Что такое риск факторы операционного риска
Глава 4. Операционный риск
Информация об изменениях:
Глава 4. Операционный риск
Процедуры по управлению операционным риском должны предусматривать:
полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;
наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;
осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);
иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.
4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.
В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.
Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.
4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.
Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.
4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.
4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:
разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
контроль за соблюдением установленных процедур;
развитие систем автоматизации банковских технологий и защиты информации;
страхование, в том числе:
имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);
личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);
комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.
Финансовая сфера
Современный подход к управлению операционными рисками банков
Огромные убытки финансовых организаций последних месяцев заставляют по-новому взглянуть на управление риском, особенно операционным.
Операционный риск, возможно, самый крупный риск любой организации. Практически каждый крупный убыток, с которым столкнулась та или иная компания на протяжении последних 20 лет, начиная с Enron и Wolrdcom и заканчивая убытками трейдера в Societe Generale и последним кредитным кризисом, был вызван операционным нарушением.
Многие финансовые компании потратили десятки миллионов долларов на разработку надежных систем оценки и контроля операционного риска. Но, несмотря на эти огромные инвестиции, для многих фирм разработка жизнеспособной программы операционного риск-менеджмента (ОРМ) продолжает оставаться недостижимой целью.
Почему это так? Зачастую из-за подхода к данной проблеме, выбранного организацией, и предпосылок, из которых исходило руководство в самом начале процесса. Многие руководители не считают операционный риск банка значительным. Это отражается в низком уровне капитала, приходящегося на этот риск, относительно общего уровня капитала компании (например, 15–20% от общего уровня). Многие видят операционный риск банка просто как риск сбоя в работе бэк-офиса. Как правило, руководители полагают, что ОРМ заключается в разработке систем контроля качества для процессов низкого уровня. Эти взгляды во многом сформировали инвестиционные и кадровые решения, которые, в свою очередь, повлияли на размещение ресурсов и развитие технологий.
Нынешняя лавина убытков в мировой финансовой индустрии заставляет многих руководителей переосмыслить свой подход к управлению рисками в целом. Сегодня многим очевидно, что операционный риск намного более важен, чем считалось раньше. В результате большой интерес вызывают новые подходы к управлению такого рода рисками. Один из таких подходов — современный ОРМ.
Что такое операционный риск?
Али Самад-Хан, старший партнер в Towers Perrin в Нью Йорке, занимающийся операционным риском, является одним из ведущих мировых экспертов в этой сфере. Его клиентами были более 50 крупнейших банков, страховых, энергетических и транспортных компаний, Федеральный резерв США, FSA UK, Всемирный банк и МВФ. Али изучал экономику и финансы в Станфордском и Йельском университетах.
Вообще говоря, операционный риск — это риск потерь от операционного нарушения. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.
Тем не менее много лет назад Базельский комитет постановил, что кредитные потери, вызванные операционным сбоем, должны с точки зрения составляющих компонент капитала классифицироваться как кредитные убытки. Это компромиссное решение, основанное на историческом прецеденте, имело ненамеренный эффект уменьшения значения операционного риска — не только в банковской области, но и в других отраслях, перенявших в риск-менеджменте банковские принципы.
Следуя этому узкому определению, операционный риск требовал небольшого количества капитала в резерве и, как следствие, рассматривался банками как вопрос низкого приоритета. Это не только отвело ресурсы и внимание руководства от этого основного риска, но и затемнило причины многих крупнейших убытков.
Операционный риск — это гораздо больше, чем просто риск операций. Риск операций — суть подмножество операционного риска, связанное с неосознанными исполнительными ошибками и сбоями в процессах. Так как эти риски, как правило, хорошо известны, ими обычно умеют хорошо управлять. Кроме того, так как эти события являются «нормальными» операционными сбоями, соответствующие убытки от каждого такого события обычно относительно малы, редко превышают миллион долларов. Операционный риск, напротив, в основном заключается в «ненормальных» операционных провалах, особенно в сознательном нарушении профессиональных или моральных стандартов и чрезмерным аппетитом к риску. Примеры включают нарушение стандартов продаж и неавторизированный трейдинг. Многие случаи многомиллиардных потерь происходили тогда, когда нарушители номинально действовали в интересах своей компании, но делали вещи, которые не совпадали с ее долгосрочными интересами.
