WikiSort.ru - Не сортированное

Операционный риск (англ. Operational risk) — риск, связанный с выполнением компанией бизнес-функций, включая риски мошенничества и внешних событий. Чаще всего принимается определение, данное в Базель II:

Операционный риск — риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Это определение включает юридический риск, но исключает стратегический и репутационный риски.

Более развёрнуто определение операционного риска дано Центральным банком РФ: операционный риск — это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий^[1].

Определение, данное Национальным Банком Республики Беларусь: операционный риск — риск возникновения у банка потерь (убытков) и (или) дополнительных затрат в результате несоответствия установленных банком порядков и процедур совершения банковских операций и других сделок законодательству или их нарушения сотрудниками банка, некомпетентности или ошибок сотрудников банка, несоответствия или отказа используемых банком систем, в том числе информационных, а также в результате действия внешних факторов.

Операционный риск присущ всем банковским продуктам, направлениям деятельности, процессам и системам, и эффективное управление операционным риском всегда является одним из основных элементов системы управления рисками банка. В мировой банковской практике управление операционными рисками является ключевой и первостепенной задачей. Операционный риск проникает во все аспекты возможных рисков — он взаимосвязан со всеми другими типами риска, такими как рыночный, кредитный риск, а также риск ликвидности, усложняя их. В отсутствие операционных провалов все другие типы риска значительно менее важны.

Цели и задачи управления операционным риском

Задачи

Для менеджмента организации важна прозрачность и понятность задач, которые будут способствовать достижению указанных выше целей. Так, на практике менеджмент компаний обычно ставит задачи по внедрению в организации и поддержанию в эффективном состоянии следующих инструментов (или компонентов) управления операционным риском:

1. Эффективная работа с инцидентами (effective incident management system).
2. Выявление рисков и их устранение (risks identification and elimination system).
3. Организация раннего предупреждения рисков (an early warning system):
   • Самооценка рисков (risk and control self-assessment — RCSA);
   • Мониторинг ключевых индикаторов рисков (key risk indicators — KRIs);
   • Мониторинг ключевых показателей эффективности управления риском (key performance indicators — KPIs);
   • Мониторинг ключевых контролей риска (key control indicators — KCIs);
   • Сценарный анализ рисков и стресс-тестирование (scenario analysis, stress tests);
   • Анализ внешних потерь от операционных рисков (external loss data analysis);
   • Ведение и оценка карт рисков (реестра рисков) (risk maps);
   • Расчёт размера операционного риска (calculation of the operation risk — VaR OpRisk).
4. Обеспечение непрерывности деятельности (business continuity).
5. Координация работы всех департаментов в управлении своими рисками (coordination all units of managing their risks).
6. Система отчётов и прогнозов, поддержание базы рисков (risks database and reports).
7. Контроль соблюдения стандартов минимизации рисков (risks standards).

Схема целей и задач управления операционным риском (с учётом практических приоритетов для менеджмента организаций) представлена на рисунке справа.

Факторы операционного риска

Основные факторы операционного риска связаны:

• со случайными или преднамеренными действиями людей или организаций, направленными против интересов организации, в том числе несоблюдением требований законодательства и предусмотренных внутренних правил и процедур;
• с несовершенством организационной структуры (распределения обязанностей подразделений и работников), порядков и процедур, а также их документирования, неэффективностью внутреннего контроля и т. д.;
• со сбоями в функционировании систем и оборудования;
• с внешними обстоятельствами вне контроля организации.

Классификация операционных рисков

Риск персонала — риск потерь, связанный с ошибками и противоправными действиями работников Банка, их недостаточной квалификацией, излишней загруженностью, нерациональной организацией труда в Банке и т. д.

Риск процесса — риск потерь, связанный с ошибками в процессах проведения операций и расчётов по ним, их учёта, отчётности, ценообразования и т. д.

Риск систем — риск потерь, обусловленных несовершенством используемых в Банке технологий — недостаточной ёмкостью систем, их неадекватностью по отношению к проводимым операциям, грубости методов обработки данных, или низкого качества, или неадекватности используемых данных и т. д.

Риски внешней среды — риски потерь, связанные с изменениями в среде, в которой функционирует Банк — изменения в законодательстве, политике, экономике и т. д., а также риски внешнего физического вмешательства в деятельность организации.

Категории типов событий операционного риска согласно Базелю II^[2]:

• Внутреннее мошенничество (Internal Fraud)
• Внешнее мошенничество (External Fraud)
• Трудовое законодательство и безопасность труда (Employment Practices and Workplace Safety)
• Клиенты, продукты и правила бизнеса (Clients, Products, & Business Practice)
• Ущерб материальным активам (Damage to Physical Assets)
• Прерывание бизнеса и сбои систем (Business Disruption & Systems Failures)
• Управление исполнением, доставкой и процессами (Execution, Delivery, & Process Management)

Классификация ORX:

В зависимости от уровня в иерархии организации выделяют риски корпоративного уровня, риски бизнес-единицы, риски подразделения.

