Что такое операционный риск банка
Положение Банка России № 716-П и управление операционными рисками
Руслан Рахметов, Security Vision
Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.
Вы можете найти множество других определений в зависимости от контекста их применения. Ниже приведены термины, которые, на мой взгляд, наиболее кратко и понятно объясняют смысл данного понятия с учетом нашего с вами контекста данной статьи.
Риск – это произведение вероятности на убыток.
Операционный риск – риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.
Под словом «управление» здесь понимается реализация различных мер (организационных или технических), которые должны быть направлены как на снижение вероятности возникновения события, так и на уменьшение негативных последствий.
Возникает вопрос: «А зачем вообще осуществлять управление операционными рисками?».
Предпосылками появления нового документа от Банка России являлось отсутствие унифицированного и комплексного подхода в отношении управления операционными рисками. Кроме того, реализация требований, описанных в Положении № 716-П, является необходимым этапом для последующего применения кредитными организациями нового стандартизированного подхода величины операционного риска в соответствии с требованиями стандарта «Базель III», который планируется к внедрению в российское банковское регулирование.
Базель III — документ Базельского комитета по банковскому надзору, содержащий методические рекомендации в области банковского регулирования. Третья часть Базельского соглашения была разработана в ответ на недостатки в финансовом регулировании, выявленные финансовым кризисом конца 2000-х годов. Базель III усиливает требования к капиталу банка и вводит новые нормативные требования по ликвидности. Главной целью соглашения «Базель III» является повышение качества управления рисками в банковском деле, что, в свою очередь, должно укрепить стабильность финансовой системы в целом.
Базельский комитет по банковскому надзору — организация, действующая при Банке международных расчётов, разрабатывающая единые стандарты и методики регулирования банковской деятельности, принимаемые в различных странах.
Требования, описанные в Положении Банка России № 716-П, должны быть выполнены кредитными организациями не позднее 01 января 2022 года. В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков:
1. риск информационной безопасности
2. риск информационных систем
4. риск ошибок в управлении проектами
5. риск ошибок в управленческих процессах
6. риск ошибок в процессах осуществления внутреннего контроля
8. риск потерь средств клиентов, контрагентов, работников и третьих лиц
9. риск ошибок процесса управления персоналом
10. операционный риск платежной системы.
С точки зрения построения системы управления операционными рисками (СУОР), документ устанавливает требования к следующим аспектам:
· к базам данных событий операционного риска
· к классификаторам, используемым в СУОР
· к контрольным показателям уровня операционного риска
· к программному комплексу, обеспечивающему функционирование СУОР
· к системам мер, направленных на снижения уровня операционного риска
· к подразделениям (работникам) кредитной организации по управлению операционными рисками
· к иным элементам СУОР.
Как мы видим, внедрение комплексной СУОР в кредитной организации с использованием средств автоматизации затрагивает все аспекты управления операционными рисками. Применение такого системного подхода позволит снизить трудозатраты и повысить качество данных и их анализа, для последующей реализации корректных мероприятий направленных на снижение уровня рисков. Системный подход также позволяет избежать «слепых зон», в которых могут оставаться невыявленные и неуправляемые риски.
Для решения задач по автоматизации процессов и процедур СУОР согласно Положению Банка России № 716-П мы как разработчик платформы Security Vision готовы предложить наш специализированный модуль по работе с операционными рисками. Данный модуль уже успешно используется в ряде кредитно-финансовых организаций, включая крупнейшие банки России.
Операционные риски банка – их виды, оценка и управление
В процессе деятельности банк сталкивается с разного рода финансовыми рисками, в числе которых и операционный риск. Из всех, он является наиболее опасным, так как присущ всем процессам, связанным с деятельностью банка. В связи с этим качественная оценка и управление риском — это одна из первостепенных задач любой банковской организации. Что такое операционные банковские риски? Как происходит оценка операционного банковского риска, какие методы и инструменты для этого используются, кто проводит оценку? Как осуществляется управление операционными рисками, какие методы и инструменты используются?
Что это такое и какие виды бывают?
Операционный риск по определению Базельского комитета — это возможность потери прибыли (возможность убытка), что может быть вызвано неправильной организацией процессов внутри кредитной организации, принятием решений и совершением действий сотрудниками организации и какими-либо внешними событиями. Изначально к таким рисковым событиям относили прочие виды финансовых рисков, однако это понятие было слишком широким и не отражало сущности, поскольку включало и бизнес-риски, определение стратегии развития, позиционирование на рынке и так далее. Если смотреть в более узком смысле, то операционный риск возникает только при осуществлении финансовых операций Согласно принятой классификации есть 4 вида рисков:
По уровню значимости для банка, риск может быть корпоративным, когда он касается всей организации в целом; риском единицы, когда он касается одной определенной структуры; риском подразделения, когда он касается одного, отдельно взятого филиала. Эффективность бизнес процессов определяется сопровождением таких рисковых событий, а их возникновение может быть обусловлено как внешними, так и внутренними факторами.
Существующие методы оценки
Поскольку операционные риски представляют наибольшую угрозу, банки заинтересованы в создании качественной системы их оценки и управления. Согласно Базелю II (документ, который описывает возможные способы повышения качества управления всеми рисковыми событиями, связанными с банковской деятельностью) существуют следующие способы оценки риска:
Предполагается, что через несколько лет в Базель II будут внесены изменения, и все перечисленные методы оценки будут заменены новым подходом. Основное его отличие в том, что он рассчитывает возможный операционный риск одновременно на основе общих статистических данных и на основе понесенных убытков самого банка за последние несколько лет. При этом соглашение Базель II определяет операционный риск как один из самых важных, и рекомендует банкам иметь определенную сумму капитала для минимизации потерь и убытков.
Способы управления
Управление рисками необходимо для снижения общего количества убытков кредитной организации. У банка должно быть разработано 2 плана: план по минимизации шансов наступления рискового события и план действий на случай необратимости риска. В зависимости от ситуации, в оба плана периодически нужно вносить корректировки. По Базелю II предусмотрено 3 линии обороны, способствующих качественному управлению рисками:
Согласно международной практике в банках с хорошо развитой и продуманной системой управления финансовыми рисками, до 95% таких случаев предотвращаются еще на первой линии защиты. При этом эффективность управления операционными рисками во многом зависит от того, как организовано подразделение по борьбе с ними и от того, какие проекты и цели имеет такое подразделение. По Базелю II для создания наиболее эффективной системы управления принято использовать целый ряд методик, в число которых входит:
Чем больше методик будет задействовано, тем больше шансов на создание качественной системы управления. Но учитывая нагрузку, которая ложится при этом на ответственных лиц, банк должен обладать обширным штатом сотрудников, отвечающих за управление рисками. Это могут себе позволить только крупные организации. Исходя из этого, наиболее уязвимыми к операционным рискам являются небольшие банки, которые не способны себе позволить содержать целый штат квалифицированных сотрудников, занимающихся только оценкой рисковых факторов и их управлением.
Заключение
Главная цель управления операционными рисками — максимально снизить убытки кредитной организации в процессе ее деятельности. На самом деле в этом должны быть заинтересованы не только банки, но также государство и общество, для которых стабильность банков — это стабильность экономики. На практике вся нагрузка по управлению кредитным риском ложится исключительно на плечи самой кредитной организации.
Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта
Это быстро и бесплатно! Или звоните нам по телефонам (круглосуточно):
Если вы хотите узнать, как решить именно Вашу проблему — позвоните нам по телефону. Это быстро и бесплатно!
Глава 4. Операционный риск
Информация об изменениях:
Глава 4. Операционный риск
Процедуры по управлению операционным риском должны предусматривать:
полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;
наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;
осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);
иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.
4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.
В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.
Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.
4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.
Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.
4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.
4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:
разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
контроль за соблюдением установленных процедур;
развитие систем автоматизации банковских технологий и защиты информации;
страхование, в том числе:
имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);
личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);
комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.
Политика управления рисками
Кредитный риск
Кредитный риск – риск возникновения убытков вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед Банком в соответствии с условиями соглашения.
Кредитный риск имеет наибольший вес среди рисков, принимаемых Банком в процессе осуществления банковской деятельности. Управление кредитными рисками в Банке осуществляется по следующим основным направлениям:
Управление принимаемым Банком кредитным риском предусматривает:
Основным инструментом ограничения и контроля за принимаемым Банком кредитным риском является система кредитных лимитов. Устанавливаются следующие виды лимитов кредитного риска:
Наряду с внутренними лимитами кредитного риска, Банк соблюдает обязательные нормативы, установленные в соответствии с требованиями АФН в отношении величины риска на заемщика/группу связанных заемщиков, объема крупных кредитов.
Важнейшим инструментом минимизации принимаемого Банком кредитного риска является формирование обеспечения по операциям кредитного характера. Политика Банка в данной области строится на принципе формирования надежного и ликвидного портфеля обеспечения, достаточного для покрытия принимаемых Банком кредитных рисков. В то же время это не снимает требования о проведении комплексного анализа финансово-хозяйственной деятельности заемщика и не компенсирует недостаточность платеже- и кредитоспособности контрагента, а также отсутствие информации о его деятельности.
Рыночный риск
Рыночный риск – риск возникновения у Банка убытков вследствие неблагоприятного изменения рыночных цен на финансовые активы (прежде всего, ценные бумаги), валютных курсов, процентных ставок.
Комитет по управлению активами и пассивами определяет политику ВТБ в отношении рыночных рисков с целью ограничения и снижения размера возможных убытков в результате негативных изменений валютных курсов, процентных ставок и котировок ценных бумаг (то есть валютного, процентного и ценового рисков, соответственно).
При управлении рыночными рисками ДО АО Банк ВТБ (Казахстан) руководствуется требованиями, установленными нормативными актами АФН, а также использует внутренние модели, соответствующие рекомендациям Базельского комитета по банковскому надзору.
Риск ликвидности
Риск ликвидности – риск, потенциально влияющий на способность Банка своевременно и в полном объеме исполнять свои обязательства, возникающий при несбалансированности по срокам активов и пассивов Банка.
Поддержание соответствия структуры баланса всем требованиям и нормативам ликвидности (внутренним и пруденциальным) при наличии постоянного контроля со стороны ответственных подразделений и коллегиальных органов позволяет ВТБ своевременно и в полном объеме выполнять свои обязательства.
Операционный риск
Операционный риск – риск потерь в результате нарушений или ошибок в действиях работников, нарушений нормального функционирования систем Банка и его внутренних бизнес-процессов, а также вследствие находящихся вне контроля Банка внешних событий (прежде всего стихийного характера).
В целях реализации внутрибанковской стратегии управления операционным риском в банке ВТБ осуществляются регулярные процедуры, обеспечивающие идентификацию риска, его оценку, контроль и принятие мер по его ограничению. В практике организации процесса управления операционным риском ВТБ руководствуется принципами, установленными нормативными актами АФН, в том числе Инструкцией о требованиях к наличию систем управления рисками и внутреннего контроля в банках второго уровня (утверждена постановлением Правлением АФН №359 от 30 сентября 2005 года), а также рекомендациями, изложенными в документах Базельского комитета по банковскому надзору.
Основными мерами, применяемыми в банке ВТБ в целях минимизации операционного риска, являются:
По требованию ЦБ: как банки будут оценивать ущерб от краж, ошибок и исков
Банк России опубликовал проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Документ разработан по следам декабрьского решения Базельского комитета по банковскому надзору, который в конце 2017 года уточнил подход к оценке операционного риска для расчета норматива достаточности капитала в рамках стандарта Basel III, говорится в пояснительной записке к проекту.
Новый базельский подход будет внедрен с 2022 года, но для соответствия ему банки должны будут собрать информацию о потерях от «событий операционного риска» минимум за последние пять лет.
Ошибки и недостатки
Разработанное ЦБ положение содержит требования к системе учета операционных рисков и классификацию событий, ущерб от которых банки должны будут подсчитывать в рамках управления операционными рисками, — от ошибок менеджмента и действий регулятора до судебных издержек из-за харассмента и дискриминации по национальному признаку.
В документе приводится категоризация операционных рисков по причинам возникновения, типам событий, направлениям деятельности и видам потерь. По причинам операционные риски делятся на четыре категории: ошибки и недостатки процессов (неэффективная организация управления банком, несоответствие процедур управления «масштабам деятельности кредитной организации» и требованиям законодательства); риски, связанные с действиями персонала; сбои информационных и технологических систем банков; действия внешних причин (речь, в частности, идет о действиях госорганов, регулятора и правоохранителей).
Самая подробная классификация установлена для типов событий — это семь видов событий первого уровня, каждый из которых содержит несколько типов событий второго уровня. Кроме того, у банков есть право ввести еще более детальный учет событий операционного риска, вводя в классификацию события третьего уровня.
Классификация событий операционного риска
1. Внутреннее мошенничество (преднамеренное превышение сотрудниками банков своих полномочий; кражи и мошенничество с их стороны в целях получения личной выгоды).
2. Внешнее мошенничество (кражи и мошенничество со стороны третьих лиц, кибератаки на инфраструктуру банка и хищение средств клиентов).
3. Нарушения кадровой политики и безопасности труда (выплаты компенсаций сотрудникам из-за нарушений трудового законодательства; нанесение ущерба здоровью работников из-за несоблюдения норм безопасности, штрафы надзорным органам, нарушения прав граждан, связанные с дискриминацией — половой, расовой, национальной и др.).
4. Нарушения прав клиентов и нанесение им ущерба (раскрытие конфиденциальной информации, нарушение условий договоров, навязывание дополнительных услуг, несоблюдение законодательства в сфере противодействия отмывания доходов, нанесение ущерба контрагентам).
5. Ущерб материальным активам из-за стихийных событий и форс-мажоров (природные, техногенные, социальные, медико-биологические катастрофы и т.д.).
6. Нарушения функционирования и сбои систем (сбои в работе программного обеспечения; сбои водо- и энергоснабжения).
7. Нарушения при организации, исполнении и управлении процессами (ошибки при подготовке и проведении банковских операций, ведении бухучета, документооборота, расчетов с клиентами, недостатки в работе контрагентов).
При учете потерь ЦБ предлагает делить их на прямые и непрямые, а последние — на качественные и косвенные. Прямые потери — это снижение стоимости активов, их досрочное списание, денежные выплаты клиентам и служащим в порядке компенсации во внесудебном порядке, судебные издержки и т.д. Качественные потери — отток клиентов, снижение качества предоставления услуг, приостановка деятельности в результате неблагоприятного события и др. Косвенные потери — недополученные запланированные доходы, расходы на оплату услуг привлеченных по отдельным договорам специалистов (например, оценщиков и консультантов), повышение стоимости заимствований в результате события операционного риска. Все потери от операционных рисков должны фиксироваться банками в специальной базе событий.
Банки должны будут привести свои системы в соответствие с новым положением к концу 2019 года, а с 2020 года ЦБ начнет оценивать, насколько их системы управления операционным риском соответствуют новым стандартам. Если система не соответствует стандартам, а кредитная организация это несоответствие не устраняет, ЦБ сможет воспользоваться мерами из ст. 74 закона «О ЦБ» (предполагает широкий набор — от штрафа до ввода временной администрации).
Издержки на классификацию
Приведение систем управления операционным риском в соответствие с новыми регулятивными требованиями до 2022 года, безусловно, повлечет дополнительные издержки со стороны банков, считает ведущий методолог «Эксперт РА» Юрий Беликов. Проект документа, основанный на уточненных подходах Базеля III, регламентирует процесс управления операционным риском намного более детально, чем действующие нормативные акты регулятора, отмечает он. Одно из основных требований — ведение подробной базы данных о потерях по операционному риску, говорит эксперт: такие базы давно ведутся всеми банками, но теперь все занесенные в них события должны быть четко классифицированы и дополнены причинно-следственными связями (в том числе связями с другими видами рисков).
Для адаптации баз данных и алгоритмов их ведения к новым стандартам потребуется их реструктуризация и внесение существенных изменений в управленческий учет, прогнозирует Беликов. Как минимум это дополнительные трудозатраты, которые могут потребовать расширения штата технических специалистов. Кроме того, внедряя в российскую практику базельские подходы, Банк России продолжает курс на усиление контроля кибербезопасности в банках, добавляет эксперт. Впрочем, изменив систему управления операционным риском, банки смогут уменьшить его давление на достаточность капитала, что немного «разгрузит» капитал и позволит разместить больший объем собственных и привлеченных средств в доходные активы под риском, заключает Юрий Беликов.
Проект ЦБ предполагает значительную перегруппировку риска, которым подвержены банки, расширяя понятие операционных рисков, подтверждает член правления ВТБ Максим Кондратенко. Так, к операционному риску отнесены модельный и стратегический риски, указывает он. Первый связан с ошибками при разработке методик и моделей оценки активов и рисков, второй — это риск возникновения убытков из-за ошибок при принятии решений по стратегии и развитию банка. Раньше эти риски выделялись как отдельные, говорит Кондратенко. При обсуждении предложенного ЦБ проекта необходимо исключить дублирование контрольных процедур и оценки рисков. При этом все виды риска, перечисленные в проекте ЦБ, ВТБ оценивает и сейчас.
Промсвязьбанк также сообщил, что оценивает все указанные риски. Предложенная ЦБ структура оценки «не стала для банка неожиданностью», отметил директор дирекции рисков Промсвязьбанка Евгений Гришин. «Развитие управления рисками, и в частности операционными рисками, всегда требует вложений ресурсов, как человеческих, так и материальных, в особенности в крупных финансовых организациях. В настоящее время наше развитие в этом направлении прежде всего связано с новым статусом банка как опорной кредитной организации по сопровождению гособоронзаказа, где вопросам информационной и кибербезопасности уделяется особое внимание», — подчеркнул Гришин.
В пресс-службе Россельхозбанка отметили, что предложенные ЦБ новые требования «в высокой степени соответствуют» той системе управления операционным риском, которая существует в банке сейчас. При этом банку все же потребуется провести «дополнительные мероприятия по адаптации некоторых элементов» управления операционным риском к новым требованиям регулятора.
Большая часть банков из топ-10 по объему активов не ответила на запросы РБК, в Сбербанке отказались от комментариев.