Методы управления операционными рисками

Операционные риски наряду с кредитными и рыночными по возможным последствиям реализации являются существенными для банка. Некоторые методы и инструменты, направленные в том числе и на ограничение операционных рисков (внутренний контроль, разделение функций и полномочий, лимитирование операций и т. д.), уже давно используются практически всеми банками, однако они не всегда имеют комплексный характер. Кроме того, существует проблема ведения и формализации данных по потерям, полученным вследствие реализации операционных рисков.

 

Разработка и совершенствование системы управления операционными рисками в соответствии с международными стандартами и включение ее в общебанковскую систему управления рисками может стать частью стратегии банка. Это обусловлено внутренними потребностями организации, связанными с ростом операций, численности персонала, развитием систем и т. д.

{module 297}

В то же время предпосылками для формирования системы управления операционными рисками могут являться:
■  реализация убытков, возникающих по причинам, не связанным напрямую с кредитными или рыночными рисками, размер которых может быть значительным для кредитной организации;
■  необходимость повышения эффективности менеджмента в организации, совершенствования бизнес-процессов;
■  развитие корпоративной культуры управления, в том числе рисками;
■  требования надзорных органов и др.

Операционный риск включает в себя четыре основных вида рисков, сгруппированных в зависимости от источника потерь.

Риск бизнес-процессов— риск потерь, связанных с несовершенством или нарушением технологии осуществления банковских операций, в том числе продаж банковских продуктов / услуг, расчетов, учета и отчетности, внутреннего ценообразования, контроля и др.

Риск систем— риск потерь, связанных с несовершенством или сбоями в работе компьютерных или телекоммуникационных систем, программного обеспечения, а также возможной неадекватностью данных систем и программного обеспечения.

Риск персонала— риск потерь, связанных с преднамеренными или непреднамеренными ошибками персонала, вызванными недобросовестностью или небрежностью, некомпетентностью, недостаточностью или неустойчивостью штата организации либо нарушениями криминального характера (мошенничеством, несанкционированной деятельностью и т. д.).

Внешний риск— риск потерь, вызванных внешними событиями: изменениями системы государственного управления, законодательства, налогового режима, социальными факторами, стихийными бедствиями и др.

Потери от операционных рисков можно разбить на две группы:
■  ожидаемые потери — обычно реализующиеся в результате частых событий, наносящих небольшой урон, поддающиеся прогнозированию с приемлемой точностью;
■  непредвиденные потери — реализующиеся вследствие относительно редких событий, наносящих чувствительный урон (труднопрогнозируемые потери), в том числе и катастрофический (маловероятные события, критический урон).

В последние годы существенно возросла роль методов управления операционными рисками в системе управления рисками банка. В то же время банку необходимо учитывать, какой результат он получит после внедрения того или иного метода и насколько этот результат окажется эффективным.

Как правило, первый этап реализации системы управления операционными рисками — формирование соответствующей политики. Помимо очевидного желания организации сократить потери от операционного риска, предпосылками к повышению внимания к данной проблеме являются:
■  рост количества операций, продуктов и услуг банка, предоставляемых клиентам;
■  региональная экспансия, а также увеличение численности персонала;
■  подготовка к введению международных стандартов управления рисками, в частности, следование рекомендациям Базельского комитета;
■  увеличение полномочий, делегированных сотрудникам, и рост количества случаев потерь вследствие мошенничества третьих лиц, персонала организации и др.

Кроме того, управление операционными рисками — одна из стратегических задач, сформулированных надзорными органами.

Необходимо отметить, что наиболее заметной является корреляция операционного риска с различными изменениями в деятельности банка (реорганизация бизнеса, слияния и поглощения, внедрение программных комплексов, запуск новых банковских продуктов и услуг, выход на новые рынки и т. д.).

С учетом особенностей управления операционными писками в банке формирование политики должно отражать следующие основные аспекты:
■  принципы и стандарты организации системы управления операционным! рисками в банке;
■  методы управления рисками — в частности, превентивные методы (например, ограничение или неприятие риска, формирование и актуализация нормативной базы, контроль, отчетность, развитие технологий, обеспечение безопасности, кадровая политика) и методы возмещения потерь;
■  описание основных инструментов, с помощью которых можно ограничить влияние риска: информационно-аналитическая система или база данных потерь, полученных вследствие реализации операционного риска, количественная и качественная (экспертная) оценка операционного риска, лимитирование операций, в том числе разграничение полномочий между подразделениями банка по управлению операционными рисками и др.

Как уже отмечалось выше, методы управления операционными рисками по способу воздействия на риск (по времени, целям проведения мероприятий и сферам приложения) делятся на две группы — превентивные методы и методы возмещения потерь от операционных рисков.
Применение указанных методов управления операционными рисками допустимо как раздельно, так и в сочетании друг с другом для получения максимального управленческого эффекта.

ПРЕВЕНТИВНЫЕ МЕТОДЫ

Превентивные методы— методы управления, целью которых является своевременная   идентификация   подверженности  операционным рискам, ограничение возможных потерь, а также усиление профилактических мер по снижению уровня рисков, в том числе:
■  ограничение и / или неприятие риска;
■  формирование и актуализация нормативной базы;
■  контроль;
■  информирование руководства и составление управленческой отчетности;
■  развитие технологий;
■  методы кадровой политики;
■  обеспечение безопасности и др. Повышение внимания  ко всему спектру
перечисленных мероприятий позволяет решать задачу управления рисками комплексно и на ранней стадии выявлять потенциальные проблемы. Учитывая значимость данного аспекта, целесообразно остановиться подробнее на применяемых методах.

Ограничение и / или неприятие риска

Это наиболее распространенная практика, которая подразумевает существенное ограничение или исключение из деятельности банка недопустимого риска, что должно быть закреплено в нормативных документах организации или в соответствующих решениях коллегиальных органов. К данной категории относятся следующие методы:
■  сокращение объема или спектра проводимых операций до уровня приемлемого риска;
■  полный отказ или запрет тех или иных банковских операций, использования технологических систем и отдельных элементов инфраструктуры;
■  назначение ответственных за определенные участки работы лиц;
■  разделение функций (ответственное лицо или подразделение, непосредственно совершающее операцию, не должно одновременно выполнять учетные, подтверждающие или иные контрольные функции);
■  лимитирование полномочий (установление ограничений объема прав уполномоченных лиц и коллегиальных органов по самостоятельному принятию решений).

Права уполномоченных лиц и коллегиальных органов банка по самостоятельному принятию решений лимитируются. Данный вид лимита может зависеть от лица или коллегиального органа банка, для которого он устанавливается. — в частности, от результатов и качества работы, опыта, соблюдения технологий совершения операций и т. д.

Лимит риска ограничивает предельную величину риска по операции (направлению деятельности, подразделению). Указанные лимиты с определенной степенью вероятности ограничивают потенциальные потери банка от реализации операционных рисков.

Формирование и актуализация нормативной базы

Для успешного управления операционными рисками необходимо документальное утверждение последовательности действий при совершении банковских операций, а именно:
■  разработка стандартов управления операционными рисками, касающихся осуществления банковских операций, внедрения и сопровождения банковских продуктов, систем и процессов;
■  разработка нормативной базы банка по вновь создаваемым направлениям бизнеса и актуализация действующих нормативных документов;
■  создание и актуализация описаний бизнес-процессов для стандартизации операций, идентификации рисков и оптимизации деятельности;
■  разработка технических заданий на создание или внедрение технологических систем, документирование методик проведения отдельных операций и т. д.;
■  экспертиза разрабатываемых и действующих нормативных документов банка, в том числе юридическая.