Традиционный и современный ОРМ — различные бизнес-проблемы
Есть два общих подхода к ОРМ: традиционный и современный. Поясним основные различия на примерах.
Традиционный ОРМ: Вы идете вдоль по рельсам, навстречу вам мчится поезд со скоростью 100 км/час, что вам нужно сделать? Проведем оценку риска: вероятность = 90%, убыток = =10 млн долларов (ваша стоимость для общества). Следовательно, ваша оценка риска — 9 млн долларов. Так как это превышает ваш уровень терпимости риска, вы разрабатываете план действия: спрыгнуть с рельсов. Проблемы традиционного ОРМ связаны с осязаемой угрозой, которая требует тактического решения.
Современный ОРМ: Спрыгнув с рельсов, вы спрашиваете себя: насколько общество подвержено риску железнодорожных несчастных случаев и являются ли имеющиеся методы их предотвращения оптимальными в рамках терпимости риска/убытка нашего общества? Для ответа на эти вопросы вам надо выяснить, сколько людей погибают в среднем каждый год (ожидаемые потери) и в худший из последних 10 лет (грубая мера риска).
Григорий Спивак, FIA, косультант Towers Perrin в Лондоне. На протяжении своей 8-летней карьеры в финансовом секторе Григорий занимался перестрахованием жизни, анализом фондового рынка и деривативами на валютном рынке. Григорий один из немногих русскоговорящих действительных членов Лондонского института актуариев.
Для упрощения проблемы будем оптимизировать только отношение риск–контроль (игнорируя отношение риск–награда) и только по отношению к ожидаемым потерям (строго говоря, это терпимость убытков, а не терпимость риска). Допустим, в среднем от поездов погибает 10 человек в год. Также предположим, что за 5 млн долларов можно построить новые ограждения и что это понизит уровень смертности до двух человек в год. Наконец, предположим, что за 10 млн долларов можно построить туннель, который снизит среднюю смертность до 0,01 в год (прибыль = 99 млн долларов). В соответствии с принципами современного ОРМ детальный анализ затрат-прибыли показал, что оптимальным решением будет построить ограждения и терпеть средние убытки двух смертей в год.
Традиционный ОРМ используется для принятия тактических решений. Это важно, но традиционные методы не могут помочь в решении стратегических задач, таких как оптимизация систем контроля над рисками в терминах вашей терпимости к риску/потерям. Современный ОРМ разработан для того, чтобы помочь старшим руководителям в принятии стратегических решений. Это требует изначально другого подхода, основанного на данных, моделировании и тщательном анализе. В современной системе ОРМ измерение риска и управление риском идут рука об руку.
Проблемы традиционных методов управления рисками
Во многих организациях центральной частью ОРМ является традиционная самооценка риска и контроля. Следуя традиционному подходу, высокий риск характеризуется высокой вероятностью и высоким убытком. На самом деле высокий риск должен характеризоваться низкой вероятностью и высоким убытком в соответствии с подходом к рыночному, кредитному или андеррайтинговому риску. В традиционном подходе небольшой риск, например, распространенная потенциально значительная ошибка в обработке транзакции, описывается как высокий риск. В то же время низковероятный (но огромный) трейдинговый убыток, такой как недавние потери 7,2 млрд долларов от несанкционированного трейдинга в Societe Generale, классифицируется как относительно низкий риск (рис. 1).
(Нажмите чтобы увеличить)
В силу того, что традиционная оценка риска и контроля — ключевой элемент программ ОРМ многих организаций, многие компании уделяют большое внимание вопросам операций, а не более общим вопросам операционного риска. В результате они излишне контролируют области низкого риска и недостаточно контролируют области высокого риска. Управление операциями сильно отличается от управления операционным риском.
Другая практическая проблема традиционного подхода заключается в том, что он начинается с процесса «идентификации рисков». Эта идея — подумать и решить, с какими основными рисками сталкивается ваша компания, — интуитивно привлекательна и бывает полезной для идентификации неминуемых убытков. Но этот подход очень сложно воплотить, если ваша цель — систематически идентифицировать все риски, которым подвержена ваша организация. Так как риски накладываются, можно идентифицировать тысячи рисков. Естественно, управлять такой огромной матрицей рисков на практике нереально.
С точки зрения аналитика, еще один недостаток традиционного метода заключается в том, что он описывает операционные убытки так, как будто они имеют всего один возможный исход. На самом деле операционные убытки могут иметь распределение, предписывающее каждому значению исхода соответствующую вероятность (рис. 2). Традиционный анализ фактически использует единственную среднюю точку на этой кривой.
(Нажмите чтобы увеличить)
Современный подход к ОРМ
Современный подход к ОРМ — это не просто методика измерений риска. В него входит развитие надежного систематического процесса включения информации о риске-награде и риске-контроле в принятие бизнес-решений. Это процесс принятия деловых решений, при которых уровень риска соизмеряется со стандартами терпимости к риску различных заинтересованных сторон.
Измерение риска
Центральная часть современной системы ОРМ — анализ исторических данных и актуарная модель убытков. При этом подходе исторические данные используются для нахождения распределений частоты и размера убытков, для измерения ожидаемых и неожиданных потерь в данном классе бизнеса на протяжении периода времени, например одного года. Рисунок 3 иллюстрирует этот процесс.
Используя современную систему ОРМ, мы можем управлять всем портфелем рисков, используя матрицу «организационная единица — класс риска». Это означает определить, в какую из единиц бизнеса инвестировать на основе их соотношений риск-награда и какие стратегии уменьшения риска воплотить, оптимизируя отношения риск-награда и риск-контроль по всему спектру рисков.
В случаях, когда имеются хорошие данные, форма распределения может определяться историческим уровнем убытков, который отражает качество сегодняшних систем контроля. Уровень риска и качество контроля могут быть измерены для каждой клетки в матрице организационных единиц — типов риска. Сравнение изменения в ожидаемых потерях (среднее) и неожиданных потерях (риск) на протяжении времени дает возможность оценить эффект изменений в системах контроля.
Из-за нехватки собственной статистики убытков и несоответствия внешних данных моделирование операционного риска может быть унылым занятием. Традиционных статистических/актуарных методов для этого недостаточно. Разработаны новые научные методы, но многие организации в своем нынешнем состоянии еще не готовы к применению этих методов.
Большинство организаций, моделирующих операционный риск, делают это для подсчета регулируемого капитала. В таких случаях они склонны выбирать методы, дающие результаты, кажущиеся приемлемыми, а не честно оценивающие полную величину риска. В настоящее время в моделировании операционного риска присутствует большой разрыв между общими распространенными и высшими стандартами.
(Нажмите чтобы увеличить)
Систематика
Одна из причин, почему управлять операционным риском так сложно, — это отсутствие работающей схемы классификации или систематики для этого типа риска. Для управления операционным риском через структурированный процесс важно иметь полный список непересекающихся категорий риска. Сложность в том, что каждая операционная неудача имеет три измерения: причинные факторы, события и последствия (рис. 4). Современный ОРМ основан на многомерной системе, в центре которой находится измерение события, являющееся стартовой точкой анализа.
Причинные факторы и события составляют причины. Неуполномоченные продажи (событие) представляют собой неотъемлемую подверженность убыткам. Такого типа событие происходит по воле сотрудника. Отсутствием контроля менеджера (причинный фактор) обусловлено повторение этого события с большей частотой или убытком. Современная система классификации убытков позволяет производить более эффективный «посмертный» анализ. Классификация убытков в хорошо определенные категории, вместо того чтобы изучать их по отдельности, позволяет развить систематический процесс оптимизации в системе координат риск–награда или риск–контроль.
Воплощение современного ОРМ
Операционный риск проникает во все аспекты возможных рисков, усложняя их. Он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности.
Многие организации рассматривают ОРМ как последовательность индивидуальных задач, таких как определение слабых сторон контроля, развитие планов действия, сбор данных об убытках и подсчет регулируемого капитала. По сути, эти действия — ответ на требования Sarbanes-Oxley и Basel II. Фирмы инвестировали значительные суммы в развитие таких программ, но, разочаровавшись в их результатах, многие пришли к ошибочному заключению, что ОРМ еще одно бесполезное занятие, нужное для галочки.
Но ОРМ не должен быть последовательностью независимых шагов. Напротив, его нужно воспринимать как структурированный процесс для принятия более грамотных решений в управлении, в котором соответствующая информация о риске и контроле интегрирована в единую систему. Такой подход и есть современный ОРМ. Современный ОРМ использует как основание актуарную науку: метод оценки ожидаемого убытка (стоимость) и непредвиденного убытка (риск), который можно использовать для оптимизации риска-награды и риска-контроля в рамках анализа стоимости-прибыльности.
(Нажмите чтобы увеличить)
В современной среде ОРМ операционный риск для старшего руководителя — не запоздалая мысль, а неотъемлемая часть стратегического планирования, управления бизнесом и процесса управления рисками организации. Многие компании уже осознали преимущества современного ОРМ, и это может привести к установлению новых стандартов в индустрии.
Уроки нынешнего финансового кризиса
В настоящее время широко признается, что нынешний финансовый кризис был вызван последовательными грубыми операционными нарушениями, которые привели к огромным кредитным потерям или потерям рыночной стоимости. Для предотвращения подобного кризиса в будущем представленные на биржах корпорации должны создать должность независимого главного директора по управлению рисками (Chief Risk Officer —CRO), который будет отчитываться непосредственно перед советом директоров. Этот CRO должен быть экспертом в ОРМ и должен отвечать за оценку нового бизнеса так же, как за мониторинг имеющихся рисков. Для того чтобы эта модель действовала, работа CRO и других риск-менеджеров должна оплачиваться так, чтобы не мешать им открыто выражать точку зрения, противоречащую недобросовестным способам получения прибыли.
Что такое риск факторы операционного риска
Особенность управления операционным риском в кредитно-финансовой организации заключается в необходимости обеспечения соответствия требованиям регулятора и одновременно положениям внутренних регламентов банка. Вероятность успешного решения данной задачи в современном банке зависит, прежде всего, от эффективности работы автоматизированных решений, обеспечивающих функционирование системы управления рисками.
Определение операционного риска
«Операционный риск — это риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий. Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска»
Пункт 4.1 приложения 1 к Указанию Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы»
Документ Банка России Положение от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее Положение) — это первый нормативный акт, выпущенный национальным регулятором в целях подготовки к внедрению нового стандартизированного подхода к оценке операционного риска для целей расчета норматива достаточности капитала в соответствии со стандартом Базеля III. Система управления операционным риском (СУОР) подлежит приведению банками в соответствие с требованиями Положения № 716-П в срок до 1 января 2022 года (в зависимости от размера активов кредитной организации, вида лицензии и типов кредитной организации (банк/НКО)).
Основные требования Положения, которые вводятся впервые:
Положение 716-П: ключевые требования
Кредитная организация для целей управления операционным риском выделяет следующие его виды:
Система управления операционным риском в банке должна содержать ряд обязательных элементов. В их число входят:
В свою очередь, процедуры управления операционным риском включают:
Правомерно говорить о том, что качество работы информационной системы, соответствующей требованиям Положения № 716-П, в решающей степени влияет на качество практического управления операционным риском в современном банке. На практике подобные информационные системы представлены специальной категорией программных продуктов.
Программные решения для управления рисками: критерии эффективности
Ключевая задача в процессе интеграции системы управления операционными рисками в инфраструктуру банка — реализация определенного функционала. В случае с банковской сферой данный функционал обусловлен традиционно жесткими требованиями регулятора. Вместе с тем, важную роль играют возможности системы в части реагирования на конкретные риски. Важна скорость такого реагирования: при ее недостаточности кризисные явления неизбежны, несмотря на формальное соответствие требованиям регулятора.
