Некоторые вопросы минимизации операционных рисков в АБС

Некоторые вопросы минимизации операционных рисков в АБС

Вопросы оценки и управления банковскими рисками в последнее время приобретают решающее значение для деятельности финансовых организаций. Один из наиболее болезненных рисков с точки зрения обслуживания клиентов — операционный, прямое отношение к снижению которого имеет проблематика работы операциониста в АБС банка. В данной статье автор дает классификацию всех банковских рисков и рассматривает вопросы управления ими в рамках типовой АБС, а также рассматривает технологический, функциональный и методический аспекты снижения операционного риска работы в АБС.

Банковские риски и АБС

  • кредитные риски;
  • риски ликвидности;
  • рыночные риски;
  • операционные риски.
  • кредитный риск;
  • страновой риск (включая риск неперевода средств);
  • рыночный риск;
  • фондовый риск;
  • валютный риск;
  • процентный риск;
  • риск ликвидности;
  • операционный риск;
  • правовой риск;
  • риск потери деловой репутации кредитной организации (репутационный риск);
  • стратегический риск.

В настоящее время информационные технологии и вычислительная техника настолько глубоко интегрированы в банковские бизнес-процессы, что стали неотъемлемой частью банковских продуктов, а не просто средствами сбора и обработки информации о выполняемых операциях. Сейчас невозможно себе представить осуществление безналичных расчетов каким-либо другим способом, кроме как в электронном виде. Сбор обязательной бух- галтерской отчетности, предоставление информации в органы ФНС, ФСФМ, ФСФР и другие надзорные/контролирующие организации также осуществляются только в электронном виде. И хотя Банк России пока избегает напрямую регламентировать правила (алгоритмы) обработки данных в информационных системах, тем не менее и в его документах встречаются указания на необходимость ведения внутренних документов в электронном виде, как это сделано, например, в Инструкции ЦБ РФ от 28.04.2004 № 113-И:

«4.13. Во время осуществления операции с наличной валютой и чеками кассовый работник обменного пункта заполняет электронный Реестр операций с наличной валютой и чеками по форме, приведенной в Приложении 4 к настоящей Инструкции. <…>

4.15. <…> Реестр операций с наличной валютой и чеками, оформленный по совершенным <…> в течение рабочего дня операциям с наличной валютой и чеками, хранится в электронном виде <…>

4.19. Документ формируется в электронном виде на основании записи электронного Реестра операций».

В Положении ЦБ РФ от 20.12.2002 № 207-П также определяются электронные документы «Отчет в виде электронного сообщения (ОЭС)», «Извещение в виде электронного сообщения (ИЭС)», а также порядок их формирования и обработки (открытый и закрытый ключи, процесс аутентификации и т.п.).

Понятно, что реализация таких требований возможна только в рамках автоматизированной банковской системы.

Очень четко прописаны протоколы (форматы и порядок обработки) обмена электронными сообщениями в расчетных системах как с резидентами (МЦИ-РКЦ-УФЭБС), так и с нерезидентами (SWIFT), их реализация также стала неотъемлемой частью функционала АБС.

Вышеизложенные тезисы говорят о том, что АБС (и другие информационные системы, эксплуатирующиеся в банках) непосредственно участвует как в процессах возникновения рисков, так и в процессах их оценки и управления. Этот очевидный факт констатируется и в упомянутом выше Указании Банка России № 70-Т, где говорится, что одним из источников операционных рисков является «несоразмерность (недостаточность) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и(или) их отказов (нарушений функционирования)».

В Письме ЦБ РФ от 24.05.2005 № 76-Т «Об организации управления операционным риском в кредитных организациях» также прямо говорится о роли информационных технологий в управлении рисками:

«3.16. <…> В отношении контроля за операционным риском наиболее важными являются:

— контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;

— соблюдение установленного порядка доступа к информации и материальным активам банка;

— надлежащая подготовка персонала;

— регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.

3.17. Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации».

Как уже отмечалось выше, реализация банковских продуктов (оказание банковских услуг) в настоящее время происходит непосредственно в рамках АБС. Поэтому и банковский операционный риск имеет смысл рассматривать исключительно в рамках АБС. В процитированных документах Банка России все риски, связанные с применением автоматизированных информационных систем, отнесены к операционному риску. И хотя функционирование АБС прямо или косвенно определяет практически все виды банковских рисков, в дальнейшем мы будем вести речь именно об операционном риске как о риске, определяющем все остальные. При этом важно отметить, что функциональные ограничения АБС, ошибки ПО и сбои оборудования также относятся к операционному банковскому риску.

