Каждый банк ставит перед собой важные задачи: четкое следование стратегическому плану развития, достижение запланированных показателей, повышение конкурентоспособности за счет улучшения качества услуг, укрепления доверия клиентов и контрагентов. Одним из важнейших факторов, способных помешать банку в достижении поставленных целей, является реализация операционного риска. Руководители банков внедряют в своих кредитных организациях системы управления операционными рисками, понимая их экономическую целесообразность. Однако часто они сталкиваются с нехваткой практической и комплексной информации по данному вопросу или довольствуются общим представлением о системе управления операционными рисками, не зная, с чего начать при ее разработке и внедрении.
Область управления операционными рисками является сравнительно молодой, формирующейся; заметно не хватает русскоязычных источников, содержащих теоретические сведения и практические рекомендации по управлению операционными рисками. В настоящее время вслед за крупными банками задачу внедрения системы управления операционными рисками поставили перед собой средние и небольшие банки. Таким образом, увеличение общего количества кредитных организаций, заинтересованных в управлении операционными рисками, обусловливает нехватку специалистов в данной области, обладающих практическим опытом разработки и внедрения соответствующих систем.
Под системой управления операционными рисками понимают систему мер, направленную на выявление, анализ, оценку и снижение уровня операционного риска, а также на последующий мониторинг и контроль. Эта система включает в себя и комплекс взаимосвязанных внутри банковских документов различных уровней, разработанных для предупреждения, минимизации операционного риска и компенсации потерь в случае его реализации. Необходимо отметить, что при разработке и внедрении системы управления операционными рисками важно не только пони мать сущность и особенности операционного риска, но и придерживаться комплексного подхода, способного обеспечить наиболее качественный и эффективный результат.
Понятие операционного риска
Базельский комитет по банковскому надзору
Важнейший вклад в формирование и утверждение в банковской практике понятия операционного риска внес Базельский комитет по банковскому надзору. Он был основан в 1974 г. главами центральных банков десяти ведущих стран с целью повышения качества надзора за банками по всему миру. В настоящий момент членами комитета являются высокопоставленные представители центральных банков Великобритании, Франции, Германии, США, Канады, Японии, Бельгии, Италии, Люксембурга, Нидерландов, Испании, Швеции, Швейцарии [1]. Европейская комиссия участвует в работе Комитета на правах наблюдателя. Базельский комитет собирается че тыре раза в год. Секретариат Комитета действует на постоянной основе при Банке международных расчетов в г. Базеле. Комитет не обладает законодательной властью, но призван разрабатывать директивы и рекомендации, устанавливающие конечные цели регулятивной политики, тогда как право выбора мер, методов и интенсивности внедрения рекомендаций остается за каждым отдельным государством — членом Комитета. Кроме упомянутых стран к деятельности Комитета проявляют интерес другие государства [2]. Современная практика управления операционными рисками в значительной степени основана на документах, разработанных Комитетом.
История появления термина «операционный риск»
Термин «операционный риск» был формализован относительно недавно, на его актуализацию и разработку подходов к управлению операционными рисками потребовалось значительное время. В связи с этим интересно проследить историю формирования термина и его корректирования Базельским комитетом, В целях обеспечения устойчивости международной банковской системы и повышения общественного доверия к ней в июле 1988 г. Комитет представил свой первый фундаментальный документ International Convergence of Capital Management and Capital Standards [3] («Международная конвергенция управления капиталом и стандартов капитала»), давший импульс к интенсивному развитию системы управления рисками банка. Этот документ вместе с поправками от 1996 г. известен как «Базель I», в нем приводится понятие банковского регулятивного капитала как защитного барьера банковской системы и дается его первое определение. Годом позже, в июле 1989 г.. Комитет опубликовал документ Risks in Computer and Telecommunication Systems [4] («Риски в компьютерных и телекоммуникационных системах»), в котором была выделена отдельная группа рисков, включавших раскрытие конфиденциальной информации, ошибки, мошенничество, остановку бизнес деятельности из-за сбоев оборудования и программного обеспечения, неэффективное планирование и риски, связанные с конечными пользователями операционных систем. В опубликованном в марте 1998 г. документе Risk Management for Electronic Banking and Electronic Money Activities [5] («Управление рисками электронной банковской деятельности и операций с электронными деньгами») дается первое определение операционного риска, как возможности потерь из-за недостаточной надежности и целостности систем, а также злоупотреблений клиентов, неудовлетворительного инжиниринга, внедрения систем электронного банкинга и электронных денег.
В сентябре 1998 г. Комитет издал первый документ, целиком посвященный операционным рискам, — Operational Risk Management [6] («Управление операционным риском»), В нем были приведены результаты исследования управления операционными рисками, которое проводили 30 крупнейших банков стран членов Базельского комитета. Большинство респондентов определяли операционный риск как риск, не являющийся кредитным или рыночным. В январе 2001 г. вышел в свет новый документ— Consultative Document. Operational Risk [7] («Консультативный документ. Операционный риск»). Он был выпущен в поддержку нового Базельского соглашения по капиталу и содержал определение операционного риска, а также описание основных методов управления им. В феврале 2003 г. Комитет издал один из важнейших документов в части управления операционным риском — Sound Practices for the Management and Supervision of Operational Risk [8] («Лучшая практика управления и надзора за операционным риском»), ставший рабочим инструментом для многих операционных риск менеджеров. В нем события операционного риска разделены на определенные группы, приведены десять основных принципов построения системы управления операционными рисками, раскрыты такие понятия, как идентификация, оценка, мониторинг, снижение и контроль операционных рисков.
В июне 2004 г. был выпущен документ «Международная конвергенция оценки и стандартов капитала». Согласно документу, в основе стабильной международной банковской системы лежат три компонента: минимальные требования к капиталу, банковский надзор и рыночная дисциплина. Относительно минимальных требований к капиталу появилось требование к формированию капитала под операционный риск. Спустя два года, в июне 2006 г., Базельский комитет опубликовал свой второй фундаментальный документ «Международная конвергенция оценки капитала и стандартов капитала. Исправленная полная версия» («Базель II») [9].
Определение операционного риска
После долгого определения сути операционного риска Комитет в документе «Базель II» окончательно сформулировал ее как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий» [10], включив в определение юридические риски, но исключив стратегический и репутационный.
