Оценка операционного риска в системе внутреннего контроля

Наиболее важные проявления операционного риска относятся к недостаткам в системах внутреннего контроля и корпоративного управления в коммерческих банках. В настоящее время нет единого универсального определения операционного риска[1]. В западной, чаще американской литературе операционный риск зачастую звучит как риск трансакций — это риск для доходов или капитала, возникающий из-за проблем, связанных с предоставлением услуг и видами обслуживания. Этот риск зависит от организации внутреннего контроля, информационных систем, ответственности и квалификации персонала, адекватности внутренних функциональных процессов утвержденному регламенту.

Операционный риск непосредственно относится к операционной деятельности внутри банка, которая из-за недостаточной компетентности его персонала, отсутствия должного контроля или в результате допущенной небрежности может привести к убыткам.

Согласно Консультативным предложениям Базельского комитета, составляя текущие предложения в части минимальных отчислений регулируемого капитала на цели операционного риска, Комитет одобрил общепринятое в банковском секторе определение, а именно: «...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами». Данное определение включает в себя риск, связанный с правовой сферой, но исключает стратегический риск, риск потери репутации и системный риск (хотя в этой связи логичным было бы предположить возможность в ближайшем будущем появления рекомендаций по их оценке и покрытию капиталом, %). Кроме того, органы надзора ряда европейских стран включают в основные угрозы, связанные с операционным риском, также и налоговые угрозы, но не в полном объеме, а лишь в той их части, когда банк, внедряя новый продукт либо услугу, не продумывает возможные отрицательные налоговые последствия.

Несмотря па наличие некоторых расхождений в представленных определениях, все они принципиально едины по своей сущности: операционный риск связан с нарушениями процессов осуществления видов деятельности и процессов банка, отсутствием надлежащего внутреннего контроля, управления либо неэффективностью процедуры или технологии осуществления отдельного бизнес-процесса.

Соответственно, операционные риски можно классифицировать следующим образом:

Риск персонала — риск потерь, связанный с возможными ошибками сотрудников, мошенничеством, недостаточной квалификацией, неустойчивостью штата организации, возможностью неблагоприятных изменений в трудовом законодательстве и т.д.

Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчетов по ним, их учета, отчетности, ценообразования и т.д.

Риск технологий — риск потерь, обусловленных несовершенством используемых технологий — недостаточной емкостью систем, их неадекватностью проводимым операциям, грубостью методов обработки данных, или низким качеством, или неадекватностью используемых данных и т.д.

Риски среды — риски потерь, связанные с нефинансовыми изменениями в среде, в которой действует организация, — изменениями в законодательстве, политическими изменениями, изменениями системы налогообложения и т.д.

Риски физического вмешательства — риски потерь, связанные с непосредственным физическим вмешательством в деятельность организации, — стихийными бедствиями, пожарами, ограблениями, терроризмом и т.д.

Ключевыми задачами, которые должны быть решены при управлении операционными рисками, являются выявление и оценка операционных рисков, а также собственно управление выявленными и оцененными рисками.

Система управления операционным риском — это постоянный процесс, который можно отобразить следующим образом (табл. 14.3).

Процесс управления операционным риском

Таблица 14.3

Выявление

  • 1) разработанные принципы и стандарты;
  • 2) отображение рисков;
  • 3) анализ рисков, связанных с новыми продуктами, проектами

Измерение

  • 1) методы и инструменты;
  • 2) периодическое измерение уровня рисков;
  • 3) качественное измерение;
  • 4) количественное измерение;
  • 5) консолидация (по группам и разделам)

Предотвращение

  • 1) образование, обучение, информирование персонала;
  • 2) документация, регламенты и т.п.;
  • 3) улучшение систем внутреннего контроля в результате самостоятельной либо аудиторской проверки

Наблюдение

система отчетности, предупреждения и информирования

Контроль

  • 1) адекватность средств противодействия рискам;
  • 2) ориентировочные показатели;
  • 3) гарантии;
  • 4) консультации и опора на опыт

Основные принципы управления рисками, включая операционные, изложены в документах Базельского комитета по совершенствованию корпоративного управления. К ним относятся: «Основы систем внутреннего контроля в кредитных организациях» (сентябрь 1998 г.), «Повышение транспарентности банков» (сентябрь 1998 г.), «Совершенствование корпоративного управления в кредитных организациях» (сентябрь 1999 г.), «Передовая практика управления и надзора за операционным риском» (февраль 2003 г.).

Как совет директоров[2], так и высшее звено управления несет ответственность за создание банковской (корпоративной) культуры, в которой приоритет отдается эффективному управлению операционным риском и приверженности надлежащим мерам оперативного контроля.

Управление операционным риском наиболее эффективно там, где банковская культура поощряет высокие стандарты нравственного поведения на всех уровнях банковской структуры. Совет директоров и высшее руководство должны способствовать созданию такой корпоративной культуры, которая устанавливает словом и делом атмосферу единства всего персонала в деятельности банка.

Принцип 1: Совет директоров должен знать об основных аспектах операционных рисков банка как особой категории рисков, которой следует управлять, должен утверждать и периодически пересматривать подходы к управлению операционными рисками в банке (политику). Эта политика должна давать единое для банка определение операционного риска и устанавливать принципы его выявления (идентификации), оценки, мониторинга, контроля (ограничения).

Принцип 2: Совет директоров должен обеспечить, чтобы подходы к управлению операционным риском подвергались эффективному и всестороннему внутреннему аудиту функционально независимыми, соответствующим образом подготовленными и компетентными сотрудниками. Подразделение внутреннего аудита не должно нести непосредственную ответственность за управление операционным риском.

Принцип 3: Исполнительное руководство должно отвечать за реализацию утвержденных подходов к управлению операционным риском. Эти подходы должны последовательно реализовываться во всей банковской организации, сотрудники на всех ее уровнях должны понимать свои обязанности в отношении операционного риска. Исполнительное руководство обязано отвечать за разработку политики, процессов и процедур управления операционным риском в рамках всех существенных для банка продуктов, видов деятельности, процессов и систем. Политика управления рисками в банке была разъяснена персоналу на всех уровнях, связанных с материальным ущербом.

Принцип 4: Банкам необходимо выявлять (идентифицировать) и оценивать операционный риск, присущий существенным для них продуктам, видам деятельности, процессам и системам. Банки также должны обеспечивать надлежащую оценку операционного риска, присущего продуктам, видам деятельности, процессам и системам до начала их реализации и внедрения. Некоторые банки начали проводить количественную оценку подверженности операционному риску, используя различные подходы. Например, данные об исторически установленных потерях могут представить значимую информацию для оценки подверженности банка операционному риску и разработки политики снижения (контроля) за риском. Эффективным способом правильного использования этой информации является установление системы постоянного отслеживания и регистрации частоты, величины и других параметров, характеризующих потери в конкретных эпизодах. В некоторых банках комбинируются данные о внутренних потерях с данными о внешних потерях, анализ последовательности событий (сценария) и факторы оценки риска. Уязвимым моментом, безусловно, является все же довольно большая условность ретроспективной информации о потерях и небольшая доля вероятности повторения события, связанного с потерями, с теми же параметрами проявления.

Принцип 5: В банках должен быть налажен процесс регулярного мониторинга структуры операционного риска и потенциальных убытков. Должна быть организована на постоянной основе система доведения информации до менеджмента высшего звена и совета директоров, способствующая упреждающим действиям по управлению операционным риском. В общем, совет директоров должен получать достаточную высококачественную информацию, позволяющую понять совокупную структуру операционного риска и сосредоточиться на материальной и стратегической сторонах бизнеса.

Принцип 6: Банки должны иметь политику, процессы и процедуры контроля и ограничения существенных операционных рисков. Следует также периодически пересматривать стратегии ограничения и контроля риска и соответственно менять параметры операционного риска, используя подходящие стратегии и механизмы. Операционный риск может сильнее проявиться, когда банки вовлекаются в новые виды деятельности или разработку новых продуктов (в частности, где эта деятельность или продукты не сочетаются с основной стратегией бизнеса банка), вступают на незнакомые рынки и (или) участвуют в бизнесе, который географически удален от головного офиса. Более того, во многих случаях финансовые институты не обеспечивают, чтобы инфраструктура управления риском поспевала за ростом деловой активности.

Принцип 7: Банки должны иметь планы действия и обеспечения непрерывной деятельности при наступлении непредвиденных обстоятельств, с тем, чтобы не прекращать работу и ограничивать убытки. В качестве одного из методов реализации данного принципа может применяться построение в банке катастрофоустойчивого центра обработки данных. Особое внимание следует уделять способности восстанавливать электронные и физические записи, которые необходимы для возобновления бизнеса.

Банки должны периодически обновлять свои планы восстановления и непрерывности бизнеса, чтобы они сочетались с текущими операциями и стратегией бизнеса. Более того, эти планы следует периодически проверять, чтобы убедиться, что банк будет способен выполнить планы при неблагоприятном стечении обстоятельств, связанном с серьезным нарушением бизнеса. Даже непродолжительные сбои в работе основных ИТ-систем служат причиной серьезных финансовых потерь. По результатам опроса, проведенного компанией Eagle Rock Alliance, более 40% компаний прекращают свое существование при 72- часовом простое ИТ-сервисов. Очевидно, что ни один из ведущих российских банков не может себе позволить и этих трех суток. В своей практике автор данной работы сталкивался с ситуацией, когда сбой компьютерной системы регионального банка с одновременной невозможностью осуществлять обслуживание вкладных операций физических лиц привел к массовой панике и ажиотажу среди вкладчиков, и банк оказался на грани банкротства.

Принцип 8. Надзорные органы обязаны требовать, чтобы все банки независимо от размера применяли эффективные подходы к выявлению, оценке, мониторингу и контролю (ограничению) существенных операционных рисков.

Принцип 9. Надзорные органы должны осуществлять прямо или косвенно независимую оценку политики, процедур и практики банка, связанных с операционными рисками. Надзорные органы должны иметь механизмы, позволяющие им отслеживать изменения в управлении рисками в банках.

Принцип 10. Банки должны публиковать достаточную информацию, с тем чтобы дать возможность участникам рынка оценить их подход к управлению операционным риском.

В качестве возможных последствий реализации операционных рисков Базельский комитет выделяет следующие типы событий:

  • • внутренние мошенничества;
  • • внешние мошенничества;
  • • ошибки персонала;
  • • сбои в реализации бизнес-процессов и обслуживании клиентов;
  • • физический ущерб активам;
  • • сбои информационных систем;
  • • нарушение процессов обработки и хранения данных.

Соглашение Базель 11 предусматривает три альтернативных метода исчисления операционного риска в порядке нарастающей сложности и чувствительности к риску:

  • 1) подход базовых показателей (basic indicator approach, BIA);
  • 2) стандартизированный подход (standardised approach);
  • 3) подходы усовершенствованного исчисления (advanced measurement approaches, AMA).

Какой бы ни был выбран метод, банк должен суметь показать, что его критерий операционного риска отвечает требованию обоснованности, сравнимому с требованием, предъявляемым к оценке кредитного риска по методике, основанной на внутренних рейтингах.

В любой системе оценок должны быть определенные ключевые признаки, которые отвечали бы предъявляемому надзорными органами требованию об обоснованности методики банком. К таким признакам относятся: применение внутренних данных, соответствующие внешние данные; анализ вариантов развития событий, а также факторы, отражающие производственную среду и системы внутреннего контроля.

Банк должен иметь надежный, прозрачный, хорошо задокументированный и поддающийся контролю процесс определения относительной значимости каждого из указанных основных признаков в общей системе оценки операционного риска банка. Применяемая методика должна быть внутренне логичной и исключать возможность двойного подсчета качественных оценок или инструментов ослабления риска, которые были уже учтены в других компонентах схемы.

Кроме использования данных по убыткам (фактических или полученных с помощью анализа вариантов развития событий) методика оценки риска должна учитывать и ключевые факторы производственной среды и внутреннего контроля, которые могут повлиять на структуру операционного риска банка. Эти факторы придают осуществляемым банком оценкам риска более перспективный характер, напрямую отражающий качество контрольно-операционной среды в банке, позволяют увязать оценки капитала с целями и задачами в области управления рисками и более оперативно обнаруживать улучшение или ухудшение структуры операционного риска. Дня того чтобы можно было использовать эти факторы, применяемые в рамках оценки стоящих перед банком рисков, они должны отвечать приведенным ниже требованиям.

  • • Выбор каждого фактора должен быть обоснован тем, насколько высока его информативность как индикатора риска — исходя из опыта и с учетом мнения эксперта по проблемным участкам работы банка. Причем следует по возможности обеспечить переводимость этих факторов в количественные критерии, поддающиеся проверке на достоверность.
  • • Чувствительность банковских расчетов риска к изменениям факторов и удельному весу различных факторов должна быть глубоко аргументирована. Кроме улавливания изменений риска в связи с усовершенствованием механизмов контроля схема должна учитывать возможные повышения степени риска в результате усложнения характера деятельности или расширения объема производства.
  • • Схема и каждый случай ее применения (в том числе обоснование причин внесения корректировок в сделанные эмпирически расчеты) должны быть подкреплены документально и подвергнуты независимой экспертизе как самим банком, так и надзорным органом.

Со временем порядок схемы и показываемые ею результаты должны проверяться путем сравнения с фактическими внутрибанковскими цифрами убытков с соответствующими внешними данными и при необходимости вносятся соответствующие корректировки.

Ключевой концепцией в управлении операционными рисками является разделение событий на ожидаемые, неожиданные и катастрофические. Такое деление помогает сравнить характер рисков с различными линиями развития компании, а также понять, каких именно данных не хватает для предотвращения неожиданных и катастрофических событий.

Организационно-функциональная структура управления операционным риском входит в организационную структуру управления рисками банка. Пример организационной структуры показан на рис. 14.2.

Организационно-функциональная структура управления операционным риском

Рис. 14.2. Организационно-функциональная структура управления операционным риском

Распределение полномочий между советом директоров и исполнительными органами банка регламентировано п. 2.3 и 2.4 приложения к письму Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях».

Контроль установленных правил и процедур осуществляется в рамках системы внутреннего контроля (Положение Банка России от 16 декабря 2003 г. № 242-П). Он выражается в обеспечении выявления, измерения и определения приемлемого уровня банковских рисков, типичных возможностей понесения кредитной организацией потерь вследствие наступления связанных с внутренними или внешними факторами деятельности кредитной организации неблагоприятных событий.

В отношении контроля за операционным риском наиболее важными являются:

  • 1) контроль соблюдения установленных лимитов по проводимым банковским операциям и другим сделкам;
  • 2) соблюдение установленного порядка доступа к информационным массивам и материальным активам банка;
  • 3) надлежащая подготовка и квалификация персонала, исключение конфликта интересов;
  • 4) регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам;
  • 5) внутренний аудит бизнес-процессов, идентификация и оценка текущих параметров рейтинговой модели.

Руководитель и сотрудники служб внутреннего контроля не имеют права подписывать от имени кредитной организации платежные и бухгалтерские документы и иные документы, в соответствии с которыми кредитная организация принимает на себя риски.

Службой внутреннего контроля осуществляется мониторинг эффективности принятых органами управления мер, обеспечивающих снижение уровня выявленных рисков, либо проводится официальное документирование принятия исполнительным руководством решения о приемлемости выявленных рисков для кредитной организации.

Кредитным организациям, действующим на территории России, рекомендовано разработать и утвердить основные принципы управления операционным риском. Во внутренних документах банка необходимо реализовать данные принципы, а именно определить:

  • • организационную структуру, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;
  • • порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;
  • • правила, порядки и процедуры функционирования технических и информационных систем;
  • • порядок стимулирования служащих и другие вопросы;
  • • порядок разработки и предоставления отчетности и иной информации.

Кредитной организации рекомендуется проводить работу по формированию у служащих знаний об операционном риске, который может возникать в связи с выполнением ими должностных обязанностей, а также мотивации на выявление факторов и причин операционного риска.

С учетом характера и масштабов деятельности кредитной организации рекомендуется оценить целесообразность создания подразделения (назначения служащего), отвечающего за координацию и централизацию управления операционным риском, определить его полномочия, порядок взаимодействия с подразделениями, осуществляющими банковские операции и другие сделки. А также возложить разработку и апробацию методик оценки и проведение оценки операционного риска, разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.

Следует отметить, что большинство крупных российских банков осознало необходимость создания и деятельности специальных подразделений по контролю за операционным риском. Однако в небольших банках данные полномочия возлагаются либо на руководителя службы внутреннего контроля, либо на одного из заместителей председателя правления.

Политика банков в сфере управления рисками вообще и операционным риском в частности должна характеризоваться управленческим подходом к оценке риска, что выражается и проявляется в четком разделении между руководящими органами и подразделениями банка полномочий и ответственности по управлению рисками.

Для реализации определенных политикой целей и задач в качестве основных направлений необходимо выделить:

  • • формирование и развитие методик анализа и оценки уровня рисков, так как сам по себе риск — не зло, плох лишь тот риск, который неверно оценен либо вообще не выявлен;
  • • постоянное поддержание в актуальном состоянии системы лимитов, ограничивающих риски;
  • • развитие системы контроля и управленческой отчетности текущего уровня рисков;
  • • установление требуемой нормы доходности операций в соответствии с предполагаемой степенью риска;
  • • стандартизацию подходов к управлению рисками и мониторингу бизнес-процессов;
  • • оптимизацию процесса взаимодействия подразделений и проведение работы по повышению профессионального уровня персонала.

Также Банком России рекомендуется кредитным организациям доводить до сведения акционеров, кредиторов, вкладчиков и иных клиентов, внешних аудиторов, рейтинговых агентств и других заинтересованных лиц информацию по управлению операционным риском, обеспечив при этом соответствие степени детализации раскрываемой информации характеру и масштабам деятельности кредитной организации.

Повышение эффективности корпоративного управления и процедур управления операционным риском напрямую связано с действиями внутреннего аудита. Его роль в управлении операционным риском — одна из ключевых, поскольку только аудиторы могут дать независимую оценку качества бизнес-процессов и уровня соответствующего операционного риска путем оценки выбранной банком рейтинговой модели в текущем периоде и, возможно, на перспективу.

К основным задачам внутреннего аудита операционного риска относятся следующие:

1. Оценка эффективностью управления операционным риском в

части:

  • • достоверности и полноты информации о бизнес-процессах;
  • • эффективности бизнес-процессов и уровня выявленного операционного риска;
  • • соблюдение законов, нормативов и договорных обязательств;
  • • сохранности активов и подтверждение величины справедливой стоимости.
  • 2. Оценка эффективности контроля в сфере управления операционным риском, включающая:
    • • проверку наличия четко сформулированных оперативных и долгосрочных целей и задач совершенствования бизнес-процессов, оценку степени их соответствия целям и задачам деятельности банка;
    • • анализ деятельности и планов банка (план-факт анализ);
    • • проверку адекватности критериев выполнения поставленных целей и задач.
  • 3. Оценка и рекомендации по совершенствованию процесса корпоративного управления, оказывающего влияние на состояние среды управления операционного риска в части:
    • • продвижения этических стандартов;
    • • обеспечения эффективного процесса управления деятельностью и ее оценки;
    • • эффективного и своевременного обеспечения информацией по вопросам оценки и минимизации рисков;
    • • эффективного координирования деятельности и обмена информацией между советом директоров, аудиторами и менеджментом.

В управлении операционным риском основную нагрузку взаимодействия риск-подразделений и бизнес-подразделений несут риск- менеджеры этих подразделений. На них возлагаются функции по сбору информации и внедрения процедур контроля операционных рисков.

Таким образом, управление операционными рисками в условиях типичной для российской действительности «вертикальной модели власти» будет эффективным, если на всех уровнях иерархии, т.е. на системном уровне, будут решены задачи организационного управления. Только через управление всей совокупностью бизнес-процессов (основными, поддерживающими, организационными) можно реально уменьшить потери, связанные с проявлением операционного риска.

Ключевой категорией методологии управления операционным риском является понятие неблагоприятного события. Под ним понимается любое идентифицируемое событие или действие на процессы или операции банка, следствием которых являются те или иные потери банка. Как правило, события классифицируются по источникам их возникновения, а также по объектам, на которых они произошли.

Результатом неблагоприятного события являются потери банка, классифицируемые на измеряемые потери, т.е. те, которые могут определяться количественным образом, и неизмеряемые потери, определяющиеся экспертным или качественным образом. Основные виды измеряемых и неизмеряемых потерь приведены в табл. 14.4 и 14.5.

Оценка уровня риска может определяться как качественно, так и количественно.

Количественная оценка риска носит вероятностный (прогнозный) характер, расчет опирается на статистические методы, а величина зависит от уровня принимаемой доверительной вероятности. В качестве количественных оценок могут выступать следующие статистические параметры случайных величин, которыми являются конкретные источники риска:

  • • оценка вероятности[3] осуществления неблагоприятного события на данном объекте риска из-за реализации конкретного источника риска;
  • • статистическая оценка результата неблагоприятного события как статистическая оценка[4] размера возможных потерь по типам потерь, которые могут возникнуть на данном объекте риска;
  • • статистическая оценка возможных отклонений[5] с заданным уровнем доверительной вероятности от оценки возможных потерь.

Типы измеряемых операционных потерь

Таблица 14.4

Типы операционных потерь

Описание, тип проявления

Снижение или потеря части стоимости активов

Непосредственное уменьшение стоимости активов в результате кражи, мошенничества, несанкционированных или кредитных (рыночных) убытков, в результате ошибок или сбоев операционного характера

Потери в результате ошибок в реквизитах платежей

Платежи и списание средств в результате ошибок в реквизитах платежей или в отношении неправильных контрагентов, которые не были возвращены

Потери по компенсациям

Платежи (включая проценты) клиентам в качестве компенсации

Потери по юридическим обязательствам

Расходы, связанные с судебными разбирательствами, и иные юридические платежи, связанные с юридическими ошибками в контрактных документах

Потери материальных активов

Непосредственная потеря стоимости физических активов в результате каких-либо обстоятельств (кража, пожар и т.д.)

Штрафы по предписаниям регулирующих и контролирующих органов

Штрафы и иные обязательные платежи в результате нарушения нормативных актов и предписаний регулирующих органов

Налоговые потери

Штрафы по предписаниям налоговых органов и другие потери, связанные с неправильным регулированием собственных налоговых платежей и нарушениями правил налогового учета в результате ошибок операционного характера

Типы неизмеряемых операционных потерь

Таблица 14.5

Тип операционных потерь

Описание, проявление

Снижение качества услуг

Потеря качества предоставляемых услуг и обслуживания, приводящих в дальнейшем к потере клиентской базы банка

Недополучение доходов

Недополучение запланированных доходов

Потеря качества

Потеря качества внутренних банковских процессов, приводящих в дальнейшем к дополнительным расходам

Потеря репутации

Потеря репутации или других параметров goodwill, приводящих в дальнейшем к потере клиентской базы

Приостановка деятельности

Приостановка деятельности в результате данного неблагоприятного события (например, технологического сбоя или юридичеких (налоговых) ошибок) подразделяется на краткосрочную, долгосрочную и окончательную

Качественный способ применяется для оценки качественного уровня процедур и технологий осуществления отдельных операций и процессов, а также для тех источников и объектов операционного риска, уровень которых нельзя однозначно выразить через некоторое число, характеризующее возможный уровень потерь. В этом случае оценка производится экспертно по 3-, 5- или 10-балльной системе, для чего разрабатываются специальные таблицы критериев и факторов риска с предлагаемыми шкалами оценок. Качественные оценки используются наряду с количественными оценками для определения соответствия используемых процедур совершения операций эталонным и для определения повышенных зон риска.

Важным элементом методологии управления операционным риском являются понятия общей (gross-risk) и эталонной (net-risk) оценок риска, которые могут быть как количественными, так и качественными.

Под общей оценкой уровня операционного риска (gross-risk) понимается оценка реальных угроз и слабостей, существующих на данный момент в операционной и технологической среде банка, всех условий, недостатков, характеристик и процедур осуществления анализируемых операций в данном банке.

Под эталонной (или чистой) оценкой уровня операционного риска (net-risk) понимается отраслевая оценка чистого уровня риска по каждому источнику риска на эталонных (идеально организованных) процедурах осуществления операций и процессов с полным набором контрольных мероприятий и всех необходимых ресурсов, исключающих возникновение неожиданных неблагоприятных событий, связанных с собственными (индивидуальными) ошибками и недостатками того или иного банка. Оценка эталонного (чистого) риска осуществляется либо на основе общебанковских отраслевых баз данных о неблагоприятных событиях операционного характера, либо экспертным способом.

Степень расхождения общей и эталонных оценок риска на отдельных операциях или процессах характеризует уровень слабостей и недостатков конкретного банка в процедурах и технологиях осуществления данных операций или процессов.

Логично, что текущие ошибки в деятельности банка встречаются довольно часто, но они не очень значительны с точки зрения покрытия (финансовых затрат), напротив, ошибки, приводящие к катастрофическим потерям, довольно редки. На рис. 14.3 отображается такое условное распределение вероятности размера убытков и частоты потерь.

Большая проблема — недостаток данных. Имеется множество так называемых ожидаемых потерь, таких как злоупотребления в использовании кредитной карточки, неудачные торговые операции и даже мелкое мошенничество.

Проблема нанесения ущерба финансовым структурам от операционных рисков давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на «молодость» многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов[6].

Распределение вероятности частоты и размера потерь

Рис. 14.3. Распределение вероятности частоты и размера потерь

Идентификация риска является критичным фактором для последующего осуществления надлежащей оценки, мониторинга и контроля в отношении операционного риска. Эффективная идентификация риска предполагает учитывать как внутренние факторы (например, сложность банковской структуры, природу банковской деятельности, квалификацию персонала, изменения организационной структуры и текучесть кадров), так и внешние факторы (например, изменение экономических условий, новации в банковской и достижения в технологической сфере), которые могли бы препятствовать достижению поставленных данным банком целей. Процесс идентификации риска должен также включать в себя решение о том, какие риски банк способен контролировать, а какие не способен.

В мировой практике масштабы потерь от операционного риска уже никого не удивляют, даже такая значительная величина, как 3,7 млрд в год для 89 банков, обследованных Банком международных расчетов (http://www.bis.org/bcbs/gis/idce2002.pdf). Причина «хладнокровия» проста: найден принцип борьбы с этим «злом». Он довольно- таки прагматичен — «оцени — управляй — отвечай».

