Риск операции

30.05.2020
Комментариев нет

УДК 336.71

УПРАВЛЕНИЕ ОПЕРАЦИОННЫМИ РИСКАМИ В КОММЕРЧЕСКОМ БАНКЕ

А.В. Закоян

Ереванский Государственный Университет

В статье рассматриваются проблемы организации и координации работ по созданию и поддержанию системы управления операционными рисками в коммерческом банке. Реализация комплекса предлагаемых мероприятий обеспечит создание современной системы управления операционными рисками. Это позволит усилить контроль за уровнем операционные рисков в коммерческом банке и повысит качество процессов управления такими рисками.

Ключевые слова: операционный риск, реестр рисков, риск- аудит, бизнес -процесс, идентификация рисков, фактор риска.

Целью управления операционными рисками в коммерческом банке (далее -банк) является создание саморегулирующегося механизма системы управления операционными рисками (далее — СУОР), обеспечивающего поддержание допустимого уровня операционных рисков банка для максимизации стоимости банка в интересах акционеров в долгосрочной перспективе. Для достижения цели управления операционными рисками банком должны решаться следующие задачи:

• реализация утвержденной политики управления операционными рисками всеми подразделениями банка, вовлеченными в процесс управления операционными рисками, путем разработки и внедрения необходимых внутренних нормативных документов, регламентирующих процесс управления и внутреннего контроля операционных рисков;

• создание системы принятия решений, учитывающей операционные риски, в частности, обеспечение эффективности работы коллегиальных органов банка в области принятия решений по управлению операционными рисками;

• создание механизма мотивации подразделений банка к эффективному управлению и контролю операционных рисков, присущих их деятельности;

• создание и развитие методологии по управлению операционными рисками, в том числе:

— поддержание эффективного механизма своевременной идентификации, мониторинга и оценки возможных (потенциальных) негативных событий, связанных с операционными рисками,

— определение приемлемого уровня конкретных типов операционных рисков с точки зрения их значимости для банка, с учетом экономической целесообразности затрат на их анализ и мониторинг,

— создание и развитие методологии оценки прямых и косвенных потерь, понесенных банком в результате реализации операционных рисков, а также оценка объема капитала, резервируемого под операционные риски банка,

• определение порогов или ограничений для присущего и остаточного операционных рисков;

• поддержание эффективной системы внутреннего контроля в области управления операционными рисками;

• обеспечение непрерывности бизнеса в нештатных и кризисных ситуациях;

• организация процесса сбора и регистрации данных о реализованных рисковых событиях и их последствиях;

• принятие адекватных мер для снижения/избежания потерь (убытков) или передачи рисков третьим лицам (страхование);

• обеспечение надлежащего разделения обязанностей между подразделениями банка, ответственными за разработку, реализацию и оценку эффективности систем управления операционными рисками и внутреннего контроля;

• создание культуры управления операционными рисками на исполнительском и управленческом уровнях организационной структуры банка.

Операционным рискам подвержены все бизнес-процессы и направления деятельности банка. Под потерями от реализации операционных рисков подразумевается понесение прямых и косвенных потерь , обусловленных факторами операционных рисков. К возможным потерям от реализации операционных рисков могут относиться:

• прямые потери от реализации рисков, в том числе такие, как:

— денежные выплаты на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством страны,

— денежные выплаты клиентам и контрагентам, а также сотрудникам банка в целях компенсации во внесудебном порядке убытков, понесенных ими по вине банка,

— затраты на восстановление деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств,

— снижение стоимости активов,

— досрочное списание (выбытие) материальных / нематериальных активов;

• косвенные потери от реализации рисков (потери нефинансового характера, а также упущенная выгода), в том числе такие, как:

— поступление жалоб со стороны клиентов (массовых или со стороны отдельных клиентов),

— появление негативных сообщений в СМИ (региональных, федеральных, мировых),

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

— отток клиентов банка (в том числе отказ отдельных клиентов от услуг банка),

— поступление официальных запросов от регулятора и/или других надзорных органов страны.

Концепция оценки операционных рисков подразумевает использование остаточного и присущего рисков. Присущий операционный риск — операционный риск, рассматриваемый без учёта каких-либо контрольных процедур, влияющих на его уровень, т.е. риск, изначально присутствующий в деятельности банка в силу объективных причин. Этот риск оценивается без учета любых имеющихся (возможных) мер по его снижению. Оценка производится в соответствии с рейтинговой шкалой (горизонт оценки -1 год). Остаточный операционный риск-это операционный риск, рассматриваемый с учетом всех фактически действующих в банке контрольных процедур, влияющих на его уровень, т.е. присущий риск после принятия мер по его контролированию и ограничению (снижению). Этот риск оценивается с учетом контроля и других мер воздействия (с учетом их эффективности). Оценка остаточного риска также реализуется на основе рейтинговой шкалы (горизонт оценки -1 год).

Факторы операционных рисков классифицируются по нескольким критериям , что позволяет более полно учесть многомерность проявления данного вида риска. Классификация факторов рисков по категориям (типам) источников риска приведена ниже (таблица 1).

В зависимости от природы источника возникновения риска факторы операционных рисков дополнительно подразделяются на внешние и внутрен-

ние . Внешние факторы операционных рисков обуславливаются окружающей средой банка, действиями сторонних физических или юридических лиц и могут стать причиной таких рисковых событий, как природные катастрофы и бедствия, сбои в энергоснабжении и предоставлении коммунальных услуг, воровство, грабеж. Внутренние факторы операционных рисков обуславливаются внутренней средой банка, действиями со-

Классификация факторов

трудников банка, внутренними процессами и системами банка и могут являться причиной таких рисковых событий, как неотраженные в отчетности операции, неавторизованное совершение операций, исковые требования к банку в связи с нарушением требований законодательства. Разделение факторов рисков на внутренние и внешние в рамках выделенных категорий факторов приведено ниже (таблица 2).

Таблица 1

операционные рисодв

Категория (тип) фактора риска Описание фактора риска, являющегося источником соответствующего вида операционного риска

«Люди» Случайные или преднамеренные действия физических и (или) юридических лиц, направленные против интересов кредитной организации.

«Системы» Сбои в функционировании систем и оборудования.

«Бизнес-процессы» Несовершенство структуры кредитной организации в части распределения полномочий подразделений и служащих, порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядков и процедур, неэффективность внутреннего контроля.

«Внешние события» Неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации.

Таблица 2

Разделение типов операционных рисков по влияющим факторам

Категория (тип) фактора риска «Внутренний»/»Внешний» фактор

«Люди» Конкретный фактор риска из данной категории может относиться как к внешним (в случае, когда действия, направленные против интересов банка, совершены сторонними лицами), так и к внутренним (в случае, когда действия, направленные против интересов банка, совершены сотрудниками банка) факторам.

«Системы» Внутренний

«Бизнес-процессы» Внутренний

«Внешние события» Внешний

Рисковые события классифицируются по следующим критериям: источники возникновения (в разрезе категорий

риск-факторов, ставших источниками операционных рисков); направления деятельности банка; виды объектов риска:

материальный актив или вид деятельности; типы последствий рискового события. В зависимости от места возникновения риска факторы операционных рисков подразделяются на внешние и внутренние. Внешние факторы операционных рисков обуславливаются окружающей средой банка, в т.ч. действиями сторонних физических или юридических лиц. Внутренние факторы операционных рисков обуславливаются внутренней средой банка, действиями сотрудников банка, внутренними процессами и системами банка и подразделяются на системные и человеческие, в зависимости от того, что привело к возникновению рискового события: действие системы или действие сотрудника. В зависимости от преднамеренности действий, приводящих к возникновению рискового события, факторы рисков делятся на преднамеренные и непреднамеренные. Целью классификации операционных рисков является оптимизация средств идентификации, оценки, мониторинга и управления различными типами операционных рисков.

СУОР является неотъемлемой частью системы комплексного управления рисками в банке и состоит из методологии, бизнес-процессов, подразделений-участников и отдельных функций, согласованное исполнение которых позволяет банку эффективно управлять операционными рисками. Основными элементами СУОР являются : самостоятельная идентификация и оценка рисков подразделениями банка; ведение реестра операционных рисков банка; риск-аудит; сбор и регистрация данных о рисковых событиях и их последствиях; система отчетности об уровне операционных рисков; интегрированная оценка операционных рисков; применение принципов управления операционными рисками при принятии решений; обеспечение непрерывности деятельности и планирование работы банка на случай непредвиденных (форс-мажорных) ситуаций; мероприятия по

оптимизации уровня операционных рисков банка.

Структурными подразделениями банка в отношении операционных рисков, возникающих при исполнении ими функций в пределах собственной компетенции, а также операционных рисков, возникающих на стыке деятельности подразделений, должна периодически проводиться самостоятельная идентификация и оценка операционных рисков банка, задачами которых являются: создание культуры управления операционными рисками на исполнительском уровне организационной структуры банка; постоянное улучшение оперативного управления операционными рисками силами самих подразделений; сбор данных о наиболее эффективных методах контроля и оперативного управления операционными рисками; разработка и внедрение мероприятий контроля и оперативного управления операционными рисками; мониторинг операционных рисков для всех основных направлений деятельности банка; предоставление информации для обновления реестра операционных рисков банка. Полномочия по выбору метода управления и определению мер по минимизации того или иного операционного риска определяются его рейтингом (группой риска). По факту выявления операционного риска подразделение банка оценивает операционный риск, определяет метод управления операционным риском (страхование, обоснованное принятие, отказ от вида деятельности, минимизация), при необходимости разрабатывает меры минимизации риска, предоставляет подразделению по управлению рисками банка информацию для обновления реестра операционных рисков банка.

С целью анализа и мониторинга операционного риска банк должен осуществлять ведение реестра операционных рисков банка, риск-аудит, сбор и регистрацию данных о рисковых событи-

ях и их последствиях, ключевые индикаторы рисков; построение системы отчетности об уровне операционных рисков, эскалацию операционных рисков (система информирования и принятия решений в отношении рисков). Реестр операционных рисков банка представляет собой автоматизированную систему с возможностью ввода, поиска и обработки данных об операционных рисках. Реестр операционных рисков банка в обязательном порядке включает следующую информацию: описание операционного риска, объект риска, подразделение, при исполнении которым своих функций может реализоваться операционный риск, типы (классификация) операционного риска, рейтинг операционного риска, владелец риска, принятие решения о методе управления операционным риском (принятие, страхование, минимизация).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Риск-аудит представляет собой отдельный проект, направленный на идентификацию и выработку мер по минимизации операционных рисков наиболее критических бизнес-процессов и направлений работы банка. Риск-аудит должен проводиться совместными силами подразделения по управлению рисками банка и подразделений, участвующих в аудируемом бизнес-процессе. Ответственным за проведение риск-аудита является подразделение по управлению рисками банка в рамках своих полномочий и функциональных обязанностей. Подразделения, участвующие в аудируемом бизнес-процессе, обязаны предоставлять всю необходимую для проведения риск-аудита информацию своевременно и в полном объеме.

Задачами риск-аудита являются: выявление значимых операционных рисков бизнес-процессов и направлений деятельности, включая операционные риски на стыке работы различных подразделений; выявление ключевых моментов бизнес-процессов, способных привести к сбоям в операционной деятельности;

приоритезация выявленных операционных рисков и их рейтингование; принятие решения о методе управления и оптимизации уровня всех значимых выявленных операционных рисков, а также формирование перечня мероприятий по оптимизации их уровня; помощь подразделениям банка в оперативном управлении операционными рисками, присущими их деятельности. Для проведения риск-аудита должны выбираться особо значимые для деятельности банка направления, либо бизнес-процессы, для которых выявлен высокий уровень операционных рисков. Результатами риск-аудита являются идентифицированные, приоритезированные и рейтинго-ванные операционные риски аудируемых бизнес-процессов и направлений, а также согласованный со всеми заинтересованными подразделениями перечень мер по оптимизации уровня выявленных операционных рисков; пополнение и уточнение реестра операционных рисков банка и базы рисковых событий.

В банке должен осуществляться сбор данных о рисковых событиях и понесенных потерях с их последующей регистрацией в автоматизированном хранилище информации — базе рисковых событий. Подразделение по управлению рисками должно осуществлять мониторинг рисковых событий и потерь в отношении событий, связанных с операциями/функциями подразделений банка. В базе регистрируется информация о каждом событии, соответствующем одновременно следующим критериям: событие произошло в результате нарушений или ошибок в действиях работников банка, нарушений хода внутренних бизнес-процессов и функционирования систем банка, а также вследствие внешних, не относящихся к кредитному, рыночному, стратегическому и репутационному риску событий; событие обусловило и/или обусловит, и/или могло бы обусловить в будущем возникновение у банка факти-

ческих или потенциальных финансовых потерь; величина обуславливаемых рисковым событием потерь превышает установленный стоимостный порог. Собранные данные используются для идентификации направления деятельности и конкретных бизнес-процессов, наиболее подверженных операционным рискам, составления планов проведения риск-аудита бизнес-процессов банка и выявления наиболее критических для банка факторов операционных рисков. Подразделение по управлению рисками банка должно периодически осуществлять анализ и оценку реализованных рисковых событий и операционных потерь.

Ключевые индикаторы риска (КИР) представляют собой измеримые показатели , отражающие уровень подверженности того или иного процесса банка определенному операционному риску т.е. его значение может свидетельствовать о реализации рискового события или о возможности его реализации в будущем. Использование КИР позволяет оценивать и прогнозировать изменения уровня риска, то есть изменение значений КИР предшествует либо сопровождает изменения уровня риска. Мониторинг КИР позволяет своевременно принимать меры для сохранения приемлемого уровня соответствующего операционного риска, что делает КИР одним из наиболее эффективных инструментов контроля за уровнем операционных рисков.