Методы оценки операционного риска

В Базеле II предусмотрены следующие подходы к оценке операционного риска банков:

• Подход базового индикатора (BIA, Basic Indicator Approach)
• Стандартизированный подход (TSA, The Standardized Approach) и альтернативный стандартизированный подход (ASA)
• Продвинутые подходы (AMA, Advanced Measurement Approach), включающие в себя такие подходы как:
  • Подход внутреннего измерения (IMA, Internal Measurement Approach)
  • Подход на основе распределения потерь (LDA, Loss Distribution Approach)
  • Подход на основе моделирования сценариев (SBA, Scenario-based approach)
  • Подход оценочных карт или балльно-весовой подход (SCA, Scorecard Approach)

В конце 2015 года после дискуссий в своих рабочих группах Базельский комитет по банковскому надзору (БКБН) принял решение о предстоящем выводе AMA из рамок Базеля II, так как он не оправдал ожиданий по его простоте и сопоставимости. Его предполагается заменить на один универсальный стандартизированный подход, основанный на единой модели, сочетающей в себе достаточную чувствительность c приемлемой простотой и сопоставимостью.

Первоначально (2014-2015 гг.) в качестве такого подхода рассматривался Новый cтандартизированный подход (New Standardised Approach, NSA), главное отличие которого от BIA состояло в замене валового дохода (Gross Income, GI) как базы для определения размера операционного риска на Бизнес-индикатор (Business Indicator, BI).

Позже БКБН рассматривал предложения по внедрению Подхода к стандартизированному измерению (Standardised Measurement Approach, SMA), основные положения которого были описаны в консультативном документе "Standardised Measurement Approach for operational risk" (d355, март 2016 г., http://www.bis.org/bcbs/publ/d355.htm). Неофициальный перевод на русский язык указанного документа выполнен инициативной группой российских риск-менеджеров и размещен на сайте Ассоциации российских банков:http://arb.ru/b2b/discussion/podkhod_k_standartizirovannomu_izmereniyu_operatsionnogo_riska-10005402/.

Ключевым новшеством SMA стало то, что кроме Компоненты бизнес-индикатора (BI Component), отражающей усредненный операционный риск отрасли, в модель включена Компонента убытков (Loss Component), учитывающая особенности операционного риска конкретного банка по статистике его внутренних убытков за последние годы (не менее 5 лет). В модель также был внесен ряд других новшеств (пополнение составляющих BI, изменение некоторых расчетных формул, введение ряда ограничений и др.).

БКБН в декабре 2017 года принята новая методология стандартизованной оценки операционного риска для целей расчета достаточности капитала в составе программного документа "Basel III: Finalising post-crisis reforms" (глава IV "Minimum capital requirements for operational risk"). Однако не все ранее предлагавшиеся в SMA новшества нашли свое отражение в итоговом варианте документа: https://www.bis.org/bcbs/publ/d424.htm. Неофициальный перевод на русский язык главы IV указанного документа выполнен инициативной группой российских риск-менеджеров: http://www.dvbi.ru/risk-management/Basel.

Как указано в преамбуле указанного документа, внедрение данного подхода в практику (как и большинства других описанных новых подходов) планируется с января 2022 года.

Субъекты, управляющие операционным риском

В документах Банка России и Базеля предусмотрены три вида субъектов, управляющих операционными рисками (три линии защиты)^[3]:

1-я линия защиты — все подразделения и сотрудники организации (они работают с операционными рисками на месте его возникновения).

2-я линия защиты — субъект, который координирует в целом всю систему управления операционными рисками.

3-я линия защиты — подразделение внутреннего аудита, которое осуществляет независимый аудит системы управления операционными рисками.

Довольно часто на практике возникают споры, кого относить ко второй линии защиты. Так, помимо подразделения по операционным рискам, во вторую линию защиты себя записывают служба безопасности, служба комплаенс и иные сервисные подразделения (не бизнес-подразделения). Они обосновывают такую позицию тем, что устанавливают обязательные для всех правила по курируемым ими профильным рискам, а значит занимают по отношению к таким подразделениям роль координатора в рамках предмета своих функций. Во-первых, множественность координаторов системы противоречит принципу единоначалия, согласно которому конечным координатором системы (ответственным) должен быть один субъект. Во-вторых, множественность субъектов во второй линии защиты противоречит требованиям нормативных документов (см. ссылку выше). В-третьих, факт того, что служба безопасности, служба комплаенс и иные сервисные подразделения устанавливают обязательные для всех правила по профильным рискам, не является в данном случае аргументом, так как если развивать это обоснование дальше, то подразделение внутреннего аудита (3-я линия защиты) должно в таком случае «переместиться» в первую линию, так как для него также будут действовать требования безопасности или комплаенс.

