Что такое событие операционного риска
Глава 4. Операционный риск
Информация об изменениях:
Глава 4. Операционный риск
Процедуры по управлению операционным риском должны предусматривать:
полномочия руководителей структурных подразделений кредитной организации в области управления операционным риском и их ответственность за выявление и оценку операционного риска, присущего деятельности этих подразделений;
наличие в кредитной организации подразделения (работников), осуществляющего разработку процедур по управлению операционным риском, включая методы оценки операционного риска, и составление отчетов об операционном риске, а также применение указанных процедур;
осуществление контроля за выполнением принятых в кредитной организации процедур по управлению операционным риском и оценки их эффективности службой внутреннего аудита кредитной организации (иным подразделением кредитной организации, независимым от подразделений, осуществляющих операции (сделки), связанные с принятием рисков, разработкой и применением процедур по управлению операционным риском);
иные процедуры, установленные пунктом 2.1 Положения Банка России N 716-П.
4.2. В случае если кредитная организация использует методы оценки операционного риска, отличные от установленных Положением Банка России N 652-П, применяемые методы должны соответствовать требованиям, предъявляемым к такого рода методам в международной практике.
В кредитной организации, использующей модели количественной оценки рисков, процедуры управления операционным риском должны содержать методы выявления и оценки риска ошибок процессов разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов, рисков и иных показателей, используемых в принятии управленческих решений (модельный риск).
Методы оценки операционного риска, применяемые дочерней кредитной организацией, должны быть согласованы в письменной форме с головной кредитной организацией банковской группы.
Порядок ведения и использования базы событий, включая требования к форме и содержанию вводимой информации, порогу регистрации размера потерь, информация о которых подлежит отражению в указанной базе событий, а также порядок учета внешней информации в целях оценки принятого кредитной организацией (дочерней кредитной организацией) операционного риска устанавливаются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 6 Положения Банка России N 716-П в документах кредитной организации (головной кредитной организации банковской группы), разрабатываемых в рамках ВПОДК.
4.4. Кредитная организация (головная кредитная организация банковской группы), использующая в целях оценки достаточности капитала на покрытие операционного риска методы, применяемые в международной практике, должна накапливать информацию о потерях, понесенных кредитными организациями вследствие реализации операционного риска, внешних событиях операционного риска, имевших место в кредитных и финансовых организациях, сопоставимых с ней по составу и масштабу операций, включающую данные о суммах потерь, об объеме операций кредитных организаций в регионе, в котором были понесены потери, о причинах и обстоятельствах их возникновения.
Информация о событиях операционного риска должна быть классифицирована кредитной организацией в соответствии с главой 3 Положения Банка России N 716-П в зависимости от состава и масштаба операций.
4.5. В целях осуществления контроля за эффективностью управления операционным риском кредитная организация (головная кредитная организация банковской группы) определяет порядок и периодичность рассмотрения фактов возникновения потерь вследствие реализации операционного риска и причин их возникновения, а также перечень и порядок проведения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П.
4.6. В целях ограничения операционного риска кредитная организация (головная кредитная организация банковской группы) разрабатывает систему мер, направленных на снижение уровня операционного риска. К числу таких мер относятся:
разработка процедур совершения операций (сделок), порядка разделения полномочий и подотчетности по проводимым операциям (сделкам), позволяющих исключить (ограничить) возможность возникновения операционного риска;
контроль за соблюдением установленных процедур;
развитие систем автоматизации банковских технологий и защиты информации;
страхование, в том числе:
имущественное страхование (страхование зданий, иного имущества, включая валютные ценности и ценные бумаги, от утраты (гибели), недостачи или повреждения, в том числе в результате действий третьих лиц, работников кредитной организации, а также страхование предпринимательских рисков, связанных с риском возникновения убытков вследствие реализации банковских рисков);
личное страхование (страхование работников от несчастных случаев и причинения вреда здоровью);
комплекс мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
Указанные меры должны быть доведены головной кредитной организацией банковской группы до участников банковской группы.
Discovered
О финансах и не только…
Операционный риск
Что такое операционный риск?
Операционный риск — это риск изменения стоимости, вызванный тем фактом, что фактические убытки, возникшие в результате неадекватных или неудачных внутренних процессов, людей и систем или внешних событий (включая юридический риск), отличаются от ожидаемых убытков. Это определение, принятое Директивой Европейского союза «Solvency II» для страховщиков, является разновидностью, которая была принята в правилах Базель II для банков. В октябре 2014 года Базельский комитет по банковскому надзору предложил пересмотреть свою структуру капитала по операционным рискам, в которой излагается новый стандартизованный подход для замены подхода базового показателя и стандартизованного подхода для расчета капитала операционного риска.
Операционный риск может также включать другие классы риска, такие как мошенничество, безопасность, защита конфиденциальности, юридические риски, физические (например, закрытие инфраструктуры) или экологические риски.
Операционный риск суммирует риски, которые компания берет на себя, когда она пытается работать в данной области или отрасли. Операционный риск — это риск, не присущий финансовому, систематическому или рыночному риску. Это риск, оставшийся после определения финансирования и систематического риска, и включает риски, возникающие в результате сбоев во внутренних процедурах, людях и системах.
Операционный риск — это широкая дисциплина, близкая к хорошему управлению и управлению качеством.
Аналогичным образом, операционные риски влияют на удовлетворенность клиентов, репутацию и акционерную стоимость, при одновременном повышении волатильности бизнеса.
Вопреки другим рискам (например, таким как кредитный риск, рыночный риск, страховой риск) операционные риски обычно непроизвольны и не приводятся в движение доходами. Более того, они не являются диверсифицируемыми и не могут быть устранены, а это означает, что, пока люди, системы и процессы остаются несовершенными, операционный риск не может быть полностью устранен.
Тем не менее, операционный риск является управляемым, чтобы удерживать убытки в пределах некоторой степени толерантности к риску (т.е. степени риска, которую организация готова принять для достижения своих целей), определяемый путем балансирования затрат на улучшение по сравнению с ожидаемыми выгодами.
Более широкие тенденции, такие как глобализация, расширение Интернета и рост социальных сетей, а также растущие требования к большей корпоративной ответственности во всем мире, усиливают необходимость надлежащего управления операционными рисками.
Обоснование операционного риска
До реформ Базель II банковского надзора операционный риск представлял собой остаточную категорию, предназначенную для рисков и неопределенностей, которые трудно было определить количественно и управлять традиционными способами — корзиной «других рисков».
Такие правила определяли операционный риск как категорию нормативного и управленческого внимания и связывали процесс управления операционными рисками с хорошим корпоративным управлением.
Конечно, предприятия в целом и другие учреждения, такие как военные, на протяжении многих лет знают о рисках, связанных с операционными факторами, внутренними или внешними. Главная цель военных — быстро и решительно сражаться и побеждать в войнах с минимальными потерями. Оперативное управление рисками как для военных, так и для бизнеса — это эффективный процесс сохранения ресурсов.
Два десятилетия глобализации (с 1980 года по начало 2000-х годов) и дерегулирования (например, Big Bang (финансовые рынки)) в сочетании с повышенной сложностью финансовых услуг во всем мире создали дополнительные сложности в деятельность банков, страховщиков и прочих компаний и привели к усложнению их профилей риска.
С середины 1990-х годов темы рыночного риска и кредитного риска были предметом многих дискуссий и исследований, в результате чего финансовые учреждения добились значительного прогресса в выявлении, измерении и управлении этими формами риска.
Тем не менее, практически крах финансовой системы США в сентябре 2008 года свидетельствует о том, что наша способность измерять рыночный и кредитный риск далека от совершенства и в конечном итоге привела к внедрению новых нормативных требований во всем мире, включая правила Базеля III для банков и правила Solvency II для страховщиков.
Такие события, как террористические атаки 11 сентября, потери от мошеннических операций в Société Générale, Barings, AIB, UBS и National Australia Bank, подчеркивают тот факт, что объем управления рисками выходит за рамки рыночного и кредитного риска.
Эти причины подчеркивают растущее внимание банков и руководителей к выявлению и измерению операционного риска.
Идентификация и измерение операционного риска является реальной и актуальной проблемой для современных банков, в частности, в следствие решения Базельского комитета по банковскому надзору (BCBS) ввести плату за этот риск в качестве основы для новой структуры достаточности капитала (Базель II).
Определение операционного риска
Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:
Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.
Однако Базельский комитет признает, что операционный риск — это термин, который имеет множество значений, и поэтому для внутренних целей банкам разрешено принимать собственные определения операционного риска при условии включения минимальных элементов в определение Комитета.
Более развернуто определение операционного риска дано Центральным банком РФ: «операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий».
Определение, данное Национальным Банком Республики Беларусь: «операционный риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат в результате несоответствия установленных банком порядков и процедур совершения банковских операций и других сделок законодательству или их нарушения сотрудниками банка, некомпетентности или ошибок сотрудников банка, несоответствия или отказа используемых банком систем, в том числе информационных, а также в результате действия внешних факторов».
Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.
Исключения по областям
Определение операционного риска Basel II исключает, например, стратегический риск — риск потери, связанный с плохим стратегическим бизнес-решением.
Другие условия риска рассматриваются как потенциальные последствия событий операционного риска. Например, риск репутации (ущерб организации за счет потери репутации или позиций в обществе) может возникнуть как следствие (или воздействие) эксплуатационных сбоев, а также из других событий.
7 категорий типов событий операционного риска согласно Базелю II
Ниже приведены 7 категорий типов событий операционного риска согласно Базелю II с некоторыми примерами для каждой категории:
Сложности
Для организации относительно легко установить и соблюдать конкретные измеримые уровни рыночного и кредитного риска, поскольку существуют модели, которые позволяют спрогнозировать потенциальное влияние рыночных движений или изменения в стоимости кредита. Следует, однако, отметить, что эти модели настолько хороши, насколько качественны входящие предположения, и значительная часть недавних финансовых кризисов возникла из-за того, что оценки, полученные этими моделями для конкретных видов инвестиций, были основаны на неправильных предположениях.
Напротив, относительно сложно определить или оценить уровни операционного риска и его многочисленных источников. Исторически организации принимали операционный риск как неизбежную стоимость ведения бизнеса. Многие сейчас накапливают данные об операционных потерях — например, при сбое системы или мошенничестве — и используют эти данные для моделирования операционного риска и расчета резерва капитала против будущих операционных потерь. В дополнение к требованиям Базель II для банков, это требование сейчас актуально и для европейских страховых компаний, которые находятся в процессе реализации Solvency II, эквивалентной Базелю II для банковского сектора.
Идентификация и оценка операционного риска
В качестве первого шага организации должны идентифицировать соответствующие операционные риски, связанные с их деятельностью, процессами, продуктами и системами. Одним из методов определения рисков является наблюдение за всеми процессами и создание списка потенциальных источников риска (так называемое «Отображение бизнес-процессов»). Этот шаг должен быть осуществлен подразделением по управлению рисками совместно с хорошо осведомленными и хорошо подготовленными сотрудниками различных отделов организации. Этот метод способствует открытой коммуникации/обсуждению и позволяет выявить отдельные риски, установить взаимозависимость рисков и области их контроля, а также обнаружить уязвимости в системе управления рисками. Другие методы идентификации риска включают критическую самооценку, актуарные модели, анализ сценариев, сбор внешних данных и сравнительный анализ (см. Методы анализа рисков).
После идентификации рисков организации должны оценить их воздействие на количественной и качественной основе. Количественные оценки связаны с прямыми финансовыми убытками, которые потенциально могут быть вызваны актуализацией риска. Количественные оценки необходимы только для рисков, которые могут потенциально привести к прямым финансовым потерям для компании. При оценке каждого риска учитываются следующие факторы:
Измерение операционного риска
Ключевым компонентом управления рисками является измерение размера и объема рисков компании. Однако на текущий момент нет четко определенного единого способа измерения операционного риска на уровне фирмы. Поэтому были разработаны несколько ключевых подходов. Примером может служить «матричный» подход, при котором потери классифицируются в зависимости от типа события и бизнес-линии, в которой произошло событие. Таким образом, банк может определить, какие события оказывают наибольшее влияние на всю организацию, а также какие бизнес-процессы наиболее подвержены операционному риску.
Как только будут определены потенциальные и фактические потери, банк сможет проанализировать, также, возможно, и смоделировать их появление. Для этого требуется создание баз данных для мониторинга таких потерь и создание индикаторов риска, которые суммируют эти данные. Примерами таких показателей являются количество неудачных транзакций за определенный период времени и уровень текучести кадров в рамках подразделения.
Потенциальные потери можно классифицировать в широком смысле как события «с высокой частотой, низким воздействием» (high frequency, low impact — HFLI), такими как незначительные ошибки бухгалтерского учета или ошибки банковского кассира, а также события «с низкой частотой, высоким воздействием» (low frequency, high impact — LFHI), такие как террористические атаки или крупное мошенничество. Данные о потерях, связанных с событиями HFLI, обычно доступны из внутренних систем аудита банка. Следовательно, моделирование и бюджетирование этих ожидаемых будущих потерь в следствие операционного риска потенциально может быть выполнено довольно точно. В тоже время, события LFHI являются необычными (редкими, нетипичными) и, таким образом, ограничивают отдельную организацию в получении достаточных данных для целей моделирования. Для таких событий банку, возможно, потребуется дополнить свои данные данными от других организаций. В настоящее время уже создано несколько частных инициатив, таких как Глобальная база данных об операционных потерях, управляемая Британской ассоциацией банкиров.
Хотя количественный анализ операционного риска является важным вкладом в системе управления банковскими рисками, эти риски не могут быть сведены к чистому статистическому анализу. Следовательно, качественные оценки, такие как анализ сценариев, станут неотъемлемой частью измерения операционных рисков банка.
Методы управления операционными рисками
Операционный риск может играть ключевую роль в разработке всеобъемлющих программ управления рисками, которые включают в себя непрерывность бизнеса и планирование аварийного восстановления, а также меры по обеспечению информационной безопасности и комплаенс. Первым шагом в разработке стратегии управления операционными рисками может быть создание карты рисков — плана, который идентифицирует, оценивает, связывает и смягчает риск.
Базель II и различные надзорные органы стран установили различные стандарты надежности для управления операционными рисками для банков и аналогичных финансовых учреждений. В дополнение к этим стандартам Базель II дал рекомендации по 3-м методам расчета капитала для операционного риска:
Рамки управления операционным риском должны включать системы идентификации, измерения, мониторинга, отчетности, контроля и смягчения последствий для операционного риска.
Мониторинг и отчетность по операционным рискам
Эффективный процесс мониторинга и отчетности необходим для адекватного управления операционным риском. Должно быть своевременное представление ключевой информации высшему руководству и совету директоров для поддержки активного управления рисками. Отчеты должны быть точными, содержательными и надежными в разрезе всех бизнес-линий организации. Следует иметь в виду, что чрезмерное количество данных может препятствовать эффективному принятию решений. Отчеты должны содержать информацию о существенных событиях и потерях операционного риска и любых нарушениях установленных лимитов (например, склонности к риску и уровня толерантности).
По требованию ЦБ: как банки будут оценивать ущерб от краж, ошибок и исков
Банк России опубликовал проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Документ разработан по следам декабрьского решения Базельского комитета по банковскому надзору, который в конце 2017 года уточнил подход к оценке операционного риска для расчета норматива достаточности капитала в рамках стандарта Basel III, говорится в пояснительной записке к проекту.
Новый базельский подход будет внедрен с 2022 года, но для соответствия ему банки должны будут собрать информацию о потерях от «событий операционного риска» минимум за последние пять лет.
Ошибки и недостатки
Разработанное ЦБ положение содержит требования к системе учета операционных рисков и классификацию событий, ущерб от которых банки должны будут подсчитывать в рамках управления операционными рисками, — от ошибок менеджмента и действий регулятора до судебных издержек из-за харассмента и дискриминации по национальному признаку.
В документе приводится категоризация операционных рисков по причинам возникновения, типам событий, направлениям деятельности и видам потерь. По причинам операционные риски делятся на четыре категории: ошибки и недостатки процессов (неэффективная организация управления банком, несоответствие процедур управления «масштабам деятельности кредитной организации» и требованиям законодательства); риски, связанные с действиями персонала; сбои информационных и технологических систем банков; действия внешних причин (речь, в частности, идет о действиях госорганов, регулятора и правоохранителей).
Самая подробная классификация установлена для типов событий — это семь видов событий первого уровня, каждый из которых содержит несколько типов событий второго уровня. Кроме того, у банков есть право ввести еще более детальный учет событий операционного риска, вводя в классификацию события третьего уровня.
Классификация событий операционного риска
1. Внутреннее мошенничество (преднамеренное превышение сотрудниками банков своих полномочий; кражи и мошенничество с их стороны в целях получения личной выгоды).
2. Внешнее мошенничество (кражи и мошенничество со стороны третьих лиц, кибератаки на инфраструктуру банка и хищение средств клиентов).
3. Нарушения кадровой политики и безопасности труда (выплаты компенсаций сотрудникам из-за нарушений трудового законодательства; нанесение ущерба здоровью работников из-за несоблюдения норм безопасности, штрафы надзорным органам, нарушения прав граждан, связанные с дискриминацией — половой, расовой, национальной и др.).
4. Нарушения прав клиентов и нанесение им ущерба (раскрытие конфиденциальной информации, нарушение условий договоров, навязывание дополнительных услуг, несоблюдение законодательства в сфере противодействия отмывания доходов, нанесение ущерба контрагентам).
5. Ущерб материальным активам из-за стихийных событий и форс-мажоров (природные, техногенные, социальные, медико-биологические катастрофы и т.д.).
6. Нарушения функционирования и сбои систем (сбои в работе программного обеспечения; сбои водо- и энергоснабжения).
7. Нарушения при организации, исполнении и управлении процессами (ошибки при подготовке и проведении банковских операций, ведении бухучета, документооборота, расчетов с клиентами, недостатки в работе контрагентов).
При учете потерь ЦБ предлагает делить их на прямые и непрямые, а последние — на качественные и косвенные. Прямые потери — это снижение стоимости активов, их досрочное списание, денежные выплаты клиентам и служащим в порядке компенсации во внесудебном порядке, судебные издержки и т.д. Качественные потери — отток клиентов, снижение качества предоставления услуг, приостановка деятельности в результате неблагоприятного события и др. Косвенные потери — недополученные запланированные доходы, расходы на оплату услуг привлеченных по отдельным договорам специалистов (например, оценщиков и консультантов), повышение стоимости заимствований в результате события операционного риска. Все потери от операционных рисков должны фиксироваться банками в специальной базе событий.
Банки должны будут привести свои системы в соответствие с новым положением к концу 2019 года, а с 2020 года ЦБ начнет оценивать, насколько их системы управления операционным риском соответствуют новым стандартам. Если система не соответствует стандартам, а кредитная организация это несоответствие не устраняет, ЦБ сможет воспользоваться мерами из ст. 74 закона «О ЦБ» (предполагает широкий набор — от штрафа до ввода временной администрации).
Издержки на классификацию
Приведение систем управления операционным риском в соответствие с новыми регулятивными требованиями до 2022 года, безусловно, повлечет дополнительные издержки со стороны банков, считает ведущий методолог «Эксперт РА» Юрий Беликов. Проект документа, основанный на уточненных подходах Базеля III, регламентирует процесс управления операционным риском намного более детально, чем действующие нормативные акты регулятора, отмечает он. Одно из основных требований — ведение подробной базы данных о потерях по операционному риску, говорит эксперт: такие базы давно ведутся всеми банками, но теперь все занесенные в них события должны быть четко классифицированы и дополнены причинно-следственными связями (в том числе связями с другими видами рисков).
Для адаптации баз данных и алгоритмов их ведения к новым стандартам потребуется их реструктуризация и внесение существенных изменений в управленческий учет, прогнозирует Беликов. Как минимум это дополнительные трудозатраты, которые могут потребовать расширения штата технических специалистов. Кроме того, внедряя в российскую практику базельские подходы, Банк России продолжает курс на усиление контроля кибербезопасности в банках, добавляет эксперт. Впрочем, изменив систему управления операционным риском, банки смогут уменьшить его давление на достаточность капитала, что немного «разгрузит» капитал и позволит разместить больший объем собственных и привлеченных средств в доходные активы под риском, заключает Юрий Беликов.
Проект ЦБ предполагает значительную перегруппировку риска, которым подвержены банки, расширяя понятие операционных рисков, подтверждает член правления ВТБ Максим Кондратенко. Так, к операционному риску отнесены модельный и стратегический риски, указывает он. Первый связан с ошибками при разработке методик и моделей оценки активов и рисков, второй — это риск возникновения убытков из-за ошибок при принятии решений по стратегии и развитию банка. Раньше эти риски выделялись как отдельные, говорит Кондратенко. При обсуждении предложенного ЦБ проекта необходимо исключить дублирование контрольных процедур и оценки рисков. При этом все виды риска, перечисленные в проекте ЦБ, ВТБ оценивает и сейчас.
Промсвязьбанк также сообщил, что оценивает все указанные риски. Предложенная ЦБ структура оценки «не стала для банка неожиданностью», отметил директор дирекции рисков Промсвязьбанка Евгений Гришин. «Развитие управления рисками, и в частности операционными рисками, всегда требует вложений ресурсов, как человеческих, так и материальных, в особенности в крупных финансовых организациях. В настоящее время наше развитие в этом направлении прежде всего связано с новым статусом банка как опорной кредитной организации по сопровождению гособоронзаказа, где вопросам информационной и кибербезопасности уделяется особое внимание», — подчеркнул Гришин.
В пресс-службе Россельхозбанка отметили, что предложенные ЦБ новые требования «в высокой степени соответствуют» той системе управления операционным риском, которая существует в банке сейчас. При этом банку все же потребуется провести «дополнительные мероприятия по адаптации некоторых элементов» управления операционным риском к новым требованиям регулятора.
Большая часть банков из топ-10 по объему активов не ответила на запросы РБК, в Сбербанке отказались от комментариев.