Журнал ВРМ World
Операционные риски. Основные понятия, методы управления
В 90-е годы прошлого столетия финансовые компании сосредоточили свое внимание на развитии управления финансовыми рисками. К этому их вынудили:
Затем серьезное внимание стало уделяться методам оценки и управления рыночными рисками. Далее появился интерес к кредитным рискам. К концу 90-х годов компании и надзорные органы все больше стали интересоваться рисками, «отличающимися от рыночных и кредитных». Их и назвали операционными. Эта собирательная категория включает в себя рисковые ситуации, связанные с такими случаями, как:
Примеры
Примерами операционных рисков являются:
Исторически, операционными рисками считались неизбежные издержки ведения бизнеса.
Трудности и история развития
Установить и контролировать определенные уровни рыночных и кредитных рисков не сложно. А вот выявить и оценить уровни операционных рисков и их источники — задача нетривиальная.
Финансовые организации и нормативные органы не могли прийти к согласию по поводу случайных обстоятельств, которые можно отнести к операционным рискам. Причислить ли к этой категории юридические и налоговые риски, некомпетентное управление, а также риски репутации? Дебаты велись не только на научном уровне. Они охватывали весь масштаб потенциальных проектов управления операционными рисками.
О других видах рисков и о том, как управлять структурой активов и пассивов банка, риском ликвидности и процентным риском банковской книги – можно узнать здесь.
Еще одна проблема состояла в том, что операционные риски не всегда можно подразделить на четкие категории. Потери часто возникают в результате сложного сочетания событий, что затрудняет прогнозирование и моделирование рисковых ситуаций.
Затем, в апреле 2003, были внесены некоторые изменения. Окончательная версия соглашения Basel II появилась в 2004 году. Согласно решению Базельского комитета (Basel II, 2004 год), операционным риском считается риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками, либо с внешними событиями. И хотя риски применимы к любым бизнес-организациям, особую актуальность они приобретают в банковской сфере, где регулятивные органы обязаны обеспечить защитные меры против систематических неудач в банковской структуре и в экономике. В Базельском определении фигурируют правовые риски, но отсутствуют риски стратегические, т.е. риски потерь, вызванных неудачными стратегическими решениями. Это определение не учитывают риски потери репутации, хотя очевидно, что некоторые операционные события могут сказаться на «добром имени» компании, вплоть до полного сворачивания бизнеса.
Категории рисков
Базельский комитет выделил семь основных категорий событий, которые приводят к потерям.
Мошенничество внутри компании
Потери, связанные с обманом, незаконной собственностью или несоблюдением законов или правил в компании, в которые вовлечена по крайней мере одна из внутренних сторон.
Потери, связанные с обманом или незаконной собственностью или несоблюдением закона третьей стороной. Сюда относятся воровство, грабежи, хакерские атаки и прочие подобные факторы.
Должностная практика и безопасность труда
Потери, связанные с действиями, противоречащими законам или соглашениям относительно труда, здоровья и безопасности, повлекшие выплату компенсаций по искам о возмещении личного ущерба или за дискриминацию.
Клиенты, продукты и бизнес-практика
Потери, связанные с неумышленной или допущенной по небрежности ошибкой при выполнении профессиональных обязанностей в отношении конкретных клиентов или в связи с природой или конструкцией продукции.
Ущерб в отношении физических ресурсов
Потери, связанные с утратой или повреждением ресурсов в связи со стихийными бедствиями или иными событиями.
Сбои в бизнесе и отказы систем
Потери, связанные со сбоями в бизнесе или отказом систем. К этой категории относятся потери в связи отказом компьютерного оборудования, программного обеспечения, сетей или сбоями в работе коммунальных служб.
Исполнение, поставка и управление процессами
Потери, связанные со сбоями в обработке транзакций или в управлении процессами, а также потери, вызванные неудачными взаимоотношениями с поставщиками и производителями.
Методы управления операционными рисками
Базельский комитет и различные надзорные органы предписывают ряд стандартов управления операционными рисками (Operational Risk Management — ORM) для банков и аналогичных финансовых учреждений.
