Иногда производят интеграцию с другими справочниками, например, курсов валют, списками счетов, каталогами Active Directory (для возможности авторизации пользователей по своим учётным записям) и т. п.
Базу рисков интегрируют также с источниками данных об однотиповых множественных инцидентах (например, фактами осуществления исправительных проводок или излишками / недостачами в банкоматах).
Базу рисков интегрируют и с данными для расчета ключевых индикаторов рисков и т. д.
Этап 5. Настройка отчетов, настройка средств доступа к ним.
Всю отчетность целесообразно строить не в базе рисков, а из хранилища данных (предварительно обеспечив ежедневную выгрузку туда этих данных из базы рисков – см. выше этап 4 настоящего пункта).
От того, насколько удобными, понятными и актуальными для пользователей будут отчеты и прогнозы (а использовать отчеты и прогнозы по своим операционным рискам будут все подразделения банка), настолько и будет оцениваться эффективность управления операционным риском.
7.8. Аллокация инцидентов
7.8.1. Важность аллокации и инструменты.
Аллокация инцидентов[83] (по исполнителям, подразделениям, покрывающим убытки, и иным признакам) в рамках их учета является важным моментом, обеспечивающим работоспособность всей системы управления операционным риском. Ниже приводятся примеры наиболее важных аллокаций и раскрываются причины их важности.
1. Аллокация инцидента по типу (виду) инцидентов.
Если инциденты будут аллоцироваться не на те типы инцидентов, к которым они относятся то и направляться для обработки они будут не на те маршруты и не к тем экспертам (их обработки либо вовсе не будет, либо она будет некомпетентной). В этих условиях вся работа с инцидентами будет неэффективной.
2. Аллокация инцидента по виду бизнеса.
Если расходы на возмещение инцидентов и на их обработку не будут аллоцироваться на конкретные подразделения (и не вычитаться из их бюджетов), то у этих подразделений никогда не возникнет настоящего желания минимизировать свои риски и предотвращать инциденты.
Список названий оптимальных признаков инцидента и информационных полей приведен в Приложении 4.
Присвоение признаков играет ключевую роль и для последующей аналитики и построения отчетности, и для автоматической аллокации инцидентов на классификаторы Базель II (для расчета операционного риска продвинутым способом).
Основные проблемы при аллокации инцидентов возникают из-за неудобства механизмов присвоения их признаков. В ходе практического решения этой проблемы оказалось, что главным является одновременные интуитивная понятность и высокая детализация этих признаков. Они определяются при первоначальной регистрации инцидента и сопровождают его на всем протяжении жизненного цикла. Инициатор указывает эти признаки, отвечая на четыре вопроса:
• Что произошло?
• С чем произошло (ресурс)?
• Где произошло (территория)?
• Где произошло (процесс / продукт)?
Эффективность аллокации по многочисленным признакам будет зависеть от удобства выпадающих многоуровневых списков, их интуитивной понятности и детализации.
7.8.2. Особенности аллокации инцидентов по категориям и бизнес-линиям.
Нередко определение принадлежности инцидента к той или иной категории и бизнес-линии вызывает трудности и спорные моменты. Принадлежность определяется экспертным путем, а правила и особенности такого определения приводятся в конце Приложения 1 и Приложения 3.
7.8.3. Несоответствия между управленческим и финансовым учетом.
В случаях, если какие-либо инциденты и убытки учтены в базе операционных рисков, но не учтены в бухгалтерском, финансовом или управленческом учете, приоритет должен отдаваться сведениям из базы операционных рисков.
7.9. Правила расчета убытка по крупным инцидентам[84]
Банк производит оценку суммы убытка каждого инцидента по внутренним методикам, при этом расчет суммы убытка по инцидентам может производиться по следующим правилам:
Примерная формула расчета:
К убытку от инцидентов не относятся расходы, затраченные банком на выработку мер по недопущению инцидентов, аналогичных произошедшему (мер предотвращения инцидентов), а также расходы на реализацию таких мер.
В сводных отчетах по банку все инциденты, в которых сумма убытка имеет отрицательную величину (когда суммы поступлений, вызванных инцидентом, превышают суммы потерь), учитываются так чтобы они не искажали размера убытков от других инцидентов (не снижали сумм убытков от других инцидентов). Такими инцидентами могут быть, например, факты возникновения излишков в банкоматах или инциденты, по которым сумма возмещений превысила сумму убытков. При этом банк должен иметь возможность представить отчетность отдельно по инцидентам, где суммы поступлений, вызванных такими инцидентами, превышают суммы потерь.
Для обеспечения точности расчета убытков от однотипных инцидентов с примерно одинаковым убытком, например, исправительных проводок, не повлекших прямых убытков, размер убытка может назначаться нормативно (при этом убытком может быть себестоимость каждой исправительной проводки).
Следует различать убыток банка и убыток клиентов банка. Например, если хищение произошло со счетов клиентов (вклада, банковской карты или текущего счета), то такой убыток целесообразно регистрировать как потенциальный, который изменит статус на фактический, если эти средства будут возмещены клиенту из бюджета банка.
7.10. Оценка состоятельности системы управления операционным риском
Уровень управления операционным риском можно определять по следующим критериям.
Критерий 1 – по уровню технологичности.
Этот критерий больше характеризует силу, грамотность и техническое оснащение второй линии защиты операционных рисков (подразделения по операционным рискам).
Показателями высокой технологичности можно обозначить следующие критерии:
• эффективность механизмов раннего предупреждения рисков (в т. ч. индикаторов рисков и контролей рисков), перечисленных в разделе 6.3.;
• наличие в банке технической системы управления операционными рисками известного производителя;
• полнота, актуальность и качественность первичных данных об инцидентах и рисках;
• интересные и актуальные отчетность и прогнозы;
• действующие инструменты расчета рисков продвинуты способом.