Центральный банк России в письме от 23 июня 2004 г. №70-Т «О типичных банковских рисках» определил операционный риск как «риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (ил и) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (не достаточности) функциональных возможностей (характеристик), применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий».
Отдельно определив правовой риск в том же письме, Центральный банк исключил его из состава операционного риска аналогично стратегическому и риску потери деловой репутации. Это стало одним из существенных различий в подходах к определению операционного риска Комитетом и Банком России. Стоит отметить, что понятие юридического риска, данное в «Базеле II», лишь частично совпадаете определением правового риска Банка России.
В основе обоих определений лежат одни и те же компоненты (внутренние процессы, персонал, системы и внешние события), однако подход Банка России при формализации понятия операционного риска значительно уже. В результате, управляя операционным риском только в рамках рекомендаций Центрального банка России, невозможно одновременно соответствовать и требованиям «Базеля II». Подобная проблема является наиболее острой для банков с иностранным, особенно европейским, капиталом. С ней также сталкиваются банки,
рассматривающие возможность привлечения иностранных инвестиций, в том числе за счет продажи значительного пакета своих акций, и имеющие финансовые интересы за пределами Российской Феде рации. По этой причине российские банки в большинстве случаев предпочитают управлять операционным риском согласно более широкому «базельскому» подходу.
Относительно внутрибанковских процессов Банк России ограничил область, которой присущи операционные риски, лишь спектром банковских операций и других сделок («закрытый» перечень приведен в ст. 5 Федерального закона «О банках и банковской деятельности»), исключив важные процессы, не связанные напрямую с бизнес деятельностью, такие как корпоративное управление и бухгалтерский учет. Более того, в отличие от всеобъемлющей базельской формулировки в части неадекватности и ошибочности внутренних процессов. Банк России ограничился лишь требованием формального соответствия внутренней нормативной базы банка характеру и масштабам деятельности банка, а также действующему законодательству.
В области человеческого фактора Банк России допустил возможность нарушения сотрудниками и иными лицами только порядков и процедур проведения банковских операций и других сделок. Из этого следует, что нарушение иных внутри банковских нормативных документов не будет являться событием операционного риска, даже если повлечет за собой существенные для банка потери. Отметим, что Комитет смотрит на этот вопрос шире и понимает под событием операционного риска любую неправомерную внутрибанковскую деятельность, включая нарушения ведения любых нормативных документов банка.
Аналогично Банк России ограничивает диапазон возможных событий операционного риска, связанных с системами, лишь недостаточностью их функциональных возможностей и отказами систем, тогда как на практике перечень угроз и инцидентов постоянно растет и уже вышел за установленные Банком России рамки.
Подводя итоги, можно отметить, что определение, данное Центральным банком, значительно уже, чем определение Базельского комитета. Это происходит, во-первых, из-за того, что Банк России акцентирует внимание лишь на ограниченном списке банковских операций и других сделок, а во-вторых, исключает из определения операционного риска понятие юридического риска.
Необходимость управления операционным риском
В 2003 г. агентство Moody’s Investor’s Service сообщило, что управление операционными рисками улучшает качество и стабильность доходов, усиливая конкурентное преимущество банка и способствуя его долгосрочному существованию. Подобная формулировка наиболее полно и лаконично отражает основную цель управления операционными рисками. Раскрывая ее, можно отметить, что само наличие системы управления операционными рисками, работающей реально, а не формально, заметно повышает общую инвестиционную привлекательность банка, его капитализацию и рейтинги, что. в свою очередь, позволяет на более выгодных условиях привлекать финансовые средства. Это же обусловливает и повышение уровня доверия клиентов, которые не боятся открывать в таком банке вклады, держать значительные объемы активов на различных счетах и пользоваться иными услугами банка, т.к. уверены, что банк активно управляет присущими его деятельности нефинансовыми рисками. Действительно, если для банка нередки случаи двойных или неверных переводов, ошибочных транзакций и проводок, нарушения установленных сроков, а также характерны системные сбои и низкая квалификация персонала, об этом сразу станет известно, информация может попасть в СМИ, а результатом станет подорванное доверие к банку, испорченная репутация и существенный отток клиентов,
Качественно и эффективно управляя операционными рисками, банк может не только своевременно выявлять и оценивать, но и предотвращать операционные потери, что немало важно.
Снижая уровень потерь от незначительных, но часто повторяющихся случаев, банк может повысить свою прибыль, которая в большинстве случаев превосходит затраты на сам процесс управления операционными рисками. Более того, предпринимая меры по ограничению потерь от рисков с уровнем убытков, критическим для банка, можно избежать его банкротства.
Очень важно управлять операционными рисками банкам, которые активно расширяют свои продуктовые линейки, осваивают новые рынки, направления деятельности или осуществляют региональную экспансию. Выявление, оценка и последующий строгий контроль операционных рисков в таких кредитных организациях позволяет избежать дополнительных убытков, как предотвращая их еще на стадии планирования, так и минимизируя затраты на выполнение корректирующих действий в случае их реализации, а также сократить сроки выполнения поставленных перед банком задач.
Перечисленные доводы в пользу управления операционными рисками были представлены с точки зрения практической значимости и эффективности процесса для деятельности банка. В дополнение к ним управлять операционными рисками также требуют и регуляторы. Российские банки следуют нормативным актам Банка Рос сии по управлению операционными рисками, в частности рекомендациям, изложенным в письме №76-Т «Об организации управления операционным риском в кредитных организациях» от 24 мая 2005 г., в письме №36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет банкинга» от 31 марта 2008 г., в письме №41-Т «О необходимости повышения эффективности систем управления операционным рис ком» от 14 апреля 2008 г. и др. Банки с иностранным, в частности европейским, капиталом в дополнение управляют операционными рисками согласно требованиям Базельского комитета и надзорных органов стран, где эти банки были учреждены.
Источники операционного риска
Согласно «базельскому» определению, основными причинами операционного риска могут быть внутренние процессы, персонал, системы и внешние события.
