Хотите эффективно управлять операционными рисками?

Внедрите систему управления операционными рисками от ведущего мирового поставщика

Новые подходы в Basel III

В декабре 2017 года Базельским комитетом по банковскому надзору был выпущен новый стандарт «Basel III: Finalising post-crisis reforms, December 2017». Этот документ уточняет подходы к реализации положений реформы Basel III, включая новый стандартизированный подход к оценке операционного риска для целей расчета норматива достаточности капитала.

Для применения показателя «компонента потерь», предусмотренного новым подходом и позволяющего снижать требования к капиталу на покрытие операционного риска, кредитные организации должны учитывать информацию о потерях от событий операционного риска, как минимум, за последние пять лет.

Для реализации этой задачи необходимо установление в кредитной организации зрелой практики управления операционным риском.

Внедрение Basel III в части операционного риска в России

Рекомендации Базельского комитета нашли отражение в Российской Федерации в виде двух основных положений Банка России, которые регламентируют внедрение в российской банковской практике, требований нового стандарта Basel III:

Положение «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»,

Положение «О порядке расчета величины операционного риска для включения в нормативы достаточности капитала кредитной организации и осуществления Банком России надзора за его соблюдением» (отменяет Положение Банка России от 3 сентября 2018 года № 652-П «О порядке расчета размера операционного риска»).

Первое Положение устанавливает требования к управлению операционным риском, риском информационной безопасности, риском информационных систем, требований к политике кредитной организации в сфере информационных технологий. Данный документ также определяет подходы Банка России к дополнительным требованиям к капиталу, необходимого на покрытие потерь от реализации операционного риска, и единые нормативные требования к ведению базы данных о событиях операционного риска и внутренней отчетности кредитных организаций по операционному риску.

Второе Положение устанавливает требования к порядку организации надзора за контролем расчета величины операционного риска и содержит направления надзора, виды возможных нарушений и порядок принятия мер к кредитной организации за выявленные нарушения. Одной из таких мер является требование об установлении надбавок, связанных с неучтенными прямыми потерями от событий операционного риска, которые не были учтены в последнем расчете его значения.

Поддержка «трех линий защиты» в системе

В 2013 году международный институт внутренних аудиторов (The IIA) разработал модель «Трех линий защиты». Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.

Модель определяет три уровня ответственности и границы управления рисками, которые существуют между каждым уровнем с целью обеспечения полноценной системы риск-менеджмента.

Пирамида является эффективным представлением модели, так как наглядно показывает широту и глубину практики управления рисками, которые должны присутствовать на каждом уровне.

Взаимодополняющие связи между слоями 1 и 2, а также слоями 2 и 3 расширяют ответственность за GRC на бизнес (точка, в которой «риск» управляется наиболее эффективно) и в то же время повышают контроль, понимание и общую ответственность за GRC посредством централизации функций до уровня руководителей высшего звена и Совета директоров.

Группа
Регион
Бизнес-подразделение
Процесс
Риск
Контроль
03
Независимая функция. Используя риск-ориентированный подход, Внутренний Аудит предоставляет подтверждение Совету директоров и высшему руководству организации относительно того, насколько эффективно организация оценивает свои риски и управляет ими, включая эффективность работы первой и второй линии защиты.
02
Функции мониторинга. Обеспечение и отслеживание внедрения эффективной практики управления рисками, внутреннего контроля, соблюдение законодательства и административных правил/ внутренних регламентов и расследование фактов мошенничества.
01
Бизнес-функции. Операционное руководство, которое несет ответственность за оценку, регулирование и минимизацию рисков, а также за обеспечение эффективной системы внутреннего контроля.

Система OpenPages

Система OpenPages поможет в решении задач автоматизации операционных рисков

Модули системы и виды операционного риска

Риск ИБ
Риск ИС
Правовой риск
Проектный риск
Управленческий риск
Риск нарушения процедур контроля
Модельный риск
Риск персонала
Operational Risk Management
Business Continuity Management
Internal Audit Management
IT Governance
Policy and Compliance Management
Model Risk Governance
Third Party Risk Management
Financial Controls Management

Operational Risk Management (ORM) Предоставляет полностью интегрированное решение по управлению операционными рисками

Основные характеристики

Выявление, визуализация, управление, мониторинг и подготовка отчетности по операционным рискам в организации:

  • cоответствие нормативным требованиям по операционному риску,
  • отчетность для руководства организации, информационные панели,
  • бизнес-аналитика и поддержка принятия решений.

Интегрированные возможности управления операционным риском:

  • самооценка риска и контроля (RCSA),
  • сценарный анализ,
  • опросы на основании формализованных анкет,
  • отслеживание ключевых показателей рисков (KRI),
  • управление сбором, регистрацией, оценкой потерь и возмещений, выбором и применением способа реагирования на события операционного риска.
Преимущества для бизнеса

Понимание и проактивное управление рисками, которые могут повлиять на бизнес.

Улучшение процессов управления операционным риском путем интеграции данных о ключевых рисках (например, события потерь с RCSA).

Стандартизация отчетности по рискам в организации.

Быстрое развертывание решения ORM на основе лучших отраслевых практик и опыта IBM в данной области.

Панели управления операционного риска предоставляют действенную отчетность о текущем состоянии рисков

Внутренние события

Внутренние события могут быть зарегистрированы пользователями непосредственно в системе, имеющими учетную запись в системе и имеющими на это соответствующее право.

Внутренние события могут быть созданы автоматически в результате импорта данных из учетных систем организации (как правило на основании информации о транзакциях по счетам доходов и расходов).

Внутренние события могут быть созданы как результат работы специализированных модулей системы: ITG, MRG, TPRM, PCM, IAM, FCM, BCM.

Внутренние события могут быть созданы любым сотрудником не имеющим учетной записи в системе через специальное приложение: Loss Event Entry.

Внешние события и потери

Система позволяет учитывать внешние события, случившиеся в других организациях, в основной БД событий операционного риска.

Система имеет возможность импорта внешних событий из специализированных БД (Algo FIRST, ORIC и ORX), а также использование данной информации для оценки рисков.

База данных Algo FIRST:

  • концепция отслеживания внешних событий началась в банке «Bankers Trust» в 1992 году, когда руководство поняло, что для адекватной оценки собственных рисков недостаточно для отслеживания собственных потерь и поэтому компаниям необходимо смотреть на то, что происходит с их коллегами и в отрасли; только тогда у учреждения будет хорошее представление о рисках, с которыми оно сталкивается, и о том, как их снизить,
  • сейчас это продукт, известный как Algo FIRST, где FIRST - аббревиатура, обозначающая Financial Institutions Risk Scenario Trends,
  • эта база данных содержит более 15 000 тематических исследований и классификацию в соответствии с Basel III,
  • БД Algo FIRST предназначена для финансовых учреждений и имеет около 100 организаций в качестве подписчиков, среди которых глобальные и региональные банки, страховщики и перестраховщики, управляющие компании, хедж-фонды, пенсионные фонды и регуляторы.

Business Continuity Management (BCM) Управление непрерывностью и восстановлением деятельности бизнеса

Основные характеристики

Централизация данных о непрерывности бизнеса.

Анализ воздействия на бизнес, определение критичности персонала, процессов и активов организации.

Планирование обеспечения непрерывности, включая, готовность к ЧС, готовность к восстановлению после ЧС, планы коммуникаций, реестры ключевого оборудования, материально-техническое обеспечение сотрудников и реестры ключевых поставщиков.

Проверка актуальности и эффективности плана обеспечения непрерывности и восстановления деятельности (ОНиВД) организации.

Преимущества для бизнеса

Предоставляет возможность управлять рисками не только с точки зрения планируемых потерь, но в том числе с учетом недополученных доходов, появившихся в результате прерывания бизнеса (стоимость простоя).

Позволяет привести практики обеспечения непрерывности в соответствие с регуляторными требованиями (в первую очередь, Приложение №5, 242-П).

Business Continuity Management позволяет обеспечить должный уровень готовности организаций к работе в режиме ЧС

Internal Audit Management (IAM) Предоставление независимой гарантии для бизнеса

Основные характеристики

Комплексное решение для управления аудитом.

Определение, планирование, выполнение и отчетность об аудитах по всему бизнесу.

Отслеживание и управление аудитами, этапами аудита, рабочей документацией и распределениями заданий.

Автоматизация операции с помощью настраиваемых рабочих процессов и гибкой отчетности.

Ранжирование рисков пространства аудита, настроенное в соответствии с методологией аудита.

Преимущества для бизнеса

Предоставляет подразделениям внутреннего аудита возможность управлять рисками, выступая в качестве стратегического партнера для руководства организации.

Предоставляет интегрированный, замкнутый подход к управлению рисками, повышая наглядность и уверенность в отношении текущего состояния операционных рисков организации.

Internal Audit Management позволяет организациям планировать, выполнять, составлять отчеты и проверять свое пространство аудита

Policy and Compliance Management (PCM) Обеспечение соблюдения регуляторных и правовых требований

Основные характеристики

Интегрированное решение для управления политиками и соответствием правовым и нормативным требованиям.

Оценка соответствия правовым и регуляторным требованиям на уровне бизнес-подразделения, процесса или на местном уровне.

Управление политиками и процедурами.

Обучение и коммуникации.

Поддержка процессов нормативной сертификации и аудита.

Преимущества для бизнеса

Стандартизация соответствия правовым и регуляторным требованиям в соответствии с установленными правилами для снижения затрат и обеспечения целостного понимания всех комплаенс-рисков.

Обеспечение уверенности в достижении соответствия правовым и регуляторным требованиям, предупреждении и снижении рисков и соблюдении корпоративных политик и процедур.

Панели управления для руководства организации обеспечивают наглядность, контроль и поддержку принятия решений, необходимые для соответствия нормативным и регуляторным требованиям и для оптимизации эффективности бизнеса

Financial Control Management (FCM) Лидирующее на рынке решение для управления рисками финансовой отчетности

Основные характеристики

Автоматизация жизненного цикла комплаенса:

  • проектирование и документирование путем испытаний, проверок, утверждений и сертификаций.

Центральный репозиторий:

  • получение полного аудиторского следа через документированные, комплаенс-политики и процедуры.

Управление проблемами:

  • автоматизация уведомлений о проблемах и их исправление,
  • мониторинг критических проблем на панели управления.
Преимущества для бизнеса

Безопасное и централизованное управление всеми данными финансового комплаенса.

Обеспечивает руководство уверенностью в соблюдении комплаенса.

Обеспечивает быстрое устранение проблем.

Панели управления, графики и отчеты FCM предоставляют информацию о состоянии финансовой отчетности и комплаенсе

IT Governance (ITG) Приведение IT-рисков и операционного управления в соответствие с бизнес-целями

Основные характеристики

Интегрированное решение для управления IT-рисками и комплаенсом:

  • оценка IT-риска в контексте бизнеса,
  • определение ключевых рисков и контролей.

Поддержка процессов нормативной сертификации и аудита.

Оптимизация контролей.

Отслеживание и управление общими требованиями в рамках законов, правил, стандартов и политик.

Преимущества для бизнеса

Управление внутренними IT-контролями и рисками в соответствии с бизнес-процессами, которые они поддерживают.

Объединяет данные об IT-рисках из множества источников, улучшает прозрачность, обеспечивает качественную поддержку принятия решений, повышает общую производительность организации.

ITG предоставляет процессно-ориентированный, использующий политики управления, способ управления рисками и комплаенсом IT

Model Risk Governance (MRG) Управление жизненным циклом и контролями моделей

Основные характеристики

Комплексное управление данными о рисках:

  • формализует требования к данным, используемым для разработки, проверки и мониторинга моделей: полноту, точность, своевременность, корректную агрегацию.

Централизованный реестр моделей:

  • предоставляет процессно-ориентированную систему управления метаданными модели независимо от её типа, источника и технологии разработки.

Анализ и проверка моделей:

  • средства управления обеспечивают сквозную процедуру утверждения, контроля и валидации, регистрирующей весь процесс её обсуждения.

Функции отслеживания использования и управления изменениями моделей:

  • средства управления политиками для соответствия нормативным требованиям к разработке, проверке, внедрению, мониторингу и управлению изменениями моделей.
Преимущества для бизнеса

Централизованное управление информацией о моделях.

Документирование и отслеживание моделей на протяжении всего жизненного цикла.

Расширенный анализ основных факторов модельного риска.

Постоянное соответствие меняющимся политикам риска и нормативным требованиям.

MRG предоставляет процессно-ориентированный способ управления модельным риском

Third Party Risk Management (TPRM) Управление риском взаимодействия со сторонними компаниями

Основные характеристики

Ведение реестра всех поставщиков и их обязательств.

Классификация по уровню критичности.

Оптимизация управление контрактами со сторонними поставщиками.

Использует стандартные оценки рисков для определения и снижения рисков специальным образом для индивидуально для отдельных поставщиков.

Использует возможность оценки уровня риска, который несет с собой сотрудничество с конкретным поставщиком, с помощью опросников на основе формализованных анкет.

Преимущества для бизнеса

Улучшает управление поставщиками.

Выявляет и смягчает риски.

Предоставляет прозрачный взгляд на то как обязательства сторонних компаний поддерживают бизнес организации.

