Как найти систему по управлению операционными рисками sas oprisk management

Обновлено: 03.07.2024

В преддверии внедрения стандартов Базель II российские банки серьезно озабочены тем, как научиться правильно управлять операционными рисками. Несколько передовых российских банков уже внедрили у себя подобные системы, и эксперты Газпромбанка и БИНБАНКа поделились практическим опытом внедрения и использования таких систем с участниками бизнес-завтрака «Банковские решения по операционным рискам». Он был организован российским подразделением компании SAS, ведущим поставщиком решений и услуг в области бизнес-аналитики, и прошел 15 сентября 2011 г. в московском отеле «Золотое кольцо». В дискуссии также приняли участие эксперты Сбербанка, группы ВТБ, Россельхозбанка, Райффайзенбанка, Внешэкономбанка, Банка Хоум Кредит, Страховой Группы «СОГАЗ», других кредитных и страховых организаций.

Несмотря на подготовку российских банков к переходу на Базель II, информация о практической реализации систем управления операционными рисками сегодня является крайне скудной. Поэтому выступления двух практиков, накопивших реальный опыт использования таких систем, вызвали шквальный интерес участников мероприятия. В рамках своей презентации Елизавета Ясакова, начальник управления операционных и страховых рисков Газпромбанка, поделилась опытом внедрения в этом банке решения SAS по управлению операционными рисками SAS OpRisk Management, в том числе, его основной компоненты - SAS OpRisk Monitor (новое название – SAS Enterprise GRC). Особое внимание было уделено кастомизациям решения, потребовавшимся для оптимальной работы с ним, а также организационным и технологическим мероприятиям, реализованным в рамках внедрения решения для его успешной интеграции в деятельность всех подразделений Банка.

Начальник управления операционных рисков БИНБАНКа Рустам Бедрединов рассказал о том, как системы управления операционным риском (на примере SAS OpRisk Management) минимизируют убытки от инцидентов операционного риска, способствуют обеспечению непрерывности деятельности и оптимизируют резервы под операционный риск (посредством более точного его определения). В текущем году в БИНБАНКе запущена в промышленную эксплуатацию комплексная система управления операционными рисками на базе решения SAS. К системе подключено более тысячи сотрудников Банка. Накопленные сведения используются как для снижения потерь от реализованных операционных рисков, так и для определения капитала, необходимого для покрытия операционных рисков.

Для обмена опытом с участниками мероприятия в Россию приехал Сорин Энгел, признанный международный эксперт и автор многочисленных работ в области управления операционными рисками, ныне ведущий консультант SAS, имеющий за плечами опыт работы в таких компаниях, как JPMorgan Chase и Price Waterhouse Coopers, а также несколько десятков реализованных проектов в разных странах мира. Его блестящее выступление было посвящено практическому опыту управления операционными рисками и применения продвинутого подхода (AMA – Advanced Measurement Approach) как в банках Западной и Юго-Восточной Европы, так и в банках Индии и Ближнего Востока. Он рассказал о важных этапах на пути создания среды для управления операционными рисками, а также об интеграции в эту среду таких важнейших элементов, как идентификация рисков, их оценка, сбор данных о потерях, использование внешних данных, разработка и использование сценариев и ключевых индикаторов риска.

«Несмотря на серьезные инвестиции, управлять операционными рисками – выгодно для банка!» - сошлись во мнении участники мероприятия. Почему? С помощью систем по управлению операционными рисками банк сможет более эффективно идентифицировать возможные угрозы, которые могут привести к реализации операционных рисков, определить их приоритеты и предпринять необходимые действия для предотвращения таких угроз в наиболее уязвимых местах, таких, как процессы, продукты, информационные системы. Внедрение количественных мер оценки и систематического контроля операционных рисков позволит банку существенного снизить вероятность их возникновения и, таким образом, снизить свой финансовый и репутационный риск. В результате с течением времени уменьшатся количество и величина потерь, и банк сможет серьезно сократить свои издержки за счет оптимизации процессов и продуктовой линии банка, и таким образом, увеличить доходность своего бизнеса. Помимо этого, эффективное управление рисками приведет к существенной экономии капитала за счет применения продвинутого подхода (AMA) для расчета операционных рисков.