Формирование нормативной базы по технологии бизнес-процессов. Идентификация и контроль рисков достигаются за счет ясного и однозначного описания технологий совершаемых операций. В указанных целях утверждаются положения, инструкции, методики и регламенты с четким описанием технологий бизнес-процессов. Нормативная база служит руководством для сотрудников при совершении операций и должна соответствовать реально существующим в банке бизнес-процессам, своевременно обновляться при их изменении, быть непротиворечивой (нормативные документы разного уровня не должны противоречить друг другу), а также согласованной со всеми задействованными или заинтересованными подразделениями банка. При этом технология совершения каждой операции, разработанная на основе технологических карт бизнес-процессов, должна быть документирована.

Формирование нормативной базы по порядку принятия решений. Порядок принятия решений является одним из важнейших факторов снижения уровня рисков. В зависимости от объемов операций и их соответствия установленным процедурам и лимитам в банке существует несколько уровней принятия решений: руководство и уполномоченные органы банка, уполномоченные лица.

Формирование нормативной базы по методологии оценки риска. Документированная методология оценки операционного риска позволяет рассчитывать величину риска по стандартным критериям и параметрам, что необходимо для получения сравнительных характеристик уровня рисков банка и интеграции данного показателя в расчет общебанковского риска.

{module 297}

Контроль

Это система процедур, направленных на недопущение или выявление нарушений требований законодательства, нормативных актов и стандартов профессиональной деятельности, урегулирование конфликтов интересов, обеспечение надлежащего уровня надежности, соответствующего характеру и масштабам проводимых банком операций.

Данная составляющая системы управления рисками является обязательной, кроме того, ее наличие у кредитной организации закреплено в нормативных требованиях регуляторов.

Внутренний контроль — система процедур, выполняемых сотрудниками подразделений на различных уровнях ответственности при совершении операций для выявления ошибок в соблюдении технологии. Может осуществляться с использованием следующих механизмов:
■  двойного ввода, при котором предусматривается ввод одной и той же информации из двух различных — возможно, независимых — источников (например, ввода дилером в систему информации о сделке и ее подтверждение сотрудником бэк-офиса);
■  согласования результатов (например, согласования расчетов фронт-офиса и расчетов других подразделений, ответственных за поддержку принятия решений фронт-офисом);
■  использования систем оповещения (например, систем предупреждения о наступающих событиях — дате выполнения сделки, необходимости проведения определенной операции и т. д.);
■  контроля изменений условий операций в системе учета (например, в случае изменения условий сделки она проходит такие же процедуры утверждения, как и изначальная);
■  контроля проведения расчетов по операциям (например, обнаружение ошибок в процессе осуществления платежей) и др.

Внешний контроль — система процедур контроля со стороны независимых подразделений банка на различных уровнях ответственности, а также со стороны контрагентов или других организаций. Может осуществляться с использованием следующих механизмов:
■  идентификации и аутентификации контрагента (например, предоставления контрагентом списка подписей уполномоченных лиц и разрешенных им операций);
■  верификации цен и других параметров сделок (например, проверки правильности оценки позиций по данным из независимых внешних источников);
■  подтверждения сделок контрагентами (например, для согласования условий сделки);
■  проведения мониторинга деятельности в соответствии с процедурами, установленными регулирующими органами (например, комплаенс-контроль);
■  проведения проверок соблюдения полномочий должностными лицами;
■  проведения внутреннего / внешнего аудита (данные аудиторских экспертиз могут содержать информацию о потенциальных проблемах как в организационной структуре, так и в бизнес-процессах) и др.