TPRM обеспечивает постоянную переоценку рисков взаимодействия со сторонними компаниям, отслеживает и сообщает об изменении уровня рисков на постоянной основе

Интеграция OpenPages и SEIM-систем

SIEM-решения:

  • автоматически обнаруживают атаки, сопоставляя тысячи IT-событий из различных источников,
  • инциденты (нарушения) расследуются и устраняются группой безопасности операций.

OpenPages:

  • автоматический импорт инцидентов, соответствующих заданным критериям,
  • инцидент затем может быть сопоставлен с бизнес-контекстом, отслежен и дополнительно расследован.

Поддержка SEIM-решений:

  • IBM QRadar,
  • Kaspersky KUMA,
  • и др.
OpenPages
Подразделение управления операционными рисками:
  • бизнес-контекст,
  • оценка влияние инцидента на риски,
  • оценка потерь.
SEIM-решения
Подразделение безопасности операций:
  • приоритезация своевременного предупреждения,
  • техническое влияние инцидента,
  • потенциал судебной экспертизы.

Интеграция OpenPages и АБС

Основные характеристики

Регулярная загрузка данных из АБС в соответствии со следующим настраиваемым списком масок счетов: 70601%, 70606%, 60301% 60308%, 60323%, 60323%.

Настраиваемый алгоритм позволяет автоматически отсеивать проводки, которые гарантированно не являются потерей/возмещением по событию операционного риска.

Проводки, являющиеся потенциальными потерями/возмещениями обрабатываются рабочим процессом, в котором могут быть задействованы несколько ролей: риск-координатор, риск-офицер, риск-менеджер, руководитель бизнес-подразделения и т.д., а также могут быть применены логические правила, например, порог регистрации событий.

На основании проводок могут быть созданы новые потери и/или новые возмещения, которые в последствии прикрепляются к уже зарегистрированному событию, также могут быть созданы новые одновременно событие и потеря.

Преимущества для бизнеса

Все проводки, требующие контроля на предмет выявления событий операционного риска, находятся под автоматизированным контролем подразделения операционных рисков.

Снижение трудозатрат как сотрудников подразделения операционных рисков, а также на риск-офицеров.

Расчет размера операционного риска

Основные характеристики

Система позволяет рассчитывать величину операционного риска на основании требований положения Банка России «О порядке расчета величины операционного риска для включения в нормативы достаточности капитала кредитной организации и осуществления Банком России надзора за его соблюдением».

Данные:

  • Форма 0409102 «Отчет о финансовых результатах кредитной организации»,
  • Форма 0409127 «Сведения о риске процентной ставки»,
  • собственная база данных системы.

Отчеты:

  • отчет о расчете величины активов, приносящих процентный доход,
  • отчет о расчете величины бизнес-индикатора и величины операционного риска,
  • отчет о расчете величины коэффициента внутренних потерь для кредитных организаций, применяющих расчетный коэффициент внутренних потерь,
  • отчет об отнесении возмещений к прямым потерям,
  • отчет о событиях операционного риска, чистые потери по которым предложены кредитной организацией к исключению из расчета СЧП кредитной организации.
Преимущества для бизнеса

Вариативность расчета размера операционного риска в соответствии с разными настройками и параметрами позволяет принимать взвешенные решения о подходах к соблюдению регуляторных требований Банка России в части операционного риска.

Преимущества

Лидирующее решение в мире по интегрированному управлению операционными рисками согласно Gartner.

Полностью русифицированное и адаптированное к российским требованиям и особенностям решение.

Преднастроенные рабочие процессы по ключевым объектам системы: риски, события, контроли, проблемы, КИРы, переоценки рисков, проверки, сценарный анализ, и т.д.

Преднастроенная отчетность (около 100 отчетов).

Возможность регистрации событий операционного риска без наличия учетных записей в системе.

Развитые механизмы RCSA, опросников, уведомлений, триггеров событий.

Встроенные в решение собственная СУБД (IBM DB2) и система отчетности (IBM Cognos).

Система может работать на СУБД Oracle Database или СУБД IBM Db2.

Наличие готовых интеграционных мостов с большинством популярных АБС в России и СНГ.

Высокая нагрузочная способность (более десятка тысяч пользователей) и высокая производительность.

Интеграция с внешними системами исследований рисков IBM Algo® FIRST, ORX и ORIC.

Поддержка требований Банка России и Basel III.

Дополнительные видеоматериалы

Регистрация заявки

Закажите демонстрацию продукта и узнайте, как можно построить эффективную систему управления операционными рисками

Ваша заявка отправлена!
Спасибо за интерес к нашему продукту, менеджер нашей компании свяжется с Вами в ближайшее время.