Операционные риски в целом подразделяются на:

  • трансакционные риски — риски потерь в результате ошибок при проведении сделок и ошибок, возникающих в результате несоответствия информационных систем используемым финансовым инструментам (информационные системы не способны адекватно отражать сложные финансовые инструменты), риски потерь в результате бухгалтерских ошибок, неправильных расчетов процентных и комиссионных платежей, ошибочного получения или поставки товара или финансовых ресурсов; риски потерь как результат юридически некачественно подготовленной документации;
  • риски операционного контроля — риски потерь как результат несвоевременно выявленного превышения лимитов, проведения несанкционированных сделок отдельными работниками, хищений и злоупотреблений при учете финансовых операций (включая подделку и фабрикацию финансовых и бухгалтерских документов), риски штрафных санкций за отмывание «грязных денег», риск потерь по причине несанкционированного доступа к системам и применяемым расчетным моделям, зависимость от ограниченного числа сотрудников, отсутствие должного контроля за порядком проведения и учета сделок;
  • риски информационных систем — риск потерь как результат ошибок в программном обеспечении, математических моделях, применяемых при расчетах, ошибок при расчете рыночной стоимости финансовых инструментов; недостаточная или несвоевременно представляемая управленческая информация; сбои в работе одной или нескольких информационных систем, обеспечивающих нормальное функционирование бизнеса, сбои в компьютерных сетях или в телекоммуникационных каналах; отсутствие планов мероприятий на случай сбоев в работе информационных систем и телекоммуникационных каналов или низкое качество подобных планов.

В соответствии с исследованиями Базельского комитета концентрация внимания на событиях, связанных с риском, позволяет банкам классифицировать по категориям опыт своих реальных убытков в общей структуре, а также делать более четкое различие между операционным риском и рыночным, или кредитным, риском. Подобный подход обеспечивает также основы, корреспондирующие с теми методами и способами, которые применяют для оформления своей деятельности, связанной с управлением риском. Распределяя убытки по четким категориям в соответствии с общим характером события, связанного с операционным риском, банки получают возможность оценивать последствия деятельности, направленной на смягчение риска, сюда следует отнести усиление внутренней системы контроля и совершенствование процессов — деятельности, преследующей цель сокращения появления вероятности таких событий и серьезных последствий, ими вызванных. Таким образом, система классификации убытков дает представление о типах событий, чреватых значительными убытками, а также предоставляет прямую и важную информацию о потребностях в осуществлении разнообразных мероприятий, направленных на эффективное управление риском.

Определив типы убытков (табл. 14.6), Базельский комитет установил, что следует учитывать при классификации операционного риска. Решающим при этом является учет не только издержек, но и возможного сокращения доходов банка в связи с наступлением операционного риска.

Таблица 14.6

Классификация операционного риска по типам убытков

Тип убытка

Определение

Правовые

обязательства

Судебные и прочие издержки

Соблюдение регулятивных и прочих норм (включая налоговые)

Штрафы или прямые выплаты в результате любых других наказаний, например отзыва лицензии

Утрата или повреждение активов

Прямое сокращение стоимости материальных активов в результате несчастного случая (например, небрежность, авария, пожар, землетрясение и т.д.)

Возмещение

Платежи третьим сторонам в счет операционных убытков, за которые банк несет правовую ответственность

Убытки от регресса

Убытки в результате невыполнения третьей стороной обязательств перед банком, проистекающие из операционной ошибки или события (т.е. те, которых можно было избежать даже при намеренном или вынужденном дефолте контрагента)

Списания

Прямое сокращение стоимости активов в результате воровства, мошенничества, несанкционированных действий либо рыночные или кредитные убытки в результате операционных событий

Ведущие к убыткам события по своей частоте и размеру ущерба могут быть разделены на две группы. С одной стороны, существуют часто наступающие события, например ошибочные бухгалтерские проводки, влекущие за собой относительно ограниченные убытки (высокая вероятность низкого убытка). С другой стороны, некоторые редкие события, например несанкционированные операции сотрудника с ценными бумагами или разрушение помещений банка в результате стихийных бедствий или террористического акта, могут стать причиной очень крупного убытка (низкая вероятность высокого убытка). Не обнаруженные своевременно превышения лимитов, не разрешенные руководством операции отдельных трейдеров, злоупотребления в учете операций — факторы, вызвавшие крах целого ряда известных финансовых учреждений, в частности банка «Бэрингс». Последнее тому подтверждение — потери крупнейшего ирландского банка «Эллайед Айриш Бэнкс» в сумме 750 млн долл, по причине недобросовестности отдельного трейдера.

Примером же успешной разработки и применения планов мероприятий на случай критических ситуаций (т.е. локализации операционного риска) может служить работа инвестиционного банка «Морган Стэнли». Несмотря на то что в момент атаки террористов на «башни- близнецы» в здании находилось много сотрудников «Морган Стэнли», подавляющему числу служащих удалось успешно покинуть здания, так как они действовали по плану эвакуации, разработанному банком, а не следовали указаниям администрации зданий «оставаться на своих местах». Более того, наличие резервного информационного центра, процедур и планов мероприятий позволило этому банку в минимально короткие сроки возобновить операции с клиентами и на финансовых рынках, используя резервные офисы и информационные системы, тем самым позволило избежать критических убытков.

Кроме классифицирования убытков, связанных с операционным риском, по типам риска существует еще и общепринятая практика классификации убытков по основным направлениям банковской деятельности. При этом создается двусторонняя «матричная» система классификации, которая распределяет убытки по ячейкам различных направлений деятельности. Используемые специфические направления деятельности могут варьироваться у разных банков.