В части внутрибанковских процессов одним из основных факторов операционного риска может стать непродуманность и поверхностность их разработки либо ошибки делопроизводства. Нередко сотрудники при разработке какого-либо малознакомого им бизнес процесса формулируют его задачи нечетко. Впоследствии исполнители не могут однозначно трактовать составленные документы и понять, какое из подразделений должно выполнять то или иное действие. На пример, когда в документах, регламентирующих внутрибанковские процессы, встречаются такие фразы, как «банк предоставляет / контролирует / рассматривает,..», «документ предоставляется / подписывается /формируется ,..», происходит «размывание» ответственности и функциональных обязанностей сотрудников и подразделений, в результате чего описанное в документе действие никто не выполняет, считая, что требование относится к кому-то другому. Подобные проблемы характерны для изменения уже существующих и внедрения новых процессов, продуктов и услуг, а также для изменения организационной структуры банка сотрудниками, плохо знакомыми с от дельными банковскими процессами или функция ми подразделений. Недостаточная формализация бизнес процессов, в том числе некорректно определенные должностные обязанности сотрудников, неверно составленные или отсутствующие внутренние документы, регламентирующие по шаговую реализацию внутреннего процесса, могут значительно повлиять на деятельность банка, став источником постоянно реализующихся событий операционного риска. С другой стороны, не обходимо отметить, что наличие качественной внутрибанковской нормативной базы еще не гарантирует значительное снижение уровня операционного риска. Отсутствие должного контроля за реализаций технологической цепочки может свести на нет даже формализованные процессы и тем самым стать еще одним источником операционного риска.
Источником операционного риска, связанным с внутренними процессами банка, также могут быть плохо связанные между собой процессы, их взаимозависимость либо, наоборот, чрезмерная зависимость сроков выполнения и результатов одной операции от сроков выполнения или результатов другой. Важными факторами операционного риска могут стать значительная перегруженность какого либо процесса и неоправданная сложность технологической цепочки.
Критическим источником операционного риска является непрозрачность организационной структуры банка или чрезмерная бюрократия. Если сотрудники не могут понять, какое подразделение за что отвечает и куда нужно обратиться в случае необходимости, эффективность функционирования банка может значительно снизиться и оказать влияние на его прибыль. Аналогично обстоит дело и с процессами информационного обмена, ведь несоответствие требованиям стандартов информационной безопасности может стать причиной операционного риска. Более того, недостаточный или отсутствующий контроль над достоверностью, актуальностью, полнотой и точностью информации, а также не совершенство процессов обмена информацией между подразделениями могут стать источника ми операционных рисков, способных повлечь за собой серьезные потери. Нередки случаи, когда отдельный сотрудник или целое подразделение не могут выполнить свои прямые обязанности или поставленную перед ними задачу в установленные сроки из-за необоснованного отказа другого подразделения во взаимодействии, в частности в предоставлении необходимой информации. Особенно показательными такие конфликты бывают, когда подразделения курируются разными руководителями банка или подразделение, отказывающееся взаимодействовать, имеет большую
значимость в банке. Под значимостью здесь понимаются не только функциональные обязанности и иерархия, но и взаимоотношения сотрудников подразделения с высшим руководством банка, продолжительность их работы в банке и т.д.
Вторым основным источником операционного риска является персонал банка. Здесь в первую очередь необходимо обратить внимание на вопросы компетентности сотрудников: фактора ми риска являются низкая квалификация сотрудников, плохое качество подбора персонала, в том числе отсутствие установленных критериев оценки уровня квалификации и личностных характеристик сотрудников. Важным фактором операционного риска является высокая зависимость результата от эффективности работы и внимательности персонала банка. Это особенно актуально для сотрудников фронт офиса, если система их мотивации построена исключительно на наращивании объемов портфелей и никак не зависит от их качества. В подобной ситуации не местность или недисциплинированность отдельных сотрудников могут только усугубить ситуацию. Еще одним источником операционного риска может стать низкая заменимость сотрудника, в том числе замкнутость на нем. его знаниях или квалификации важных операций или значительной части внутренних процессов банка.
Говоря о таком факторе операционного риска, как системы, важно обратить внимание на высокую степень загруженности систем, обеспечивающих проведение операций, а также на факты предельной загрузки банковских мощностей, которые могут стать источником операционного риска, в том числе и часто реализующегося. Большое влияние может оказать и высокая степень зависимости проведения банком операций от работоспособности информационных, коммуникационных систем и других АБС (автоматизированных банковских систем), особенно если в банке нет планов непрерывности бизнес-деятельности. Существенным источником операционного риска может быть и низкая эффективность или работоспособность информационных и технических систем, обеспечивающих деятельность банка, а также их недостаточная поддержка и сопровождение.
Последним источником операционного риска являются внешние по отношению к банку события. К данной категории относятся стихийные бедствия и чрезвычайные происшествия, противоправные действия третьих лиц или изменения требований регуляторов. Также внешним факто ром операционного риска может стать возникновение политической и социальной нестабильности или изменение макроэкономической ситуации в регионе присутствия банка.
События операционного риска
При управлении операционным риском принципиальным является различие между понятия ми события операционного риска и самого операционного риска. На практике сотрудники банка очень часто путают эти понятия, что приводит к искаженному пониманию или полному непониманию сути процесса управления операционными рисками и к некорректному применению соответствующих инструментов и методов управления. Событием операционного риска мы можем назвать только то, что уже произошло. Операционным же риском мы называем то, что пока еще не реализовалось, но может произойти в будущем. В тот момент, когда операционный риск реализовался, он перестал быть риском и стал событием. Например, зная, что уже в течение нескольких месяцев в банке каждую неделю происходит какое то событие операционного риска, можно предположить, что это событие произойдет и на следующей неделе, но до тех пор, пока оно не реализовалось, оно является риском (см. рисунок).
В Приложении 9 к документу «Базель II» Комитет по банковскому надзору приводит классификацию событий операционного риска, в которой все типы возможных событий разделены на следующие категории:
1) противоправная внутрибанковская деятельность;
2) противоправные действия третьих лиц;
3) кадровая политика и безопасность рабочих мест;
4) клиенты, продукты и практика деловых отношений;
5) ущерб физическим активам;
6) срыв бизнес деятельности и сбои в системах;
7) управление процессами.
Каждая из этих категорий содержит несколько подкатегорий, позволяющих использовать более детальные признаки при группировке событий.
Особенность операционного риска
Операционный риск возникает не только во время проведения операций, но он присущ всем процессам, людям, системам и внешним факторам. Поэтому возможность прогнозирования и оценки некоторых видов операционного риска ограничена по сравнению с иными видами рисков.
Также значительная часть операционных рисков является неотъемлемой частью внутрибанковских процессов. Кроме того, операционный риск имеет скрытый характер: не все потери в явной форме отражаются в бухгалтерской отчетности, а эффект от реализации операционного риска не всегда приводит к финансовым потерям. Эти особенности препятствуют процессу эффективного управления операционными рисками.
Необходимо также обратить внимание на то, что при отсутствии должного контроля возрастающая автоматизация процессов может привести к трансформации риска ошибок персонала в риск систем. Аналогично при снижении уровня кредитного и рыночного риска по банку могут возрасти операционный или юридические риски, а при передаче части процессов на аутсорсинге целях снижения операционного риска можно значительно увеличить другие риски банка, в том числе и операционные.
В качестве особенности операционного риска можно также указать разнообразие случаев его реализации и динамику появления новых видов риска. Даже при максимально полном перечне всех операционных рисков, которые могут реализоваться, всегда останутся риски, которые не войдут в этот перечень либо из-за невозможности все предусмотреть, либо из-за появления новых факторов операционного риска, отсутствовавших на момент составления перечня. Например, увеличение доли услуг, предоставляемых через Интернет, повышает не до конца изученные риски, такие как внутреннее и внешнее мошенничество или угрозы информационной безопасности. Перечень возможных операционных рисков постоянно пополняется.
Система управления операционным риском (СУОР)
Процесс управления операционным риском
При управлении операционным риском очень большое значение имеет системный подход, который позволяет не только полностью реализовать процесс управления операционным риском, но и обеспечить замкнутость этого процесса.
Процесс управления операционным риском состоит из четырех последовательных этапов: выявления, оценки, мониторинга и контроля / минимизации операционного риска.
В основе управления операционными рисками лежит их идентификация, т.к. невозможно управ пять рисками, о которых банк не знает. Идентификация операционного риска предполагает анализ всей деятельности банка на различных уровнях, начиная с внутрибанковской нормативной базы, отдельных операций, сделок и процессов банка и заканчивая анализом определенных направлений деятельности банка, а также условий функционирования банковской сферы в целом.
После того как риск выявлен, необходимо произвести его оценку для прояснения дальнейших действий, т.к. невозможно предпринимать какие либо шаги, не зная, насколько серьезное воздействие на деятельность банка может оказать реализация выявленного риска. Под оценкой операционного риска подразумевают оценку вероятности реализации операционного риска или оценку потенциальных потерь, которые она способна повлечь, а также их комбинацию. Важно отметить, что оценка операционного риска может быть основана на качественном или количественном анализе или их взаимосвязи. При количественном анализе потенциальный убыток от случая реализации операционного риска часто определяется на основе анализа статистических данных о событиях операционного риска. Одним из подходов к его оценке является расчет математического ожидания убытка от случая реализации такого риска. Для ситуаций, когда затруднительно определить вероятность реализации события операционного риска либо выразить потенциальный ущерб в денежном эквиваленте, производится ранжирование аналогичных качественных характеристик, экспертно установленных исходя из специфики деятельности конкретного банка. Качественный анализ применяется для оценки операционных рисков и случаев их реализации, когда потери невозможно однозначно выразить конкретным числом либо делать это нецелесообразно. Например, если вследствие какого либо форс-мажорного события деятельность центрального офиса банка была парализована в течение нескольких дней, даже после восстановления его работоспособности будет не только экономически нецелесообразно, но и практически сложно оценить все понесенные за этот период прямые и косвенные потери, а также оценить упущенную выгоду. Для подобных случаев
применяется качественный анализ, позволяющий описать ущерб, не сводя его к финансовым показателям. Необходимо отметить, что оценку и от дельных операционных рисков, и уровня операционного риска в целом банк должен проводить регулярно.
Важным этапом при управлении операционным риском является его постоянный мониторинг. Периодичность проведения мониторинга обычно определяется внутрибанковскими нормативными документами и зависит от конкретно го инструмента, позволяющего реализовать мониторинг, и от уровня отдельного операционного риска. В случае принятия банком риска, дол жен проводиться мониторинг, частота проведения которого зависит от уровня принятого риска, а цель состоит в том, чтобы удостовериться, что этот уровень не изменился. В противном случае возникнет необходимость в пересмотре мер по минимизации риска. Аналогичным образом нужно постоянно убеждаться, что меры, предпринятые в целях снижения уровня риска, не потеряли свою эффективность, и уровень риска не вырос до первоначального значения. Если уровень операционного риска для банка не значителен, то мониторинг можно проводить раз в полгода, а если риск достаточно высок, эту процедуру можно повторять ежемесячно, еженедельно и даже ежедневно, если возникнет такая необходимость.
Минимизация операционного риска осуществляется за счет снижения вероятности реализации операционного риска, ограничения величины потенциальных потерь либо комбинацией этих подходов. Однако при внедрении мер по снижению операционного риска важно своевременно анализировать возможность трансформации одного риска в другой, а также оценивать возможные последствия. Чаще всего контроль операционных рисков осуществляется службой внутреннего контроля банка.
Основа описанного подхода была представлена Базельским комитетом в 1998 г. в документе «Управление операционным риском» [6], но она содержала только три этапа: оценку, мониторинг и контроль операционного риска. Спустя почти пять лет в документе «Лучшие практики управления и надзора за операционным риском» Комитет представил расширенную модель, где появился этап идентификации операционного риска, а к контролю добавился еще и процесс снижения уровня риска. В настоящий момент разделение процесса на четыре основных этапа (идентификация операционного риска, оценка, мониторинг, контроль и снижение уровня операционного риска) не потеряло своей актуальности, подобную практику поддерживают Центральный банк и большая часть кредитных организаций. Стоит отметить, что на сегодняшний день нет альтернативного подхода, который отличался бы неоспоримыми преимуществами перед «базельской» системой.
Основные инструменты и методы управления операционным риском
Сбор данных о событиях операционного риска. Ведение базы данных о событиях операционного риска является одним из основных инструментов управления операционными риска ми. Обычно ведутся две независимые базы данных: в первой регистрируются случаи реализации операционного риска в банке (внутренняя база данных), а во второй — информация о событиях операционного риска в других кредитных организациях (внешняя база данных).
Ведение и постоянная актуализация единой внутреннейбазыданныхо событиях операционного риска, которые произошли в банке или имели непосредственное отношение к его деятельности, преследует сразу несколько целей. Этот процесс обеспечивает условия для эффективного выявления операционных рисков, а также их оценки в масштабах деятельности всего банка. Такая база данных позволяет выявлять области наибольшей концентрации операционных рис ков, присущих различным направлениям деятельности или подразделениям. Например, регистрируя в базе данных в течение определенного времени схожие события операционного риска, происходящие в разных регионах, городах и дополнительных офисах банка, можно заметить, что определенному внутреннему процессу банка присущ специфический, часто реализующийся операционных риск Более детальный анализ за регистрированных событий поможет выявить этот риск. Оценивать его рекомендуется на основе накопленной статистической базы, при необходимости корректируя полученную оценку с учетом экспертного мнения и специфики выявленного риска. После введения мер по снижению уровня выявленного риска внутрибанковская база данных поможет оценить эффективность предпринятых мер, а также контролировать их актуальность. Таким образом, централизованное ведение базы данных о событиях операционного риска обеспечит возможность координации процесса сбора данных, а также проведения постоянного мониторинга его функционирования. Стоит отметить, что формирование репрезентативной статистической базы о случаях реализации операционного риска в банке не только играет очень важную роль для анализа всех внутрибанковских процессов и выявления их слабых мест, но также помогает получить объективную оценку уровня операционного риска по банку в целом и может использоваться для анализа и обоснования экономической целесообразности страхования операционных рисков.
Информация о событиях операционного риска, которые произошли в банке, в первую очередь должна поступать от структурных подразделений банка или отдельных сотрудников. В дополнение к этому источнику, а также для проверки сообщений подразделений, зарегистрированных в базе, рекомендуется использовать результаты проверок и расследовании, проводимых службой внутреннего контроля и аудита, службой безопасности, внешними аудиторами и регуляторами, а также бухгалтерскую отчетность.
Для сбора данных о событиях операционного риска в других кредитных организациях (внешняябазаданных) в основном используются средства массовой информации и иные открытые источники. Основная цель, для которой ведется внешняя база данных, заключается в накоплении информации о событиях операционного риска, которые имеют низкую частоту реализации, но могут повлечь за собой очень большие, в том числе и критические, потери. Многие из таких со бытии, случившись лишь однажды, могут привести банк к банкротству, и регистрация их во внутрибанковской базе данных уже не будет иметь никакого смысла. Именно для предотвращения подобных случаев, анализа чужих ошибок и принятия их во внимание необходимо постоянно вести внешнюю базу данных.
Реестр операционных рисков. Для работы с выявленными рисками в банке рекомендуется вести реестр операционных рисков. Реестр операционных рисков централизованно ведется на постоянной основе и содержит в себе подробную информацию о выявленных в банке рисках, их уровне, статусе мероприятий по их снижению, информацию об ответственном за риск подразделении и других факторов, которые каждый банк определяет для себя сам. Подход к его ведению во многом схож с ведением внутрибанковской базы данных о событиях операционного риска и принципиально отличается от базы тем, что в реестре регистрируются только риски, тог да как в базу попадают события, которые в банке уже произошли. Регистрация рисков в реестре и событий в базе ведется в разрезе соответствующих многочисленных параметров. Реестр операционных рисков ведется на основе сообщений самостоятельных структурных подразделений, информации, полученной службой операционного риск менеджмента при анализе базы данных о событиях операционного риска, результатов этом повышая и развивая культуру управления операционными рисками в банке. Результаты проведенной самостоятельной оценки операционного риска можно также использовать для сравнения с результатами количественного анализа, проведенного с применением других инструментов и методов управления операционными рисками.
Ключевые индикаторы риска. В процессе управления операционными рисками очень важную роль играют ключевые индикаторы риска (КИР. Key Risk Indicator, KRI). Они позволяют отслеживать и прогнозировать случаи реализации операционного риска, а также осуществлять мониторинг эффективности внедренных принципов контроля. Главным преимуществом этого инструмента является возможность его применения именно с той периодичностью, с какой это необходимо, для каждого индикатора определяется своя частота применения.
По своей сути ключевые индикаторы риска — это превентивная мера, при этом они основываются на статистических данных. Обычно ключевой индикатор риска является отношением индикатора эффективности контроля (Key Control Indicator, КО) к ключевым индикаторам эффективности (Key Performance Indicator, KPI). Например, оценив среднее количество транзакций, приходящихся на одного операциониста, а также количество ошибочных транзакций, можно установить КИР, показывающий долю неправильных операций в общем объеме. Для функционирования КИР необходимо установить его пороговый уровень (trigger), без которого индикатор неприменим. На практике наибольшие затруднения вызывает именно определение критического значения. Для установки триггера обычно используют статистику, принимая средний уровень ошибок за допустимый. Если доля ошибочных операций чрезмерно высока, устанавливается предельно допустимый для банка уровень и при этом внедряются меры по снижению уровня риска. В дальнейшем каждое последующее превышение значения КИР по отношению к пороговому является сигналом для разработки и применения мер по снижению уровня операционного риска.
Отметим также, что целесообразно каждому КИР присваивать уровень риска, который характеризует индикатор. Исходя из этого уровня определяется период расчета индикатора, а также приоритет реагирования.
План обеспечения непрерывности бизнес-деятельности. В своей работе банк использует широкий спектр сложных технических систем, формирующих его внутреннюю инфраструктуру, которые могут выходить из строя под влиянием различных факторов. Ущерб от сбоев в системах может быть различным, зависит от характера сбоя и степени важности системы для банка. Для обеспечения непрерывности функционирования банка при отказе систем и сбоях в работе технического оборудования, а также при воз действии внешних неблагоприятных факторов банку нужно разрабатывать и внедрять планы непрерывности бизнес деятельности. Наличие таких планов в первую очередь позволяет избе жать паники при наступлении форс-мажорных обстоятельств. Они дают возможность следовать заранее продуманной и проверенной инструкции, обеспечивающей достижение наилучшего результата при минимальных потерях и в максимально сжатые сроки. Наличие у банка таких планов действий говорит о его надежности, значительно улучшает его репутацию и повышает степень доверия клиентов. Качественно разработанный план обеспечения непрерывности деятельности формирует у клиентов и контрагентов банка уверенность в том, что при наступлении форс мажорных обстоятельств, способных парализовать работоспособность отдельного направления деятельности или всего банка, с их деньгами ничего не случится и банк обеспечит выполнение своих обязательств перед клиента ми и контрагентами своевременно и в полном объеме.
Важно отметить, что разработка действительно эффективных планов обеспечения непрерывности деятельности требует очень больших инвестиций, в том числе финансовых, временных, кадровых. Из-за того, что проект по разработке планов является столь ресурсоемким, многие банки очень долго не решаются приступить к его реализации, составляя формальные документы, которые не реализуются на практике, но удовлетворяют регуляторов. Когда банк все же решается на запуск проекта, он получает значительное число дополнительных выгод, например понимание и спецификацию действительно важных для деятельности банка процессов и областей, которые лежат в основе его функционирования. Более того, во время проведения проекта наводится порядок в сфере информационных технологий банка и в его ключевых бизнес процессах. Это обеспечивает прозрачность и ясность его технологических цепочек, от чего прежде всего выигрывает сам банк, т.к. эффективность внутрибанковских процессов существенно повышается.
Передача риска: страхование. Одним из важнейших методов управления операционными рисками является их передача. Иными словами, передача риска представляет собой перенесение ответственности за риск на третьих лиц без устранения источника риска. На сегодняшний день существуют два наиболее распространенных способа передачи операционного риска — это страхование и аутсорсинг.
К страхованию прибегают в тех случаях, когда банк не может самостоятельно покрыть отдельные операционные риски либо когда страховать операционные риски получается дешевле, чем внедрять меры по их снижению. При этом можно как страховать отдельные виды операционных рисков (например, страхование сотрудников банка от несчастных случаев или имущества, принятого в залог), так и оформлять полисы комплексного банковского страхования. Основными видами убытков, подпадающими под комплексный пакет страхования банков от преступлений (Bankers Blanket Bond, BBB), являются утрата имущества в помещениях банка, мошенничество сотрудников, включая сговор с третьими лицами, ущерб офисам банка и оборудованию, а также подделка ценных бумаг, денежных знаков, чеков и других платежных документов. В дополнение к полису ВВВ обычно оформляется полис страхования от электронных и компьютерных преступлений (Electronic & Computer Crime, ECC), покрывающий убытки от несанкционированного ввода информации в АБС банка, включая ответственность за убытки клиента по этой причине, убытки банка от уничтожения электронных данных, действия вирусов, утраты ценных бумаг в электронной форме из-за исполнения мошеннического электронного поручения. Комплексное банковское страхование обычно имеет покрытие, равное нескольким миллионам долларов, при годовой страховой премии в несколько сотен тысяч долларов и немного меньшей франшизе. Также особенностью таких пакетов является то, что большинство российских страховых компаний не принимает риски на себя, перестраховывая их все или большую их часть у лондонских страховых синдикатов и оставляя себе от 0% до 10% рисков.
Передача риска: аутсорсинг. Вторым вариантом передачи риска является аутсорсинг, когда определенные операционные риски переносятся на сторонние организации и покрываются за их счет. Аутсорсингу обычно подлежат бизнес процессы, полностью невыгодные для банка либо несущие в себе повышенные операционные риски. Важно отметить, что на практике уровень операционных рисков, присущий процессу, не всегда является решающим фактором для передачи процесса на аутсорсинг. В большинстве случаев операционному риск менеджменту приходится иметь дело не с процессами, планируемыми к передаче, а с процессами, уже переданными на аутсорсинг из-за полной незаинтересованности в них банка. В связи с этим в банковской терминологии появилось понятие «риски аутсорсинга». В то же время при становлении системы управления операционными рисками в банке и организации такой схемы управления ими, когда операционный риск менеджмент применяется на стадии принятия решения о передаче риска на аутсорсинг, подход может быть изменен.
Еще одной специфической особенностью аутсорсинга, о которой уже упоминалось ранее, является то, что снижая с помощью этого инструмента одни операционные риски, банк может получить новые риски, иногда даже более значимые по уровню, чем исходные.
Принятие операционного риска банком. Операционный риск, снижение которого экономически нецелесообразно для банка, может быть принят на банк. Процедура принятия риска означает принятие ответственности за реализацию конкретного операционного риска и последствия, которые он может повлечь. Операционный риск может быть принят на банк только после того, как он будет оценен. Однако принять можно операционные риски не всех уровней. Не смотря на то, что уровень риска, который ни при каких обстоятельствах не может быть принят на банк, определяется исходя из специфики принятой в банке градации операционных рисков по их значимости, принципиальным критерием здесь является финансовая устойчивость банка в случае реализации данного риска. Например, ее ли с высокой долей вероятности реализация операционного риска может значительно подорвать финансовую устойчивость банка либо привести к его банкротству, операционный риск на банк не принимается, важно помнить, что процедура принятия риска на банк совсем не означает, что о выявленном риске можно «забыть». Необходимо проводить постоянный мониторинг принятого риска. Мониторинг, периодичность которого определяется уровнем самого риска, должен включать в себя оценку риска, а также контроль изменения факторов, способных повлиять на его уровень. Приведем пример. На банк был принят «низкий» операционный риск, а период проведения мониторинга составил один год. Предположим, что в установленный срок по каким либо причинам мониторинг не провели, а спустя два года после принятия риска на банк этот риск реализовался, но не как «низкий», а как «высокий».
За два года в банке могли произойти значительные изменения, включая запуск новых направлений деятельности, продуктов, региональную экспансию и даже внедрение новой автоматизированной банковской системы. Если бы мониторинг провели своевременно, то уже за год до события могли быть выявлены факторы, существенно повышающие уровень риска либо трансформирующие его, а также могли быть разработаны и пред приняты меры по его снижению. Однако в нашем примере банк не обладал актуальной информацией о принятых рисках. Если принять во внимание, что подобных операционных рисков, принимаемых на банк, могут быть сотни, то при отсутствии должного мониторинга и контроля инструмент принятия риска на банк может потерять свою эффективность.
Избежание операционного риска. Если банк выявляет достаточно высокие операционные риски, присущие какому либо процессу, продукту или услуге, которые экономически нецелесообразно снижать, но которые не могут быть приняты банком в силу своей значимости, выявленных рисков можно избежать. Избежание операционных рисков подразумевает разработку стратегических и тактических решений, исключающих возникновение рисковых ситуаций, или отказ от реализации операций и проектов с высоким уровнем риска. Данный инструмент обычно используется на этапе принятия решений о запуске новых направлений деятельности, продуктов, услуг или технологических цепочек, когда реализация проекта еще не началась и остается возможность пересмотреть ранее принятые решения.
Экономический капитал на покрытие операционного риска и формирование резервов. Согласно документу «Базель II» для покрытия убытков по операционным рискам банк дол жен рассчитать экономический капитал под операционный риск. В европейской практике вели чина капитала, резервируемая для покрытия возможных потерь пооперационным рискам, представляет собой величину минимально достаточного капитала на покрытие операционных потерь, рассчитывается банком заблаговременно и отражается в бухгалтерской отчетности. По своей сути капитал на покрытие операционного риска является оценкой операционного риска по банку в целом. В российской практике резервы на возможные потери (которые формируются согласно требованиям Положения Банка России №283-П) лишь в малой степени связаны с реализацией операционного риска. Стоит отметить также, что резервы, создаваемые согласно требованиям Положения 283-П, формируются по факту и покрываются за счет прибыли банка.
ЭТАПЫ ВНЕДРЕНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМИ РИСКАМИ В БАНКЕ
Организация управления операционными рисками основана на системном подходе. Под управлением операционными рисками понимают любую деятельность относительно операционных рисков, в том числе идентификацию, оценку, мониторинг, контроль, разработку мер по снижению уровня операционных рисков, применение инструментов и методов по управлению операционными рисками. Таким образом, термин «управление операционными рисками» чрезвычайно широки означает скорее сферу деятельности. С другой стороны, система управления операционными рисками — это конкретный формализованный набор инструментов и методов.
Данный набор формируется с учетом специфики деятельности банка и призван обеспечить наиболее эффективное управление операционными рисками. Система управления операционными рисками обычно формализуется в «Политике управления операционными рисками» и может корректироваться с учетом развития организации.
При организации системы управления операционными рисками «с нуля» целесообразно раз бить процесс на несколько последовательных этапов. Например, можно внедрять систему управления операционными рисками в три этапа: начальный, базовый и основной. Можно предусмотреть и четвертый, «продвинутый», этап, включающий разработку и внедрение инструментов и методов управления операционными рисками, не указанных в настоящей статье и требующих предварительной эффективной реализации первых трех этапов. На практике план раз работки и внедрения системы управления операционными рисками полезно разрабатывать детально и с разбивкой по составным частям каждого этапа и по срокам их реализации.
На самой ранней стадии важно начинать с разработки общей стратегии управления операционными рисками и формализации системы управления ими в «Политике», утверждаемой наблюдательным советом банка. Подобный подход позволит обеспечить осведомленность высшего руководства банка об операционных рисках как об особой категории рисков, требующих отдельного управления, а также обеспечит понимание того, как именно банк планирует управлять операционными рисками. По своей сути «Политика управления операционными рисками» является опорным документом, описывающим общую концепцию управления операционными рисками. В числе прочего «Политика» разъясняет суть процесса сотрудникам банка с учетом того, что многие из них могут быть не знакомы с понятием операционного риска. В документе необходимо определить это понятие и указать источники рис ков, а также категории возможных событий. При описании концепции управления операционными рисками обычно излагаются соответствующие принципы, которых будет придерживаться банк. В большинстве случаев основные принципы заимствуют из документа «Надежные практики управления и надзора за операционным риском» [8], а также добавляют отдельные внутри банковские принципы в соответствии со спецификой деятельности банка. Если есть необходимость, то при описании концепции банк формализует процесс управления операционными рисками, включая детальную характеристику каждого из его этапов. Регламентируя в «Политике» основные инструменты и методы управления операционными рисками, стоит ограничиться наиболее существенными моментами, позволяющими понять суть отдельного инструмента, цели и особенности его применения. Тонкости реализации инструментов и процессов можно раскрыть в отдельных документах, таких как регламенты, положения, методики и инструкции. Важным разделом «Политики управления операционными рисками» является распределение полномочий и функциональных обязанностей структурных подразделений банка при управлении операционным риском. Здесь стоит детально определить основной функционал сотрудников и подразделений банка на всех уровнях, начиная с функций и полномочий наблюдательного совета и правления банка и заканчивая основными обязанностями исполнителей.
На начальном этапе необходимо разработать подробные классификации возможных событии операционного риска и факторов их реализации с учетом специфики деятельности банка. Одной из первостепенных задач является определение схемы взаимодействия сотрудников и подразделений банка в системе управления операционными рисками. В настоящее время большинство банков использует «децентрализованную» систему управления рисками с элементами централизации в службе операционного риск менеджмента. При организации управления операционными рисками в банке важным моментом является обучение ему сотрудников банка. Это может стать основой развития культуры управления операционными рисками в банке. В программу обучения можно включить такие моменты, как раскрытие понятия операционных рисков и их специфики, объяснение необходимости управления рисками, сути инструментов этого управления, важности участия каждого сотрудника в этом процессе, выгоды для банка. В большинстве случаев во время обучения сотрудники банка, понимая суть операционного риска, не могут применить полученные знания на практике, поэтому вопросу практического использования этих знаний необходимо уделять особое внимание.
Итак, к инструментам и процессам, которые не обходимо внедрять на начальном этапе организации системы управления операционными риска ми, относятся: централизованное ведение единой внутрибанковской базы данных о событиях операционного риска; ведение базы данных о случаях реализации операционного риска в других кредитных организациях; разработка и утверждение порядка информационного обмена в процессе управления операционными рисками, включая порядок составления и предоставления управленческой отчетности по операционным рискам на постоянной основе и положения о раскрытии ин формации по управлению операционным риском в банке. На начальном этапе управления операционными рисками необходимо разработать методику оценки операционных рисков, которая позволит сотрудникам банка проводить единообразную оценку выявленных операционных рисков вне зависимости от факторов, направлений деятельности, которым он присущ и иных параметров. Отметим, что методика оценки операционного риска должна содержать алгоритм, который позволит любому сотруднику банка оценить выявленный риск, не имея специфических знаний и навыков. Параллельно с внедрением процесса сбора данных о событиях операционного риска в банке нужно организовать процесс ведения реестра операционных рисков, регистрируя в нем все выявленные в банке операционные риски и отражая информацию о мерах, предпринятых для их снижения.
При переходе на второй, базовый этап внедрения системы управления операционными рисками основной акцент делается на развитие культуры управления операционными рисками в банке, повышение осведомленности его сотрудников об управлении операционными рисками и обучение их практическим навыкам выявления, оценки, мониторинга и снижения уровня операционного риска. На втором этапе разрабатываются и внедряются такие инструменты, как самостоятельная оценка операционного риска подразделениями банка, ключевые индикаторы риска, а также положения по страхованию, противодействию мошенничеству и т.д. В связи с тем, что предполагается последовательное внедрение системы, на втором этапе банк уже может приступить к раскрытию ин формации об управлении операционным риском для улучшения репутации и повышения степени доверия клиентов к банку.
Внедрив первоочередные инструменты и методы управления операционными рисками, банк может приступать к третьему — основному этапу. На данном этапе происходит реализация бол ее ресурсоемких инструментов по управлению операционными рисками. Такими инструментами могут быть разработка планов обеспечения непрерывности финансово хозяйственной деятельности банка, внедрение автоматизированных систем управления операционными рисками или разработка унифицированных методик по выявлению и оценке операционных рисков, присущих уже существующим и новым направлениям деятельности, продуктам, услугам и процессам.
Отметим также, что предложенная очередность не является догмой и может варьироваться в зависимости от различных факторов, начиная от специфики и масштабов деятельности банка или наличия уже внедренных отдельных инструментов и заканчивая опытом и предпочтениями сотрудников подразделения операционного риск менеджмента.
ВЗАИМОДЕЙСТВИЕ ПОДРАЗДЕЛЕНИЙ БАНКА В ПРОЦЕССЕ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ
В основе эффективности системы управления операционными рисками, как отмечалось ранее, лежит комплексный подход к решению поставленных задач. Более того, процесс управления операционными рисками должен быть детально продуман и систематизирован, т.к. конечной целью является незамедлительная доставка в подразделение риск менеджмента банка актуальной и достоверной информации из подразделений, наиболее отдаленных от центрального офиса.
Эффективное управление операционным рис ком строится на вертикали «специалист — начальник отдела— начальник управления /управляющий филиалом — начальник департамента / ответственный по региону — подразделение риск менеджмента — правление банка» (правление банка получает периодическую управленческую отчетность по операционным рискам). В мае штабах многофилиального банка такое звено, как ответственный по региону, является одним из
ключевых, т.к. в подразделение риск менеджмента центрального офиса может поступать сводная по филиалам региона информация из региональных центров, которых может быть от двух до 20, тогда как в каждом региональном центре могут быть десятки филиалов. Ответственность за переданную по цепочке информацию должна возлагаться на принявшего ее сотрудника, а ответственность за сокрытие данных — на сотрудника, не сообщившего о выявленном или реализовавшемся риске своему руководителю. Необходимо отметить, что конкретная цепочка получения информации не является фиксированной и определяется исходя из организационной структуры банка, специфики направления деятельности филиала или региона. Для более наглядного описания та кого подхода можно провести аналогию с сетевым маркетингом, способным охватить любой масштаб и объем деятельности при помощи ограниченного круга лиц. При организации подобной схемы взаимодействия в подразделениях банка обычно назначаются сотрудники, ответственные за управление операционными рисками в подразделении, а также за информационный обмен с операционным риск менеджментом центрального офиса в установленном порядке.
ЗАКЛЮЧЕНИЕ
В данной статье показаны основы комплексного подхода к разработке и внедрению системы управления операционными рисками, спектр и взаимосвязь основных инструментов, а также принципы взаимодействия подразделений банка при управлении операционными рисками. Одной из главных задач настоящей статьи было показать важность именно системного подхода к управлению операционными рисками, при этом отдельное внимание уделялось последовательности и приоритетности внедрения инструментов и методов управления операционными рисками с учетом их специфики. Ведь одним из основных принципов управления операционными рисками, изложенных Базельским комитетом, является требование к последовательному внедрению системы управления операционными рисками с учетом увеличивающейся «сложности» инструментов, а также при обеспечении понимания сотрудниками банка всех уровней их обязанностей в части управления операционным риском. В статье не приводилась детализация и особенности разработки и внедрения отдельных инструментов и методов управления операционными рисками, поскольку практические рекомендации по разработке и особенностям внедрения каждого отдельного инструмента заслуживают отдельных публикаций.
Автор: Астахова К.В.
Начальник управления операционных, репутационных рисков и страхования АКБ ОАО «Инвестбанк»
Статья из журнала «Управление финансовыми рисками» 04(16)2008
1. Сайт Банка международных расчетов. — http://www.bis.org/abouVfactbcbs.htm.
2. Статья «Базель II». — httpy/ru.wikipedia.oryVwiki/%D0%91%D0%B0%D0%B7%D0%B5%D0%BB%Dl%8C_ll.
3. International Convergence of Capital Management and Capital Standards (1988). Basel Committee on Banking Supervision, Basel.
4. Risks in Computer and Telecommunication Systems (1989). Basel Committee on Banking Supervision, Basel.
5. Risk Management for Electronic Banking and Electronic Money Activities (1998). Basel Committee on Banking Supervision, Basel.
6. Operational Risk Management (1998). Basel Committee on Banking Supervision, Basel.
7. Consultative Document Operational Risk. Supporting Document to the New Basel Capital Accord (2001). Basel Committee on Banking Supervision, Basel.
8. Sound Practices for the Management and Supervision of Operational Risk (2003). Basel Committee on Banking Supervision, Basel: February.
9. International Convergence on Capital Measurement and Capital Standards: a Comprehensive Version (2006). Basel Committee on Banking Supervision, Basel: June.
10. Международная конвергенция измерения капитала и стандартов капитала: уточненные рамочные подходы. — http://www.cbr.ru/today/PK/Basel.pdf.