© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Операционные риски - подходы к управлению и измерению На основе опыта проектов Делойта

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Модель управления операционными рисками Делойта Стратегия в области ОР Политика в области ОР Организационная структура Концепция управления ОР Процессы управления операционными рисками Цели Компоненты Возглавить работу по разработке и внедрению общей модели управления ОР Формулирование политики управления ОР Оказание поддержки при реализации процессов по управлению ОР Формирование концепции/системы управления ОР Запуск системы управления ОР Масштаб Определения Миссия Принципы управления Минимальные требования Общеприменимые процедуры Понимание рисков/ культура Комитет по управлению ОР Независимая служба по управлению ОР на уровне группы Децентрализованная служба управления ОР на уровне бизнес- подразделения Методологии Архитектура ИТ Процессы управления ОР Основные функции и з оны ответственности

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Положение об операционном риске должно содержать следующие части: –Общие положения, включая описание стратегии управления операционным риском и определение операционного риска. –Классификация операционных рисков. Например: –Риск Информационных Систем (выход из строя компьютерных систем, ошибки в программах) –Риск Персонала (некомпетентность работников, человеческие ошибки) –Риск Процессов (неправильные директивы, недостаточный контроль) –Риск Внешних Событий (катастрофы, регулятивные изменения) –Организация управления операционными рисками, включая определение ролей и обязанностей Службы Управления Рисками и Службы Внутреннего Контроля (мониторинг, проверки) Практические примеры - политики управления операционными рисками

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. –Элементы системы управления и контроля за операционными рисками. –идентификация и оценка категорий (источников) операционных рисков; –составление каталога процессов и операций банка; –идентификация проявления тех или иных категорий операционных рисков и оценка их уровня на конкретных процессах и операциях; –выявление критических зон риска, или групп операций с повышенным уровнем риска; –разработка и реализация мероприятий по ограничению и нейтрализации выявленных критических зон риска; –разработка мероприятий по контролю выявленных стандартных видов операционного риска, например страхование, повышение надежности отдельных элементов процессов и технологий; –разработка предложений по организационным преобразованиям с целью оптимизации осуществляемых бизнес-процессов, включающих документооборот, информационные потоки, распределение функций, полномочий и ответственности. –Оценка операционных рисков, включая описание методики измерения, выбранной банком –Минимизация операционного риска, включая описание установленных процедур для данной цели. Практические примеры - политики управления операционными рисками (прод.)

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Определение рисков – Модели классификации Модель событий, вызывающих потери Организационная Модель Модель факторов риска Модель показателей риска Надлежащее определение ОР способствует созданию контрольных механизмов и механизмов снижения рисков и информирует руководство о различных источниках, могущих привести к событиям, вызывающим операционные риски. Существует четыре типа моделей, которые можно использовать при создании комплексной системы управления ОР: Для определения и классификации всех возможных типов событий, вызывающих потери Для выявления и определения анализируемых организационных измерений Для определения и классификации всех возможных причин/ факторов, приводящих к событиям, вызывающим потери Для определения информации и показателей, необходимых для мониторинга/ формирования отчетности

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Всем банкам, принимающим Стандартизированный или Усовершенствованный подход к оценке риска, необходимо разработать и одобрить документально оформленную концепцию операционных рисков (банкам, выбирающим Подход к оценке рисков с использованием базового индикатора, рекомендуется разработать такой документ). Уровень детализации зависит от конкретной модели и может различаться в разных банках. В тоже время наличие трех следующих элементов является обязательным: -общая стратегия банка в области операционных рисков с указанием конкретной политики; -организационная структура (т.е. основные функции и сферы ответственности сотрудников, принимающих участие в управлении операционными рисками); -формализация процессов посредством оформления соответствующих документов. Анализ моделей в сравнении с лучшими практиками Стратегия и политика управления ОР Организационная Структура Система управления операционными рисками и соответствующие процессы Модель управления операционными рисками Требования к качественным показателям Действенные практики в области управления и контроля операционных рисков, выпущенные Базельским Комитетом в феврале 2003 года.

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Банкам, принимающим Усовершенствованный подход к оценке рисков, необходимо подготовить подробную документацию и провести тестирование методологий моделирования и соответствующих допущений. Опыт Делойт в данной области распространяется на три основные группы моделей, используемые в банковской индустрии: Подход, основанный на вероятностном моделировании процесса убытков (распределения убытков) с использованием актуарных методов расчета; Анализ сценариев, основанный на статистической оценке заключений экспертов; и Метод числовых показателей (Scorecard), основанный на анализе показателей деятельности и контрольной среды. Анализ моделей в сравнении с лучшими практиками Внутренняя информация Модель оценки операционных рисков Требования к количественным показателям Международная конвергенция измерения капитала и стандартов капитала, выпущенная Базельским Комитетом в июне 2004 года (Базель II) Внешняя информация Анализ сценариев Бизнес - среда

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Методология Делойт объединяет четыре важнейших элемента системы управления операционными рисками в рамках последовательной единой концепции: Разработка концепции управления операционным риском СИСТЕМА УПРАВЛЕНИЯ И ПРОЦЕССЫ АРХИТЕКТУРА ИТ – ПРОГРАМЫ И ПРИЛОЖЕНИЯ МЕТОДОЛОГИИ Определение рисков Модель событий потерь Модель фактора риска Модель индикаторов риска Организационная модель Данные об убытках (внутренние и внешние) Субъективные оценки Контроли Индикаторы Оценка рисков Оценка степени подвержен-ности риску Оценка контрольной среды Карта оценки Стандарти- зированный подход Усовершенствован- ный подход Методики распределения убытков (LDA) Байесовский подход Анализ сценариев Бизнес Среда Внешние данные Бэктестинг & Калибровка Мониторинг рисков Структура лимитов Инициирующие события Предупре- дительные границы Контроль/ Снижение Распределение капитала Политика страхования Модель принятия решения Принятие риска Сокращение риска Переложе- ние риска

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Вне зависимости от избранного подхода к оценке рисков, в банках должна иметься концепция управления операционными рисками. В соответствии с требованиями Базельского комитета такая «концепция должна давать внутрикорпоративное определение операционного риска и закладывать принципы определения, оценки, мониторинга, контроля и снижения операционных рисков» (1). Качественная и эффективная система управления операционными рисками включает в себя четыре основных элемента: –Определение операционных рисков (составление карт процессов и рисков) –Оценка операционных рисков (подверженность риску, качество средств контроля и т.д.) –Мониторинг операционных рисков (ключевые индикаторы рисков) –Контролирование/снижение операционных рисков (распределение капитала, страхование операций и т.д.) Разработка концепции управления операционными рисками [1] Базельский комитет по банковскому надзору «Качественные методы управления и контроля операционных рисков» (февраль 2003 года)

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Подход, основанный на соблюдении качественных показателей Организационная структура Определение бизнес- процессов Соотнесение процессов с видами деятельности (Базель II) Выявление событий ОР рамках каждого процесса Организационная модель Модель индикаторов Модель событий, вызывающих риск Модель факторов риска Соотнесение операционных событий с категориями Базеля II Определение факторов, приводящих к операционному событию Соотнесение факторов риска с показателями риска Мониторинг ключевых индикаторов риска Отчетность Мониторинг Определение Оценка факторов риска Создание матриц рисков/ контролей и оценка контролей Самооценка уровня рисков и средств контроля Оценка

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Оценка – Усовершенствованный подход (краткое описание) Оценка факторов риска Соотнесение событий, вызывающих потери, с факторами риска Событие потери Фактор риска 1 Фактор риска 2 Оценка качества контролей менеджерами бизнес - направлений Оценка качества контролей Службой Внутреннего Аудита Качество контроля Степень присущего риска 12 Определение соответствующих факторов риска Оценка факторов риска Оценка качества контролей 3 Расчет показателя остаточного риска 4

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Исходный размер капитала Обзор концепции оценки рисков Актуарные методы расчета Внутренние Данные Внешние Данные Интеграция (Байесовская теория) Анкеты/ вопросники Сценарии Среда Корректировка на основании показателей KRI, самооценки и т.д. Система показателей Окончательный расчет достаточного размера и распределения капитала

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Четыре элемента Усовершенствованного подхода к оценке рисков (AMA) Нормативный капитал Факторы бизнес-среды и внутренней контрольной среды Актуальные внешние данные Внутренние данные Анализ сценариев В соответствии с Базелем II банки, принимающие подход AMA, должны включить в свою методику расчета следующие четыре элемента: Совмещение этих четырех элементов позволяет получить полную и динамичную картину о ситуации с операционными рисками банка.

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Четыре элемента Усовершенствованного подхода к оценке рисков (AMA) Природа этих четырех элементов существенно различается: Внутренние данные Внешние данные Анализ сценариев (экспертные заключения) Факторы, отражающие условия осуществления деятельности и контрольную среду Объективность Служит в качестве основания для актуарных расчетов Качество и полнота внутренней информации влияют на степень использования внешней информации Субъективность Позволяют завершить или проверить достоверность результатов актуарных расчетов ИЛИ Служат в качестве основания для моделирования качественных показателей Предоставляют более практичную и перспективную картину по операционным рискам

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Мониторинг – Ключевые индикаторы риска (KRI) Показатели KRI предназначены для показа степени подверженности риску и эффективности средств управления риском или контролей. Показатели KRI используются в качестве сигналов раннего оповещения для мониторинга и отслеживания возможных рисков и осуществления контрольных мероприятий. Отобранные показатели служат основанием для сбора соответствующих данных и информации. Показатели KRI должны быть предсказуемыми: –Выбор показателей KRI должен осуществляться с использованием профессиональных суждений относительно затронутых областей бизнеса. –Показатели KRI должны отражать возможные улучшения средств контроля рисков, а также рост степени подверженности рискам в силу усложнения деятельности или увеличения объемов операций. –Необходимо разработать систему показателей и проводить тестирование данных прошлых периодов на предмет убытков, чтобы обеспечить обоснованность выбора показателей.

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Определение приоритетов в области снижения и контроля рисков Акцент на актуальные события, способные оказать существенное воздействие на результаты деятельности, повышенное внимание к готовности организационной структуры. Для определения приоритетов в реагировании на риск необходимо использовать показатель вероятности. В тоже время, излишний акцент на показатель вероятности может отвлечь внимание от рисков с низкой степенью вероятности, но с существенной силой воздействия, перед которыми уязвимо предприятие. Воздействие риска на стоимость В Н Уязвимость В Гарантии Сравнительный анализ Сценарии худших вариантов Стресс-тестирование Реальные альтернативы Документация Проверки Сокращение рисков Уклонение Переложение Повышение эффективности Стратегическая гибкость Кумулятивное воздействие? Количество Перебазирование? Повышение эффективности Оценка выгод/затрат Бережливое предприятие Степень вероятности Низкая Средняя Высокая

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Описание бизнес процессов с выявлением рисков и контролей: Проведение самооценки рисков посредством голосования Составление матриц выявленных рисков и контролей, c определением вероятности возникновения и степени влияния рисков и выделением критических рисков: Практические примеры - процедуры управления операционными рисками

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Выбор надлежащих информационных технологий Классический подход с использованием «заявки на предложения» - RFP Оценка функциональных требований Подготовка общей «заявки на предложения» Направление заявки поставщикам Определение приоритетов Составление списка поставщиков на основании их предложений Организация демонстрации программ Анализ расхождений Выбор системы Начало внедрения Подход с использованием упрощенной процедуры «FAST TRACK» Выбор предпочтительной системы из перечня лучших аналогов Проверка на функциональное соответствие Подготовка экономического обоснования Начало внедрения Соответствует? Нет Да Преимущества: Ускоренный процесс Ориентирован на внедрение Не надо «изобретать велосипед» Недостатки: Труднее получить одобрение на покупку Подход 80/20

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Выбор надлежащих информационных технологий

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Делойт – всемирно признанный лидер в области предоставления консультационных услуг по управлению рисками предприятий При оценке компаний, специализирующихся в сфере делового консультирования и консультирования в области рисков, согласно оценке Forrester Wave: Компания Делойт возглавила рейтинг консультантов в сфере управления рисками, получив при проведении оценки высший балл Компания Делойт и получила высший балл в категории «Ассортимент услуг» и «Присутствие на рынке» Компания Делойт возглавила рейтинг Forrester Wave в категории комплексного предоставления услуг благодаря своим способностям разрабатывать целостное предложение по созданию стратегии управления рисками, позволяющее интегрировать систему управления рисками в общую структуру бизнеса Компания Делойт обладает глубоким стратегическим видением перспектив внедрения системы управления рисками и умеет четко донести до клиентов ценность ERM- решений Компания Делойт имеет действенные методологии и обладает широким опытом в области развития отношений с клиентами. Консультанты фирмы в области управления рисков предприятий в среднем имеют летний опыт работы в данной области. Источник: Enterprise Risk Management Consultants Scorecard Summary: Deloitte, Forrester Research, Inc., October Отказ от ответственности. Авторское право на Wave зарегистрировано Forrester Research в октябре 2005 года. Воспроизводится с разрешения Forrester Research. Разрешение агентства Forrester на публикацию рейтинга Wave не должно восприниматься как предоставление гарантии качества услуг любой компании или продуктов, включенных в исследование. Рейтинг Wave основывается на заключениях агентства Forrester и представляет собой аналитическое представление об определенном секторе рынка в определенный период времени. Рейтинг оценивает поставщиков услуг в соответствии с критериями, определенными агентством Forrester. Позиционирование поставщиков услуг в рамках рейтинга Wave основывается на сложной взаимозависимости множества факторов. Информированные решения по выбору поставщика услуг должны учитывать прочие факторы. Forrester Research считается одним из многих источников информации. При принятии решений читатель не должен полностью полагаться на рейтинг Wave. Forrester Research в явной форме о тказывается от любых явных или подразумеваемых гарантий касательно соответствия данного исследования конкретным целям.

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. Некоторый опыт Делойт в сфере операционных рисков:

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены. V. Контактные лица по вопросам, касающимся операционных рисков Joanna Declercq FSI, Director Enterprise Risk Services Andrei Pospelov Director Enterprise Risk Services Nadezhda Kozyreva Senior Consultant Enterprise Risk Services

© 2006 ЗАО «Делойт и Туш СНГ» или © 2006 Делойт и Туш Риджинал Консалтинг Сервисис Лимитед. Все права защищены.