Дополняя эти стандарты, в Базельском соглашении выделяются три метода расчета капитала для покрытия операционных рисков:
Управление большинством операционных рисков осуществляется внутри самих отделов, где эти риски возникают. IT-профессионалы лучше всего разбираются с системными рисками. Персонал back-офиса может дать нужную информацию по расчетным рискам и т.д. Однако общее планирование, координирование и мониторинг должно обеспечиваться централизованно — отделом управления операционными рисками. Работа должна вестись в сотрудничестве с управлением рыночными и кредитными рисками в общей инфраструктуре ERM.
Рисковые ситуации можно разделить на две крупные категории:
Соответственно, управление операционными рисками должно сочетать в себе как количественные так и качественные методы оценки рисков. Например, расчетные ошибки в торговых операциях банка случаются достаточно регулярно, однако их можно статистически моделировать. Другие ситуации возникают реже, имеют нерегулярную природу, а значит, не поддаются моделированию. К ним относятся террористические акты, стихийные бедствия, мошенничества в торговой сфере.
К качественным методам относятся:
Количественные методы разрабатывались преимущественно с целью распределения капитала по банковским операционным рискам.
Соглашение «Базель II» позволяет крупным банкам оценивать требования к капиталу в отношении операционных рисков основывать на своих собственных внутренних моделях. После появления этого соглашения был проведен ряд независимых исследований, касающихся методов оценки операционных рисков. Технологии заимствовались из таких областей, как актуарное дело и анализ технической надежности.
Рисковые ситуации, возникающие редко, но носящие катастрофический характер могут, в некоторой степени, моделироваться с использованием методов, разработанных для страхования имущества и страхования от несчастных случаев. Ситуации, которые возникают чаще, больше поддаются статистическому анализу.
Для статистического моделирования необходимы данные. Для операционных рисков используются сведения двух типов:
К убыткам может приводить целый спектр событий: ошибки при заключении сделок, мелкое мошенничество, клиентские иски и проч. Потери могут быть либо прямыми (например, в результате кражи), либо косвенными (в случае вреда, нанесенного репутации компании).
Их можно разделить на три категории:
Например, событием может быть невыполненная сделка. Причиной может быть неадекватная подготовка, системная проблема или усталость сотрудника. Последствиями могут быть потери рынка, выплаты контрагенту, иски или подпорченная репутация фирмы. Любое событие может иметь несколько причин и последствия. Если отслеживать все эти три «измерения» для событий, вызвавших убытки, то можно построить матрицу событий, выявляющую частоту, с которой определенные причины вызывают те или иные события и последствия. Даже если не проводить дальнейший анализ, такие матрицы помогут выявить области, где необходимо усовершенствовать процедуры, обучение, подготовку персонала и проч.
Индикаторы рисков отличаются от событий, вызвавших убытки. Они не связаны с конкретными потерями, но указывают на общий уровень операционных рисков. Примеры индикаторов:
С точки зрения моделирования, цель состоит в поиске связей между конкретными индикаторами рисков и частотой событий, которые влекут за собой потери. Если такие связи удается выделить, то далее индикаторы рисков можно применять для отслеживания периодов повышенного операционного риска.
После проведения оценки операционных рисков (качественно или количественно) можно переходить к следующему этапу. Задача состоит в том, чтобы:
Преимущества управления операционными рисками следующие:
[1] Базель II: «Международные стандарты измерения капитала — доработанное соглашение», подготовлено Базельским Комитетом по банковскому надзору. Соглашение рассматривает проблемы определения достаточности банковского капитала, а также методы расчёта необходимой величины капитала для покрытия рисков — кредитных, рыночных и операционных.
Финансовая сфера
Современный подход к управлению операционными рисками банков
Огромные убытки финансовых организаций последних месяцев заставляют по-новому взглянуть на управление риском, особенно операционным.
Операционный риск, возможно, самый крупный риск любой организации. Практически каждый крупный убыток, с которым столкнулась та или иная компания на протяжении последних 20 лет, начиная с Enron и Wolrdcom и заканчивая убытками трейдера в Societe Generale и последним кредитным кризисом, был вызван операционным нарушением.
Многие финансовые компании потратили десятки миллионов долларов на разработку надежных систем оценки и контроля операционного риска. Но, несмотря на эти огромные инвестиции, для многих фирм разработка жизнеспособной программы операционного риск-менеджмента (ОРМ) продолжает оставаться недостижимой целью.
Почему это так? Зачастую из-за подхода к данной проблеме, выбранного организацией, и предпосылок, из которых исходило руководство в самом начале процесса. Многие руководители не считают операционный риск банка значительным. Это отражается в низком уровне капитала, приходящегося на этот риск, относительно общего уровня капитала компании (например, 15–20% от общего уровня). Многие видят операционный риск банка просто как риск сбоя в работе бэк-офиса. Как правило, руководители полагают, что ОРМ заключается в разработке систем контроля качества для процессов низкого уровня. Эти взгляды во многом сформировали инвестиционные и кадровые решения, которые, в свою очередь, повлияли на размещение ресурсов и развитие технологий.
Нынешняя лавина убытков в мировой финансовой индустрии заставляет многих руководителей переосмыслить свой подход к управлению рисками в целом. Сегодня многим очевидно, что операционный риск намного более важен, чем считалось раньше. В результате большой интерес вызывают новые подходы к управлению такого рода рисками. Один из таких подходов — современный ОРМ.
Что такое операционный риск?
Али Самад-Хан, старший партнер в Towers Perrin в Нью Йорке, занимающийся операционным риском, является одним из ведущих мировых экспертов в этой сфере. Его клиентами были более 50 крупнейших банков, страховых, энергетических и транспортных компаний, Федеральный резерв США, FSA UK, Всемирный банк и МВФ. Али изучал экономику и финансы в Станфордском и Йельском университетах.
Вообще говоря, операционный риск — это риск потерь от операционного нарушения. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.
Тем не менее много лет назад Базельский комитет постановил, что кредитные потери, вызванные операционным сбоем, должны с точки зрения составляющих компонент капитала классифицироваться как кредитные убытки. Это компромиссное решение, основанное на историческом прецеденте, имело ненамеренный эффект уменьшения значения операционного риска — не только в банковской области, но и в других отраслях, перенявших в риск-менеджменте банковские принципы.
Следуя этому узкому определению, операционный риск требовал небольшого количества капитала в резерве и, как следствие, рассматривался банками как вопрос низкого приоритета. Это не только отвело ресурсы и внимание руководства от этого основного риска, но и затемнило причины многих крупнейших убытков.
Операционный риск — это гораздо больше, чем просто риск операций. Риск операций — суть подмножество операционного риска, связанное с неосознанными исполнительными ошибками и сбоями в процессах. Так как эти риски, как правило, хорошо известны, ими обычно умеют хорошо управлять. Кроме того, так как эти события являются «нормальными» операционными сбоями, соответствующие убытки от каждого такого события обычно относительно малы, редко превышают миллион долларов. Операционный риск, напротив, в основном заключается в «ненормальных» операционных провалах, особенно в сознательном нарушении профессиональных или моральных стандартов и чрезмерным аппетитом к риску. Примеры включают нарушение стандартов продаж и неавторизированный трейдинг. Многие случаи многомиллиардных потерь происходили тогда, когда нарушители номинально действовали в интересах своей компании, но делали вещи, которые не совпадали с ее долгосрочными интересами.
Традиционный и современный ОРМ — различные бизнес-проблемы
Есть два общих подхода к ОРМ: традиционный и современный. Поясним основные различия на примерах.
Традиционный ОРМ: Вы идете вдоль по рельсам, навстречу вам мчится поезд со скоростью 100 км/час, что вам нужно сделать? Проведем оценку риска: вероятность = 90%, убыток = =10 млн долларов (ваша стоимость для общества). Следовательно, ваша оценка риска — 9 млн долларов. Так как это превышает ваш уровень терпимости риска, вы разрабатываете план действия: спрыгнуть с рельсов. Проблемы традиционного ОРМ связаны с осязаемой угрозой, которая требует тактического решения.
Современный ОРМ: Спрыгнув с рельсов, вы спрашиваете себя: насколько общество подвержено риску железнодорожных несчастных случаев и являются ли имеющиеся методы их предотвращения оптимальными в рамках терпимости риска/убытка нашего общества? Для ответа на эти вопросы вам надо выяснить, сколько людей погибают в среднем каждый год (ожидаемые потери) и в худший из последних 10 лет (грубая мера риска).
Григорий Спивак, FIA, косультант Towers Perrin в Лондоне. На протяжении своей 8-летней карьеры в финансовом секторе Григорий занимался перестрахованием жизни, анализом фондового рынка и деривативами на валютном рынке. Григорий один из немногих русскоговорящих действительных членов Лондонского института актуариев.
Для упрощения проблемы будем оптимизировать только отношение риск–контроль (игнорируя отношение риск–награда) и только по отношению к ожидаемым потерям (строго говоря, это терпимость убытков, а не терпимость риска). Допустим, в среднем от поездов погибает 10 человек в год. Также предположим, что за 5 млн долларов можно построить новые ограждения и что это понизит уровень смертности до двух человек в год. Наконец, предположим, что за 10 млн долларов можно построить туннель, который снизит среднюю смертность до 0,01 в год (прибыль = 99 млн долларов). В соответствии с принципами современного ОРМ детальный анализ затрат-прибыли показал, что оптимальным решением будет построить ограждения и терпеть средние убытки двух смертей в год.
Традиционный ОРМ используется для принятия тактических решений. Это важно, но традиционные методы не могут помочь в решении стратегических задач, таких как оптимизация систем контроля над рисками в терминах вашей терпимости к риску/потерям. Современный ОРМ разработан для того, чтобы помочь старшим руководителям в принятии стратегических решений. Это требует изначально другого подхода, основанного на данных, моделировании и тщательном анализе. В современной системе ОРМ измерение риска и управление риском идут рука об руку.
Проблемы традиционных методов управления рисками
Во многих организациях центральной частью ОРМ является традиционная самооценка риска и контроля. Следуя традиционному подходу, высокий риск характеризуется высокой вероятностью и высоким убытком. На самом деле высокий риск должен характеризоваться низкой вероятностью и высоким убытком в соответствии с подходом к рыночному, кредитному или андеррайтинговому риску. В традиционном подходе небольшой риск, например, распространенная потенциально значительная ошибка в обработке транзакции, описывается как высокий риск. В то же время низковероятный (но огромный) трейдинговый убыток, такой как недавние потери 7,2 млрд долларов от несанкционированного трейдинга в Societe Generale, классифицируется как относительно низкий риск (рис. 1).
(Нажмите чтобы увеличить)
В силу того, что традиционная оценка риска и контроля — ключевой элемент программ ОРМ многих организаций, многие компании уделяют большое внимание вопросам операций, а не более общим вопросам операционного риска. В результате они излишне контролируют области низкого риска и недостаточно контролируют области высокого риска. Управление операциями сильно отличается от управления операционным риском.
Другая практическая проблема традиционного подхода заключается в том, что он начинается с процесса «идентификации рисков». Эта идея — подумать и решить, с какими основными рисками сталкивается ваша компания, — интуитивно привлекательна и бывает полезной для идентификации неминуемых убытков. Но этот подход очень сложно воплотить, если ваша цель — систематически идентифицировать все риски, которым подвержена ваша организация. Так как риски накладываются, можно идентифицировать тысячи рисков. Естественно, управлять такой огромной матрицей рисков на практике нереально.
С точки зрения аналитика, еще один недостаток традиционного метода заключается в том, что он описывает операционные убытки так, как будто они имеют всего один возможный исход. На самом деле операционные убытки могут иметь распределение, предписывающее каждому значению исхода соответствующую вероятность (рис. 2). Традиционный анализ фактически использует единственную среднюю точку на этой кривой.
(Нажмите чтобы увеличить)
Современный подход к ОРМ
Современный подход к ОРМ — это не просто методика измерений риска. В него входит развитие надежного систематического процесса включения информации о риске-награде и риске-контроле в принятие бизнес-решений. Это процесс принятия деловых решений, при которых уровень риска соизмеряется со стандартами терпимости к риску различных заинтересованных сторон.
Измерение риска
Центральная часть современной системы ОРМ — анализ исторических данных и актуарная модель убытков. При этом подходе исторические данные используются для нахождения распределений частоты и размера убытков, для измерения ожидаемых и неожиданных потерь в данном классе бизнеса на протяжении периода времени, например одного года. Рисунок 3 иллюстрирует этот процесс.
Используя современную систему ОРМ, мы можем управлять всем портфелем рисков, используя матрицу «организационная единица — класс риска». Это означает определить, в какую из единиц бизнеса инвестировать на основе их соотношений риск-награда и какие стратегии уменьшения риска воплотить, оптимизируя отношения риск-награда и риск-контроль по всему спектру рисков.
В случаях, когда имеются хорошие данные, форма распределения может определяться историческим уровнем убытков, который отражает качество сегодняшних систем контроля. Уровень риска и качество контроля могут быть измерены для каждой клетки в матрице организационных единиц — типов риска. Сравнение изменения в ожидаемых потерях (среднее) и неожиданных потерях (риск) на протяжении времени дает возможность оценить эффект изменений в системах контроля.
Из-за нехватки собственной статистики убытков и несоответствия внешних данных моделирование операционного риска может быть унылым занятием. Традиционных статистических/актуарных методов для этого недостаточно. Разработаны новые научные методы, но многие организации в своем нынешнем состоянии еще не готовы к применению этих методов.
Большинство организаций, моделирующих операционный риск, делают это для подсчета регулируемого капитала. В таких случаях они склонны выбирать методы, дающие результаты, кажущиеся приемлемыми, а не честно оценивающие полную величину риска. В настоящее время в моделировании операционного риска присутствует большой разрыв между общими распространенными и высшими стандартами.
(Нажмите чтобы увеличить)
Систематика
Одна из причин, почему управлять операционным риском так сложно, — это отсутствие работающей схемы классификации или систематики для этого типа риска. Для управления операционным риском через структурированный процесс важно иметь полный список непересекающихся категорий риска. Сложность в том, что каждая операционная неудача имеет три измерения: причинные факторы, события и последствия (рис. 4). Современный ОРМ основан на многомерной системе, в центре которой находится измерение события, являющееся стартовой точкой анализа.
Причинные факторы и события составляют причины. Неуполномоченные продажи (событие) представляют собой неотъемлемую подверженность убыткам. Такого типа событие происходит по воле сотрудника. Отсутствием контроля менеджера (причинный фактор) обусловлено повторение этого события с большей частотой или убытком. Современная система классификации убытков позволяет производить более эффективный «посмертный» анализ. Классификация убытков в хорошо определенные категории, вместо того чтобы изучать их по отдельности, позволяет развить систематический процесс оптимизации в системе координат риск–награда или риск–контроль.
Воплощение современного ОРМ
Операционный риск проникает во все аспекты возможных рисков, усложняя их. Он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности.
Многие организации рассматривают ОРМ как последовательность индивидуальных задач, таких как определение слабых сторон контроля, развитие планов действия, сбор данных об убытках и подсчет регулируемого капитала. По сути, эти действия — ответ на требования Sarbanes-Oxley и Basel II. Фирмы инвестировали значительные суммы в развитие таких программ, но, разочаровавшись в их результатах, многие пришли к ошибочному заключению, что ОРМ еще одно бесполезное занятие, нужное для галочки.
Но ОРМ не должен быть последовательностью независимых шагов. Напротив, его нужно воспринимать как структурированный процесс для принятия более грамотных решений в управлении, в котором соответствующая информация о риске и контроле интегрирована в единую систему. Такой подход и есть современный ОРМ. Современный ОРМ использует как основание актуарную науку: метод оценки ожидаемого убытка (стоимость) и непредвиденного убытка (риск), который можно использовать для оптимизации риска-награды и риска-контроля в рамках анализа стоимости-прибыльности.
(Нажмите чтобы увеличить)
В современной среде ОРМ операционный риск для старшего руководителя — не запоздалая мысль, а неотъемлемая часть стратегического планирования, управления бизнесом и процесса управления рисками организации. Многие компании уже осознали преимущества современного ОРМ, и это может привести к установлению новых стандартов в индустрии.
Уроки нынешнего финансового кризиса
В настоящее время широко признается, что нынешний финансовый кризис был вызван последовательными грубыми операционными нарушениями, которые привели к огромным кредитным потерям или потерям рыночной стоимости. Для предотвращения подобного кризиса в будущем представленные на биржах корпорации должны создать должность независимого главного директора по управлению рисками (Chief Risk Officer —CRO), который будет отчитываться непосредственно перед советом директоров. Этот CRO должен быть экспертом в ОРМ и должен отвечать за оценку нового бизнеса так же, как за мониторинг имеющихся рисков. Для того чтобы эта модель действовала, работа CRO и других риск-менеджеров должна оплачиваться так, чтобы не мешать им открыто выражать точку зрения, противоречащую недобросовестным способам получения прибыли.
Операционный риск
Операционный риск (англ. Operational risk ) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:
Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. В большинстве российских банков управление операционными рисками находится в «начальном» состоянии. Согласно опросу Центробанка в 2010г., в России операционный риск занимает 3–4-е место среди основных банковских рисков.
Содержание
Факторы операционного риска
Основные факторы операционного риска связаны:
Классификация операционных рисков
Категории типов событий операционного риска согласно Базелю II [2] :
В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения
Методы оценки операционного риска
В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:
Управление операционными рисками
Система управления операционными рисками – комплекс организационных, методических, информационных средств, направленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных инцидентов операционного риска.
Управление операционными рисками призвано обеспечить снижение убытков организаций от различного рода инцидентов операционного риска, обеспечить менеджмент компании системой формирования «планов мероприятий по предупреждению операционных рисков» и «планов действий при наступлении инцидентов операционного риска».
Принципы управления операционными рисками
Базельский комитет установил следующие основные принципы управления операционным риском в кредитной организации [3] [4] :
Принцип 1. Ключевая роль совета директоров в формировании и обеспечении развитой культуры управления операционным риском на всех уровнях организации
Принцип 2. Банки должны создавать, внедрять и использовать cистему управления, полностью интегрированную в общий процесс управления рисками
Принцип 3. Совет директоров должен разработать и анализировать систему управления рисками и осуществлять контроль над исполнительными органами;
Принцип 4. Совет директоров должен установить риск-аппетит и допустимый уровень риска
Принцип 5. Исполнительный орган должен разработать и представить совету директоров четкую, эффективную и надежную управленческую структуру с точно определенными, прозрачными и непротиворечивыми сферами компетенции. Исполнительный орган несет ответственность за последовательное внедрение и применение принципов, процессов и систем управления операционным риском в соответствии с риск-аппетитом и допустимым уровнем риска.
Принцип 6. Исполнительный орган должен обеспечить выявление и оценку операционного риска с целью четкого понимания природы и факторов риска
Принцип 7. Исполнительный орган должен обеспечить одобрение нововведений с учетом операционных рисков
Принцип 8. Исполнительный орган должен организовать регулярный мониторинг операционного риска, включая систему отчетности подразделений.
Принцип 9. Наличие надежной системы внутреннего контроля, а также надлежащей системы снижения или передачи риска.
Принцип 10. Разработка планов обеспечения непрерывности и восстановления деятельности в случае реализации операционных рисков.
Принцип 11. Информация, публикуемая банком, должна позволять заинтересованным сторонам оценивать его подход к управлению операционным риском
Методы управления операционными рисками
Ключевые индикаторы операционного риска
Программное обеспечение по операционным рискам
Комплекс средств, необходимых для решения задач управления операционными рисками предприятий, предоставляют автоматизированные системы управления операционным риском
Специализированное программное обеспечение:
