Обычно для организации работы участников обеспечения непрерывности деятельности создают сетевую папку, в которой размещают планы непрерывности деятельности, акты проверок и иную документацию.
Схема 7
7.5. Принципы подсчета размера операционного риска[75]
Этот процесс условно можно разделить на три основных этапа.
Этап 1. Подготовка данных. Он охватывает:
• фильтрацию инцидентов для включения их в расчет (по сумме, дате, потенциальным, внешним потерям и т. д.);
• распределение по бизнес-линии и по категории убытка;
• распределение по сумме убытка и частоте (см. схему 8).
Этап 2. Подборка модели распределения тяжести последствий, которая наиболее точно описывает распределение фактических потерь Банка (см. схему 9)
Обычно для подборки используют следующие распределения:
1. Распределение Бурра.
2. Экспоненциальное распределение.
3. Гамма-распределение.
4. Обратное гауссовское распределение.
5. Логарифмически нормальное распределение.
6. Комбинированное логарифмически нормальное гамма-распределение.
7. Комбинированное надежное логарифмически нормальное гамма-распределение.
8. Комбинированное логарифмически нормальное обобщенное распределение Парето с хвостом.
9. Логарифмически нормальное обобщенное Парето-Хилла.
10. Комбинированное х-логарифмически нормальное обобщенное распределение Парето с хвостом.
11. Распределение Парето.
12. Обобщенное распределение Парето.
13. Распределение Вейбулла.
14. Комбинированное распределение тяжести последствий с хвостом.
Этап 3. Масштабирование модели на убытки банка, вычисление границ доверительного интервала и установление суммы потерь соответствующей 99,9 % границе (см. схему 10).
В инструменте SAS OpRisk VaR результаты такого расчета графически будут выглядеть примерно так[76] (см. схему 11).
Схема 11
7.6. Организация подразделения по операционным рискам
7.6.1. Структура подразделения.
7.6.1.1. Оптимальная структура подразделения по операционным рискам представлена на схеме 12.
7.6.1.2. Представленное деление сотрудников на юниты[77] обусловлено несовместимостью знаний, навыков, интересов, необходимых для выполнения задач юнитов.
Так, юнит по выявлению и устранению рисков (отдел 2 на схеме) – это сотрудники, имеющие интересы и глубокие познания в области методологии, операционной деятельности. По типо-характеру эти сотрудники – гуманитарии. Они имеют большой опыт работы в различных подразделениях банка, знают все банковские процессы и их слабые места, знают риски – это самые дорогостоящие сотрудники.
Юнит по раннему предупреждению рисков – это сотрудники имеющие, интересы и глубокие познания в области статистической аналитики, отчетности. По типо-характеру эти сотрудники – «технари» – математики. Они имеют опыт сбора и анализа больших объемов данных, математического обнаружения тенденций, идентификации их причин, программирования, например, в SAS Enterprise Guide или SPSS Clementine / Modeler, или иных инструментах. Это также высокооплачиваемые сотрудники.
Юнит по координации инцидент-менеджмента в подразделениях состоит, во-первых, из группы «методологов-тренеров» (тех, которые координируют деятельность всех подразделений, обучают работе с рисками и инцидентами (это менее «дорогие» сотрудники)). Во-вторых, этот юнит состоит из группы сотрудников «потоковой проверки инцидентов» без глубоких навыков и познаний (это самые «недорогие» сотрудники). По типо-характеру это ярко выраженные «неугомонные экстраверты-миротворцы», имеющие опыт успешного взаимодействия с другими сотрудниками.
7.6.1.3. Таким образом можно выделить четыре группы сотрудников подразделения по операционным рискам:
• гуманитарии (юнит по выявлению и устранению рисков);
• «технари» (юнит по раннему предупреждения рисков);
• тренеры-наставники (юнит по координации инцидент-менеджмента);
• инцидент-контролеры (юнит по координации инцидент-менеджмента).
7.6.1.4. В подразделение по операционным рискам запрещается включать другие подразделения, связанные с операционной деятельностью, такие например, как подразделения противодействия мошенничеству и мониторинга сомнительных транзакций, мониторинга кредитных мошенничеств, контроля лимитов[78] и т. д. Это нарушает принцип разделения полномочий управления рисками и полномочий исполнения процессов (п. 6.7.3.1.2) и влечет неадекватность и предвзятость оценки рисков в этих подразделениях.
7.6.1.5. Запрещается также отдавать из подразделения по операционным рискам различные функции.
Пример структуры подразделения по управлению операционными рисками
Схема 12
Так, аналитиков по раннему предупреждению рисков, часто хотят «забрать» в иные подразделения, например, в макроаналитическое подразделение. Этого делать нельзя, так как значительную часть работы таких аналитиков составляет непосредственная организация процедур раннего предупреждения (что не вправе делать сотрудники иных подразделений).
Так же часто хотят «забрать» функцию по обеспечению непрерывности (в кадры, в ИТ-подразделение или в подразделение информационной безопасности). Однако все эти подразделения при организации непрерывности деятельности будут выполнять несвойственные им функции (например, не в компетенции кадров находится организация ИТ-непрерывности, так же как не в компетенции подразделения информационной безопасности находится организация непрерывности работы персонала и т. д.). Такое выполнение несвойственных функций является нарушением (выходом за рамки своих полномочий) и по сути дела некомпетентной деятельностью.
7.6.2. Подчиненность подразделения.
Стандартно подразделение по операционным рискам входит в блок рисков (либо в составе подразделения по банковским рискам, либо обособленно с прямым подчинением директору по рискам).
Вхождение подразделения в блок рисков несет существенные риски и ведет к «вырождению» функции управления операционными рисками.
Так, значительное число операционных рисков идентифицируется подразделением именно в блоке рисков (в скоринге, верификации, андеррайтинге, раннем взыскании, позднем взыскании, работе с коллекторами, предотвращении мошенничеств и т. д.). Т. е. подразделение идентифицирует риски у своего начальника – директора по рискам. Более того, когда устранение этих рисков задерживается, подразделение должно «жаловаться» на своего начальника Правлению. Налицо нарушение принципов разделения полномочий управления рисками и полномочий исполнения процессов (п. 6.7.3.1.2). Риск-функция в этих условиях теряет свою эффективность и объективность.