Подходы к снижению операционного риска в АБС можно разделить на три составляющие:

1) технологический подход, при котором минимизация операционного риска производится за счет рационализации общей технологии обработки информации в автоматизированной системе независимо от прикладного назначения ПО;

2) функциональный подход, при котором операционный риск минимизируется за счет полноты соответствия реализованных прикладных алгоритмов требованиям предметной области (нормативы, правила, описания банковских продуктов и т.п.);

3) методологический аспект, направленный на повышение степени формализации нормативов, правил, законодательных актов и других регламентирующих документов, определяющих порядок и правила реализации банковских услуг и продуктов.

Рассмотрим подробнее подходы к снижению операционного риска в АБС.

Минимизация операционного риска в АБС. Технологический подход

Известно, что самым слабым звеном в автоматизированных системах при выполнении стандартных (рутинных) процедур является человек (для АБС — операционист), поэтому технологический подход в самом общем виде направлен на снижение риска человеческого фактора при выполнении банковских операций. Основным направлением здесь с точки зрения минимизации операционного риска является максимальная автоматизация процессов управления и контроля информации на стадиях ввода/вывода данных в/из АБС.

Практика борьбы за снижение операционного риска выработала ряд типовых на сегодняшний день подходов, которые реализуются во всех промышленных АБС. Рассмотрим некоторые из них.

Управление правами доступа пользователей — позволяет разграничить доступ к информации в зависимости от компетенции и сферы ответственности конкретного исполнителя. Так, например, можно предоставить право формировать и корректировать реквизиты платежного поручения одному пользователю, в то время как другой пользователь будет иметь только право просмотра. Тем самым снижается риск внесения ошибочных данных неквалифицированным пользователем.

Автоматизированное заполнение документов условно постоянной информацией — минимизирует ручной ввод данных операционистом. При этом используются такие приемы, как:

— применение различных настроечных параметров (реквизиты банка, оргструктура, ФИО руководства и т.п.), информация из которых автоматически включается в различные платежные документы, отчеты и другие документы;

— справочники-классификаторы с нормативно-справочной информацией (НСИ), которая используется как при заполнении исходящих, так и при контроле входящих документов. Состав таких справочников в АБС достаточно широк, он включает в себя общероссийские классификаторы (ОКВЭД, ОКПО, СОАТО и др.), отраслевые классификаторы (ЦБ РФ, МНС, ФСФМ, ФСФР и др.), а также ряд международных стандартов (ISO, SWIFT, стандарты международных платежных систем);

— шаблоны операций и документов с предварительно заполненными параметрами, например маски счетов, коды документов, коды операций и т.п. Такие шаблоны позволяют избежать полного ручного заполнения документов — достаточно указать сумму и детали платежа. Если учесть, что количество платежных (и других) документов, формируемых в АБС, достаточно велико, а число реквизитов в таких документах тоже немалое, такие шаблоны являются эффективнейшим средством снижения операционного риска;

— формализованное описание условий типовых договоров, банковских продуктов (типы операций, процентные ставки, пеня, срочность и т.п.) — также позволяет избежать появления ошибок как при первоначальном вводе договора, так и при последующей его обработке (начисление процентов, пролонгация, закрытие);

— реализация протоколов обмена с внешними системами РКЦ, SWIFT, карточными процессингами и др. — исключает ручной набор платежных документов на терминалах соответствующих внешних систем. При этом очень важно обеспечить хранение в АБС формализованных описаний расчетных инструкций контрагентов.

Как видно из контекста, указанные приемы в основном направлены на минимизацию ввода реквизитов непосредственно операционистом за счет использования системной предварительно проверенной информации, хранящейся в базе данных.