Чтобы соблюсти с одной стороны логичное требование о единоначалии координатора системы, закреплённое в нормативных документах, а с другой стороны требования подразделений, управляющих профильными рисками об их вынесении во вторую линию защиты, нередко применяется условное выделение двух «подобластей» в рамках первой линии защиты (условно 1.1. и 1.2.). Так в состав линии 1.1. входят бизнес-подразделения, а в состав линии 1.2. входят владельцы профильных рисков.

Схема субъектов, управляющих операционными рисками (с учётом особенностей первой линии защиты), представлена на схеме справа.

Операционные убытки: события

Российская практика:

Ограбление инкассаторов Сбербанка в Перми. Общая сумма похищенного составила порядка 250 млн рублей.

У инкассаторов Московского Кредитного Банка похищено около 12 млн рублей

СКР окончательно обвинил экс-главу Росбанка Голубкова в коррупции

В Краснодаре из офиса МТС-Банка похищено 20,5 млн рублей

Обыски по делу о хищении у Россельхозбанка 1,2 млрд рублей проходят в Москве и Новосибирске

Экс-глава оренбургского филиала РСХБ обвиняется в причинении банку ущерба на 100 млн рублей

В Петербурге инкассаторы, перевозившие 200 млн рублей, застрелили друг друга

В Москве из отделения Сбербанка похищен банкомат с 8 млн рублей

Сотрудник Сбербанка похитил со счета клиента 2 млн рублей

На севере Москвы обрушилась крыша здания Роспромбанка

Полиция задержала 13 человек, похитивших 70 млн рублей с помощью интернет-вируса

В Дагестане у фальшивомонетчиков изъято 2 млрд поддельных рублей

Экс-глава филиала ВТБ в Кемерово получил три года колонии за хищения на 345 млн рублей

Шестеро сотрудников ДжиИ Мани Банка погибли в авиакатастрофе под Казанью

В Москве злоумышленник пытался погасить в банке поддельный вексель на 100 млн рублей

В Перми эвакуировали центральный офис Сбербанка сообщения о заложенной бомбе

ТКС Банк стал самым крупным биржевым падением года среди банков

Пожар в здании Почты России на Варшавском шоссе (май 2013)

Западная практика:

BARINGS PLC — 1995, USD 1.3 млрд. — несанкционированная торговля Nick Leighson.

Mizuho Securities — Декабрь 2005 (USD 250 млн.) — торговая ошибка (продал 620 тыс. акций за 1 иену вместо продажи 1 акции за 620 тыс. иен) — проданные акции в 4 раза превышают объем акций компании, находящийся в обращении; синдром «толстого пальца» (тех. ошибки при биржевых операциях).

SG — 2008, 4.9 млрд. Евро за вычетом налогов (или 6.3 млрд до вычета налогов). Причины -: • несанкционированная торговля, поддельное хеджирование, риск, измеренный/оцененный на основе после выплаты налогов, • управление паролем и знание механизмов контроля • Слабые механизмы контроля; «культура терпимости», игнорирование сигналов предупреждения • структура поощрения трейдеров…. и т. д..

UBS — списание субстандартных кредитов, связанное с потерями при невыполнении обязательств (свыше $38 млрд.), S&P понизил рейтинг до AA- в связи с «упущениями в сфере управления рисками». Без увеличения капитала или коэффициент достаточности капитала 1 уровня упадет до 7 % (ОР в рамках убытка по кредитному риску).

Ипотечный кризис в США — регистрация залогов по ипотечным кредитам не в реестрах местных органов власти, а в принадлежащей банкам Электронной системе регистрации (64 млн ипотек).

Управление операционными рисками

Система управления операционными рисками — комплекс организационных, методических, информационных средств, направленных на предупреждение возможных операционных рисков, минимизацию отрицательных последствий и недопущения повторных инцидентов операционного риска.

Управление операционными рисками призвано обеспечить снижение убытков организаций от различного рода инцидентов операционного риска, обеспечить менеджмент компании системой формирования «планов мероприятий по предупреждению операционных рисков» и «планов действий при наступлении инцидентов операционного риска».

Структура подразделения по операционным рискам и KPI

Эффективность управления операционными рисками во многом зависит от того как организовано подразделение по операционным рискам и от того какие количественные и проектные цели (KPI) оно имеет.

Пример орг.структуры подразделения по операционным рискам и его KPI представлен на рисунке справа (такая структура является оправданной в основном для крупных организаций с общей численностью от одной тысячи человек).

Представленное на схеме деление сотрудников на отделы (или группы) обусловлено в основном несовместимостью знаний, навыков, интересов, необходимых для выполнения задач отделов.

См. также

• Базель II
• Банковский риск
• Управление рисками
• Мошенничество
• Информационная безопасность
• Комплаенс-контроль
• Страхование
• Чёрный лебедь (теория)
• Фишинг
• Контроллинг
• Стресс-тестирование

Примечания