«Важно, что наличие эффективной системы управления операционными рисками может быть одним из факторов, способствующих повышению международного рейтинга банка, а это, как правило, обуславливает увеличение стоимости акций банка, а также более выгодные условия привлечения денег на международном рынке», - считает Рустам Бедрединов.

«Сегодня банковское сообщество России вплотную подошло к проблеме управления операционными рисками, - заявил Николай Филипенков, руководитель направления риск-менеджмента компании SAS Россия/СНГ. - Мы видим, что наиболее передовые банки смотрят на шаг вперед и уже сегодня активно готовятся к переходу на Базель II, в частности, формируют собственные базы инцидентов, и мы рады предложить банкам проверенное решение мирового уровня. Сегодня SAS обладает сильной командой в России, которая уже успешно реализовала в нашей стране и в СНГ ряд проектов по внедрению системы управления операционными рисками».

О компании SAS

Компания SAS является крупнейшей в мире частной IT-компанией, специализирующейся на разработке и продаже решений и услуг в области бизнес-аналитики. Компания основана в 1976 году, и сегодня в ее 400 офисах по всему миру работают 11,8 тыс. сотрудников. Около 25% своего дохода компания ежегодно реинвестирует в исследования и разработки (R&D). Ежегодный доход SAS постоянно растет на протяжении 35 лет, в 2010 году он составил 2,43 млрд. долларов. Клиентами SAS являются более 50 тысяч организаций в 126 странах мира. Среди них – 93 компании из первой сотни лидеров, включенных по итогам 2010 года в список FORTUNE Global 500®.

В России и странах СНГ компания SAS работает с 1996 года. Компания SAS предлагает заказчикам полный спектр решений и услуг в области бизнес-аналитики: консалтинг, внедрение, обучение и техническую поддержку.

Клиентами SAS в России и СНГ являются РЖД, МТС, Мегафон, МГТС, Сбербанк России, группа ВТБ, Газпромбанк, Альфа-банк, ЮниКредит банк, Райффайзенбанк, Ситибанк, GE ConsumerFinance, Банк «Возрождение», Банк «Тинькофф Кредитные Системы», Райффайзен Банк Аваль, Приватбанк, Укрсиббанк, Банк Форум, Кредитпромбанк, Казахтелеком, Налоговый Комитет Республики Казахстан, НП «Совет рынка» и другие компании.

SAS OpRisk Management (полное название - SAS Operational Risk Management) – это комплексное решение для управления операционными рисками. Оно включает в себя три основные компоненты:

· SAS Enterprise GRC (ранее – SAS OpRisk Monitor) – содержит механизмы управления инцидентами, оценки и проверки процессов (assessment, self-assessment), раннего предупреждения и пр.

· SAS OpRisk VaR – с помощью мощного математического аппарата SAS позволяет рассчитать показатель “Value at Risk” по операционным рискам при различных условиях и в различных разрезах (например, по вертикалям бизнеса, территориальной структуре).

· SAS Global Data – это публичные данные о реализации операционных рисков, накопленные SAS, которые могут быть использованы для построения моделей при малом количестве собственных данных у финансовых институтов.

Решения SAS OpRisk Management и SAS Enterprise GRC внедрены более чем в 200 финансовых институтах и нефинансовых организациях по всему миру: в Barclays, Societe Generale Group, Citigroup, ABN AMRO, PKO (Польша), группе Caixa Geral de Depositos (Португалия), OTP Group (Венгрия) и многих других.

Группа компаний ИААК (IAAC) является одним из крупнейших консультантов в сфере оказания актуарных услуг в области страхования, пенсионного обеспечения, различных систем социального страхования.
В группу входят некоммерческая организация «Независимый актуарный информационно-аналитический центр» (АНО НААЦ), универсальная консалтинговая компания «Международная актуарная компания» и совместное российско-сербское предприятие "International Actuarial Advisory Company - Balkan" (Белград, Республика Сербия).

Компании группы реализуют исследовательские проекты и предоставляют прикладные актуарные услуги государственным, региональным и местным органам власти, предприятиям, страховым и финансовым компаниям, негосударственным пенсионным фондам, профессиональным сообществам.

Эксперты группы проводят независимые аналитические исследования социально-экономических процессов на общенациональном, региональном и местном уровнях, осуществляют актуарную экспертизу законопроектов и нормативных актов в социальной сфере, прежде всего, в области социального страхования.

Компании ИААК осуществляют исследовательскую работу по анализу современного состояния и перспективам развития страхового рынка и его отдельных сегментов, негосударственного пенсионного обеспечения, занимаются разработкой необходимых для этого математических моделей и программ.

Помимо исследований в области страхования, пенсионного обеспечения и социального страхования, сотрудники компаний оказывают консультационную помощь страховым компаниям, негосударственным пенсионным фондам, предприятиям по всем вопросам, требующим участия специалистов – актуариев.

Программные средства, входящие в эту группу, поддерживают комплексную среду управления ОР класса ERM-систем, в которой работают руководители и сотрудники департаментов управления рисками, служб внутреннего контроля, исполнительное руководство кредитной организации.

1. SAS® OpRisk Management — широко известное решение компании SAS в области управления операционным риском. Решение SAS имеет модульную структуру и работает с единым хранилищем данных (Risk Warehouse). Каждый модуль имеет законченную функциональность, а все вместе работают как единая интегрированная система управления ОР, позволяющая собирать и обрабатывать данные, производить сложные аналитические вычисления, оптимизировать капитал под операционный риск, проводить контроль рисков, формировать отчетность. Решение содержит три основных компонента:
1) SAS® Enterprise GRC — веб-приложение, которое отслеживает негативные события, связанные с операционными потерями, следит за ключевыми индикаторами риска, картами оценки риска и собирает о них информацию, оценивает показатели ОР. Позволяет вести реестр проблем, планов действий и мероприятий по уменьшению уровня имеющихся и предотвращению потенциальных рисков, формировать отчетность;
2) SAS® OpRisk VaR — аналитическая модель VaR, которая дает возможность пользователям сшивать, изучать, менять, распределять и рассчитывать данные о распределениях потерь, связанных с операционным риском, вычислять значения непредвиденных потерь (капитала);
3) SAS® OpRisk Global Data — база данных о внешних потерях (более чем 10 тыс. известных событий, связанных с операционными потерями размером 1 млн долл, или более), которая поддерживает статистические данные о внутрибанковских потерях, использующиеся в моделировании и документировании.

Эти компоненты предоставляют финансовым институтам средства оценки операционного риска и управления им в соответствии со стандартами Базель II. Сегодня стало очевидным, что решения ORM (от англ. Operational Risk Management) должны является компонентами ERM- или ВРМ-технологий, увязывающими все виды рисков. В связи с этим компания SAS продвигает на российском рынке комплексное решение для банков SAS Enterprise Risk Management. Дополнительная информация о SAS OpRisk Management имеется на сайте компании [1] .

2. SAP GRC ORM for Banking — технология управления OP, разработанная немецкой компанией SAP для банков. Эта технология развивается и поддерживается компанией в виде набора решений SAP GRC (Governance, Risk and Compliance) для управления всеми видами рисков, в том числе операционным, и обеспечивает соблюдение предъявляемых нормативных требований (Базель Н/Ш). Решения SAP GRC включают три основных модуля:

• SAP GRC Risk Management — решение, позволяющее создать автоматизированную среду для управления, мониторинга и анализа рисков, в том числе ОР. Это отдельное приложение, которое осуществляет сбор и обработку информации от бизнес-приложений. Позволяет осуществлять постоянный мониторинг с использованием KRI и реагирование на выявленные проблемные зоны; обеспечивать управление данными (оргструктура, продукты, процессы); проводить оценку (самооценку) и анализ рисков (сценарии развития событий, АМА), планировать аудит бизнес-процессов. SAP GRC Risk Management взаимодействует с модулями SAP GRC Process Control и SAP GRC Access Control;

• SAP GRC Process Control — решение, позволяющее поддерживать в банке риск-ориентированную систему внутреннего контроля и аудита БП, обеспечения соответствий требованиям регуляторов;
• SAP GRC Access Control — решение, предназначенное для управления рисками несанкционированного доступа и контроля исполнения сотрудниками должностных обязанностей.

На российском рынке компания предлагает следующие дополнительные модули: SAP Audit Management — управление аудитом; SAP Fraud Management — противодействие мошенничеству; SAP Enterprise Threat Detection — проведение расследований инцидентов [2] .

В Киеве прошла Третья банковская конференция «Управление рисками при кредитовании частных лиц в Украине: современные методы и технологии». Ее основной целью стал обмен опытом работы в условиях международного ипотечного кризиса, а известный создатель средств Business Intelligence – компания SAS – представила здесь свое ПО и рассказала о методах его использования в операционной деятельности финансовых структур.

Chartis Research предлагает собственный (и весьма удачный) вариант наглядного сопоставления разработчиков в координатах «потенциал для захвата рыночной доли» – «полнота предложения». Как видно, SAS имеет лучшее рыночное положение среди трех компаний, располагающих полными корпоративными решениями для управления операционными рисками

Участие в данной конференции рекомендовалось прежде всего банковским специалистам, занимающимся оценкой кредитных рисков, проблемной задолженностью, розничным бизнесом, управлением филиальной сетью, методологией бизнес-процессов и внутренних процедур, внутренним аудитом, а также сотрудникам ИТ-департаментов, разрабатывающим и внедряющим аналитические системы и информационные технологии в банках.

В рамках мероприятия рассматривались сугубо практические специальные вопросы – влияние макроэкономических факторов на риски кредитования частных лиц в Украине, риски ипотечного кредитования на первичных рынках недвижимости, методы управления рисками портфеля розничных кредитов, типология рисков мошенничества в ипотечном кредитовании.

Однако SAS вполне уверенно чувствовала себя в подобной компании финансистов – этими вопросами она занимается уже в течение многих лет, в чем-то оказываясь даже на шаг впереди практикующих банковских специалистов. SAS представила обстоятельный доклад, посвященный автоматизации управления операционными рисками в потребительском кредитовании.

Дарья Нехороших, эксперт по управлению рисками из московского офиса компании SAS: «Автоматизация управления операционными рисками в потребительском кредитовании: мода или необходимость? Сегодня уже нужно не задаваться подобными вопросами, а эффективно использовать предлагаемые методики и соответствующее ПО»

Операционный риск согласно новой редакции Базельского соглашения (Базель II) определяется как риск убытка вследствие неадекватных или ошибочных внутренних процессов, действий сотрудников, систем или внешних событий. Операционные риски включают в себя юридические (штрафы, пени, взыскания, являющиеся результатами действий органов надзора, а также судебные иски), но исключают стратегический и репутационный риски.

Приоритеты текущих вложений в развитие корпоративной системы управления рисками были показаны на данных, полученных в ходе специального ежегодного исследования в мае 2007 г. по результатам глобального опроса «Enterprise Risk Management in the Financial Services Industry», проведенного аналитической компанией Chartis Research.

По сравнению с 2006 г. было отмечено определенное снижение значимости архитектуры/инфраструктуры систем. Управление кредитными рисками сохранило свое лидирующее положение и примерно 20%-ный отрыв от остальных факторов (среди которых назывались борьба с отмыванием денег, управление активами, рыночными рисками и внутренними процессами). Тем не менее на этом фоне управление операционными рисками уверенно заняло второе место, что говорит об осознании банками его необходимости.

Принципы управления операционными рисками сформулировать достаточно просто. Вначале должна быть осуществлена формализация процедур данного процесса. При этом выполняются идентификация ролей и ответственности участников, документирование политик и процедур управления (в том числе ИТ-систем), интеграция в общую риск-стратегию банка, составление структурированного справочника элементов и выявление индикаторов для каждой категории риска.

При ближайшем рассмотрении звучный и солидный термин «операционные риски» распадается на составляющие элементарной безалаберности

Второй этап – автоматизация процессов, описанных в методологической части. В состав первоочередных действий входят сбор информации по потерям и ключевым индикаторам рисков, мониторинг, консолидация и управление данными, отчетность о событиях, потерях, ключевых индикаторах риска, контрольная самооценка в необходимых разрезах и организация многопользовательского режима работы. При этом применяется специальное приложение SAS OpRisk Monitor.

Наконец, оценка операционного риска (расчет показателей OpVar) дается как на уровне организации, так и в разрезах направлений бизнеса и категорий риска. Необходимый инструментарий – SAS OpRisk VaR и SAS OpRisk Global Data.

Основные элементы системы управления операционными рисками SAS следующие. Контрольная самооценка риска (Risk Control Self Assessment – RCSA), сбор фактов реализации риска и потерь (Loss Event Data Collection), план действий и мероприятий (Issues and Corrective Action plans), ключевые индикаторы риска (Key Risk Indicators – KRI), сценарии будущих рисков (Scenario Capture), количественная оценка риска (Operational VaR), внешняя база данных по операционным потерям (OpRisk Global Data), и наконец, собственно платформа SAS, на которой выполняются интеграция данных и подготовка отчетности (Data Integration and Integrated Risk Reporting).

Подробности для тех, кому это нужно

Отчетность для ответственных лиц: панели SAS OpRisk Monitor, ключевых индикаторов рисков и SAS Risk Intelligent Portal

Уже 22 апреля в Киеве состоится специализированный семинар для банков «SAS Risk Intelligence – больше, чем Базель II», который компания организует на этот раз самостоятельно. На нем будут представлены инструменты для снижения реальных потерь банка и повышения эффективности управления рисками. Фискальные функции риск-менеджмента вполне очевидны (выполнение требований контролирующих органов, соответствие рекомендациям Базель II), но не они выходят сегодня на первый план в ведущих банках. Фактически банк – это организация, которая зарабатывает на том, что принимает на себя риски. Чем эффективнее действует созданная в банке система управления ими, тем эффективнее оказывается банковский бизнес и тем выше его конкурентоспособность. Обычно в подобных случаях подразумевается применение определенной аналитической отчетности. Однако SAS предлагает также мощные инструменты моделирования и прогнозирования, позволяющие «заглянуть за горизонт». Более того, банк с их помощью, как уверяют представители компании, «получает возможность использовать неопределенность будущего для получения дополнительных преимуществ и прибыли от управления рисками».

На киевский семинар SAS выносит обзор комплекса решений SAS Risk Intelligence для управления рисками в банках, SAS CRMS – комплексную систему управления кредитными рисками в соответствии с принципами Базель II, общее представление SAS OpRisk Management для управления операционными рисками в банках и технологии, реализуемые в его рамках приложениями SAS OpRisk Monitor и OpRisk VaR. Предполагается также рассмотрение методики оценки экономической эффективности реализации проектов по управлению кредитными рисками на базе решений SAS Risk Intelligence.

SAS Model Risk Management — комплексный продукт, используемый при анализе рисков возникновения убытков, а также его контроля в границах жизненного цикла модели. Он обеспечивает единое для всей компании хранилище рабочих моделей, даёт им оценку по эффективности выполнения условий бизнеса и проверяющих структур, позволяет отслеживать документооборот и предоставлять полезную информацию аудиторам.

Достоинства программного решения

Предлагаемое решение в виде программного продукта Model Risk Management минимизирует число неавтоматизированных операций, совершаемых с целью документирования, аудита и хранения моделей, контроля изменений, выстраивания коммуникаций между подразделениями организации. Указанный продукт даёт поддержку принятия решений, влияет на качественную интеграцию новшеств на базе правил, которые регулярно корректируются.

Главные достоинства продукта:

контроль моделей в течение их жизненного цикла;
большое количество сведений о важнейших источниках риска для моделей;
лёгкая адаптация к постоянным изменениям в политике управления организацией и модельными рисками;
правильное управление сведениями о моделях.

Кто может пользоваться продуктом?

Использовать продукт в своих целях могут организации, которые стремятся создать обновлённую систему управления моделями. Такой подход необходим для проверки всех типов риска, которые принадлежат к модели.

Документ Федеральной резервной службы США «Регуляторные указания по управлению модельным риском», утверждённый в 2011 году, говорит о том, что число моделей, используемых банками, регулярно увеличивается. Кроме того, систематически растут расходы на формирование, проверку и применение таких моделей. Вместе с тем, большинство затрат обусловлено внезапными последствиями использования моделей, к которым принадлежат и материальные убытки.

Спустя некоторое время Европейский центральный банк совместно с Базельским комитетом сформулировали обязательные положения. В их числе находится и «Целевой пересмотр внутренних моделей», используемый банками Европейского союза.

В соответствии с перечисленными сведениями все банковские учреждения обязаны иметь хранилище моделей и ресурсы, которые становятся базой для грамотного управления моделями в течение всего их жизненного цикла. К этой же категории принадлежит количественная оценка рисков.

Краткий обзор продукта

Рассматриваемый продукт Model Risk Management является эффективным решением, которое предусматривает создание централизованного хранилища моделей, инструментов для их анализа, а также механизмов формирования отчётов по связанным рискам.

С помощью продукта можно:

легко управлять всеми существующими моделями;
грамотно осуществлять документооборот;
осуществлять контроль над моделями;
проводить систематический мониторинг моделей;
успешно проводить обмен информационными сведениями.

У банков должно быть специальное хранилище для всех существующих моделей. Площадка SAS предоставляет возможности для ведения библиотеки всех моделей и принадлежащих к ней документов. Её главной целью является соблюдение управленческой политики модельным риском. Предлагаемый продукт имеет функционал для эффективного ведения документации с целью правильной постановки задач, а также избавления от существующих проблем.

В процессе контроля над моделями следует уделять особое внимание аудитам, пересмотрам существующих моделей с использованием системы, контролирующей проверку взаимодействия, проверку независимого характера. Все эти процедуры необходимы для удовлетворения требований бизнеса следования советам проверяющих органов.

Постоянный мониторинг моделей позволяет сформировать для них эффективные границы, что в свою очередь даёт возможность получать предупреждения при наличии малейших неточностей. Что касается обмена информацией, то он предусматривает формирование и публикацию отчётов, которые непосредственно связаны с модельными рисками. Благодаря этому такие отчёты можно грамотно распространять на конкретном предприятии. Инструменты продукта, предварительно насыщающие информационную документацию из единого репозитория сведений, облегчают подготовку отчётов для проверяющих органов.

Ниже речь пойдет о практическом опыте работы с продуктом SAS Enterprise GRC.

SAS Enterprise GRC является веб-приложение м, автоматизирующим управление рисками и соответствием данных. SAS Enterprise GRC состоит из Web application сервера (в новой версии он стал встроенным), SAS Enterprise GRC Administrative Tools, SAS Enterprise GRC Server, и Web Help. В нашем проекте он использовался для оценки операционных рисков вкупе с модулем SAS OpRisk VaR, который предназначен для моделирования операционного VaR (количественной оценки риска с помощью подходов, основанных на распределении потерь), а также расчета регулятивного капитала продвинутым методом (AMA).

Сам модуль SAS EGRC предназначен для ввода и обработки информации по ведению реестров рисков и контролей и их экспертной оценке, управлению инцидентами, в т.ч. сбору данных о реализовавшихся потерях, ключевым индикаторам рисков, сценарной оценке рисков, управлению политиками, тестированию регулярных процедур контроля за рисками, проведению риск-аудита, корректирующим мероприятиям и планам действий.

Выбранная система представляет собой конструктор, который нужно настроить под требования Банка. Помимо модуля сбора данных о фактически понесенных потерях, в системе есть также модуль по оценке потенциальных рисков, или модуль самооценки.

Интерфейс системы не самый дружелюбный. В нём много избыточной информации, которую можно убрать. Главный плюс системы в том, что она хорошо масштабируема. Она работает через тонкий клиент, и к ней достаточно легко подключать пользователей, а также система предоставляет единый шаблон оценки и унифицированный перечень рисков. Минус — в том, что она не всегда достаточно гибкая с точки зрения глобальных настроек. Например, когда нужно быстро скорректировать информацию по большому количеству инцидентов или обновить профили пользователей (возможно в версии 5.1 будут внесены обновления).

Метаданные контролировались через Management Console, модуль отчетности был реализован на основе Information Delivery Portal ( IDP ) вкупе с Web Report Studio ( WRS ) , а также надстройки Add- i n для пользователей Microsoft Office . Минус интеграции SAS EGRC с модулем WRS состоял в том, что в отчетах в наименовании объектов используется короткий дефис, а EGRC длинный. Из-за этого при простом копировании в поле поиска ничего не будет найдено, нужно исправлять этот дефис.

Для начала работы с EGRC пользователю достаточно открыть стартовую страницу через браузер.

Читайте также: