Методологические аспекты проведения самооценки операционных рисков it-подразделений банков второго уровня Республики Казахстан
Рассмотрение способов совершенствования методологической базы банков второго уровня Казахстана для прикладной технологизации операционного риск-менеджмента в сфере IT-рисков. Проведение сравнительного анализа регуляторной базы НБРК по операционным рискам.
Рубрика | Банковское, биржевое дело и страхование |
Вид | статья |
Язык | русский |
Дата добавления | 27.01.2018 |
Размер файла | 608,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Методологические аспекты проведения самооценки операционных рисков it-подразделений банков второго уровня РК
О.А. Палаткина
Цель исследования - совершенствование методологической базы банков второго уровня Казахстана для прикладной технологизации операционного риск-менеджмента в сфере IT-рисков.
Методология - диалектико-логический и информационно-системный подходы, сравнительный анализ, анализ причин и последствий, материалистическая диалектика, синтез.
Оригинальность/ценность - в ходе исследования был проведен структурный и сравнительный анализ регуляторной база НБРК по операционным рискам. Эталонными критериями выступили стандарты Базельского комитета и ISO, практика управления IT-проектами и компаниями. Произведена систематизация в виде структурно-логических схем некоторых понятий. Статья посвящена сравнительно новому направлению управления рисками в Казахстане.
Выводы - совместное применение методологического аппарата нефинансовых компаний к банкам является новым и интересным для казахстанской практики инструментом, на основе которого возможна дальнейшая адаптация и конкретизация стандартов. Разработанный словарь терминов с комментариями и схемы системы рисков позволяют применять их на практике для проведения качественной самооценки операционных рисков IT-подразделений банков второго уровня РК с учетом их специфики.
В последние годы идет бурный рост объема и спектра услуг, оказываемых банками как юридическим, так и физическим лицам, повышается качество сервиса, развиваются современные технологии кредитования, основанные на использовании скоринговых и рейтинговых моделей, совершенствуются он-лайн сервис (интеренет-банкинг), услуги по платежным картам. Современный банк немыслим без выхода в он-лайн и Интеренет. банк технологизация менеджмент операционный
IT сегодня выступает в роли ключевого элемента, определяющего конкурентоспособность банка [3]. И казахстанские банки второго уровня (далее - БВУ РК) здесь не исключение. Например, 14 июня 2013 года в рамках пресс-клуба Евразийского банка прошел круглый стол «Инновации в банке - операционные возможности и новые направления развития». На нем руководители Евразийского банка и председатель правления Майкл Эгглтон рассказали о ряде инновационных проектов, которые кредитная организация внедрила или собирается внедрить в ближайшее время. Перспективы дальнейшего развития банка Майкл Эгглтон связывает с новыми, инновационными для казахстанского рынка, продуктами:
«Будущее, над которым мы работаем, - это технологичный банк». Управляющий директор банка по IT направлению Герман Тишендорф привел пример внедрения электронных кассиров-рециркуляторов, позволяющих в 7-10 раз увеличивать эффективность работы отделений, в которых они установлены. Также Майкл Эгглтон отметил, что банки во всем мире подвержены операционным рискам [9].
С другой стороны, увеличение числа клиентов приводит к необходимости обработки и хранения большого количества информации в единицу времени, особенно в связи с распространением розничного бизнеса. Например, 13.06.2013г. лидер банковской системы АО «Народный банк Казазхстана» заявил о привлечении 100000-го клиента в системе Интернет-банкинга для физических лиц [10]. В настоящее время 12 БВУ РК предоставляют услуги по осуществлению платежей и переводов денег через Интернет. Лидером рынка Интернет-банкинга является Казкоммерцбанк. В его системе «Homebank. kz» зарегистрировано 400000 пользователей, что больше количества всех вместе взятых пользователей Интернет-банкинга других 11 банков РК. Ежемесячно в системе «Homebank.kz» регистрируется около 7-9 тыс. новых пользователей. Количество операций в системе «Homebank.kz» достигает 1000000 транзакций в месяц, в то время как в 151 отделении Казкоммерцбанка клиенты совершают их в 2 раза меньше - 500000 операций в месяц.