Базельский комитет, сотрудничая с организациями банковского сектора, разработал нижеследующие основные категории, которые могут использовать довольно большое количество банков: корпоративные финансы, торговые операции и товарооборот, розничные банковские операции, коммерческие банковские операции, платежи и расчеты, агентские услуги и доверительное хранение, управление активами, розничные брокерские операции. Так же, как и в случае с классификационными системами событийных типов, многие банки идут дальше и подразделяют указанные категории по направлениям деятельности, что является отражением их особой структуры и деловой активности.

Некоторые банки считают полезным классифицировать убытки в соответствии с результатами их последствий, что позволяет им отслеживать и классифицировать такие убытки в показателях, соответствующих общей бухгалтерской книге данного банка в рамках системы бухучета, тем самым связывая классификацию убытков с процессом учета по счету прибылей и убытков. Категории последствий убытков, как правило, включают в себя такие элементы, как правовая ответственность, регулятивная акция, потеря или нанесение вреда физическим активам, реституция (возмещение убытков), потеря права регресса и частичное списание. По каждому событию, связанному с убытками, данная система классификации позволяет банку отслеживать до известной степени воздействие данного события на состояние счета прибылей и убытков, что отражается непосредственно на общем счете прибылей и убытков (табл. 14.7).

Классификация операционного риска по типам событий

Таблица 14.7

Тип события

Определение

Внутреннее

мошенничество

Убытки в результате мошенничества, злоупотребления собственностью или невыполнения регулятивных требований, законов или политики компании, исключая случаи дискриминации, с участием по крайней мере одного инсайдера

Внешнее

мошенничество

Убытки в результате мошенничества, злоупотребления собственностью или невыполнения законов третьей стороной

Кадровая политика и безопасность труда

Убытки вследствие нарушения законов об обеспечении здоровья и безопасности или трудовых соглашений, а также от выплат по искам о нарушении личных прав или по искам о дискриминации

Клиенты, продукты, коммерческая практика

Убытки в результате небрежности или непреднамеренного невыполнения профессиональных обязательств перед конкретными клиентами либо в результате природы или конструкции продукта

Ущерб материальным активам

Материальные убытки в результате природной катастрофы или других событий

Нарушения в проведении коммерческих операций и системные сбои

Убытки в результате нарушений в проведении коммерческих операций и системных сбоев

Исполнение и обработка операций

Убытки в результате неправильного проведения операций или неправильного управления в процессе отношений с торговыми контрагентами

Рост операционного риска в банках со слабым корпоративным управлением связан с отсутствием или неудовлетворительным функционированием системы внутреннего контроля, комитета совета директоров по аудиту, службы внутреннего аудита. В отличие от кредитных и рыночных рисков методики управления операционным риском стали разрабатываться относительно недавно.

В Базельском соглашении 1988 г. операционный риск считался побочным продуктом кредитного и рыночного рисков и в семье рисков относился к категории «другие». В Базеле II операционный риск рассматривается отдельно, приводятся определение, методы его оценки, причины возникновения. Базельский комитет по банковскому надзору считает его весьма важным и рекомендует банкам держать определенную сумму капитала на случай связанных с ним убытков. На развитых рынках правильным считается централизовать управление риском, сосредоточив его в едином, выделенном подразделении по банку в целом. Сюда, видимо, должно быть отнесено и управление операционным риском — т.е. минимизация либо его уровня, либо потерь банка от его реализации. Тем не менее в банковской практике нередко ответственность за операционный риск (или за то, что конкретный банк понимает под операционным риском) возлагается на службу информационных технологий (ИТ-подразделения).

Подходы к оценке операционных рисков в последнее время стремительно развиваются, но даже на «продвинутых» рынках все же отстают по точности от методов измерения кредитных и рыночных рисков. Собственно, оценивается вероятность наступления событий или обстоятельств, приводящих к операционным убыткам, их возможный размер. Методы, основанные на применении статистического анализа распределения фактических убытков, позволяют прогнозировать потенциальные операционные убытки исходя из размеров операционных убытков, имевших место в прошлом. Статистические методы и модели активно используются, если вероятность возникновения конкретного вида операционного риска достаточно велика, а его наступление носит на рынке массовый характер. Тогда используются корреляционные модели, где функцией будет являться вероятность наступления операционного риска, а переменными — факторы, формирующие риск (например, количество операций, прямо определяющее частоту ошибок персонала).

Сущность балльно-весового метода — оценка операционного риска в сопоставлении с мерами по его минимизации. На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются по направлениям деятельности банка, отдельных видов операций и других сделок. Применение этого метода наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении им. В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности банка, отдельных видов операций и других сделок определяются возможные сценарии возникновения события или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая затем используется для оценки операционного риска.

Мониторинг потерь от наступления операционного риска включает анализ каждого случая, описание природы и причин, которые привели в конкретной ситуации к реализации операционного риска. Чтобы выявить направления, наиболее подверженные операционному риску, рекомендуется проводить пооперационное разложение процессов и технологий на элементарные составляющие (operational unit), для каждой из которых эмпирически или статистически определяется степень влияния на нее того или иного источника риска. Это называется декомпозицией операционного риска по операциям, составляющим каталог операционных рисков, который позволяет выявить наиболее уязвимое подразделение банка. Составление каталога операционных рисков становится основной задачей при построении адекватной системы управления ими. Составлять его можно либо силами подразделений банка (в виде «технологической карты» операций), либо поручить это дело внешней консультационной фирме. После создания каталога выявляются процессы и отдельные операции, на которых в наибольшей степени концентрируются конкретные факторы риска. Затем разрабатываются мероприятия по уменьшению и ограничению выявленных рисков.