Способствует снижению операционного риска и основной принцип СУБД — однократность ввода информации и многократное ее использование в различных приложениях. При этом важным элементом являются выделение и использование типовых (стандартных, ядерных) прикладных процедур, например расчета процентов, в различных функциональных модулях АБС. Здесь же следует отметить важность разработки и использования таких организационно-технических приемов, как:

  • организация двойного ввода значимой информации;
  • акцепт выполняемых операционистом операций вышестоящим лицом;
  • применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

Минимизация операционного риска в АБС. Функциональный подход

Перечисленные выше методы снижения операционного риска не претендуют на полноту охвата, главная их особенность — это то, что они могут быть применены для любого реализуемого в АБС банковского продукта. В то же время порядок и правила выполнения банковских операций достаточно жестко регламентируются нормативными документами Банка России, начиная с правил бухгалтерского учета (формирование плана счетов и номеров счетов, выполнение проводок и т.п.) и заканчивая четкими требованиями к геометрии форм выходных документов. Кроме того, существует жесткая регламентация и со стороны внешних систем, с которыми взаимодействует АБС.

Поэтому важнейшим элементом снижения операционного риска является соответствие результатов функционирования программного обеспечения АБС этим внешним требованиям. Другими словами, алгоритмы и их реализация (код программы) не должны содержать ошибок, то есть отличий от заявленной функциональности банковского продукта и от законодательных требований к условиям его реализации.

Минимизация рисков здесь достигается за счет хорошо проработанных промышленных методов разработки ПО, анализ которых не входит в предмет настоящей статьи. Можно лишь отметить, что набирающий в последнее время популярность подход к независимой реализации сервисов в рамках информационных систем (SOA — сервис-ориентированная архитектура), безусловно, способствует минимизации операционного риска. Дело в том, что «монолитное» ПО, в котором одни и те же процедуры используются для реализации различных банковских продуктов, чрезвычайно чувствительно к модификациям — любое вносимое в интересах конкретной функциональности изменение может непредсказуемо отразиться на других функциях. А так как в настоящее время поток нормативных изменений правил выполнения банковских операций и формирования отчетности достаточно интенсивный, то и соответствующие изменения в ПО АБС вносятся практически постоянно.

Минимизация операционного риска в АБС. Методологический аспект

В основе функционирования любой автоматизированной информационной системы лежит двоичная логика. Поэтому реализация в виде программного кода возможна лишь для четко формализованных алгоритмов. Ярчайшей иллюстрацией этого тезиса является создание в настоящее время шахматных компьютерных программ, превосходящих шахматистов-профессионалов. В этом нет ничего удивительного — ведь шахматная партия развивается по четким, строго определенным правилам, количество вариантов ходов для каждой фигуры в каждой ситуации также отнюдь не бесконечно. Поэтому формализованное описание правил в виде программного кода вполне осуществимо, а количество анализируемых вариантов зависит от быстродействия вычислительных средств. А так как компьютер не устает и не «зевает», то у него есть преимущество перед человеком.

Возвращаясь к операционным рискам в АБС, в этой связи следует отметить огромное значение для их минимизации методологического обеспечения, под которым здесь понимается законодательная база. В самом деле, чем четче прописаны правила выполнения операций в законах, инструкциях, распоряжениях и других нормативных документах, тем меньше риск возникновения ошибок при реализации банковского продукта в АБС.

К сожалению, текущая ситуация далека от идеала. Так, например, задуманная одно-значная идентификация физических и юридических лиц по ИНН не дала должного результата. Из-за этого разработчики АБС вынуждены изобретать свои собственные эвристические алгоритмы идентификации клиентов, которые не всегда срабатывают правильно.

Другим примером являются правила формирования документа «Платежное поручение». В свое время эти правила были дополнены порядком формирования полей для налоговых реквизитов. Однако такой важный реквизит, как НДС, был оставлен в неструктурированном поле «Назначение платежа», причем его печать в выходной форме необходимо осуществлять с новой строки. Эту ситуацию каждый разработчик ПО также решает по-своему.

Таких примеров можно привести достаточно много. Но эти проблемы в процессе эксплуатации постепенно решаются также эмпирическим путем. В настоящее время в связи с практикой применения Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» рассматриваемый здесь методологический аспект приобретает особое значение.

Практически во всех АБС появился дополнительный функционал для реализации положений упомянутого Закона и связанных с ним нормативных актов Банка России и других правительственных органов власти:

— идентификация клиентов, установление и идентификация выгодоприобретателей — сбор информации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— выявление операций, подлежащих обязательному контролю, и иных операций с денежными средствами или иным имуществом, связанных с легализацией (отмыванием) доходов, полученных преступным путем, или финансированием терроризма;

— выявление среди клиентов или участников операций лиц и организаций, причастных к терроризму;

— формирование сообщений в уполномоченный орган (ФСФМ).