Информирование руководства и составление управленческой отчетности

Своевременное и полное регулярное информирование руководства и коллегиальных органов банка является методом поддержки принятия объективных и адекватных управленческих решений, а именно:
■  анализа операционного риска банка (анализ данных о соблюдении установленных лимитов, причинах их нарушений, анализ доходов и расходов подразделений и т. д.);
■  выявления «узких мест» в деятельности;
■  регулярного, а при выявлении нарушений — незамедлительного формирования и направления руководству банка управленческой отчетности в целях информирования обо всех существенных операционных рисках.
Развитие технологий
Предотвращение операционных рисков также осуществляется путем внедрения необходимых информационных, процессинговых и иных банковских технологий:
■  автоматизации определенных бизнес-процессов в банке, позволяющей снизить число операций, совершаемых вручную;
■  делегирования полномочий (передача рисков) по разработке программного обеспечения или иных технологических продуктов сторонним организациям и др.

Методы кадровой политики

Методы кадровой политики в данном контексте означают систему мероприятий, направленных на снижение риска персонала, а также на стимулирование сотрудников банка для проведения работ по идентификации и уменьшению операционных рисков:
■  проведение процедур отбора и аттестации персонала;
■  повышение квалификации работников в сфере их профессиональной деятельности — проведение тренингов, стажировок, семинаров и т. д.;
■  обучение персонала новым информационным и компьютерным технологиям;
■  внедрение стандартов профессиональной этики;
■  улучшение условий труда и материальное стимулирование;
■  применение санкций за нарушения технологии совершения операции и т. д.

Обеспечение безопасности

Обеспечение безопасности подразумевает предотвращение операционных рисков в чрезвычайных ситуациях, рисков криминального характера и информационную безопасность. Помимо стандартных способов — контроля доступа в помещения, проверки при приеме на работу, проверки контрагентов на предмет связи с криминальными структурами — используется ряд дополнительных процедур.

Обеспечение информационной безопасности включает:
■  управление доступом и защиту от несанкционированного доступа;
■  идентификацию и аутентификацию;
■  протоколирование и аудит;
■  криптографическую защиту информации;
■  архивирование информации:
■  обеспечение доступности информационных ресурсов;
■  тестирование систем перед внедрением;
■  обеспечение поддержки со стороны поставщиков систем;
■  сопровождение работы пользователей систем.

Обеспечение безопасности ведения бизнеса при чрезвычайных ситуациях включает:
■  резервирование информации, оборудования и т. д.;
■  создание резервного бизнес-центра;
■  разработку плана восстановления бизнеса после чрезвычайных ситуаций и поддержание его в актуальном состоянии;
■  прочие мероприятия.

МЕТОДЫ ВОЗМЕЩЕНИЯ ПОТЕРЬ

Методы возмещения потерь — это методы управления операционным риском, целью которых является покрытие отдельных видов потерь от реализации операционного риска. Среди них выделяют следующие.

Покрытие риска за счет капитала

Покрытие риска может осуществляться за счет созданных резервов. Резервы на покрытие возможных потерь создаются на случай возникновения дополнительных расходов или недополучения (снижения) доходов в соответствии с требованиями Банка России. Величина капитала под риском или создаваемых для покрытия возможных потерь резервов определяется заранее на основе предварительных расчетов с учетом требований к системе управления операционными рисками. В данном случае расходы формируются по факту и могут покрываться за счет прибыли, получаемой от операционной деятельности банка.

Страхование рисков

Определенные виды потерь вследствие реализации операционных рисков могут покрываться за счет страхования (например, полисом ВВВ — Banker’s Blanket Bond), таким образом некоторые возможные убытки переносятся на страховые организации. Страхованию подлежат определенные виды операционного риска, а именно те риски, которые не могут быть покрыты банком самостоятельно (катастрофические потери), либо те, затраты на страхование которых меньше, чем величина требуемых затрат на применение других методов управления риском. Следует подробнее остановиться на основных видах страхования по программе ВВВ.