Все это может привести к тому, что информационные системы финансовых организаций выйдут за пределы своих возможностей [1].
Таким образом, в современном банке информационные технологии уже настолько интегрированы в бизнес-процесс, что никакая деятельность без них невозможна, более того, сами технологии порождают новые банковские продукты.
О каком бы продукте банка мы не говорили, есть общие моменты, касающиеся IT-инфраструктуры для работы с ними.
Такая инфраструктура должна минимально содержать четыре основных блока. Первый блок - фронтальные офисные приложения, обслуживающие непосредственное взаимодействие с клиентом, в том числе и удаленное.
Второй блок образуют программные решения, связанные с принятием различных решений. Третий блок - это бэк-офисные системы, т.е. системы, реализующие продуктовый учет уже совершенных сделок, четвертый блок - ведение бухгалтерского учета и формирование отчетности для регулирующих органов [3].
Практически любой банк время от времени сталкивается с ситуациями, способными остановить весь бизнес. Мы имеем в виду события, которые можно реально ожидать: разрушение логической целостности данных, сбои в программном и аппаратном обеспечении, отключение электропитания, локальные катастрофы (пожар, затопление и т.п.) [2]. С учетом того, что большинство головных офисов БВУ РК находятся в сейсмически активной зоне, то актуальными являются также и риски физического уничтожения и повреждения активов.
В настоящее время законодательно такого рода риски регулируются Постановлением правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 30 сентября 2005 года №359 «Об утверждении Инструкции о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня» (далее - Инструкция в рамках управления операционным риском, в частности:
Операционный риск - риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны сотрудников, функционирования информационных систем и технологий, а также вследствие внешних событий. Операционный риск включает в себя:
риск, вызванный неадекватными стратегиями, политиками и/или стандартами в области информационных технологий, недостатками в использовании программного обеспечения (далее - риски стратегии);
риск, вызванный непредвиденными или неконтролируемыми факторами внешнего воздействия на операции банка.
Обеспечение функционирования информационных систем и систем управленческой информации предусматривает наличие в банке программно-технических комплексов, персонала и информационно-коммуникационных систем, адекватных проводимым банком операциям, в том числе ограничивающих степень подверженности банка операционному риску.
Правление разрабатывает, Совет директоров утверждает внутренний документ, содержащий план на случай возникновения непредвиденных обстоятельств, которые могут повлиять на финансовую устойчивость банка и его дочерних организаций.
План на случай возникновения непредвиденных обстоятельств содержит превентивные и оперативные мероприятия.
По операционному риску превентивные меры банка включают выявление следующих фактов:
определение и оценка размера убытков, вызванных сбоями и отказами функционирования информационных систем и технологий (программ или баз данных, систем передачи информации, а также иных систем, необходимых для повседневного функционирования банка).
Банк оценивает риски, связанные с предоставлением новых банковских услуг или с использованием новых информационных технологий.
Процедуры банка по выявлению операционного риска учитывают как внутренние факторы (структуру, масштаб деятельности, качество ресурсов, организационные изменения, текучесть кадров), так и внешние факторы (изменения в банковском секторе, технологий), которые могут неблагоприятно отразиться на достижении банком своих целей. Поэтому они предусматривают использование, но не ограничиваясь ими, следующих инструментов для выявления и оценки операционного риска:
cамооценка или оценка риска. Банк оценивает свою операционную и иную деятельность, соотнося ее с перечнем своей уязвимости к потенциальному операционному риску. Банк использует перечень контрольных вопросов и (или) проводит рабочие встречи для выявления сильных и слабых сторон в управлении операционным риском;
карта риска, представляющая собой графическое или текстовое описание различных бизнес и организационных подразделений или бизнес-процессов по видам риска. Карта риска представляет банку возможность выявить проблемные области и приоритетность последующих шагов по управлению рисками;
измерение. Банк располагает внутренним документом, содержащим процедуры создания базы данных по убыткам, позволяющим адекватно оценить подверженность банка операционному риску, а также разработать соответствующие меры для контроля (снижения) операционного риска. Процедурами банка по измерению операционного риска предусмотрен систематический мониторинг и регистрация частоты, серьезности и иной достаточной информации о конкретных случаях убытков.