Появились даже автономные программные продукты с такой функциональностью, которые используют сведения, экспортируемые из АБС.

Имеется достаточно большое количество методических разработок, определяющих порядок идентификации клиентов, выявление операций, подлежащих обязательному контролю, протоколы передачи данных в ФСФМ.

Вместе с тем и в этих нормативных документах имеются положения, не поддающиеся формализации в рамках АБС. Примерами могут служить группы операций, приведенных в Положении ЦБ РФ от 20.12.2002 № 207-П и отмеченных кодами 5000 «Иные сделки с движимым имуществом» и 8000 «Сделки с недвижимым имуществом». Так как через банк проходят платежи по указанным сделкам, а в платежных документах пока никак не регламентированы ссылки на такие сделки, то выявить автоматизированным способом такие платежи невозможно, и риск невыявления таких операций достаточно велик. Что это означает для банка — можно легко себе представить.

На практике для выявления операций, подлежащих обязательному контролю, в АБС применяются различные способы фильтрации платежных документов:

  • по корреспонденции счетов, соответствующих предварительно настроенным шаблонам;
  • по нахождению суммы платежа в определенных пределах;
  • по наличию в поле «Назначение платежа» определенных словосочетаний.

Заключение

Не подлежит сомнению утверждение о том, что применение автоматизированных информационных систем способствует снижению банковского операционного риска. Однако практика показывает, что и сами АБС являются источником операционного риска. При этом следует отметить, что если технологический подход целиком и полностью реализуется разработчиками АБС, то функциональные и методологические проблемы очень тесно связаны с предметной областью. И если упомянутый выше функциональный подход реализуется совместными усилиями разработчиков АБС и соответствующими службами банка-заказчика, то с методологическим аспектом все гораздо сложнее. К недостаточной проработанности (формализации) порядка и правил выполнения собственно банковских операций добавляются небанковские функции, попытки реализации которых в рамках АБС приводят к потенциальному возрастанию операционного риска.

С точки зрения методологического аспекта здесь уместно упомянуть «Базель II», или «Новое соглашение по регулированию банковского капитала», — это важнейший документ по вопросам риск-менеджмента банковской системы.

Главным нововведением соглашения «Базель II» является установление трех разных вариантов расчета кредитного риска и трех вариантов расчета операционного риска, которые должны позволить банкам и надзорным органам выбрать для себя такой метод (или методы), который, по их мнению, наиболее подходит для данного этапа развития деятельности банка и инфраструктуры рынка.

Соглашение «Базель II» операционный риск определяет как важный риск, с которым сталкиваются банки, и банкам предписывается держать определенную сумму капитала, чтобы защитить себя от связанных с ним убытков. Собственно операционный риск определяется как «риск убытков в результате неадекватности внутренних процедур или их несоблюдения, действий людей и систем либо внешних событий». Есть надежда, что ориентация на «Базель II» будет способствовать снижению операционного риска за счет лучшей методологической обеспеченности реализации банковских продуктов в АБС.

Источник

Глава 4. Операционный риск

4.1. Процедуры по управлению риском возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий (далее — операционный риск) должны включать методы выявления и оценки принятого операционного риска в отношении различных направлений деятельности кредитной организации (головной кредитной организации банковской группы, участника банковской группы), в том числе методы оценки и анализа вероятности реализации операционного риска.

Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска. Понятия риска информационной безопасности, киберриска и риска информационных систем, используемые в настоящем Указании, применяются в значениях, установленных пунктами 1.4 и 7.2 Положения Банка России от 8 апреля 2020 года N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», зарегистрированного Министерством юстиции Российской Федерации 3 июня 2020 года N 58577 (далее — Положение Банка России N 716-П).

Процедуры по управлению операционным риском должны предусматривать:

полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;

наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;

осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);

иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.

4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.

В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).

Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.

4.3. В кредитной организации (головной кредитной организации банковской группы) создается и обновляется на постоянной основе аналитическая база данных о событиях операционного риска и потерях, понесенных вследствие его реализации (далее — база событий). База событий ведется в разрезе участников банковской группы, направлений деятельности (структурных подразделений), видов операций (сделок).

Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.

4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.

Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.

4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.

4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:

разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;

контроль за соблюдением установленных процедур;

развитие систем автоматизации банковских технологий и защиты информации;

страхование, в том числе:

имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);

личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);

комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.

Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.

