СИМАНОВСКИЙ А. Ю.

Доброе утро!

Разрешите еще раз поздравить вас с юбилейным конгрессом, выразить уверенность в том, что актуальность тематики и возросший профессиональный уровень участников сделают этот конгресс достаточно заметным событием с точки зрения идеологии развития и банковского дела и всего того, что с этим делом связано, в широком смысле.

Тема нашей секции вам известна - это управление рисками кредитных организаций, то, на что направлено корпоративное управление, то есть на решение двух основных задач: одна задача – получение максимального дохода, вторая задача – получение этого дохода при условии стабильной, устойчивой работы самой кредитной организации. Как раз устойчивое, стабильное функционирование кредитной организации – это проблему управления рисками.

Я надеюсь, что в рамках работы секции мы обсудим эту тему достаточно подробно и комплексно, с разных точек зрения, с разных позиций, имея в виду, что нам предстоит заслушать 1,5 десятка сообщений.

Предложение сопредседателей таково, что после каждого сообщения возможны вопросы, возможны комментарии, возможны, естественно, и ответы. Спрашивать можно не только докладчиков, но и обмениваться мнениями с присутствующими в зале. Можно адресовать вопросы также тем, кого в зале нет. Мы эти вопросы им передадим.

Иными словами, мы предлагаем достаточно раскрепощенную обстановку для обсуждения. Естественно, просьба к выступающим с сообщениями придерживаться регламента – это 10 минут. Если потребуется дополнительное время, то с согласия зала оно будет предоставлено, но хотелось, чтобы и слушающие имели возможность поучаствовать в обсуждении, а не только слушать то, что до них доносят выступающие.

НЕ нашли? Не то? Что вы ищете?

Я надеюсь, что эти предложения не вызывают возражений? (Нет.)

Следующий момент, касающийся последовательности выступлений. Мы эту последовательность будет соблюдать. Единственное, я хотел бы внести следующее предложение. У нас традиционно сопредседатель или ведущий помещается в начале списка, имея в виду, что он является камертоном, как бы задает тон и т. д. В моем представлении вопросы надзора – это вопросы, производные от вопросов риска. Поэтому я с вашего позволения не буду брать слово первым, а оставлю себя на потом. Полагаю, что мы должны начать обсуждение непосредственно с проблематики управления рисками, с проблемой рисков и того, что с этим связано.

ЛЬВОВ Б.

Доброе утро, дамы и господа!

Я немного поменял тему, точнее, уточнил её, потому что тема – бизнес риски – достаточно широкая. Сегодня я поговорю о концепции бизнес рисков и на примере расскажу об одном из рисков и как им управлять, имея в виду риски информационных систем. Немного остановлюсь на принципах корпоративного управления. Ведь принципы корпоративного управления существуют также и для информационных систем.

Тенденции, которые наблюдает наша фирма ПрайсВотерхаусКуперс в последнее время на рынке бизнес рисков, заключаются в том, что организации относятся к определению самого риска с трех сторон.

Первая сторона – отношение к риску как к возможным потерям, то есть традиционное определение риска, как зло, неприятность, которая может случиться. Это вы видите на графике внизу.

Другое отношение к рискам – к рискам как к неопределенности, то есть что-то проявляется в операционном управлении компании или кредитной организации. То, как решаются оперативные вопросы или, как, например, бюджет. Он идет с какими-то промежуточными планами и происходит какое-то небольшое управление. Это то, что мы называем рисками неопределенности.

Третье отношение к рискам и мы считаем его достаточно важным. Многие организации, в том числе и в России, относятся к рискам не только как к возможному злу, но и как к каким-то новым возможностям. То есть риски нам приносят не только какую-то угрозу, но и дают нашей кредитной организации как-то получить преимущество от этого.

Когда мы говорим о рисках, как о потерях, о каких-то возможных неприятностях, то, например, в кредитной организации, естественно, это больше функции внутреннего, внешнего аудита, может быть каких-то административных функций, службы безопасности и т. д.

Когда мы говорим об императивном управлении, то есть о риске как о неопределенности, то это является функцией руководящего звена бизнес подразделений. Это немножко другой уровень.

Но когда риски рассматриваются как возможные преимущества, которые может получить банк, то это всегда прерогатива высшего руководства. Когда речь идет о рисках, то высшее руководство концентрируется на общей политике риска, и риски могут рассматриваться как возможности для компании.

Вообщем-то отношение к рискам, которое мы наблюдаем, а мы видим многие банки как аудиторы и как консультанты, можно посмотреть на шкале взросления организации, которую я здесь показал. Менее развитые организации, которые относятся к рискам как к злу, они больше внизу шкалы взросления. Это такие организации, которые либо внедряют системы управления рисками после каких-то прецедентов, то есть когда с ними случились какие-то неприятности, либо, в лучшем случае, у коллег рядом случились неприятности, и они на это реагируют. Более продвинутые организации уже начинают управлять операционными рисками или такими рисками, как риск потери репутации.

Но в самых передовых организациях, и здесь больше примеров из мировой практики, которые встречает наша фирма, отношение к риску как к каким-то возможностям. То есть организация принимает на себя риски, стараясь увеличить акционерную стоимость компании, достичь каких-то других стратегических целей. Естественно, когда организация воспринимает риск как возможность, нужна четкая система. Надо пройти первых два этапа и построить систему управления возможными неприятностями, именно построить систему управления рисками как возможностями.

Еще раз хочу подчеркнуть, что наша фирма привносит новое определение, что такое риск, то есть риски оказывают негативное или позитивное влияние на возможности организации в достижении своих целей.

Характерным примером такого подхода к риску служит область информационных технологий. Это достаточно рисковая область. Многие банки стараются использовать информационные технологии как какое-то конкурентное преимущество, развивают новые технологии, предлагают новые виды электронных услуг. Другие организации отстают в развитии информационных систем и подходят к проблемам развития информатизации как к чему-то необходимому, стараются финансировать развитие информационных технологий по принципу латания дыр. Естественно, это совсем другая ситуация. Здесь риски риски информационных систем немного другие.

Почему я хотел более подробно остановиться на информационных системах? Это особенно важно для кредитных организаций. Эти тенденции очень четко прослеживаются в последнее время в мировой практике с развитием Internet, электронного banking.

Та услуга, которую оказывают кредитные организации, это не какая-то физическая услуга, это услуга, которую по сути можно доставить в электронном виде. Хотя, конечно, наличный оборот денег есть и всегда будет, но по сути банковская услуга – это услуга, которая может быть доставлена в электронном виде. За счет этого именно информационные технологии будут играть огромную роль в банковской сфере, в сфере кредитных организаций. Это достаточно важный момент. Даже по статистике именно кредитные организации, банки тратят наибольший процент от своих доходов именно на развитие информационных технологий по сравнению с другими отраслями.

Здесь я бы хотел поговорить об одном из методов управления рисками в информационных технологиях. Это, безусловно, рисковая область.

Мы часто наблюдаем недостаток внимания высшего руководства к задачам автоматизации. Это связано с неправильным отношением к рискам в целом. На самом деле, говоря о корпоративном управлении, в Америке существует Институт корпоративного управления в области информационных технологий. Он как раз говорит о том, как управлять информационными процессами и рисками, связанными с деятельностью информационных технологий. Как все принципы корпоративного управления, это достаточно структурированный процесс, то есть основные цели, которые предлагает эта организация, и основные задачи корпоративных информационных технологий достаточно просты. Они формулируются в трех основных целях: информационные технологии должны соответствовать бизнесу и максимизировать прибыль, должно обеспечиваться целевое использование информационных ресурсов и риски, связанные с информационными технологиями, соответствующим образом контролируются. То есть это те директивы, которые должно давать высшее руководство для своих подразделений. Соответственно эти подразделения являются подотчетными и акционерам, и высшему руководству кредитной организации.

Их деятельность подразделяется на две составные части, то есть это управление рисками, что включает в себя безопасность, надежность и соответствие требованиям в информационных системах, а также извлечение выгоды. Это то, что подразумевается под автоматизацией, то есть повышение эффективности работы, уменьшение издержек и т. д.

Элементами разумного или корпоративного управления информационных технологий уже тогда могут стать более детальные процедуры, которые включают в себя назначение из состава высшего органа управления лица, персонально ответственного за развитие информационных технологий, за разработку и утверждение стратегии развития информационных технологий, также регулярный внешний и внутренний аудит информационных систем.

Я забыл сказать, это в России меньше развито, но на Западе именно в кредитных организациях обязательным является функция аудиторов информационных систем. Внутренние и внешние аудиторы обязаны смотреть на информационные системы в кредитных организациях, поскольку они играют достаточно существенную роль. Риски существуют как для внутреннего, так и внешнего аудита. Существуют методики, как проводить аудит информационных систем, есть организации, которые это всё делают. То есть регулярный внешний и внутренний аудит информационных систем, сопоставление собственных действий с практикой других компаний в этойобласти и использование общепризнанных подходов и методик к анализу инвестиций в информационной технологии, разработка мер действий на случай чрезвычайных ситуаций, разработка политики и требований к выполнению политики информационной безопасности, обязательное документирование процессов информационных технологий и т. д.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12