Конкурентоспособным можно считать то решение, которое приспособлено к полному циклу обработки рисковых событий — от момента их выявления (регистрации в системе) до закрытия (при возможном наличии понесенных потерь, обусловленных возмещениями и прочими затратами банка). Высокая эффективность рассматриваемых платформ для управления операционным риском достигается, в том числе, за счет гибкой классификации рисков и событий операционного риска. Задействование различных классификаторов обычно обусловлено требованиями регулятора. Функционал системы должен учитывать такие требования, но не только их: современный банк ожидает, что соответствующие классификаторы (справочники) будут расширены с учетом его потребностей.
Один из ключевых критериев конкурентоспособности современной платформы для управления операционным риском — обеспечение высокой степени автоматизации процедур, направленных на выявление операционных рисков, а также на принятие тех или иных внешних мер реагирования на риски, которые выработаны риск-менеджерами Такая автоматизация, во-первых, способствует значительному ускорению проведения данных процедур, а во-вторых, снизит вероятность допущения ошибок при «ручном» выполнении тех или иных этапов таких процедур.
Эффективно функционирующая система управления рисками обеспечивает заметное снижение количества событий операционного риска. В свою очередь, банк получит преимущества в виде снижения финансовых и репутационных издержек, а также сокращения требуемых резервов.
Так или иначе, риски информационной безопасности, как и риски информационных систем — неотъемлемая составляющая политики управления операционным риском в современных банках в силу предписаний регулятора, отраженных в Положении № 716-П. Качество учета таких рисков — один из факторов, определяющих величину достаточности капитала организации.
FIS — опытный разработчик технологических решений для банковской сферы, в том числе современного ПО для управления операционными рисками. Информационная система FIS Управление рисками предназначена для идентификации и предотвращения рисковых событий в кредитных и иных финансовых организациях.
Данное ПО представляет собой технологичный, созданный в рамках концепции No-code продукт, который соответствует требованиям Положения № 716-П и может быть внедрен в любой кредитно-финансовой организации при минимальных организационных и финансовых издержках.
FIS Управление рисками: возможности и преимущества
Особенность нашего продукта — в возможности учета всех видов рисков, предусмотренных положением № 716-П, а также специфичных для каждого конкретного заказчика. При этом обеспечивается автоматизация всего цикла управления такими рисками, характерными для деятельности организации.
Идентификация каждого типа риска в системе осуществляется в соответствии с особенностями конкретного направления деятельности. При этом система позволяет организовывать взаимодействие между различными подразделениями банка. Такое взаимодействие обеспечивает эффективную идентификацию рисков — например, за счет оперативной передачи сообщений по рисковым событиям, выявленным тем или иным департаментом, в специализированные структуры риск-менеджмента.
Важнейший приоритет дальнейшего развития системы — обеспечение соответствия действующим и перспективным требованиям регулятора, и одновременно — внутренним методикам кредитно-финансовой организации по работе с рисками. Текущая версия системы учитывает все актуальные требования, принятые на нормативном уровне, как и опыт практического ее внедрения в крупнейших российских банках.
Благодаря универсальной No-code платформе в качестве базы, решение FIS Управление рисками может быть интегрировано практически с любой внешней системой — например, связанной с учетом или же прочей, что может присылать информацию о событиях операционного риска. Кроме того, обеспечивается настройка системы с учетом пожеланий конкретного заказчика, его бизнес-требований в рамках индивидуального подхода.
Платформа обеспечивает общий подход, который позволяет автоматизировать различные бизнес-процессы на стороне клиента с учетом специфики его бизнеса с помощью встроенных конструкторов. Концепция No-code позволяет при этом обеспечить до 90% процедур, связанных с настройкой приложений на стороне заказчика, его собственными силами — без привлечения высококвалифицированных IT-разработчиков со стороны.