Источник

Управление операционными рисками банка: практические рекомендации

Раскрываются цели и задачи банка в области управления операционными рисками, основные подходы, принципы и механизмы управления операционными рисками, а также линии защиты и соответствующие субъекты, управляющие рисками. Стандартное изложение информации об операционных рисках принесено здесь в жертву соображениям понятности, практичности и эффективности. Вся информация представлена в предельно сжатом и доступном виде, сопровождается наглядными схемами и приложениями. Может применяться и строго утилитарно – для формирования политики по операционным рискам. Рекомендации адресуются руководителям организаций, преследующим цель снижения убытков своих компаний, а также специалистам в области рисков, методологии, оптимизации деятельности. Они могут быть полезными и для учащихся, которые хотят узнать, что из себя представляет управление операционными рисками с практической точки зрения. Для всех заинтересованных читателей (и прежде всего незнакомых с операционными рисками) наибольший практический интерес вызовут стандарты минимизации рисков (раздел 6.7).

Оглавление

  • Введение
  • 1. Общие положения
  • 2. Цели и задачи управления операционным риском
  • 3. Характеристики операционного риска
  • 4. Субъекты управления операционными рисками

Приведённый ознакомительный фрагмент книги Управление операционными рисками банка: практические рекомендации предоставлен нашим книжным партнёром — компанией ЛитРес.

Источник

Журнал ВРМ World

Операционные риски. Основные понятия, методы управления

В 90-е годы прошлого столетия финансовые компании сосредоточили свое внимание на развитии управления финансовыми рисками. К этому их вынудили:

  • беспокойство по поводу рисков, вызванных постоянным ростом внебиржевого рынка ценных бумаг;
  • финансовые потери крупных банков;
  • нормативные акты, в частности Базельское [1] соглашение.

Затем серьезное внимание стало уделяться методам оценки и управления рыночными рисками. Далее появился интерес к кредитным рискам. К концу 90-х годов компании и надзорные органы все больше стали интересоваться рисками, «отличающимися от рыночных и кредитных». Их и назвали операционными. Эта собирательная категория включает в себя рисковые ситуации, связанные с такими случаями, как:

  • ошибки персонала;
  • ошибки систем;
  • пожары, наводнения и ущерб от других физических факторов;
  • мошенничество и другие преступные действия.

Примеры

Примерами операционных рисков являются:

  • технологические неудачи;
  • неадекватное хранение документов и записей;
  • неграмотное управление, недостаток надзора, надежности и контроля;
  • ошибки в финансовых моделях и отчетах;
  • попытки скрыть потери или добиться личной выгоды (мошенническая торговля);
  • мошенничество третьих сторон.

Исторически, операционными рисками считались неизбежные издержки ведения бизнеса.

Трудности и история развития

Установить и контролировать определенные уровни рыночных и кредитных рисков не сложно. А вот выявить и оценить уровни операционных рисков и их источники — задача нетривиальная.

Финансовые организации и нормативные органы не могли прийти к согласию по поводу случайных обстоятельств, которые можно отнести к операционным рискам. Причислить ли к этой категории юридические и налоговые риски, некомпетентное управление, а также риски репутации? Дебаты велись не только на научном уровне. Они охватывали весь масштаб потенциальных проектов управления операционными рисками.

Еще одна проблема состояла в том, что операционные риски не всегда можно подразделить на четкие категории. Потери часто возникают в результате сложного сочетания событий, что затрудняет прогнозирование и моделирование рисковых ситуаций.

Большую работу в этой области проделал Базельский комитет по банковскому надзору. Первые результаты были опубликованы в январе 2001 года, когда был выпущен консультативный документ. Множество откликов вынудило комитет выпустить следующий рабочий документ в сентябре 2001 года. В феврале 2003 года появилась еще одна публикация — «Основные методы управления и надзора за операционными рисками» («Sound Practices for the Management and Supervision of Operational Risk»). Благодаря совместным усилиям исследователей и риск-менеджеров крупных банков, удалось выделить методики управления операционными рисками.

Затем, в апреле 2003, были внесены некоторые изменения. Окончательная версия соглашения Basel II появилась в 2004 году. Согласно решению Базельского комитета (Basel II, 2004 год), операционным риском считается риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, либо с внешними событиями. И хотя риски применимы к любым бизнес-организациям, особую актуальность они приобретают в банковской сфере, где регулятивные органы обязаны обеспечить защитные меры против систематических неудач в банковской структуре и в экономике. В Базельском определении фигурируют правовые риски, но отсутствуют риски стратегические, т.е. риски потерь, вызванных неудачными стратегическими решениями. Это определение не учитывают риски потери репутации, хотя очевидно, что некоторые операционные события могут сказаться на «добром имени» компании, вплоть до полного сворачивания бизнеса.

Категории рисков

Базельский комитет выделил семь основных категорий событий, которые приводят к потерям.

Мошенничество внутри компании

Потери, связанные с обманом, незаконной собственностью или несоблюдением законов или правил в компании, в которые вовлечена по крайней мере одна из внутренних сторон.

Внешнее мошенничество

Потери, связанные с обманом или незаконной собственностью или несоблюдением закона третьей стороной. Сюда относятся воровство, грабежи, хакерские атаки и прочие подобные факторы.

Должностная практика и безопасность труда

Потери, связанные с действиями, противоречащими законам или соглашениям относительно труда, здоровья и безопасности, повлекшие выплату компенсаций по искам о возмещении личного ущерба или за дискриминацию.

Клиенты, продукты и бизнес-практика

Потери, связанные с неумышленной или допущенной по небрежности ошибкой при выполнении профессиональных обязанностей в отношении конкретных клиентов или в связи с природой или конструкцией продукции.

Ущерб в отношении физических ресурсов

Потери, связанные с утратой или повреждением ресурсов в связи со стихийными бедствиями или иными событиями.

Сбои в бизнесе и отказы систем

Потери, связанные со сбоями в бизнесе или отказом систем. К этой категории относятся потери в связи отказом компьютерного оборудования, программного обеспечения, сетей или сбоями в работе коммунальных служб.

Исполнение, поставка и управление процессами

Потери, связанные со сбоями в обработке транзакций или в управлении процессами, а также потери, вызванные неудачными взаимоотношениями с поставщиками и производителями.

Методы управления операционными рисками

Базельский комитет и различные надзорные органы предписывают ряд стандартов управления операционными рисками (Operational Risk Management — ORM) для банков и аналогичных финансовых учреждений.

Дополняя эти стандарты, в Базельском соглашении выделяются три метода расчета капитала для покрытия операционных рисков:

  • подход базовых показателей (Basic Indicator Approach) – основан на ежегодном доходе финансового учреждения;
  • стандартизованный подход (Standardised Approach) – основан на ежегодном доходе каждого из бизнес-направлений финансового учреждения;
  • подходы усовершенствованных измерений (Advanced Measurement Approaches) – основаны на внутренней инфраструктуре оценки рисков банка в соответствии с предписанными стандартами. К ним относятся методы внутренней оценки (Internal Measurement Approach — IMA), распространения данных о потерях (Loss Distribution Approach — LDA), применения оценочной панели (Scorecard Approach — SCA).
  • выявление;
  • оценку;
  • мониторинг;
  • сокращение операционных рисков.

Управление большинством операционных рисков осуществляется внутри самих отделов, где эти риски возникают. IT-профессионалы лучше всего разбираются с системными рисками. Персонал back-офиса может дать нужную информацию по расчетным рискам и т.д. Однако общее планирование, координирование и мониторинг должно обеспечиваться централизованно — отделом управления операционными рисками. Работа должна вестись в сотрудничестве с управлением рыночными и кредитными рисками в общей инфраструктуре ERM.

Рисковые ситуации можно разделить на две крупные категории:

  • те, что случаются часто и влекут за собой умеренные потери;
  • те, что случаются редко, но влекут существенные потери.

Соответственно, управление операционными рисками должно сочетать в себе как количественные так и качественные методы оценки рисков. Например, расчетные ошибки в торговых операциях банка случаются достаточно регулярно, однако их можно статистически моделировать. Другие ситуации возникают реже, имеют нерегулярную природу, а значит, не поддаются моделированию. К ним относятся террористические акты, стихийные бедствия, мошенничества в торговой сфере.

К качественным методам относятся:

  • отчеты о потерях;
  • управленческий надзор;
  • опросы сотрудников;
  • интервью по выяснению причин ухода
  • самооценка руководства;
  • внутренний аудит.

Количественные методы разрабатывались преимущественно с целью распределения капитала по банковским операционным рискам.

Соглашение «Базель II» позволяет крупным банкам оценивать требования к капиталу в отношении операционных рисков основывать на своих собственных внутренних моделях. После появления этого соглашения был проведен ряд независимых исследований, касающихся методов оценки операционных рисков. Технологии заимствовались из таких областей, как актуарное дело и анализ технической надежности.

Рисковые ситуации, возникающие редко, но носящие катастрофический характер могут, в некоторой степени, моделироваться с использованием методов, разработанных для страхования имущества и страхования от несчастных случаев. Ситуации, которые возникают чаще, больше поддаются статистическому анализу.

Для статистического моделирования необходимы данные. Для операционных рисков используются сведения двух типов:

  • данные о прошлых убытках;
  • данные о рисковых индикаторах.

К убыткам может приводить целый спектр событий: ошибки при заключении сделок, мелкое мошенничество, клиентские иски и проч. Потери могут быть либо прямыми (например, в результате кражи), либо косвенными (в случае вреда, нанесенного репутации компании).

Их можно разделить на три категории:

  • событие;
  • причина;
  • последствие.

Например, событием может быть невыполненная сделка. Причиной может быть неадекватная подготовка, системная проблема или усталость сотрудника. Последствиями могут быть потери рынка, выплаты контрагенту, иски или подпорченная репутация фирмы. Любое событие может иметь несколько причин и последствия. Если отслеживать все эти три «измерения» для событий, вызвавших убытки, то можно построить матрицу событий, выявляющую частоту, с которой определенные причины вызывают те или иные события и последствия. Даже если не проводить дальнейший анализ, такие матрицы помогут выявить области, где необходимо усовершенствовать процедуры, обучение, подготовку персонала и проч.

Индикаторы рисков отличаются от событий, вызвавших убытки. Они не связаны с конкретными потерями, но указывают на общий уровень операционных рисков. Примеры индикаторов:

  • количество дополнительных рабочих часов у персонала;
  • степень укомплектованности штата;
  • ежедневные объемы операций;
  • уровень текучести кадров,
  • время простоя систем.

С точки зрения моделирования, цель состоит в поиске связей между конкретными индикаторами рисков и частотой событий, которые влекут за собой потери. Если такие связи удается выделить, то далее индикаторы рисков можно применять для отслеживания периодов повышенного операционного риска.

После проведения оценки операционных рисков (качественно или количественно) можно переходить к следующему этапу. Задача состоит в том, чтобы:

  • избегать определенных рисков,
  • для других рисков стараться нивелировать их последствия или
  • просто принимать некоторые риски как одну из составляющих ведения бизнеса.

Преимущества управления операционными рисками следующие:

  • сокращение операционных потерь;
  • снижение затрат на аудит и соответствие нормативным требованиям;
  • обнаружение незаконных действий;
  • снижение подверженности будущим рискам.

[1] Базель II: «Международные стандарты измерения капитала — доработанное соглашение», подготовлено Базельским Комитетом по банковскому надзору. Соглашение рассматривает проблемы определения достаточности банковского капитала, а также методы расчёта необходимой величины капитала для покрытия рисков — кредитных, рыночных и операционных.

Источник



Определения операционного риска

В отличие от рыночного и кредитного рисков, однозначное определение операционного риска (operational risk) вряд ли существует среди финансовых специалистов. Это приводит к различным взглядам на сущность таких рисков и способы управления ими. Можно выделить четыре распространенных точки зрения.

  1. Изначально к операционным рискам относили прочие виды финансовых рисков, отличающиеся от рыночных и кредитных. Это определение является слишком широким и включает в себя также бизнес-риск, охватывающий такие аспекты ведения бизнеса, как выбор стратегии развития, позиционирование на рынке, компетентность менеджмента, ноу-хау, способы реализации конкурентных преимуществ и т. д. Заметим, что эти вопросы не входят непосредственно в компетенцию риск-менеджера. Кроме того, определение, построенное от противного, приводит к неполным знаниям о предмете исследования и затрудняет классификацию и оценку таких рисков.
  2. С другой стороны, операционный риск возникает при осуществлении финансовых операций. Его источниками могут быть ошибки фронт-, мидл- и /или бэк-офиса при обработке данных, сбои информационных систем, технические неполадки оборудования, некорректное исполнение операций. Данный подход фокусируется на процедуре исполнения операций по всем стадиям их обработки, однако не учитывает риски, связанные с мошенничеством внутри организации, несанкционированным совершением операций, неправильным использованием моделей для оценки финансовых инструментов.
  3. Третий подход является более широким и рассматривает операционные риски по степени контроля над ними со стороны организации. Под операционным риском понимаются те риски (исключая бизнес-риск), которые возникают в результате неэффективности внутренней системы контроля в организации. Однако сюда нельзя отнести, например, внешнее мошенничество, природные катастрофы, взлом системы безопасности.
  4. Следующее определение можно считать наиболее адекватным. Операционный риск – это риск прямых или косвенных убытков в результате неверного построения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, несанкционированных действий персонала или внешнего воздействия.

Можно привести еще несколько определений операционного риска, сформулированных разными зарубежными организациями и компаниями. По сути, они очень схожи между собой, поэтому сложно остановиться на каком-либо одном.

В 2001 г. Базельский комитет предложил собственное определение операционного риска, которое получило всеобщее признание. Согласно Новому базельскому соглашению по капиталу, «операционный риск определяется как риск возникновения убытков в результате недостатков или ошибок во внутренних процессах, в действиях сотрудников и иных лиц, в работе информационных систем или вследствие внешних событий».

Приведенное определение носит универсальный характер, так как может быть применено для различных финансовых учреждений, и вместе с тем включает достаточно полный и понятный перечень возможных причин и проблем, которые могут привести к потерям и убыткам в результате операционных рисков.

В любом случае, каким бы ни было определение операционного риска, оно не включает факторы рыночного, кредитного рисков и риска ликвидности.

Традиционно считается, что риск представляет собой возможность негативных результатов, каких-либо нежелательных последствий для компании. Однако существуют методики, которые иначе рассматривают проблемы риска и управления им. Риск анализируется с трех различных позиций.

  1. Во-первых, очевидно, что риск – это неопределенность.
  2. Во-вторых, риск несет в себе новые возможности, которые необходимы для достижения конкурентных преимуществ.
  3. В-третьих, риск может оказывать разрушительное воздействие на деятельность компаний.

В связи с этим все разнообразие рисков, с которыми сталкивается любая организация, можно условно разделить на три категории: риски события (бизнес-риски), финансовые риски и операционные риски (рис. 1). Для финансовых организаций все виды рисков относятся к сфере финансов, поэтому нередко объединяются под общим термином «финансовый риск».

Рис. 1. Соотношение операционного риска и других видов риска

Согласно этой модели, управление риском события должно являться органической частью стратегического управления, в рамках которого оцениваются возможности компании, новые тенденции во внешней среде, определяются основные конкурентные преимущества и планируются меры по достижению поставленных целей.

Естественно, что позиционирование компании на рынке, выбор целей и реализация намеченных стратегий несут в себе риск, который рассматривается с точки зрения эффективного использования новых возможностей. Вопросам финансовой неопределенности и предотвращения убытков уделяется сравнительно меньшее внимание при решении стратегических задач.

Природа финансовых рисков заключается в возможности возникновения потерь при совершении финансовых операций. К финансовым рискам относятся традиционные вопросы управления рыночными, кредитными рисками, риском ликвидности и т. д. Такие вопросы находятся в поле зрения финансового риск-менеджмента.

Управление операционными рисками направлено на предотвращение негативных последствий, которые могут произойти в рамках текущей деятельности, и ориентировано на контроль за бизнес-процессами, за их соответствием требованиям безопасности. Для многих операционных рисков последствия их проявления могут быть сравнительно небольшими, а вероятность возникновения – достаточно высокой (low severity, high probability).

Другая категория операционных рисков более сложна, так как последствия для бизнеса могут быть самыми катастрофичными, при этом предсказать их вероятность крайне сложно (high severity, low probability). Сфера операционных рисков находится в компетенции тех подразделений, которые являются вспомогательными для основного вида бизнеса (например, службы внутреннего контроля и аудита, информационных технологий).

Как упоминалось выше, определение операционного риска, предложенное Базельским комитетом, имеет более четкую взаимосвязь с другими видами рисков (рис. 2). Стоит отметить, что в последнее время участники финансового рынка приходят к общему пониманию основных рисков и взаимосвязей между ними.

Рис. 2. Взаимосвязь между основными видами риска

При таком методологическом подходе устанавливается более четкое понимание того, какие риски относятся к операционным, а какие – к финансовым и бизнес-рискам.

Источник

Читайте также:  Мэнди лэн кэтрон 36 вопросов