Коммерческие банки уделяют особое внимание управлению операционным риском. Большинство банков выделяют операционный риск в отдельную категорию, регулярно занимаются его оценкой и внедрением инструментов по управлению им. Работа с операционным риском влияет на эффективность деятельности, а также может напрямую влиять на качество и создаваемых в компании продуктов и решений в области информационных технологий.
Сам по себе операционный риск — это вероятность возникновения прямых и косвенных потерь из-за ошибочных процессов компании или неудачных решений. Также он связан со сбоями и недостатками информационных систем, внешними ограничениями.
Операционный риск — один из ключевых с точки зрения банковской деятельности. Его уровень показывает, насколько эффективно организация управляется, качественные ли решения принимает менеджмент, работает ли система защиты организации по отношению к внешним угрозам, например хакерским атакам. То есть, по сути, система управления операционным риском — это гигиеническая система, позволяющая компании нормально функционировать в долгосрочной перспективе.
Факторы, из-за которых возникают риски
Первый фактор — это фактор информационной безопасности, в рамках которого компания должна оценивать угрозы информационной безопасности и управлять ими, выстраивать свои процессы таким образом, чтобы защищать свою деятельность от киберугроз, защищать данные своих клиентов, защищать целостность инфраструктуры и свои ноу-хау. Это напрямую влияет на процесс создания ИТ-продуктов, их жизнеспособность и доступность для пользователей.
Второй фактор операционного риска — это риск отказа функционирования информационных систем. Данный риск по своей сути является технологическим. Управление данным риском направлено на повышение надежности, устойчивости и эффективной работы систем и агрегатов, например серверного программного обеспечения, которое поддерживает работу оборудования и архитектуры.
Третий фактор операционного риска — правовой, в рамках которого компания должна препятствовать нарушениям требований законодательства, а также пресекать нарушение условий заключаемых договоров, включая договоры с вендорами и клиентами компании. Мой опыт показывает, что эффективное управление правовым риском значительно снижает вероятность получения штрафных санкций и судебных издержек, претензий регулятора к работе компании, позволяет эффективно внедрять и развивать ИТ-продукты в долгосрочной перспективе.
Четвертый тип операционного риска — это риск человеческих ошибок в управлении проектами. Он возникает ввиду невыстроенных или непродуманных бизнес-процессов и клиентских путей, сложившихся в компании, которые приводят к неверным управленческим решениям, сбоям в процессе разработки продуктов, остановке или необходимости ручного управления проектом, потери времени.
Важным также является комплаенс-риск, включая возможные юридические ограничения и санкции регулятора, финансовые убытки и, как следствие, нарушение компанией принятых правил и процедур. Данный риск является, как правило, очень существенным и может привести к полной остановке проекта или приостановке деятельности компании. В моей практике ответственность за управление данным риском во многом зависит от позиции как руководителя компании, так и тимлида, которые должны инвестировать время во внедрение эффективных инструментов контроля и отслеживание требований нормативных документов, включая вопросы противодействия и недопущения случаев мошенничества и коррупции, противодействия легализации доходов, полученных преступным путем, управление конфликтом интересов, а также вдумчивый анализ всевозможных санкционных ограничений, с которыми сталкивается команда разработки продукта.
Еще один тип — это модельный риск, связанный с возникновением убытков в результате использования ошибочных моделей или расчетов, в которые закладывается большое количество необоснованных предпосылок и ограничений. Модельный риск, например, возникает тогда, когда наши расчеты нагрузок или трафика не подтверждаются последующими этапами эксплуатации. Компания вынуждена останавливать работу продукта или, например, пересматривать его архитектуру.
Следующим типом операционного риска является риск поведения, возникающий, когда под видом одних продуктов или услуг клиенты получают что-то другое или когда обещанная клиенту стоимость завышается в процессе использования продукта. Это крайне неприятный риск для крупного бизнеса, и он может негативно влиять на репутацию бренда и компании в целом, поэтому банки и ИТ-компании внимательно следят за тем, какие продукты заявляются клиенту и что клиент получает на самом деле, а также за тем, чтобы цена, которую платит клиент, была ему понятна и полностью обоснована.
Ну и последняя категория — операционный риск — связана с качеством привлекаемых вендоров. Нередко компания ожидает, что привлекаемый, например, к разработке ИТ-продукта вендор будет соблюдать и внимательно относиться ко всем требованиям и установкам компании, включая требования по качеству. Однако на деле эти ожидания могут не оправдаться. Нередко случается ситуация, когда привлекаемая компания-партнер не в состоянии обеспечить необходимую конфиденциальность работы с данными клиента, не обеспечивает качество разработки кода и его документирования, не выполняет обещанных сроков или существенно завышает объем выполняемых работ.
Подведем итоги
Все типы операционного риска влияют на итоговое качество разработки ИТ-продукта и его реализации. Могу сказать, что банковская практика оценки операционного риска является более чем применимой и обоснованной для управления рисками внедрения ИТ-продуктов. Использование банковского опыта и наработок в этой сфере поможет проектным командам лучше понимать угрозы, с которыми они могут столкнуться, повысить культуру и качество управления рисками, тем самым обезопасив работу и создав условия, благоприятствующие устойчивому развитию компании.