На банковском рынке давно идут разговоры о том, стоит ли присоединяться к соглашению Базель II. Кто-то считает, что это необходимо и может оздоровить отечественную банковскую систему. Иные полагают, что такая мера, напротив, серьезно подорвет ее устойчивость и конкурентоспособность. И те и другие высказывают достаточно весомые аргументы. Тем не менее нельзя оспорить тот факт, что соглашение Базель II — важнейший документ, определяющий стратегию риск-менеджмента в банковской системе. В нем содержатся варианты расчета основных рисков и методы управления ими, а также методы расчета достаточности капитала. Независимо от того, как и когда будут внедряться эти принципы в России, рано или поздно это произойдет. В конце концов банки сами придут к системе риск-менеджмента, отвечающей определенным в соглашении принципам.

Напомним, что соглашение предусматривает три поддерживающих друг друга направления регулирования достаточности капитала:

  • 1. Минимальный размер капитала определяется с помощью коэффициентов, учитывающих кредитный риск заемщика, рыночный и операционный риски.
  • 2. Надзор за достаточностью капитала предполагает эффективный контроль за адекватностью и функционированием внутренних методик банка. Этот компонент включает в себя право регулятора требовать поддержания более высокого уровня коэффициента, чем минимально установленный, независимую оценку достаточности капитала конкретного банка при его проверке, анализ системы оценки рисков банка и возможность вмешиваться в его дела с целью предотвратить опасное падение капитала.
  • 3. Рыночная дисциплина, т.е. раскрытие банком полной информации о составе капитала и принятых рисках, на основании которой клиенты, банки и эксперты могли бы вынести собственное суждение о достаточности капитала.

Все эти направления представляются чрезвычайно важными в контексте построения системы риск-менеджмента. Основная суть нововведений в том, что меняются правила расчета активов с учетом рисков. В действующем соглашении понятие «активы, взвешенные по степени риска» охватывало только кредитный и рыночный риски, в новом учитывается и операционный риск. Как по кредитному, так и по операционному риску предлагаются три метода повышения чувствительности к рискам, позволяющие банкам и регулятору выбрать методы, которые, по их мнению, наиболее подходят для данного этапа развития деятельности банка и инфраструктуры рынка.

Вопросы для самоконтроля

  • 1. Перечислите банковские риски, которые вы знаете.
  • 2. Как можно измерить кредитный риск?
  • 3. Какие нормативы ликвидности вы знаете, чему равны их значения?
  • 4. Укажите группировки активов по степени риска.
  • 5. Значение риска прямо или обратно пропорционально прибыли?
  • 6. Какие показатели отражают финансовую устойчивость коммерческого банка?

Темы для коллективного обсуждения

  • 1. Организационное обеспечение процесса управления рисками в коммерческом банке.
  • 2. Почему требования к достаточности капитала различны в России, Европе и США?
  • 3. Трудности измерения и снижения валютного риска.
  • 4. Какие методы измерения риска, кроме метода оценки концентрации, можно применять на практике?
  • 5. Опишите области возникновения операционного риска.

  • [1] Банк России определяет понятие операционного риска следующим образом: какриск возникновения убытков в результате несоответствия характера и масштабовдеятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций идругих сделок, их нарушения служащими кредитной организации и (или) инымилицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик), применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также врезультате воздействия внешних событий (Письмо Банка России от 24 мая 2005 г.№ 76-Т).
  • [2] В документе Базельского комитета рассматривается структура управления, состоящая из совета директоров и высшего звена управления. Комитету известно отом, что имеются существенные отличия в правовой и регулятивной системах различных стран относительно функций совета директоров и высшего менеджмента.В некоторых странах основной, если не исключительной, функцией совета директоров является такой контроль исполнительной власти (высшего менеджмента,генерального директора), который обеспечивает выполнение руководством стоящих перед банком задач. Для этого в некоторых случаях он даже называется наблюдательным советом. Это означает, что у совета нет исполнительных функций.В других странах совет наделен более широкими полномочиями, позволяющимиопределять планирование общей структуры руководства банком. Исходя из этихразличий термины «совет директоров» и «руководители высшего звена управления» используются в данной работе не для определения правовых рамок, а дляобозначения двух уровней принятия решений в банке.
  • [3] В случае применения вероятностно-статистических методов вместо оценки вероятности выступает статистическая гипотеза о функции распределения вероятностиданной случайной величины (источника риска) на множестве объектов риска, например на множестве трансакций через платежную систему.
  • [4] В случае применения вероятностно-статистических методов в качестве даннойоценки выступает математическое ожидание.
  • [5] В случае применения вероятностно-статистических методов в качестве даннойоценки выступает среднеквадратическое отклонение (дисперсия).
  • [6] Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»приведены следующие примерные суммы потерь от атак «отказ в обслуживании»для различных финансовых структур: ? брокерская компания — 6,5 млн долл, в час; ? процессинговый центр — 2,6 млн долл, в час; ? банкомат— 14,5 тыс. долл, в час; ? он-лайн-аукцион — 70 тыс. долл, в час. В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе10 млрд файлов. Это произошло в марте 2002 г. и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе.Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >