ИТ-рисками") заключаются в следующем: зафиксировать информацию о рисковом событии (потенциальном или реализовавшемся) должен оформить назначенный распоряжением по банку риск-координатор ИТ-подразделения. Авторизация пользователя осуществляется с использованием учетной записи в Active Directory.

Рисунок 1 - Авторизация пользователя

В системе используются три роли:

Пользователь – любой сотрудник ИТ-подразделения. Идентифицирует риски своего подразделения; в рабочем порядке уведомляет риск-координатора для проведения дальнейшего анализа и принятии решения о необходимости ввода информации в АС УОР; имеет возможность формировать отчеты в АС в любой момент времени по выполнению КПЭ своего подразделения.

Риск-координатор – сотрудник ИТ-подразделения, назначенный на эту роль распоряжением по банку. Организует работу с рисками внутри своего подразделения – выявление, идентификация, и отправка на регистрацию, планирование и выполнение мероприятий по снижению риска; поддерживает актуальность рисков и приоритетных мероприятий по их снижению; несет ответственность за своевременное предоставление данных для агрегации. Не реже одного раза в неделю проводят актуализацию рисков подразделения в АС УОР.

Риск – менеджер – сотрудник ИТ-подразделения, выполняющий функции менеджера процесса управления ИТ-рисками. Координирует процесс управления операционными ИТ-рисками; согласует информацию по рисковым событиям, предоставленную риск-координаторами подразделений; контролирует актуальность информации (сроки мероприятий, направленных на минимизацию рисков); контролирует выполнение КПЭ (Ключевой показатель эффективности) подразделений и процесса в целом.

Рабочая область АС УОР:

В зависимости от прав доступа представление для работы имеет определенный вид. Для риск-координатора – это область просмотра рисков подразделения с информированием о статусах, а также набор кнопок для реализации функционала: «добавить новый риск», «откорректировать риск», «отправить риск на согласование», «Сформировать отчет». Для риск-менеджера – это также область просмотра текущего реестра рисков с преимущественным отображением вновь заявленных/откорректированных рисков, а также набор кнопок «согласовать», «Отправить на доработку». Также у риск-менеджера должна быть возможность просмотра типовых рисков из соответствующего справочника и возможность внести изменения в него. Обязательной является функция формирования отчетности.

Рисунок 2 - Группы доступа

Требования к регистрации рискового события:

Зарегистрировать операционный риск своего подразделения может сотрудник с ролью риск-координатор (согласно распоряжению по банку их назначается два – основной и резервный). Регистрация производится в отдельном окне программы, представленном на рисунке:

Рисунок 3 - Окно регистрации рискового события

После заполнения всех вышеозначенных полей риск-координатор отправляет риск на согласование риск-менеджеру посредством нажатия соответствующей кнопки на форме, при этом риск-менеджеру приходит сообщение в MSOutlook о необходимости согласовать риск.

Рисунок 4 - Интеграция системы с Outlook

Для риск-координатора введенная информация становится доступной только для просмотра, (риск принимает статус «На регистрации»). Если риск-координатором не была нажата кнопка «отправить на регистрацию», то риск принимает статус «Новый» и остаётся доступным для просмотра самому риск-координатору.

При согласовании риск-менеджером предоставленной информации по риску, риск принимает статус «В работе» и становится доступным для дальнейшей работы риск-координатору (актуализация информации). Важно отметить, что каждое изменение порождает необходимость согласования с риск-менеджером и вышеописанный процесс повторяется.

Для несогласованных рисков риск-менеджер использует статус «Отклонен». Такой риск может быть откорректирован риск-координатором в соответствии с замечаниями риск-менеджера, либо удален из системы.

Требования к работе с типовыми рисками:

Зарегистрировать типовой операционный риск своего подразделения может сотрудник с ролью риск-координатор (согласно распоряжению по банку их назначается два – основной и резервный). Регистрация производится в отдельном окне программы, доступном как из родительского окна при заполнении информации о новом рисковом событии, так и как самостоятельная сущность представления, в котором работает риск-координатор с момента своей регистрации в системе. Обязательными для заполнения (при регистрации нового типового риска) являются поля:

Новый типовой риск должен быть согласован с риск-менеджером.

Уже зарегистрированный типовой риск может быть использован риск-координатором других подразделений с возможностью внесения своих мер по минимизации. Остальные изменения в типовой риск вносятся риск-менеджером по предварительному согласованию с руководством подразделений (возможно по инициативе риск-координаторов).

Рисунок 5 - Кнопки, доступные для работы с реестром

Требования к формируемой отчетности:

Система позволяет сформировать следующие виды отчетности, которые должны экспортироваться в MS Excel:

1. Реестр рисков – вся информация по зарегистрированным рискам с возможностью выбора критериев формирования (по периоду, по подразделению, по сроку устранения риска). Формат отчета расположена в Приложении 4;

2. КПЭ подразделения – формируется в соответствии с Приложением 5;

3. Динамический отчет по выбранным параметрам. Является оперативным отчетом. Доступен для формирования всем сотрудникам.

Рисунок 6 - Отчеты

Благодаря информативным отчетам и методике расчета КПЭ каждого подразделения автоматизированная система по учету операционных ИТ-рисков обеспечивает весь цикл работы с рисковыми событиями в подразделениях ИТ-блока Западно-Сибирского банка ОАО «Сбербанк России», тем самым улучшая качество работы с рисками и оптимизируя работу по учету и оценке работ, направленных на их минимизацию.

Следует отметить, что разработанная система управления операционными рисками представляет собой взаимосвязанный комплекс организационных, методических, информационных средств, нацеленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных случаев операционного риска.

Список используемой литературы

1. Грабер, Мартин SQL. Справочное руководство; М.: Лори; Издание 2-е, 2011. – 354 c.

2. Грофф, Джеймс; Вайнберг, Пол SQL: полное руководство; Киев: BHV, 2008. – 608 c.

3. Шнайдер, Роберт Microsoft SQL Server 6.5. Проектирование высокопроизводительных баз данных; М.: Лори, 2012. – 361 c.

4. Рендольф Ник, Гарднер Дэвид , Минутилло Майкл, Андерсон Крис Visual Studio 2010 для профессионалов; Диалектика - Москва, 2011. - 692 c.

5. Рендольф Ник , Гарднер Дэвид , Минутилло Майкл , Андерсон Крис Visual Studio 2010 для профессионалов; Диалектика - Москва, 2011. - 692 c.

Код для цитирования: Скопировать