1.  Страхование от противоправных действий:
■  от мошеннических действий персонала (преднамеренно совершенных ими самостоятельно или в сговоре с другими лицами с целью нанесения ущерба банку или извлечения незаконной финансовой выгоды):
■  от хищения ценностей, находящихся в помещениях банка или его корреспондентов (наличных денег, слитков из драгоценных металлов, драгоценных камней, ценных бумаг. платежных документов и т. д.) от ущерба в результате кражи, ограбления, повреждения, уничтожения, утери;
■  от убытков, причиненных подделкой платежных документов или получением мошеннических платежных поручений клиента (внесением поддельных подписей или противоправных изменений в платежные поручения, чеки, векселя, банковские тратты и акцепты, депозитные сертификаты, выданные банком);
■  от убытков при работе с фальшивыми ценными бумагами (в результате добросовестно осуществляемых и обычных в рамках ведения бизнеса операций с ценными бумагами в документарной форме);
■  от убытков в связи с принятием фальшивых денежных средств;
■  с целью возмещения юридических расходов, понесенных банком при защите по выдвинутым против него требованиям, искам, претензиям.

2. Страхование от электронных и компьютерных преступлений (Electronic and Computer Crime — ECC). Страховые компании покрывают убытки банка, вызванные:
■  мошенническим вводом данных или команд в компьютерные сети банка, сервисной компании, электронные системы перевода средств или связи с клиентами;
■  ответственностью перед клиентами в связи с несанкционированным доступом третьих лиц в сети банка;
■  преднамеренной порчей электронных данных и их носителей при их хранении, в ходе записи или перевозки;
■  компьютерными вирусами:
■  получением сфальсифицированных поручений клиентов, передаваемых по системам электронной связи, и ответственностью перед клиентами за платежи, осуществленные по сфальсифицированным поручениям;
■  ответственностью за проведение центральным депозитарием операций с ценными бумагами на электронных носителях по сфальсифицированным компьютерным командам банка;
■  осуществлением операций на основании сфальсифицированных клиентских указаний, переданных по факсу или телефону.

3.  Страхование профессиональной ответственности (Professional Indemnity— PI). Возникшая обязанность банка возместить ущерб, причиненный третьим лицам, вследствие неумышленных ошибок, небрежности или упущений работников банка при осуществлении профессиональной деятельности.

4.  Страхование ответственности директоров и топ-менеджеров (Directors’ and Officers’ Liability — D&O). Страховой риск в этом случае — претензии, выдвигаемые против топ-менеджеров в связи с их ошибочными управленческими решениями или небрежными действиями как руководителей.

5.  Страхование инкассаторских перевозок (Cash in Transit — СIT). Страховой риск — утрата перевозимых ценных грузов (денежной наличности, драгоценных металлов, драгоценных камней, ценных бумаг) по любой причине, включая исчезновение денежных средств вследствие противоправных действий третьих лиц, нелояльности персонала, а также утрата ценных грузов при сохранении целостности пломб и наружной упаковки (так называемое «магическое исчезновение»).

6. Страхование эмитента пластиковых карт (Plasiic Cards — PC). Компенсируются прямые убытки эмитентов (суммы, незаконно списанные со счетов держателей карт) вследствие получения наличных денег и других платежных документов после авторизирован-ного подтверждения эмитента, получения наличных денег в банкоматах, приобретения товаров по пластиковым картам, которые были незаконно изготовлены, утеряны или украдены, незаконно изменены.

7. Страхование имущества банка и убытков от перерыва в коммерческой деятельности (Properly Damage, Business Interruption — PD, BI). Данное страхование предусматривает возмещение убытков страхователя по причиненном) имущественному ущербу (повреждению или уничтожению) и возмещение убытков вследствие полного или частичного прекращения его коммерческой деятельности, вызванного повреждением или уничтожением застрахованного имущества (офисного здания, электронного оборудования, ценностей, документов и т. д.).

В заключение целесообразно упомянуть о способах оценки операционного риска, и, хотя эта тема широко освещена в специализированной литературе, нельзя с уверенностью сказать, что известные подходы полностью решают необходимые задачи.

