Новая парадигма управления операционным риском Глеб Дьяконов, Info Industries Group, Старший партнёр Форум «ОТБ2007», Москва, 16 ноября 2007
2 Info Industries Group Основана в Москве апрель 2000 Основные клиенты крупные российские банки (Top30) Практика управления операционными рисками с ноября 2003 Первый продуктивный проект апрель 2005 Система IIG ULTOR ноябрь 2005 Сегодня IIG ULTOR 2.6R (сентябрь 2007); ULTOR for SAP NetWeaver Завтра IIG ULTOR1/2/3 (март 2008)
3 Стандартная парадигма «Все говорят»: Надо собирать данные об операционных потерях (реже об операционных событиях) Данные об операционных потерях дают основания для количественной оценки риска (AMA) Надо проводить опросы сотрудников (фокус- группы, анкетирования) Надо измерять ключевые индикаторы риска (деятельности, контроля) Подразумевается, что это и есть система управления операционными рисками
4 Как работает СУОР? LDCRCSAKRI сценарии«скрытые потери» Модели«Карты риска» Планы
5 Как не работает СУОР LDCRCSAKRI сценарии«скрытые потери» Модели«Карты риска» Планы ?? ? ? ? ? ? ? ? !? ?!?!?
6 Взглянуть под другим углом Если главной и конечной целью является управление операционными рисками… …давайте управлять! Два ракурса: «Позитивный»: продукты процессы функции «Негативный»: угрозы выход предотвращение
7 Позитивный ракурс (1) Каталог продуктов: «Главное внимание главным вещам» Источник мастер-данных (!) Процесс: обслуживание продукта Этапы процесса функции: Выполняется определённым линейным или функциональным подразделением «Атомарный» объект риска
8 Позитивный ракурс (2) Новые продукты только через каталог! Процедура согласования: С операционным риск-менеджментом С вовлечёнными подразделениями С «ресурсообеспечением» «Плохие продукты» источник риска! (Кстати, нет никаких других рисков, кроме операционных)
9 Такой уж позитивный? Забавно, но первым и (AFAIK) единственным в России банком, который пытался применить подобный подход к корпоративному управлению ещё в 1996 году был… ИНКОМБАНК
10 Негативный ракурс (1) Организационная структура U1 U1.1U1.2U1.3 TOP30
11 Негативный ракурс (2) Угроза это не абстрактный риск (сценарий реализации) Угроза измерима по количественной (деньги) и/или по качественной (баллы, зоны) шкале Источником угрозы может быть одно подразделение, объектом другие Причина угрозы не всегда интересна
12 Для каждой угрозы… …следует понимать, почему она в TOP30 …существуют источник(и), объект(ы) и уровень управления …должна быть выбрана стратегия управления: принятие игнорирование уклонение передача снижение/предотвращение… …следует предусмотреть план выхода и запланировать реализацию стратегии
13 План выхода Должен быть один Если отсутствует, рейтинг угрозы повышается Что лучше: иметь плохой план или не иметь никакого? («оба хуже») «Срок годности» Ответственность за: формирование хранение испытание пересмотр приведение в исполнение
14 План текущего управления Для одной угрозы несколько Ответственность (по всем элементам WBS) Сроки и деньги (в сопоставлении с оценкой угрозы) Мониторинг реализации (что происходит с угрозой? «фазовый сдвиг»?) Post-mortem …см. системы PPM
15 Сформировать список угроз TOP30? Необязательно. TOP10 для начала Угрозы известны прямо сейчас (извинения не принимаются). Для примера см. отчётность Измерение потерь не панацея! (нельзя начинать: не увидеть всех угроз) «Страховать катастрофы»: что именно страховать? от чего именно страховать?
16 Дело за инструментами? LDC: «Чувствительные» потери связаны с угрозами Если событие не связано с угрозой в красную зону! RCSA: «Угрозы, только угрозы и ничего, кроме угроз»! Сценарии понятны всем, риски никому KRI: Если индикатор не показывает угрозу, выкинуть! Нет индикаторов усилить бдительность вдвое! Есть индикаторы? Вдесятеро!
17 Контакты Глеб Дьяконов Старший партнёр Info Industries Group , Россия, Москва, Лужнецкая наб. 2/4, стр. 14 Тел./Факс: (+7 495) Web: