Очки не действуют никак…

Как показывают события на обозримом горизонте, в финансовом секторе именно операционные риски приводят к наиболее крупным потерям, и связаны они с действиями персонала организации. При этом реализация риска становится возможной из-за того, что имеются уязвимости в организационной структуре банка, распределении полномочий и ответственности, осуществлении бизнес-процессов, в том числе и процесса контроля. Именно по такому сценарию в 1985–1999 гг. Sumitomo Corporation потеряла более $2,8 млрд и в 2005–2007 гг. Societe Generale — €4,9 млрд, а между этими событиями также была череда крупных потерь. И это при том, что крупные финансовые институты нельзя обвинить в пренебрежении управлением операционными рисками, на развитие которого они тратят миллионы долларов каждый год. В чем же дело?

Банки озабочены повышением качества управления операционными рисками, основными источниками которых как раз и являются, по классификации Базельского комитета, люди, бизнес-процессы, системы, а также внешние события. Причем на долю операционных потерь, связанных с ошибками и мошенничеством персонала, нарушением бизнес-процессов и их неправильной организацией, деловыми практиками и продуктами, приходится более 60 процентов. Если к этому списку добавить организационный риск, выделяемый в отдельную категорию причин операционных рисков многими крупными банками, то эта доля может превысить и 70 процентов. Кстати, и Банк России в своем описании факторов (причин) операционного риска выделяет более широкую группу, чем собственно бизнес-процессы: «несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля»1. Именно на эти категории операционного риска мы и обратим наиболее пристальное внимание в данной статье, опираясь на практический опыт внедрения метаматричного подхода.

Отметим сразу, что мы не сторонники «революций» или «разбивания очков» и предлагаем дополнить ставшие традиционными методы управления операционными рисками. И первый практический вывод касается источников операционных рисков и классификации рисковых событий, предложенных Базельским комитетом, — явно выделить в отдельную категорию риски организационной структуры. Это способствует, во-первых, лучшему пониманию и выявлению (идентификации) операционных рисков и, во-вторых, смещению акцентов в управлении. Далее, если основная доля потерь приходится на действия персонала, распределение полномочий и ответственности и процессы банка, то именно они в наибольшей степени должны определять профиль операционного риска банка. После выявления следующим шагом в цикле управления рисками является измерение риска при помощи качественных или количественных метрик. Что здесь выработала банковская практика, что рекомендует Базельский комитет?

Большая часть подходов, рекомендуемых Базельским комитетом в целях измерения достаточности капитала, основана на объемных показателях. Так, в подходе базового индикатора для оценки уровня риска используется валовая прибыль банка, в стандартизованном (альтернативном стандартизованном) подходе — валовая прибыль бизнес-линий. Недостатком данной метрики является то, что она не связана ни с уровнем контроля операционного риска, ни с факторами, приводящими к реализации риска. По сути, чем больше валовая прибыль, тем больше операционный риск банка, то есть величина неожидаемых потерь, которую нужно покрывать собственным капиталом. Повышение уровня контроля операционных рисков, например улучшение бизнес-процессов и работы информационных систем, обучение персонала, будет повышать эффективность работы банка и увеличивать валовую прибыль, а операционный риск будет расти, если судить по требованиям к капиталу.

Надежды, возлагаемые на продвинутые (усовершенствованные) подходы, обоснованы в части измерения операционного риска, но не все из них позволяют учесть уровень контроля, особенно в целях управления риском (в узком смысле слова, т.е. отказ от риска, снижение, самофинансирование, передача). В подходе внутренней оценки (Internal Measurement Approach) измерение строится на основе частотности и величины потерь по категориям риска в разрезе бизнес-линий и расчете ожидаемых потерь. Подход на основе распределения потерь (Loss Distribution Approach) также основывается на частотности и величине потерь и должен позволять рассчитывать неожидаемые потери на основе восстанавливаемой функции потерь. Поэтому он сложен в применении к оценке величины риска, а для оценки текущего уровня контроля и его улучшений — еще сложнее, если это вообще возможно. Из продвинутых методов, рекомендованных Базельским комитетом, оценку уровня риска и уровня контроля явно дает скоринговая оценка (Scorecard Approach) операционного риска. Все модели, строящиеся на основе графов, байесовских сетей и т.п., также включают объекты, при помощи которых осуществляется контроль риска, и с этой точки зрения они — «перспективный кандидат» на оценку и уровня риска, и уровня контроля.

Другой компонент системы управления рисками, который обязательно должен быть в банке, — мониторинг, то есть периодическое измерение уровня риска и уровня контроля, причем периодичность должна соответствовать характерным частотам проявления риска (минимально). На этом компоненте ломаются подходы на основе распределения потерь, поскольку проводить мониторинг риска в рамках этих методов — задача трудоемкая и затратная. Сложности возникают и со скорингом в его классическом виде, поскольку он не содержит набора индикаторов для мониторинга.

После применения мер по управлению мы также должны иметь возможность измерять уровень остаточного риска и уровень контроля. Вообще говоря, нам желательно иметь инструмент измерения, который был бы встроен в процессы и позволял на основе единой системы метрик проводить как единичные замеры уровня риска и контроля, так и периодические (мониторинг).

Что же нужно, чтобы «очки начали действовать»? Опишем требования к идеальному инструментарию (набору методик) для управления операционными рисками:

1) инструментарий должен позволять проводить измерение уровня риска (до применения мер по управлению и после их применения) и уровня контроля;

2) в основе измерения должен лежать набор метрик, позволяющих на их основе проводить как разовые измерения, так и периодические (мониторинг);

3) должна быть обеспечена периодичность измерения, характерная для каждого из рисков;

4) методики, лежащие в основе измерения рисков, должны позволять систематизированно проводить выявление рисков;

5) инструментарий должен позволять встраивание в процессы метрик для раннего обнаружения риска и проверки качества контролей при необходимости применения мер по управлению.

Описанную петлю управления можно изобразить очень просто (рис. 1).

Рисунок 1. Адаптивный цикл управления операционными рисками

Первый блок («Измерение») содержит единый набор метрик для поддержки выявления рисков, их измерения и оценки уровня контроля. Второй блок («Управление») отражает действия менеджмента по реагированию на риски, причем менеджмент может постоянно убеждаться в адекватности и работоспособности установленных контролей при помощи связанного с управлением блока «Измерение».

А ларчик просто открывался

Какой же инструментарий больше всего подходит для обеспечения адаптивного цикла управления операционными рисками? Мы выяснили из анализа процессов управления и инструментов измерения рисков, что наилучшие кандидаты — графы, байесовские сети и подобные им методы. Однако будучи не структурированы, они сложны для понимания, содержат разнородные метрики для каждой отдельной категории риска, мало чем могут помочь в выявлении рисков. Используем для структурирования довольно давно известный матричный подход, позволяющий, например, произвести наложение бизнес-процессов на организационную структуру компании. За основу структурирования возьмем разработки Carnegie Mellon University по заказам силовых структур в части измерения свойств и дестабилизации экстремистских организаций2.

В основе лежит понятие метаматрицы — матрицы, состоящей из матриц, каждая из которых по столбцам и строкам содержит информацию об определенных важных с точки зрения операционной эффективности и операционного риска показателях организации.

Компоненты организации (структурные подразделения, персонал, задачи, знания и ресурсы для их выполнения), при помощи которых она достигает своих целей в бизнесе, и связи между ними формируют квадратную таблицу (в простейшем случае 4 x 4) — метаматрицу, состоящую из 16 ячеек-матриц, из которых 10 ячеек заполнены (рис. 2). Каждая из ячеек метаматрицы связывает друг с другом различные компоненты организации при помощи математической модели, представленной сетью (графом и его матрицей связности). Так, например, матрица связей «Сотрудники x Сотрудники» описывает социальную сеть, сформированную в организации. Данная сеть характеризует отношения сотрудников внутри организации — кто с кем взаимодействует, кто и от кого получает указания, кто и кому передает отчеты и т.д. Сказанное можно представить в виде таблицы, столбцы и строки которой содержат список сотрудников организации. На пересечении строки и столбца ставится 1 или 0, если, соответственно, существует или отсутствует связь между конкретными их элементами (сотрудниками). Диагональ метаматрицы также образуют: Информационная сеть (Знания/Ресурсы x Знания/Ресурсы), Порядковая сеть (Задачи x Задачи) и Организационная сеть (Оргединицы x Оргединицы, включая такие единицы, как комитеты).

Рисунок 2. Совокупность матриц, образующих метаматрицу организации (упрощенно)

Любая из описанных матриц эквивалентна математической конструкции, называемой графом, вершины которого соответствуют строкам или столбцам матрицы, а связи между вершинами отражают нули или единицы в ячейках матрицы связности. Матрицы «Организации x Задачи» и «Сотрудники x Задачи» характеризуют функциональные обязанности и их распределение внутри организации: какие структурные подразделения задействованы в выполнении определенных процессов (совокупности задач), кто и что должен делать при выполнении определенных задач организации. На рис. 2 показана детализация матрицы «Институциональная сеть», представляющей собой наложение потоков задач (процессов), структурированных в «Порядковой сети», на организационную структуру банка. Матрица «Сотрудники x Знания» описывает, какими навыками и знаниями обладают (должны обладать) сотрудники для выполнения стоящих перед ними задач. Такой подход позволяет разложить сложную управленческую структуру на ряд более простых структур. Таким образом, мы получаем ряд математических моделей, связывающих компоненты организации, существенные для выполнения ее целей.

Осталось подобрать метрики для измерения эффективности и рисков. Метаматричный подход дает большое многообразие показателей, пригодных как для разового измерения риска, так и для его постоянного мониторинга. Это достигается ввиду того, что метрики изначально привязаны к матрицам (или графам, узлам графов). Группы показателей для измерения риска (на примере организационного риска) следующие.

Риски критических сотрудников — показатели позволяют выделить сотрудников в структуре банка, имеющих эксклюзивные знания, ресурсы, задачи. Они позволяют ответить на вопрос, как скажется удаление сотрудника из структуры на выполнении задач или имеет ли сотрудник тенденцию к приобретению эксклюзивных знаний и ресурсов.

Риски аллокации ресурсов — показатели измеряют влияние аллокации ресурсов в организации на возможность выполнения ею задач и позволяют ответить, например, на вопрос, имеет ли сотрудник доступ к ресурсам, необходимым ему для выполнения задач.

Коммуникационные риски — показатели помогают ответить на вопросы о том, имеют ли сотрудники возможность взаимодействовать, когда это необходимо для выполнения задач.

Риски избыточности — показатели характеризуют избыточность в распределении задач, рабочей нагрузки, доступа к ресурсам и знаниям. Рост избыточности делает организацию менее эффективной.

Риски задач — показатели позволяют ответить на вопрос о том, как скажется невыполнение какой-либо из задач (группы задач) организации на выполнении остальных задач. Также они позволяют оптимизировать последовательность выполнения задач в процессах и оценить возможность рекомбинации шагов по выполнению задач при невозможности выполнить одну из них.

Риски персональных взаимодействий — показатели позволяют ответить на следующие вопросы: взаимодействуют ли друг с другом сотрудники с одинаковыми и дополняющими навыками, скажется ли удаление таких сотрудников из сети на степень ее фрагментарности и другие подобные вопросы.

Риски свойств — показатели характеризуют возможность выполнения задач полностью и точно, позволяют ответить на вопрос, может ли организация выполнить свои задачи, или на вопрос, много ли задач будут не выполнены при удалении какого-либо сотрудника, ресурса и т.п.

По сути, эти же показатели позволяют измерить эффективность организации или процесса (обратную сторону риска). Группы показателей эффективности имеют три измерения (шкалы) — эффективности, стабильности и разнообразия.

Шкала эффективности

Близость — среднее «расстояние» (количество шагов) сети зависит от структуры сети и положения конкретного сотрудника в сети (рис. 3а).

Фрагментация — процент сотрудников, которые не могут быть охвачены прямыми и непрямыми контактами (рис. 3б).

Глобальная связность — показывает связность персонала, играющего центральную роль (рис. 3в). Ее также называют степенью корреляции. Рост глобальной связности интерпретируется как повышение эффективности организации, снижение — как проявление риска.

Рисунок 3. Иллюстрация показателей эффективности

Шкала стабильности

Транзитивность — количество общих соседей у двух сотрудников.

Связность локальная — количество сотрудников (связей между сотрудниками), убирание которых приводит к рассыпанию сети.

Количество (размерность) связей разных типов между двумя сотрудниками.

Шкала разнообразия

Энтропия — показывает непохожесть двух членов организационной сети, измеряя ее упорядоченность/неупорядоченность.

Ширина нишевая — показывает количество и разнообразие используемых каждым членом организационной сети ресурсов.

Метаматричный подход имеет широкую систему индикаторов, и даже их перечисление в рамках настоящей статьи не представляется возможным. Рассмотрим некоторые индикаторы на примере проекта оценки эффективности организационной структуры для выполнения определенных задач. Нами была проведена оценка эффективности контролирующей структуры, целевым показателем служила оперативность процесса выявления нарушений, их документирования и подготовки отчетности. На рис. 4 показан граф, отражающий взаимосвязи между внутренними структурными подразделениями (ВСП k) контролирующей организации в подпроцессе «Подготовка отчетности».

Показатели метаматричного подхода характеризуют как отдельные вершины сети (агентов), так и всю сеть в целом. Так, для всей сети были рассчитаны следующие показатели:

- диаметр сети - 3;

- плотность сети — 0,18;

- централизация полной степени - 0,79;

- централизация промежуточности - 0,87;

- централизация близости - 0,88.

Одной из наиболее важных характеристик сети является индикатор «диаметр», который показывает максимальное расстояние между агентами. С точки зрения заданного показателя эффективности структуры (оперативность), если диаметр сети минимальный (единица), то оперативность будет самой высокой. Однако в контрольной деятельности должны соблюдаться некоторые стандарты, она должна обладать функцией самоконтроля, например, качества своих заключений. Таким образом, тип связи «каждый с каждым», когда достигается значение диаметра сети 1, невозможен, но и значение 3 не является оптимальным.

Плотность сети - другой важный показатель, характеризующий отношение числа связей между агентами к максимально возможному их числу. Так, для сети, в которой все агенты связаны между собой, плотность равна единице. Минимальной плотностью, равной нулю, будет обладать сеть, в которой вообще нет связей между агентами. Для сети исследуемой контролирующей структуры плотность равна 0,18 — структура характеризуется низким числом связей. Число горизонтальных взаимодействий желательно увеличить.

Индикаторы централизации показывают, насколько сеть сконцентрирована вокруг одного узла. Концентрацию в рамках метаматричного подхода, то есть математически, можно описать многими способами. Нами были вычислены три показателя централизации. Максимально возможное значение во всех трех случаях может быть равно единице. Показатели централизации исследуемой структуры очень высоки. Это видно и на графе (рис. 4): очень большое число взаимодействий осуществляется через одно подразделение (ВСП 3).

Рисунок 4. Граф, отражающий сеть связей агентов3

Приведем пример другого проекта, где группы индикаторов метаматричного подхода были использованы нами при оценке риска процессов одной из организаций. Целью оценки рисков процессов было определить, почему при одинаковых усилиях, затраченных на инжиниринг процессов, их эффективность существенно различалась. Для решения этой задачи экспертам организации были предложены группы показателей риска процессов с подробным описанием (см. выше риски свойств, избыточности, задач, коммуникационные), из которых каждый эксперт выбирал те показатели, которые, по его мнению, могут отражать риски процессов. Далее единый список показателей ранжировали по значимости и согласовывали мнения экспертов. Полученные показатели нормировали к единице, определяли для них способ (формулы) измерения. Для каждого из исследуемых процессов создавали искусственным образом процесс-бенчмарк с наилучшими значениями показателей и градацией до «совсем неэффективного процесса». Для построения регрессионной модели риска процесса использовали методы пошагового включения переменных в модель и пошагового исключения переменных из модели. Результатом была модель, которую, несмотря на ее тривиальность, мы здесь приведем4:

R = b0 + b1A + b2B + b3C + b4D + b5E + b6F + b7G + ξ.

В таблице показаны значения коэффициентов модели, их ошибки и дано описание показателей — факторов, которые влияют на риск процесса, снижая или увеличивая его. Показатель качества модели R2 = 0,87.

Таблица. Показатели риска процесса и их значимость

Показатель Описание показателя Значимость показателя (bi) Ошибка bi
A Рутинность процесса –0,109 0,002
B Количество сотрудников, участвующих в реализации бизнес-процесса 0,015 0,003
C Количество процессов, зависящих от выхода (результата) исследуемого процесса 0,008 0,001
D Количество автоматически фиксируемых показателей качества процесса –0,024 0,002
E Мотивация сотрудников — доля показателей качества процесса, важных для потребителя процесса, в группе показателей, по которым оценивается работа сотрудников –0,259 0,01
F Подготовленность сотрудников — количество недель в году, затрачиваемых на обучение –0,07 0,001
G Опыт сотрудников в реализации аналогичных процессов –0,08 0,0001

Наиболее значимым оказался показатель, связанный с мотивацией сотрудников. Вознаграждение определялось на основе оценки их деятельности при помощи таких параметров, которые важны одновременно и для потребителей процесса. Чем выше доля показателей качества процесса, важных для потребителя процесса, в группе показателей, по которым оценивается работа сотрудников, тем ниже риск процесса. Рутинность процесса — второй по значимости показатель, говорящий о том, что чем проще разбить процесс на элементарные полностью регламентированные операции, тем ниже риск процесса. Количество показателей качества процесса, которые автоматически фиксируются с определенной периодичностью, также влияет на риск процесса — чем их больше, тем риск ниже. Опыт сотрудников в реализации процессов стоит на четвертом месте.

Может, все-таки пересадить?

Все мы помним ставшую афоризмом фразу из басни И.А. Крылова: «А вы, друзья, как ни садитесь, все в музыканты не годитесь». Однако в российском банковском бизнесе ситуация иная. Об этом свидетельствует тот факт, что уровень профессионализма топ-менеджмента и персонала кредитных организаций примерно одинаковый, между банками довольно сильные потоки обмена персоналом, а операционная эффективность, уровень контроля операционного риска и операционных потерь — разные. Измерения, проведенные при помощи метаматричного подхода и соответствующих метрик, показывают, что все дело в разных характеристиках метаматриц, то есть организации взаимодействия сотрудников (матрица «Социальная сеть»), совокупности формализованных задач (матрица «Порядковая сеть»), распределении задач по организации (матрица «Институциональная сеть»), распределении сотрудников по задачам (матрица «Сеть функциональных обязанностей») и т.д. Однако оптимизация бизнес-процессов традиционными методами (постепенного улучшения или реинжиниринга) имеет два существенных недостатка. Во-первых, нет формализованной измеримой цели (ей), которую нужно достичь по результатам улучшения. Как правило, есть бенчмарк в виде текстового описания и несколько измеримых целевых параметров. И ситуация может быть следующей. Параметров-то мы достигли и описанию бенчмарка вроде бы соответствуем, но общая эффективность процесса снизилась или он стал очень сложным. Цель достигнута? Нет. Второй существенный недостаток состоит в том, что традиционные методы не позволяют проводить постоянный контроль изменений. Таким образом, производимые на отдельных шагах изменения могут приводить нас ко все большему отклонению от бенчмарка и целей, а заметим мы это только тогда, когда будут нужны дополнительные затраты для возврата на целевую траекторию.

Возникает вопрос: можно ли найти для внедрения изменений какой-то инструмент, который был бы лишен этих недостатков? Да, можно добиться повышения эффективности, «пересадив музыкантов» при помощи оптимизации, основанной на метаматричном подходе. В этом случае мы задаем набор целевых метрик нашего процесса (по показателям риска и эффективности) и определяем оптимальные шаги трансформации, на каждом из которых получаем измеренные (прогнозные) параметры наших матриц, на которые мы разложили компоненты организации, важные для достижения целей. Так, в приведенном примере (см. модель выше, табл.) мы можем ввести шаги изменения факторов, оценить их стоимость и еще до внедрения изменений определить, насколько снизится риск процесса.

Существенно и то, что мы можем определить несколько оптимальных траекторий трансформации процессов, например с одновременной минимизацией времени перехода или, наоборот, максимизируя его для снижения сопротивления изменениям. Траектории будут разными, чего опять же не дает традиционный подход, где цепочка «изменения и внедрение изменений» разорвана. Третьей отличительной особенностью является параллельность преобразований и внедрения изменений, поскольку метод оптимизации (улучшений) основан на оптимизации метрик взаимосвязанных матриц. Эта черта также недоступна традиционным методам, предполагающим, что мы оптимизируем что-то одно, а затем другое подстраиваем. Так, проведя реинжиниринг бизнес-процессов, мы затем меняем, если необходимо, организационную структуру, набор задач сотрудников (должностные инструкции сотрудников и регламенты выполнения операций). Меняя организационную структуру, например выделяя направление кредитования малого и среднего бизнеса в отдельное подразделение, банк далее последовательно меняет процессы. Оптимизация же организационной структуры на основе метаматричного подхода или минимизация (тоже оптимизация) операционных рисков проводится с учетом необходимых изменений в других «частях» метаматрицы, вызывая эффекты синергизма.

Таким образом, описанная технология позволяет осуществлять ряд важных функций управления:

1. Проводить анализ устойчивости — выявлять, кто (что) является критическим элементом.

2. Проводить анализ адаптивности — выявлять факторы, обеспечивающие адаптацию организации к изменившимся условиям.

3. Проводить организационную адаптацию, оптимизируя организацию (совокупность сотрудников, знаний, ресурсов, задач и пр.) по одному или множеству критериев.

4. Проводить оптимизацию реорганизационных путей, минимизируя издержки, время, потери персонала и т.д.

И главное, все это делается на основе измерения рисков и эффективности. Если в отношении индикаторов объема операций (валовой прибыли) можно спорить, насколько точно они отражают операционный риск банка и отражают ли вообще, то в отношении описанных индикаторов метаматричного подхода вывод бесспорный — да. В заключение отметим, что внедрение методологии желательно проводить с поддержкой программного обеспечения, помогающего решать задачи от выявления рисков до оптимизации.


1 - Письмо ЦБ РФ от 24.05.2005 № 76-Т «Об организации управления операционным риском в кредитных организациях».

2 - Carley K.M. A Theory of Group Stability, American Sociological Review, 1991, v. 56, p. 331–354.

3 - Вершины сети — круги, показывающие агентов. Стрелками обозначены связи между агентами.

4 - Факторы и коэффициенты модели приводятся в демонстрационных целях в усеченном виде.

В.А. Зинкевич, компания «Франклин & Грант. Риск Консалтинг»
В.Н. Черкашенко, компания «Франклин & Грант. Риск Консалтинг»