Система управления операционным риском (далее - СУОР) определяется общими характеристиками, свойственными управлению рисками вообще и включает четыре основных элемента: оценка риска, измерение риска, контроль риска и мониторинг риска. Однако, еще до выхода рекомендаций по расчету капитала [4] в феврале 2003г. Базельский комитет (далее - Комитет) выпустил консультативный документ [5], где отмечает особенное отличие управления операционными рисками от кредитного или рыночного.
Классическая модель системы управления риском: идентификация-измерение-мониторинг-контроль. Для операционного риска она выглядит иначе: идентификация-оценка/самооценка-мониторинг-контроль/снижение.
При этом вопросы этапа «идентификации-оценки», которые в лучших практиках реализуются через инструменты самооценки (self-assesment) и оценки (assessment), их необходимо организовать для полноценного функционирования СУОР в финансовой организации в соответствии с лучшими практиками управления операционными рисками [12,13,14].
Как мы видим, требование 359-й Инструкции «Банк использует перечень контрольных вопросов и (или) проведение рабочих встреч для выявления сильных и слабых сторон в управлении операционным риском» как раз указывает на необходимость проведения самооценки риска и составление карт рисков для процессов и продуктов, но практическая методическая сторона вопроса остается открытой. При этом данное требование является общим для всех операционных рисков, не выделяя специфику информационных рисков.
Заложенная, таким образом, нормативно-методологическая база имеет три существенных недостатка:
отсутствует технологическая составляющая организации требуемых процессов, что влечет невозможность их соответствующего построения со стороны банка и объективной проверки соответствия со стороны регулятора;
имеются противоречия с рекомендациями Базельского комитета (по управлению операционным риском);
не учтен опыт стандартизации управления операционными, информационными и IT-рисками, общепризнанными в данной сфере стандартов и методик управления рисками (COSO, ISO, ГОСТ, СТРК, PCI DSS, OCTAVE и др.) [15,16,17,18,19,20];
не учтена специфика оценки рисков информационных технологий.
Кроме того, существует проблема низкого уровня культуры управления операционными рисками у основных бизнес-владельцев. Ни для кого не секрет, что традиционные руководители бизнес-подразделений в связи с отсутствием инструментов управления специфическими IT-рисками не могут выступать полноценными владельцами высокотехнологичных, автоматизированных процессов, становятся зависимыми от IT-подразделений, склонны передавать им руководство процессом, вынуждены резервировать избыточные ресурсы на управление неидентифицированными и неоцененными рисками. В итоге управление рисками бизнес-процессов перекладывается на IT-подразделения.
Для построения СУОР в БВУ РК, которая осуществляется практически с нуля, для организации процессов самооценки операционного риска необходимо включить ряд дополнительных регуляторных определений. Полезным в данной ситуации выступает опыт управления рисками небанковских компаний, стандартов ISO и COSO. Принимая во внимание низкий уровень культуры банков второго уровня в отношении такого рода стандартизации, на первых этапах мы рекомендуем применять упрощенную терминологию, которая позволит начать работу по самоценке рисков с непосредственными исполнителями процессов, сформировать у последних общее представление об управлении рисками.
Данный набор терминов, в частности, отсутствующий в Инструкции 359, в целом призван улучшить действующую регуляторную базу НБРК,.
Таблица 1 - Менеджмент риска. Термины и определения
С учетом определений таблицы 1 и Инструкции 359, мы предлагаем применять пирамиду IT- рисков (рисунок 1), на которой отражены основные понятия в их логической взаимосвязи.
ИТ-риски можно условно разделить на две группы: риски стратегического уровня и тактического уровня (в основном по критерию уровня принятия решения, управления риском). Риски тактического уровня, в свою очередь так же подразделяются на связанные с обеспечением непрерывности бизнеса (эксплуатационные), и риски реализации новых проектов (проектные).
Эксплуатационные риски связаны с вопросами:
эксплуатации ИТ-систем;
обеспечения коммуникаций;
технического обеспечения информационной безопасности;
технических условий для сохранности информации;
восстановления после аварий и т.д.