Консолидированная отчетность об уровне операционных рисков банка формируется подразделением по управлению рисками банка на основании информации базы рисковых событий и реестра операционных рисков и включается в состав управленческого отчета о рисках банка, который должен ежеквартально представляться правлению банка подразделением по управлению рисками. По мере развития методологии количественной оценки операционных рисков консолидированная отчетность об уровне

операционных рисков банка дополняется информацией об их количественной оценке. Банк должен осуществлять как качественную, так и количественную оценку операционных рисков . Качественная оценка производится путем присвоения операциям, бизнес-процессам и бизнес-направлениям рейтинга, характеризующего уровень их операционных рисков, что позволяет производить более глубокий анализ операционных рисков бизнес-процессов и операций, в том числе сравнивать различные варианты реализации бизнес-процессов, а также выявлять направления деятельности, наиболее подверженные операционным рискам. Для установления рейтинга

операционных рисков операции, бизнес-процесса и бизнес-направления с использованием системы балльной оценки определяются:

— тяжесть последствий реализации операционных рисков операции, бизнес-процесса и бизнес-направления, при этом балл присваивается исходя из наиболее существенного последствия реализации риска. Для присвоения баллов используются такие характеристики тяжести последствий, как величина потерь и качественное описание последствий;

— степень вероятности реализации рискового события. Для присвоения баллов оценивается вероятность реализации рискового события (вне зависимости от того, возникнут ли у банка потери в результате его реализации или нет);

— уязвимость банка к реализованным операционным рискам операции, бизнес-процесса и бизнес-направления. Для присвоения баллов оценивается вероятность возникновения потерь и последствий для банка в случае реализации рискового события.

Итоговый рейтинг операционных рисков определяется путем интеграции трёхбалльных оценок. Результаты рей-

тингования операций, бизнес-процессов и бизнес-направлений подлежат периодическому пересмотру по факту изменения бизнес-процессов и операций, в т.ч. реализации мероприятий по минимизации операционных рисков.

Количественная оценка позволяет оценивать уровень операционных рисков банка в целом и служит для определения объема капитала, резервируемого под операционные риски. Количественную оценку операционных рисков производит подразделение по управлению рисками банка. Она зависит от уровня развития системы управления операционными рисками и может быть рассчитана следующими методами: метод базового индикатора, стандартизованный метод. По мере накопления и систематизации исторических данных о рисковых событиях и их последствиях банк может перейти к оценке операционных рисков с использованием прогрессивного метода (Advanced Measurement Approaches), основанного на использовании внутренних моделей банка, исторических данных о величине убытков от операционных рисков, моделей с применением технологии оценки VaR.

В рамках эскалации операционны x рисков в банке должен осуществлятся ряд мероприятий: информирование органов управления банка в случае выявления условий, при которых требуется реализация эскалации; оценка рисков, выявленных в процессе эскалации; разработка мероприятий по изменению уровня рисков.

На этапе развития СУОР в качестве ограничений на операционные риски банк должен установить принципы управления ими, которые применимы при принятии любого бизнес-решения, а также проводить работы по обеспечению непрерывности деятельности банка на случай непредвиденных (форс-мажорных) ситуаций.

Обеспечение непрерывности деятельности представляет собой комплекс организационных, технических и программных мероприятий, направленных на минимизацию потерь банка в случае наступления незапланированных ситуаций, которые могут привести к остановке работы информационных систем, бизнес-процессов, повлиять на работу персонала. Для минимизации негативных последствий срывов операционной деятельности банк должен применять следующие меры:

— эффективное резервирование данных информационных систем,

— планирование оперативного восстановления информационных систем,

— обеспечение автономности работы подразделений, информационных систем и бизнес-процессов, осуществление контроля и оценки операционных рисков,

— планирование оперативного реагирования и восстановления бизнеса отдельных структурных подразделений в случае нарушения нормального функционирования бизнес-процессов.

В целях согласованного оперативного реагирования и скорейшего восстановления работы при сбоях и незапланированных ситуациях в банке в установленном порядке должны разрабатываться и утверждаться планы работ при возникновении чрезвычайных, нештатных и аварийных ситуаций (отдельный план для ситуации каждого вида). Как правило, планы работ при возникновении данных ситуаций разрабатываются для потенциальных рисковых событий с низкой вероятностью реализации и высокой тяжестью последствий. Внедрение в банке новых бизнес-процессов должно осуществляться только после анализа планов работ на предмет покрытия риска в подобных ситуациях во внедряемом бизнес-процессе или соответствующей модернизации указанных планов. В разработке и актуализации планов работ при возник-

новении чрезвычайных, нештатных и аварийных ситуаций могут принимать участие следующие подразделения (в рамках своей компетенции): подразделения информационных систем, безопасности, хозяйственного обеспечения, управления рисками, внутреннего аудита и подразделения банка, отвечающие за разработку и внедрение продуктов и бизнес-процессов.

С целью предупреждения (предотвращения) всех типов операционных рисков и снижения возможных финансовых потерь банк должен использовать следующие общие принципы управления операционными рисками .

Общий принцип 1. Банк принимает следующие внутренние нормативные документы :

— положения о комитетах, постоянно действующих комиссиях и структурных подразделениях банка,

— положение о правлении банка,

— об организации системы внутреннего контроля,

— должностные инструкции сотрудников,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

— о порядке совершения банковских операций и управления операционными рисками соответствующих бизнес-процессов,

— методика определения (установления) лимитов полномочий,

— процедуры обеспечения безопасности деятельности банка,

— о процедуре осуществления ИТ-проектов по модернизации и разработке автоматизированных банковских систем,

— о порядке обслуживания и поддержания в работоспособном состоянии действующего программно-аппаратного комплекса банка,

— о порядке документооборота банка, а также о процедурах доступа к информации в банке,

— планы работ в случае чрезвычайных, нештатных и аварийных ситуаций.

Общий принцип 2. Банк проводит конкурсы (тендеры) на поставку:

— оборудования для кассовых узлов, хранения и транспортировки ценностей, противопожарного и другого оборудования, обеспечивающего безопасность банковской деятельности,

— операционных систем, программных продуктов, электронных систем коммуникации, оборудования, компьютерного оборудования, средств связи, банкоматов и т.п.,

— бытовой техники, предметов обстановки и иных товаров/услуг, используемых для оборудования помещений банка.

Общий принцип 3. Банк использует принцип разделения полномочий и недопущения конфликта интересов: в банке не допускается совмещение в одном независимом структурном подразделении полномочий (обязанностей) по осуществлению банковских операций, подверженных экономическим рискам, с любой из нижеперечисленных функций:

— оформление (по операциям, требующим сопровождения со стороны бэк-офиса),

— контроль соответствия рисков ограничениям, установленным по операциям,

— бухгалтерский учет операций,

— управление рисками.

Кроме того, нижеследующие подразделения банка организационно должны быть подчинены разным руководителям банка (филиала):

— подразделения, совершающие операции и, соответственно, подверженные экономическим рискам,

— подразделения, ответственные за отражение операций в бухгалтерской отчетности,

— подразделения, осуществляющие функции управления рисками.

В отдельных случаях вопрос о возможности совмещения полномочий (обязанностей) должен решаться с учетом

значимости таких операций для банка, их числа и объема, степени существенности возможных потерь, экономической эффективности бизнес-процессов, связанных с проведением операций, а также введения дополнительных ограничений и методов контроля сопутствующих операционных рисков (дополнительной авторизации операций, последующего контроля, автоматического исполнения контрольных функций и т.п.).

Общий принцип 4. Идентификация и оптимизация уровня операционных рисков для новых продуктов и процессов банка:

— в банке недопустимо осуществление новых банковских операций и процессов и предоставление продуктов при отсутствии нормативно-технологических документов или соответствующих решений коллегиальных органов, регламентирующих порядок их совершения;

— все нормативно-технологические документы, описывающие бизнес-процессы и изменения к ним, должны предусматривать обязательное согласование с подразделениями по управлению рисками, внутреннему аудиту и безопасности, а также со специализированным независимым подразделением, являющимся экспертом в области правовых рисков и пруденциальных норм деятельности, с целью соблюдения в описываемом в документе процессе принципов управления операционными рисками. В случае, если предмет нормативно-технологического документа затрагивает вопросы налогового законодательства, бухгалтерского учета, такой документ дополнительно должен предусматривать обязательное согласование со специализированным подразделением, ответственным за обеспечение соблюдения норм налогового законодательства и бухгалтерского учета в банке.

В дополнение к изложенным общим принципам банк должен определить принципы управления и инструменты

предотвращения/снижения операционных рисков в разрезе типов операционных рисков. Для разработки мероприятий по ограничению и нейтрализации выявленных факторов операционных рисков в банке используются следующие методы : перенос неблагоприятных финансовых последствий от реализации операционных рисков на стороннее лицо путем страхования операционных рисков, обоснованное принятие операционных рисков, отказ от вида деятельности, подверженного операционному риску, минимизация операционных рисков (с целью их снижения до приемлемого для банка уровня), управление капиталом и резервами для покрытия операционных рисков.

Методы управления операционными рисками могут быть направлены на: снижение вероятности понесения потерь от реализации операционных рисков; снижение величины ущерба банка в результате реализации операционных рисков; изменение типа негативных последствий для банка в результате реализации операционных рисков; снижение затрат банка в случае, когда реализация мер по минимизации рисков не является экономически обоснованной.

Реализация комплекса

рассматриваемых мероприятий является основой для организации работы по управлению операционными рисками в коммерческом банке (далее — банк) с целью создания саморегулирующегося механизма СУОР, обеспечивающего поддержание допустимого уровня операционных рисков банка для максимизации стоимости банка в интересах акционеров в долгосрочной перспективе. СУОР является неотъемлемой частью системы комплексного управления рисками в банке и состоит из методологии, бизнес-процессов, подразделений-

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

участников и отдельных функций, согласованное исполнение которых позволяет

банку эффективно управлять операционными рисками.

Комплекс рассматриваемых мероприятий разработан на основе фактически сложившейся практики управления операционными рисками в банке с учетом перспектив ее развития в ближайшие годы. С целью повышения эффективности СУОР рекомендуется: использование концепции оценки остаточного и присущего операционных рисков, ведение реестра операционных рисков банка, проведение риск-аудита в особо значимых для деятельности банка направлениях, использование ключевых индикаторов риска для оценки и прогнозирования изменения уровня операционных рисков, определение итогового рейтинга операционных рисков путем интеграции трехбалльной системы оценок и др.

Осуществление всех предложенных мероприятий устанавливает общие ориентиры, принципы и стандарты управления операционными рисками. Подробное

рассмотрение вопросов управления операционными рисками, в частности, порядка взаимодействия подразделений, порядка распределения и делегирования полномочий в процессе управления рисками, алгоритмов и методов управления операционными рисками осуществляется в нормативных и методических документах нижнего уровня (процедурах, инструкциях, положениях и методиках).

ЛИТЕРАТУРА

1. Банковские риски: Учебник/ коллектив авторов, под ред. О.И. Лаврушина, Н.И. Валенцевой. —

— М. КНОРУС, 2013 — 296 с.

2. Риск менеджмент в коммерческом банке: монография/коллектив авторов / под ред. И. В. Ларионовой. — М.: КНОРУС, 2014. — 456 с.

3. Сазыкин Б.В. Управление операционным риском в коммерческом банке. — М.: Вершина, 2008.

— 272 с.

4. Энциклопедия финансового риск менеджмента / Под ред. А. А. Лобанова и А. В. Чугунова. — М.: Альпина Бизнес Букс, 2007 — 878 с.

Рукопись поступила в редакцию 29.05.2015.

MANAGEMENT OF OPERARATIONAL RISKS IN COMMERCIAL BANK

A. Zakojan

ВОПРОСЫ МЕТОДОЛОГИИ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ РИСКАМИ БАНКА

УДК 336.71.078.3

Давид Ильич Филиппов,

В статье освещены вопросы методологии управления операционными рисками в коммерческом банке. Рассматриваются основные источники операционных рисков, индикаторы риска, методы оценки операционных рисков.

Ключевые слова: кредитные организации, банк, управление рисками, операционный риск, методология, индикаторы риска, банковская система, капитал, достаточность капитала, финансовый кризис, финансовый рынок.

David I. Philippov.

METHODOLOGICAL ISSUES OF BANKING OPERATIONAL RISK MANAGEMENT

1. Введение

В своей деятельности банки сталкиваются с различными видами рисков, основными из которых являются: кредитный риск, рыночный риск, риск потери ликвидности и операционный риск. Попробуем разобраться в особенностях управления операционным риском в коммерческом банке.

Следует напомнить, что интерес к операционным рискам резко возрос в результате банкротства банка Barings (Банк Barings рухнул в результате несанкционированной торговли деривативами, проведенной трейдером сингапурского отделения банка Ника Лисона. Акционеры банка не смогли покрыть убытков по открытым позициям, общая величина которых оценивалась $примерно в $1,4 млрд. Основная причина — политика, процедуры и методы контроля за рисками не позволили руководству банка вовремя отследить ситуацию и взять ее под свой контроль), но только в 1998 г. появились первые материалы Базельского комитета по банковскому надзору (далее Базельский Комитет), посвященные данной проблеме . С тех пор в зарубежной практике несколько раз пересматривались подходы к управлению и даже само определение операционных рисков, хотя для российских банков и финансовых компаний эти тонкости пока не играют существенной роли, так как существует множество отличий в понимании операционных рисков.

2. Современный подход к оценке операционных рисков коммерческих банков

В 1999 г., международные органы банковского надзора объявили о планах установления капитала на покрытие операционного риска в новых правилах Базель II. Это встретило некоторое противодействие со стороны банков, однако, несмотря на это органы банковского надзора достигли некоторых успехов. Они опубликовали примеры более 100 случаев убытков по операционным рискам банков, каждый из которых превысил $100 млн. Вот некоторые из них:

Внешнее мошенничество: Republic New York Corp (Республиканская Нью-Йоркская Корпорация) потеряла $611 млн. из-за мошенничества, совершенного клиентом, находящимся под опекой (custodial client).

Методы приема на работу и техника безопасности на рабочем месте: Merrill Lynch потерял $250 млн в результате юридического урегулирования вопроса относительно гендерной дискриминации.

Клиенты, продукты и бизнес-практика: Household International потерял $484 млн от неправильной практики кредитования; финансовая корпорация Providian потеряла $405 млн от неправомерных продаж и практики выставления счетов.

Повреждение материальных активов: банк Нью-Йорка понес потери в размере $140 млн из-за повреждения принадлежащих ему объектов, в результате террористических атак 11 сентября 2001 года.

Нарушение (разрушение) бизнеса и сбои системы: Salomon Brothers потерял $303 млн из-за изменений в области компьютерных технологий.

Выполнение, доставка, и управление процессом: Bank of America и Wells Fargo Bank потеряли $225 млн и $150 млн соответственно, от сбоев системной интеграции и ошибок обработки транзакций.

Большинство банков всегда имели в своем распоряжении определенную структурную единицу в целях управления операционными рисками. Тем не менее, перспектива новых требований к капиталу вынудили их значительно увеличивать ресурсы для измерения и мониторинга операционного риска.

Количественно оценить операционный риск гораздо сложнее чем кредитный или рыночный риск. Также, более затруднительным является и

управление операционным риском. Финансовые учреждения принимают сознательное решение о принятии определенного количества кредитного и рыночного рисков, учитывая наличие множества инструментов, которые могут быть использованы для снижения этих рисков. Операционный же риск, напротив, является необходимой частью ведения бизнеса. Важной частью управления операционным риском является выявления и классификация видов рисков, которые принимаются финансовым учреждением и которые должны быть застрахованы. Существует опасность понесения огромных потерь в следствие принятия операционного риска, который даже не был идентифицирован как риск.

Можно подумать, что убыток, как случае с Societe Generale, был результатом рыночного риска, потому что он был в следствии движения рыночных переменных, которые привели к нему. Тем не менее, он должен быть классифицирован как операционный риск, поскольку речь идет о мошенничестве (Например, Французский трейдер Джером Кервель был признан виновным в злоупотреблении доверием, подделку и несанкционированное использование компьютеров банка Société Générale в 2008 г., в результате чего потери банка составили € 4,9 млрд.). Предположим, что не было никакого мошенничества. Если бы произошедшее было частью политики банка, позволяющая трейдерам принимать огромные риски, то потери будут классифицироваться как рыночный риск. Однако, если это не было частью политики банка и произошел сбой в его управлении, то это будет классифицироваться как операционный риск. Данный пример показывает, что убытки по операционному риску часто зависят от изменений на рынке. Если бы рынок пошел в пользу Кервьеля, то не было бы никаких потерь и мошенничества, и возможно сбой в системе управления Societe Generale никогда бы не обнаружился.

Есть определенные параллели между убытками в следствии операционных рисков банков и потерь страховых компаний. Страховые компании сталкиваются с небольшой

вероятностью больших потерь от урагана, землетрясения или других стихийных бедствий (в риск-менеджменте (в иностранной литературе) такого рода риски называются -Hazard Risks). Точно так же, банки сталкиваются с небольшой вероятность больших потерь в следствии оперативного риска. Но есть одно важное отличие. Когда страховые компании несут большое убытки по страховым случаям, связанным со стихийным бедствием, то в результате (как правило), это затрагивает все компании в отрасли и как следствие приводит к росту страховых премий в следующем году (вынужденная мера, в целях покрытия понесенных убытков). Операционные же убытки, как правило, влияют только на сам банк. Потому что он работает в конкурентной среде и не имеет возможности (это роскошь) повышения цен на предоставляемые услуги в течение следующего года.

Существует множество различных определений операционного риска. Заманчиво рассматривать операционный риск как остаточной риск, т.е. определяемый как любой риск не относящийся к рыночному либо кредитному риску, с которыми сталкиваются финансовые учреждения. Тогда, для оценки операционного риска мы бы могли посмотреть на финансовую отчетность и удалить из нее прибыль и (или) убытки от воздействия рыночных и кредитных рисков. Полученный результат мог бы быть отнесен к операционному риску. Большинство людей согласятся, что такого рода определение операционного риска является слишком широким. Он включает в себя риски, связанные с выходом на новые рынки, разработкой новых продуктов, экономических факторов и т.п. Другим возможным определением операционного риска, как следует из названия, является риск, связанный с операциями. Он включает в себя риск ошибок в обработке транзакций, осуществления платежей, и так далее. Это определение риска является слишком узким. Оно не включает в себя основные риски, такие как в случае с Джеромом Кервьелем.

Мы можем различать внутренние и внешние риски. Внутренние — это

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

риски, над которыми компания имеет контроль. Компания выбирает, кого она нанимает, какие компьютерные системы она развивает, какие средства управления осуществляет и т.д. Некоторые, определяют операционные риски как совокупность всех внутренних рисков. В таком случае операционный риск включает в себя больше, чем просто риск по операциям. Он включает в себя риски, связанные с неудовлетворительным контролем и риски мошеннических действий сотрудников.

Регуляторы включают в понятие операционного риска больше, чем просто внутренние риски. Они включают в него — воздействие внешних событий, таких как стихийные бедствия (пожар, землетрясение и т.п., которое влияет на деятельность банка), политический и регулятивный риск, нарушения правил безопасности, и т.д. Все эти обстоятельства нашли отражение в определении операционного риска Базельским Комитетом по Банковскому надзору в 2001 г.

Некоторые операционные риски приводят к увеличению операционных расходов банка или уменьшению доходов. Другие операционные риски взаимодействуют с кредитным и рыночным риском. Например, если со стороны банка допущены ошибки в оформлении кредитной документации, то это приводит к убыткам только в случае дефолта контрагента данной кредитной сделки. Также, когда трейдер превышает установленные лимиты по операциям (включая др. открытые позиции), то финансовые потери банка могут быть только в случае если рынок будет двигаться против трейдера.

Несмотря на общепризнанное определение, некоторые компании по-своему трактуют сущность операционного риска и развивают собственный подход. Например, некоторые крупные иностранные кредитные организации использует классификацию операционных рисков, предложенную Bankers Trust, который состоит из следующих категорий:

— риск персонала;

— технологический риск;

— риск физического ущерба;

— риск взаимоотношений;

— внешний риск.

Следует отметить, что в отдельную группу можно выделить -модельный риск (использование некорректной математической модели для оценки финансовых рисков), причинами которого могут быть рассмотренные выше риск персонала (некомпетентность специалистов), риск отношений (ошибки при использовании сложных финансовых инструментов) и недостатки автоматизированных программных приложений (технологический риск).

В соответствии с Письмом Банка России Ш0-Т от 23 июня 2004 г. «о типичных банковских рисках» (далее — Письмо 70-Т), операционный риск -это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Письмо Банка России Ю6-Т «Об организации управления операционным риском в кредитных организациях» (далее — Письмо 76Т), дублирует данное определение.

Письмо Банка России N 96-Т от 29.06.2011 «О Методических рекомендациях по организации кредитными организациями внутренних процедур оценки достаточности капитала» (далее — Письмо 96-Т), дает следующее определение операционному риску — «Операционный риск — риск возникновения убытков в результате ненадежности внутренних процедур управления кредитной организации, недобросовестности сотрудников, отказа информационных систем либо вследствие влияния на деятельность кредитной организации внешних событий». При этом следует отметить, что Письмо 70-Т

не указывает взаимосвязь правового риска и репутационного риска с операционным риском, а дает отдельные определения.

По определению Базельского комитета под операционным риском понимается риск убытков, вызванных неадекватными или неработоспособными внутренними процессами и системами, их нарушением персоналом или в результате воздействия внешних факторов. Данное определение включает юридический риск, но исключает стратегический и репутационный риски.

Согласно Письму 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах», правовой риск — это риск возникновения у кредитной организации убытков вследствие влияния внутренних и внешних факторов.

Базельский комитет включает юридический риск в состав операционного риска, тогда как Банк России рассматривает правовой риск отдельно (что видно из названий Письма 76-Т и Письма 92-Т).

Банк России придает большое значение полноте и связности системы терминов, касающихся операционного риска. Так, согласно Письму Банка России от 16 мая 2012 г. Ж9-Т «О рекомендациях Ба-зельского Комитета по банковскому надзору «Принципы надлежащего управления операционным риском» (далее Письмо Ш9-Т), непоследовательная система использования терминологии, относящейся к операционному риску, повышает вероятность того, что риски не будут выявлены и классифицированы или не будут распределены обязанности по оценке, мониторингу, контролю и снижению рисков.

В соответствии с Письмом 69-Т, общепринятая банковская практика надлежащего управления операционным риском нередко основана на трех направлениях «линиях обороны» — (1) управлении направлениями деятельности, (И) независимой корпоративной функции управления операционным риском и (ш) независимом анализе. Уровень формализации применения этих трех направ-

лений в каждом случае зависит от особенностей, размеров и сложности организационной структуры банка, а также уровня и видов рисков, присущих его деятельности. Однако во всех случаях подразделение по управлению операционным риском банка должно быть полностью интегрировано в общую систему управления рисками банка. Поскольку управление операционным риском эволюционирует, а условия коммерческой деятельности постоянно меняются, исполнительный орган должен следить, чтобы принципы, процессы и Системы управления оставались достаточно надежными. Совершенствование управления операционным риском будет зависеть от того, в какой степени учитывается мнение лиц, ответственных за управление операционным риском, а также от готовности исполнительного органа своевременно принимать надлежащие меры на основе этого мнения.

В целях оценки требований к собственным средствам (капиталу) в отношении операционного риска кредитная организация может использовать как базовый индикативным подходом к оценке операционного риска, определенное Положением Банка России от 03.11.2009 Ю46-П «О порядке расчета размера операционного риска» (далее Письмо Ш46-П), так и внутренние модели, принятые в международной банковской практике, к примеру — базовый индикативный подход (Basic Indicative Approach), стандартизированный подход (Standardized Approach) и продвинутый подход (Advanced Measurement Approach (AMA), рекомендованные Базелем II.

Кредитным организациям, использующим базовый индикативный подход, рекомендуется разработать и внедрить критерии распределения валового дохода по текущим бизнес-линиям. При этом важно обеспечивать своевременную корректировку данных критериев по мере появления новых или изменения прежних видов деятельности. Организациями, применяющими стандартизированный подход (Standardized Approach) приводится информация о критериях распределения валового дохода по

текущим бизнес-линиям. То, что касается кредитных организаций, использующих продвинутый подход (Advanced Measurement Approach (AMA), то они приводят результаты бэк-тестинга модели (сопоставление прогнозных оценок с размерами понесенных операционных убытков, имевших место за соответствующий период), а также результаты анализа причин полученных расхождений и описание изменений, внесенных в методологию оценки по результатам такого анализа.

В рамках базового индикативного подхода (Basic Indicative Approach) капитал под операционный риск устанавливается в размере 15% годового валового дохода за предыдущие три года. Валовой доход определяется как сумма чистого процентного дохода плюс непроцентный доход. При несколько более сложном стандартизированном подходе (Standardized Approach) деятельность банка делится на восемь направлений (см. Таблицу 1). Средняя валовая прибыль за последние три года для каждого бизнес-направления умножается на «бета фактор» (является мерой рыночного риска, отражающий изменчивость доходности ценной бумаги (портфеля) по отношению к доходности другого портфеля) и суммируется для определения общего капитала (см. Таблицу 1).

Таблица 1

Бета фактор (коэффициент) в стандартизированном подходе

Направления бизнеса (деятельности) Бета фактор

Корпоративные финансы 18%

Продажи и трейдинг 18%

Розничный банкинг 12%

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Коммерческий банкинг 15%

Платежно-расчетное обслуживание 18%

Агентские услуги 15%

Управление активами 12%

Брокерские услуги (брокерский ритейл) 12%

Следует отметить, что Базель-ский комитет по банковскому надзору идентифицирует семь категорий операционного риска , а именно:

1. Внутреннее мошенничество.

2. Внешнее мошенничество.

3. Практика найма.

4. Клиенты, продукты и бизнес-практика.

5. Повреждения материальных активов.

6. Нарушение Бизнеса и системные сбои.

7. Исполнение, доставка и управление процессами.

Таким образом получается 56 возможных комбинаций, т.е. семь категорий риска на восемь направлений деятельности, при котором банки должны оценить VaR 99,9% с временным горизонтом 1 год для каждой комбинации. Затем, полученные значения суммируются для определения VaR для совокупного операционного риска.

Базельский комитет предоставляет национальным органам банковского надзора право использовать так называемый «альтернативный стандартный подход» (alternative standardised approach — ASA) применительно к тем банкам, которые смогут аргументированно обосновать его предпочтительность по сравнению со стандартным подходом, например, в части исключения двойного учета одних и тех же рисков.

Единственное отличие альтернативного подхода заключается в том, что в качестве показателя подверженности риску используется не валовой доход, а объем кредитов и ссуд (loans and advances), умноженный на определенный коэффициент (т). Размер капитала, резервируемого против операционных рисков этих двух видов деятельности, рассчитывается следующим образом:

ORC = fi х m х LA

где LA — общая сумма кредитов и ссуд, выданных корпоративным (розничным) заемщикам, до вычета резерва на покрытие потерь по ссудам и взвешивания по риску, рассчитанная путем усреднения за последние три года; т = 0,035.

В рамках альтернативного стандартного подхода банки имеют право объединить операции розничного и коммерческого кредитования в одно направление, к которому будет применяться единый бета коэффициент

в размере 15%. Те банки, которые не смогут разделить свой валовой доход между шестью остальными направлениями деятельности, могут рассчитывать резервируемый под них капитал путем умножения их суммарного валового дохода на коэффициент бета, равный 18%. Как и в случае стандартного подхода, требования к капиталу суммируются по всем направлениям деятельности, и определяется совокупный размер капитала, резервируемого против операционного риска.

Необходимым условием использования стандартного и более сложных подходов к оценке операционного риска является выполнение банками следующих общих требований :

— совет директоров и руководители высшего звена принимают активное участие в контроле за процессом оценки и управления операционными рисками;

— система риск-менеджмента в банке является концептуально верной и используется надлежащим образом;

— банк располагает достаточными ресурсами для внедрения выбранного подхода как во всех направлениях деятельности, так и в подразделениях контроля и аудита.

Кроме того, надзорные органы смогут проверять применение на практике выбранного им метода оценки операционных рисков, до получения разрешения на использование его в целях достаточности капитала.

К банкам, желающим использовать стандартный подход, предъявляются требования качественного характера, относящихся к внутренней системе контроля и управления за операционными рисками.

Стандартный подход позволяет более точно оценить операционные риски, связанные с каждым из направлений банковской деятельности, однако он основан на достаточно большом количестве допущений. В частности, этот подход не принимает во внимание возможное распределение убытков вследствие реализации операционных рисков и степень контроля в организации за данными рисками.

Ожидаемые потери 99,9%

по операционным рискам наихудшие потери

В третьем альтернативном и самом продвинутом подходе (Advanced Measurement Approach (АМА) требования к нормативному капиталу под операционный риск рассчитывается с помощью качественных и количественных критериев.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Основополагающий документ Базельского комитета (International Convergence of Capital Measurement and Capital Standards) в определение операционного риска включает правовой, но не включает репута-ционный и стратегический виды рисков, т.е. определение Банка России полностью соответствует определению операционного риска по Базелю. Также, аналогичное определение операционного риска дает Директива Европейского парламента и Совета о требованиях к капиталу (Capital Requirements Directive (CRD).

Базельский Комитет перечислил условия, использования стандартизированного или АМА подхода. Комитет ожидает, что крупные международные банки постепенно будут двигаться в сторону принятия АМА подхода.

Для использования AMA подхода, банк должен удовлетворять дополнительным требованиям. Он должен быть в состоянии оценить непредвиденные потери и провести сценарный анализ. Система управления банка должна быть способна распределить экономический капитал на покрытия операционного риска по направлениям деятельности в целях создания стимулов

для совершенствования управления операционными рисками.

Цель банков, использующих подход AMA аналогична цели, при количественной оценке кредитного риска, т.е. рассчитать распределение вероятности потерь (см. рис. 1). Если предположить, что банк сможет убедить регулятора, что ожидаемая стоимость операционного риска включается в цену банковского продукта, то устанавливается капитал на покрытие непредвиденных расходов. В таком случае доверительный интервал может составлять 99,9% а временный горизонт — 1 год.

3. Заключение

В завершении хотелось бы отметить, что для зарубежных банков основными источники операционных убытков являются риски, связанные с производными финансовыми инструментами и осуществлением несанкционированных торговых операций. В российской же практике, областью повышенного операционного риска для многих банков являются — ИТ, поэтому наибольшие операционные потери реализуются именно в данной сфере.

Литература

2. The New Basel capital accord. Consultative document. B asle

Committee on Banking Supervision, 2003.

4. Филиппов Д. И., Международный банковский риск-менеджмент в условиях глобализации, Вестник РЭУ им. Г. В. Плеханова, №2 (80), 2015.

6. Kern Alexandr. «The Role of Basel Standards in International Banking Supervision», University of Cambrige, 2000.

7. Zilioli. С, Selmayr. М. «The Law of the European Central Bank», Oxford-Portland Oregon, 2001.

8. Fabozzi F., Modigliani F. «Capital Markets: Institutions and Instruments» (4th Edition), Prentice Hall, 2008.

10. Crouhy, M., D. Galai, and R. Mark. Risk Management. New York: McGraw-Hill, 2001.

2. The New Basel capital accord. Consultative document. Basle Committee on Banking Supervision, 2003.

4. Филиппов Д. И., Международный банковский риск-менеджмент в условиях глобализации, Вестник РЭУ им. Г. В. Плеханова, №2 (80), 2015

5. Филиппов Д.И., Особенности развития финансового рынка европейского союза в условиях глобализа-

ции (монография) — М.: ФГБОУ ВПО РЭУ имени Г.В. Плеханова, 2014.

6. Kern Alexandr. «The Role of Basel Standards in International Banking Supervision», University of Cambrige, 2000.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

7. Zilioli. С, Selmayr. М. «The Law of the European Central Bank», Oxford-Portland Oregon, 2001.

8. Fabozzi F., Modigliani F. «Capital Markets: Institutions and Instruments» (4th Edition), Prentice Hall, 2008.

10. Crouhy, M., D. Galai, and R. Mark. Risk Management. New York: McGraw-Hill, 2001.

В 90-е годы прошлого столетия финансовые компании сосредоточили свое внимание на развитии управления финансовыми рисками. К этому их вынудили:

  • беспокойство по поводу рисков, вызванных постоянным ростом внебиржевого рынка ценных бумаг;
  • финансовые потери крупных банков;
  • нормативные акты, в частности Базельское соглашение.

Затем серьезное внимание стало уделяться методам оценки и управления рыночными рисками. Далее появился интерес к кредитным рискам. К концу 90-х годов компании и надзорные органы все больше стали интересоваться рисками, «отличающимися от рыночных и кредитных». Их и назвали операционными. Эта собирательная категория включает в себя рисковые ситуации, связанные с такими случаями, как:

  • ошибки персонала;
  • ошибки систем;
  • пожары, наводнения и ущерб от других физических факторов;
  • мошенничество и другие преступные действия.

Примеры

Примерами операционных рисков являются:

  • технологические неудачи;
  • неадекватное хранение документов и записей;
  • неграмотное управление, недостаток надзора, надежности и контроля;
  • ошибки в финансовых моделях и отчетах;
  • попытки скрыть потери или добиться личной выгоды (мошенническая торговля);
  • мошенничество третьих сторон.

Исторически, операционными рисками считались неизбежные издержки ведения бизнеса.

Трудности и история развития

Установить и контролировать определенные уровни рыночных и кредитных рисков не сложно. А вот выявить и оценить уровни операционных рисков и их источники — задача нетривиальная.

Финансовые организации и нормативные органы не могли прийти к согласию по поводу случайных обстоятельств, которые можно отнести к операционным рискам. Причислить ли к этой категории юридические и налоговые риски, некомпетентное управление, а также риски репутации? Дебаты велись не только на научном уровне. Они охватывали весь масштаб потенциальных проектов управления операционными рисками.

Еще одна проблема состояла в том, что операционные риски не всегда можно подразделить на четкие категории. Потери часто возникают в результате сложного сочетания событий, что затрудняет прогнозирование и моделирование рисковых ситуаций.

Большую работу в этой области проделал Базельский комитет по банковскому надзору. Первые результаты были опубликованы в январе 2001 года, когда был выпущен консультативный документ. Множество откликов вынудило комитет выпустить следующий рабочий документ в сентябре 2001 года. В феврале 2003 года появилась еще одна публикация — «Основные методы управления и надзора за операционными рисками» («Sound Practices for the Management and Supervision of Operational Risk»). Благодаря совместным усилиям исследователей и риск-менеджеров крупных банков, удалось выделить методики управления операционными рисками.

Затем, в апреле 2003, были внесены некоторые изменения. Окончательная версия соглашения Basel II появилась в 2004 году. Согласно решению Базельского комитета (Basel II, 2004 год), операционным риском считается риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, либо с внешними событиями. И хотя риски применимы к любым бизнес-организациям, особую актуальность они приобретают в банковской сфере, где регулятивные органы обязаны обеспечить защитные меры против систематических неудач в банковской структуре и в экономике. В Базельском определении фигурируют правовые риски, но отсутствуют риски стратегические, т.е. риски потерь, вызванных неудачными стратегическими решениями. Это определение не учитывают риски потери репутации, хотя очевидно, что некоторые операционные события могут сказаться на «добром имени» компании, вплоть до полного сворачивания бизнеса.

Категории рисков

Базельский комитет выделил семь основных категорий событий, которые приводят к потерям.

Мошенничество внутри компании

Потери, связанные с обманом, незаконной собственностью или несоблюдением законов или правил в компании, в которые вовлечена по крайней мере одна из внутренних сторон.

Внешнее мошенничество

Потери, связанные с обманом или незаконной собственностью или несоблюдением закона третьей стороной. Сюда относятся воровство, грабежи, хакерские атаки и прочие подобные факторы.

Должностная практика и безопасность труда

Потери, связанные с действиями, противоречащими законам или соглашениям относительно труда, здоровья и безопасности, повлекшие выплату компенсаций по искам о возмещении личного ущерба или за дискриминацию.

Клиенты, продукты и бизнес-практика

Потери, связанные с неумышленной или допущенной по небрежности ошибкой при выполнении профессиональных обязанностей в отношении конкретных клиентов или в связи с природой или конструкцией продукции.

Ущерб в отношении физических ресурсов

Потери, связанные с утратой или повреждением ресурсов в связи со стихийными бедствиями или иными событиями.

Сбои в бизнесе и отказы систем

Потери, связанные со сбоями в бизнесе или отказом систем. К этой категории относятся потери в связи отказом компьютерного оборудования, программного обеспечения, сетей или сбоями в работе коммунальных служб.

Исполнение, поставка и управление процессами

Потери, связанные со сбоями в обработке транзакций или в управлении процессами, а также потери, вызванные неудачными взаимоотношениями с поставщиками и производителями.

Методы управления операционными рисками

Базельский комитет и различные надзорные органы предписывают ряд стандартов управления операционными рисками (Operational Risk Management — ORM) для банков и аналогичных финансовых учреждений.

Дополняя эти стандарты, в Базельском соглашении выделяются три метода расчета капитала для покрытия операционных рисков:

  • подход базовых показателей (Basic Indicator Approach) – основан на ежегодном доходе финансового учреждения;
  • стандартизованный подход (Standardised Approach) – основан на ежегодном доходе каждого из бизнес-направлений финансового учреждения;
  • подходы усовершенствованных измерений (Advanced Measurement Approaches) – основаны на внутренней инфраструктуре оценки рисков банка в соответствии с предписанными стандартами. К ним относятся методы внутренней оценки (Internal Measurement Approach — IMA), распространения данных о потерях (Loss Distribution Approach — LDA), применения оценочной панели (Scorecard Approach — SCA).

Инфраструктура управления рисками должна включать:

  • выявление;
  • оценку;
  • мониторинг;
  • сокращение операционных рисков.

Управление большинством операционных рисков осуществляется внутри самих отделов, где эти риски возникают. IT-профессионалы лучше всего разбираются с системными рисками. Персонал back-офиса может дать нужную информацию по расчетным рискам и т.д. Однако общее планирование, координирование и мониторинг должно обеспечиваться централизованно — отделом управления операционными рисками. Работа должна вестись в сотрудничестве с управлением рыночными и кредитными рисками в общей инфраструктуре ERM.

Рисковые ситуации можно разделить на две крупные категории:

  • те, что случаются часто и влекут за собой умеренные потери;
  • те, что случаются редко, но влекут существенные потери.

Соответственно, управление операционными рисками должно сочетать в себе как количественные так и качественные методы оценки рисков. Например, расчетные ошибки в торговых операциях банка случаются достаточно регулярно, однако их можно статистически моделировать. Другие ситуации возникают реже, имеют нерегулярную природу, а значит, не поддаются моделированию. К ним относятся террористические акты, стихийные бедствия, мошенничества в торговой сфере.

К качественным методам относятся:

  • отчеты о потерях;
  • управленческий надзор;
  • опросы сотрудников;
  • интервью по выяснению причин ухода
  • самооценка руководства;
  • внутренний аудит.

Количественные методы разрабатывались преимущественно с целью распределения капитала по банковским операционным рискам.

Соглашение «Базель II» позволяет крупным банкам оценивать требования к капиталу в отношении операционных рисков основывать на своих собственных внутренних моделях. После появления этого соглашения был проведен ряд независимых исследований, касающихся методов оценки операционных рисков. Технологии заимствовались из таких областей, как актуарное дело и анализ технической надежности.

Рисковые ситуации, возникающие редко, но носящие катастрофический характер могут, в некоторой степени, моделироваться с использованием методов, разработанных для страхования имущества и страхования от несчастных случаев. Ситуации, которые возникают чаще, больше поддаются статистическому анализу.

Для статистического моделирования необходимы данные. Для операционных рисков используются сведения двух типов:

  • данные о прошлых убытках;
  • данные о рисковых индикаторах.

К убыткам может приводить целый спектр событий: ошибки при заключении сделок, мелкое мошенничество, клиентские иски и проч. Потери могут быть либо прямыми (например, в результате кражи), либо косвенными (в случае вреда, нанесенного репутации компании).

Их можно разделить на три категории:

  • событие;
  • причина;
  • последствие.

Например, событием может быть невыполненная сделка. Причиной может быть неадекватная подготовка, системная проблема или усталость сотрудника. Последствиями могут быть потери рынка, выплаты контрагенту, иски или подпорченная репутация фирмы. Любое событие может иметь несколько причин и последствия. Если отслеживать все эти три «измерения» для событий, вызвавших убытки, то можно построить матрицу событий, выявляющую частоту, с которой определенные причины вызывают те или иные события и последствия. Даже если не проводить дальнейший анализ, такие матрицы помогут выявить области, где необходимо усовершенствовать процедуры, обучение, подготовку персонала и проч.

Индикаторы рисков отличаются от событий, вызвавших убытки. Они не связаны с конкретными потерями, но указывают на общий уровень операционных рисков. Примеры индикаторов:

  • количество дополнительных рабочих часов у персонала;
  • степень укомплектованности штата;
  • ежедневные объемы операций;
  • уровень текучести кадров,
  • время простоя систем.

С точки зрения моделирования, цель состоит в поиске связей между конкретными индикаторами рисков и частотой событий, которые влекут за собой потери. Если такие связи удается выделить, то далее индикаторы рисков можно применять для отслеживания периодов повышенного операционного риска.

После проведения оценки операционных рисков (качественно или количественно) можно переходить к следующему этапу. Задача состоит в том, чтобы:

  • избегать определенных рисков,
  • для других рисков стараться нивелировать их последствия или
  • просто принимать некоторые риски как одну из составляющих ведения бизнеса.

Преимущества управления операционными рисками следующие:

  • сокращение операционных потерь;
  • снижение затрат на аудит и соответствие нормативным требованиям;
  • обнаружение незаконных действий;
  • снижение подверженности будущим рискам.

Базель II: «Международные стандарты измерения капитала — доработанное соглашение», подготовлено Базельским Комитетом по банковскому надзору. Соглашение рассматривает проблемы определения достаточности банковского капитала, а также методы расчёта необходимой величины капитала для покрытия рисков — кредитных, рыночных и операционных.