Оценка операционного риска производится преимущественно при помощи двух методов — количественного анализа (величина операционного риска определяется на основе анализа статистических данных по финансовым потерям, полученным как вследствие реализации операционных рисков в банке, так и на базе статистических данных по другим кредитным организациям) и качественного анализа (в том случае, когда величина операционного риска не может быть определена количественными методами).

Использование количественных оценок операционного риска необходимо для получения его стоимостных показателей, используемых как при сопоставлении с результатами оценок других рисков (кредитных, рыночных и др.), так и при определении величины возможных потерь, реализуемых вследствие операционного риска.

В целях соблюдения международных рекомендаций и стандартов управления операционными рисками использование различных подходов осуществляется в поступательном режиме — от простого к сложному, по мере формирования соответствующей методологии и готовности инструментария для их применения. Разработка и пробное внедрение более сложных подходов может осуществляться параллельно с применением действующего подхода.

Использование экспертных мнений сотрудников организации (самооценок) является одним из инструментов оценки операционного риска в деятельности подразделений банка. Самооценка проводится в виде анкетирования или интервью соответствующего компетентного персонала. Данные оценки могут включать частоту и размер убытков, а также описание механизма их контроля.

Самооценку целесообразно использовать при нехватке объективных статистических показателей, характеризующих операционный риск. При применении данного инструмента необходимо учитывать возможный субъективизм оценок, а также отсутствие достаточной мотивации к выявлению рисков у ряда сотрудников.

Для получения всесторонних оценок операционного риска следует применять процедуры стресс-тестирования, которое позволяет учитывать резкие изменения ключевых факторов риска при расчете оценки риска, а также анализировать возможные последствия кризисных ситуаций.

ЗАКЛЮЧЕНИЕ

Безусловно, перечисленные методы управления операционными рисками не являются  исчерпывающими, и в данной статье умышленно не упомянут ряд дополнительных способов, позволяющих наряду с прочими повышать эффективность управления. Кроме того, здесь не рассматривалась другая важная составляющая системы управления — механизм внедрения методов в повседневную банковскую практику, от обоснования необходимости управления операционными рисками до получения конечных результатов внедрения и их контроля, поскольку данная тема заслуживает отдельной публикации.

Авторы: Плешивцев О.О.
к.э.н. заместитель директора департамента рисков ОАО «Банк Москвы».

Васильева Н.В.
ведущий специалист департамента рисков ОАО «Банк Москвы»

Статья из журнала «Управление финансовыми рисками» 01(05)2006

1.      Basel Committee on Banking Supervision. International Convergence of Capital Measurement and Capital Standards (2004). June. — www.bis.org.
2.     Cruz M. G. (2002). Modeling, Measuring and Hedging Operational Risk. Wiley Finance Series. John Wiley&Sons, Ltd.
3.     Carol A. (2003). Operational Risk: Regulation, Analysis and Management. Financial Times Prentice Hall.
4.      British Banking Association. Operational Risk Database Association. — www.bba.org.uk.
5.     Kuritzkes A. P., Scott H. S. (2002). Sizing Operational Risk and the Effect of Insurance: Implications for the Basel II Capital Accord. Prepared for the Program on International Financial Systems Colloquium on Capital Adequacy. June.
6.     PriceWaterhouseCoopers. Operational Risk Management Survey — Executive Summary. — www.pwc-global.com.
7.     Federal Reserve Bank of San Francisco (2002). What is Operational Risk? Economic Letter. No. 2002-02, January 25. — www.frbsf.org.
8.     Federal Reserve Bank of Chicago (2002). Solutions on Measuring Operational Risk. Capital Market News, September. — www.frbc.org.
9.     Письмо ЦБ РФ от 24.05.2005 №76-Т «Об организации управления операционным риском в кредитных организациях» // Вестник Банка России. — 2005. — 1 июня. — №28.

Оцените статью
Adblock
detector