Цель управления данной группой IT-рисков - обеспечение непрерывности обеспечивается: уменьшением влияния сбоя, увеличением среднего времени между сбоями и уменьшением времени восстановления.
Значимость IT-рисков определяется как степенью влияния сбоя, так и значительным временем восстановления работоспособности [6].
Вторая группа - управление рисками, и прежде всего - их идентификации, в проектах внедрения информационных систем управления.
Рисунок 1. Пирамида самооценки IT-рисков
Значительная доля проектов в области ИТ является неудачной в части соответствия целям, бюджету или срокам - в среднем в мире этот показатель превышает 50%, а в государственном секторе даже 70%. Во многом такие проблемы связаны с недостаточно полным и качественным управлением рисками [6]. В контексте данной статьи первоочередным является вопрос идентификации: в ходе проекта ситуация может выйти из-под контроля. Это происходит потому, что управление рисками строится в основном на эмоциях и инстинктах, а не на формальных процессах, и менеджер зачастую может просто не заметить вовремя появление новых рисков в ходе проекта [11]. Самооценка рисков в данной ситуации носит профилактический характер, позволяет реализовывать цели проекта, управляя его рисками с учетом того, что карта рисков является динамически изменяющимся объектом. Неизбежность изменений обусловлена самой природой проектов в банке - это открытая система, испытывающая на себе влияние различных уровней среды.
Рисунок 2. Области идентификации источников проектных рисков [11]
Разделение между тремя выделенными группами на практике проведения самооценки и построения системы управления достаточно условно. Переход от одного к другому является логически неразрывным процессом. Выстраивание системы управления операционным риском с помощью инструментов самооценки в части IT в контексте вышеизложенной терминологии и в соответствующей последовательностью позволяет банку:
охватить идентификацией все поля источников риска;
создает процесс развития, улучшения информационных систем банка;
разграничить зоны ответственности правления, подразделений бизнеса и подразделений IT.
Позволяет регулятору:
контролировать качество построения системы управления операционными рисками;
исполнять надзорные функции с минимальным субъективным контекстом.
Список литературы
1. Якуш А. ЦОД - панацея? Одного ЦОД недостаточно // Банковские технологии. - 2008. - № - С. 62-65.
2. Тетеркин А. Практика внедрения эффективных систем хранения данных в российских банках // Банковские технологии. - 2008. - № 6. - С. 24-26.
3. Баранов А. Конкуренция на розничном рынке - это конкуренция IT-инфраструктур // Банковское обозрение. - 2008. - № - С. 108-109.
4. International Convergence of Capital Measurement and Capital A Revised Framework, Comprehensive Version [Electronic source]. - 2006. - URL: http://www.bis.org (дата обращения: 04.07.2013)
5. Sound practices for the Management and Supervision of operational risk [Electronic source]. -
6. URL: http://www.bis.org (дата обращения: 07.2013)
7. Слюсаренко А. Управление рисками в проектах внедрения информационных систем управления предприятием [Электрон. ресурс] // CIO-руководитель информационной службы (электронный журнал). - - URL: http://www.computerra.ru/cio/old/products/370199/ (дата обращения: 04.07.2013)
8. Аккерман К. IT для банков: больше, чем до кризиса [Электрон. ресурс] - - URL: http:// bankir.ru/publikacii/s/it-dlya-bankov-bolshe-chem-do-krizisa-10001492/ (дата обращения: 04.07.2013)
9. Смирнов А. Внедрение методологии управления ИТ-рисками [Электрон. ресурс] // Корпоративные системы. - - №2. - URL: http://betatester.bir.ru/article11.html (дата обращения: 04.07.2013)
10. Нагорный Ю. Будущее - за технологичным банком [Электрон. ресурс] // Деловой Казахстан. - 2013. - № 23 (370). - URL: http://www.afk.kz/index.php/ru/bankovsky-sekt or/7349-210613--------22370--210613---(дата обращения: 07.2013)
11. Шаманин М. IT аутсорсинг - новые горизонты развития банка [Электрон. ресурс] // Банковские технологии. - - № 7-8. - URL: http://www.bis.ru/pr/articles/BT078-2009-2.pdf (дата обращения: 01.07.2013)
12. Йордан Э. Смертельный марш. - М.: Лори,
13. Principle for the Sound Management of Operational Risk [Electronic source]. - 2011. - URL: http:// bis.org (дата обращения: 04.07.2013)
14. Principle for enhancing corporate governance [Electronic source]. - - URL: http://www.bis.org (дата обращения: 04.07.2013)
15. Operational Risk management [Electronic source]. - - URL: http://www.bis.org (дата обращения: 04.07.2013)
16. Ричард М. Стейнберг, Майлс И. Эй. Эверсон, Фрэнк Джей. Мартене, Люси И. Ноттингэм. Управление рисками организаций. Интегрированная модель [Электрон. ресурс]. - 2004. - URL: http:// www.coso.org/documents/COSO_ERM_ExecutiveSummary_Russian.pdf (дата обращения: 07.2013)
17. Дунаев Г. Построение бизнес-процессов управления ИТ-инфраструктурой банка на основе ITIL [Электрон. ресурс]. - URL: www.abajour.ru/files/dunaev.doc (дата обращения: 04.07.2013)
18. Никишин М. Е. Обоснование использования методологии ITIL/ITSM в управлении ИТ-службы коммерческого банка [Электрон. ресурс] // Системы управления бизнес-процессами. - - URL: http://www.itsmforum.ru/reference/publication/article-84 (дата обращения: 08.07.2013)
19. Исайченко Д. Управление уровнем ИТ-услуг [Электрон. ресурс]. - - URL: http://www. osp.ru/itsm/2013/05/13035617.html (дата обращения: 26.06.2013)
20. Christopher Alberts, Sandra G. Behrens, Richard D. Pethia, William R. Wilson Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVESM) Framework, Version 1.0 [Электрон. ресурс]. - URL: http://www.sei.cmu.edu/library/abstracts/reports/99tr017.cfm (дата обращения: 04.07.2013)
21. Carol Woody, Applying OCTAVE: Practitioners Report [Электрон. ресурс] - 2006. - URL: http:// cmu.edu/cgi/viewcontent.cgi?article=1390&context=sei (дата обращения: 04.07.2013)
22. Payment Card Industry Data Security Standard, PCI DSS v 2.0 [Электрон. ресурс]. - URL: https:// pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (дата обращения: 04.07.2013)
Размещено на Allbest.ru
...Подобные документы
Виды банков второго уровня. Функции коммерческих банков. Мобилизация временно свободных денежных средств и превращение их в капитал. Посредничество в кредите. Лизинговые и факторинговые операции. Пассивные и активные операции банков второго уровня.
курсовая работа [34,1 K], добавлен 13.12.2008Задачи государственного регулирования финансового рынка Республики Казахстан. Взаимоотношение АФН и банков второго уровня. Развитие Казахстанской банковской системы. Принципы работы АФН. Внешние обязательства банковской системы Казахстана в 2008 г.
реферат [13,1 K], добавлен 14.04.2010Основные понятия и виды банков Республики Казахстан. Главные условия создания банка и осуществление банковской деятельности. Ликвидация и реорганизация банков Республики Казахстан. Ходатайство о получении разрешения на добровольную ликвидацию банка.
курсовая работа [118,4 K], добавлен 05.08.2015Теоретические и правовые основы, цели, принципы и задачи государственного регулирования и надзора банковской деятельности. Анализ выполнения пруденциальных нормативов, регулирования и надзора деятельности банков второго уровня в республике Казахстан.
дипломная работа [1006,4 K], добавлен 29.10.2010Правовые основы, регламентирующие функционирование коммерческих банков. Основные виды безналичных переводов в национальной валюте. Двухуровневая структура банковской системы Германии. Современное состояние банков второго уровня в Республике Казахстан.
курсовая работа [64,6 K], добавлен 30.09.2012Формирование ресурсов коммерческим банком. Операции банков второго уровня по привлечению средств. Анализ активных и пассивных операций АО "БТА Банк". Оценка соответствия сроков привлечения депозитных средств. Пути совершенствования ресурсной базы банков.
дипломная работа [472,6 K], добавлен 01.07.2013Теоретические основы организации депозитных операций коммерческих банков. Политика привлечения депозитов банков второго уровня. Деятельность, структура, депозитная политика АО "Банк ТуранАлем". Направления развития депозитного рынка Казахстана.
курсовая работа [224,2 K], добавлен 10.02.2011Теоретические основы банковской системы как механизма регулирования экономики. Становление, развитие и особенности банковской системы Республики Казахстан. Анализ пассивных и активных операций банков второго уровня. Совершенствование банковского сектора.
курсовая работа [1,0 M], добавлен 10.12.2012Рейтинговая система CAMEL - стандартизированный метод оценки банков. Факторы надежности банков второго уровня. Оценка менеджмента в зависимости от выполнения банком законов и регулятивных правил. Наличие финансовых, операционных или технических слабостей.
реферат [17,1 K], добавлен 01.05.2009История возникновения банковской системы Казахстана, еёе современное состояние. Динамика качества активов и условных обязательств банковского сектора. Филиальная сеть АО "БТА Банк". Анализ основных технико-экономических показателей деятельности банка.
дипломная работа [1,4 M], добавлен 22.11.2011Задачи и правовые основы государственного регулирования и надзора банковской деятельности. Анализ выполнения пруденциальных нормативов кредитных учреждений второго уровня. Пути совершенствования инструментов управления банковским сектором в Казахстане.
дипломная работа [2,4 M], добавлен 29.10.2010Общее понятие банковских рисков и причины их возникновения. Классификация банковских рисков по основным видам. Зависимость риска и прибыли. Методологические основы анализа и оценки рисков. Наиболее эффективные методы управления банковскими рисками.
контрольная работа [171,3 K], добавлен 07.10.2010Сущность и причины возникновения проблемных кредитов. Оценка кредитного портфеля системообразующих банков Республики Казахстан и анализ современного состояния банковской системы. Методы управления проблемными кредитами в практике зарубежных банков.
дипломная работа [443,7 K], добавлен 04.08.2014Теоретические и организационные аспекты расчетно-кассового обслуживания в банках второго уровня: понятие, виды, функции, принципы организации и проведения. Проведение анализа системы расчетно-кассового обслуживания на примере АО "Евразийский банк".
курсовая работа [137,2 K], добавлен 29.06.2011Принципы деятельности банка и банковской системы. Организация банковских систем. Анализ эффективного функционирования банковской системы в Республике Казахстан, проблемы и перспективы ее развития. Управление финансовыми результатами банков второго уровня.
курсовая работа [95,9 K], добавлен 15.05.2011Анализ системы управления проблемными кредитами на примере АО "Цеснабанк". Характеристика деятельности банка и его экономические показатели. Управление кредитным портфелем банка. Анализ проблемных кредитов в банках второго уровня Республики Казахстан.
дипломная работа [1,3 M], добавлен 14.03.2015Теоретические и нормативно-правовые основы лизинга, анализ международного опыта его применения. Характеристика и особенности лизинговых операций в Республике Казахстан, а также пути решения их проблем. Оценка лизинговой деятельности банков второго уровня.
дипломная работа [150,6 K], добавлен 10.11.2010Cтруктура и стратегия развития банка "ЦентрКредит", его функциональные обязанности, депозитная политика, виды оказываемых услуг. Особенности налогообложения банков второго уровня. Совершенствование механизма ипотечного кредитования в современных условиях.
курсовая работа [1,3 M], добавлен 16.04.2011Понятие операционного риска, факторы его возникновения, принципы и задачи управления. Сравнительный анализ методов расчета операционного риска в коммерческом банке. Контроль операционных рисков, способы их минимизации и российская практика оценки.
дипломная работа [209,6 K], добавлен 23.05.2012Чем может помочь страховая компания банку в минимизации кредитных рисков? Возможные программы страхования для банков. Основные принципы договоров страхования финансовых рисков. Страховые тарифы при страховании финансовых рисков.
реферат [15,1 K], добавлен 09.12.2006