CC BY
53
Антонова Е.А.
Оренбургское отделение №8623 Сбербанка РФ
ОПЕРАЦИОННЫЕ РИСКИ И БАНКОВСКИЙ КАПИТАЛ В КОНТЕКСТЕ ПРИСОЕДИНЕНИЯ РОССИИ К БАЗЕЛЮ II
На этапе развития и становления современных автоматизированных банковских технологий, а также расширения ассортимента банковских продуктов чрезвычайно важное значение для российских банков приобретает разработка систем управления рисками. Грядущая перспектива присоединения России к Базельскому соглашению (Базель II), обуславливающая необходимость учета операционных рисков при расчете достаточности капитала, усиливает необходимость создания эффективных систем управления рисками, в том числе операционным.
В общем смысле операционный риск (далее ОР) - это риск структуры (в широком смысле этого слова) банка. Он возникает в том случае, если в банке имеется возможность совершать недопустимые операции или не совершать необходимых, что в свою очередь обусловлено несовершенством структуры банка: организационной, информационной, технической, психологической. Так как ни один банк не может быть признан идеальным, то и ситуации ОР, вызванные данным несовершенством, существуют всегда, а его степень при различных обстоятельствах может значительно меняться. Тем не менее, выявить ситуации ОР, даже анализируя прошедшие события, отнюдь не просто. Связано это с тем, что ОР часто выступает не сам по себе, а в тандеме с другими рисками или даже группами рисков. Очевидно, что данное обстоятельство затрудняет управление не только собственно ОР, но и прочими видами рисков [1, с. 2].
ОР характеризуется тем, что типичной для него являются незначительная вероятность событий, но в то же время чрезвычайно разрушительный характер финансовых последствий их наступления.
ОР можно разделить на несколько подвидов:
- риск утечки необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление файлов автоматизированной системы может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба клиентам;
- риск использования в деятельности банков необъективных или сфальсифицированных информационных активов (например, фальсификация платежных поручений);
- риск отсутствия у руководства банка объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании», которые приводят к отказу и простою отдельных компонентов АБС;
- риск распространения невыгодной или опасной для банка информации.
К главным причинам возникновения ОР можно отнести:
- недостаточную квалификацию персонала организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» является основной бедой российского бизнеса, так как большинство сотрудников не обучены грамотному применению информационных технологий и их знания не распространяются дальше требования, определенного выполняемыми работами;
- непонимание важности информационной безопасности и недооценка существующих угроз;
- отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности;
- отсутствие надлежащей системы защиты информационных активов банка от всех перечисленных угроз;
- наличие уязвимостей на различных уровнях инфраструктуры АБС.
В результате перечисленных выше причин могут наступить следующие последствия: внутренние и внешние мошенничества; ошибки персонала; сбои АБС; нарушение процессов обработки и хранения информации; недостаточная защищенность АБС и прорехи в ее защите.
Неполный учет этих последствий может нанести ущерб банковской организации.
Помимо прямых финансовых потерь необходимо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры и т.д.
Не касаясь темы снижения рисков, перечислим некоторые механизмы управления ими:
- планирование процедур управления ОР, в частности управления информационной безопасностью;
- регулярный аудит банка на предмет снижения ОР;
- регистрация всех осуществляемых в информационных системах действий;
- обеспечение банковской тайны;
- обеспечение непрерывности бизнес-процессов [2, с. 17].
В настоящее время, когда происходит постоянное усложнение банковских операций и увеличение их объемов, сопровождающихся консолидацией банковского сектора и укрупнением банков, многие из них сталкиваются с серьезными проблемами, связанными с реализацией ОР. В связи с этим, вопросы управления ОР становятся наиболее актуальными не только за рубежом, но и в России.
Банки сталкиваются с рядом крупных катастроф и нарушений защиты информации, которые угрожают непрерывности и безопасности их деятельности. В быстром электронном мире, в котором сегодня существуют субъекты финансового рынка, эти факты сразу же становятся очевидными и доводятся до сведения общественности. Происходит много атак в целях захвата данных о счетах и паролях клиентов через фальшивые веб-сайты. Скорость создания таких сайтов, а также частота и сложность атак увеличиваются. Хакерские атаки более не являются студенческим хобби, они стали мошенническим бизнесом криминальных организаций. Уязвимость банков может быть значительной и расти в результате таких событий, как использование высокоавтоматизированных технологий, рост электронной торговли, крупномасштабные слияния и приобретение других банков (которые подвергают испытаниям новые интегрированные системы) и др. Все эти факторы повышают для
банков значение хорошо защищенной и безопасной инфраструктуры.
Банковские организации проявляют заинтересованность в создании таких систем управления ОР, которые адекватны по масштабам, характеру и направлениям банковской деятельности и способны обеспечивать устойчивость в проявлении ОР.
Разумные процессы и стратегии управления ОР помогут избежать убытков в миллионы долларов, поскольку может быть сокращено мошенничество и увеличена непрерывность бизнес-процессов. Кроме того, усовершенствованный порядок операционной работы подразумевает более быстрый ответ на меняющиеся потребности клиента, а также более точный и соответствующий данному моменту взгляд на положение дел. В качестве примера убытков от ОР можно сослаться на результаты исследования 89 банков, опубликованные Базельским комитетом по банковскому надзору в 2003 году (приводились цифры за 2002 г.). Сообщалось, что общий ущерб от ОР составил почти 8 млрд. евро, это в среднем по 90 млн. евро на каждый банк. Наиболее яркими российскими примерами в этой области могут быть утечка данных из Центрального банка, многочисленные мошенничества с пластиковыми картами. Ясно, что центральное место в оценке ОР занимает вопрос о целостности систем и процессов. Наш мир не становится более безопасным. Репутацию корпорации в один-единственный миг может разрушить помимо финансовых убытков и отсутствие бдительности [3, с. 15].
Одним из ответов на увеличение воздействия на банковскую деятельность вышеназванных процессов стало введение количественной оценки ОР в соглашении Базель II, которой не было в предыдущей версии. В соглашении 1988 г. ОР считался побочным продуктом кредитного и рыночного риска и в семье рисков относился к категории «другие». Однако по соглашению Базель II он стал предметом самостоятельного рассмотрения аналогично кредитному и рыночному рискам. ОР определяется в соглашении как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.
Это определение включает юридический риск, но исключает стратегический и репутационные риски» [4, с. 155].
Само соглашение не расписывает ОР и не описывает, как бороться с ними, оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Поскольку одной из важнейших функций банковского капитала является защитная, то введение определенного количественного ограничения с целью покрытия убытков в случае наступления неблагоприятных событий «в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий» является одним из инструментов борьбы с данным видом риска. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления ОР.
В соглашении изложены три метода расчета требований к капиталу под ОР: базовый индикативный метод, стандартизированный подход и «продвинутый» подход. Каждый последующий подход предполагает более гибкую систему учета ОР, но требует повышенного уровня развития систем риск-менеджмента.
Банки, использующие базовый индикативный подход, должны поддерживать капитал под ОР, равный среднему показателю за предыдущие три года, выраженному в фиксированных процентах положительного валового дохода (данный коэффициент по соглашению установлен на уровне 15%).
В стандартизированном подходе деятельность банка разделяется на восемь бизнес-линий. Валовой доход служит показателем масштаба операций и, следовательно, ожи-
Таблица. Размеры в-факторов, устанавливаемые по соглашению
Бизнес-линии в-факторы
Корпоративное финансирование 18%
Торговля и продажи 18%
Розничные банковские операции 12%
Коммерческие банковские операции 15%
Платежи и расчеты 18%
Агентские услуги 15%
Управление активами 12%
Розничные брокерские услуги 12%
даемого масштаба ОР в рамках каждой бизнес-линии. Требование к капиталу для бизнес-линий рассчитывается путем умножения валовых доходов на фактор в, присваиваемый данной бизнес-линии. Фактор в служит показателем общеотраслевого соотношения между имевшими место операционными убытками и общим уровнем валового дохода для данной бизнес-линии. Общая сумма требований к капиталу рассчитывается как трехлетняя средняя простого суммирования требований к регулятивному капиталу для каждой бизнес-линии за каждый год. Устанавливаемые по соглашению размеры в-фак-торов показаны в таблице.
Чтобы получить право на применение стандартизированного подхода, банк должен доказать органам надзора, что, как минимум: его совет директоров и старший менеджмент активно участвуют в надзоре за механизмом управления ОР; он имеет концептуально надежную и адекватно реализованную систему управления ОР; он имеет достаточные ресурсы для использования подхода в основных бизнес-линиях, а также в области контроля и аудита. Кроме того:
- система управления ОР должна четко регулировать обязанности и ответственность соответствующих подразделений;
- частью внутрибанковской системы оценки ОР должно стать систематическое отслеживание данных об ОР, включая существенные убытки в рамках бизнес-линий. Система оценки ОР должна быть тесно интегрирована в процессы управления ОР, а ее результаты - составлять неотъемлемую часть процесса мониторинга и контроля профиля ОР банка;
- руководителям бизнес-подразделений, старшему менеджменту и совету директоров должна предоставляться регулярная отчетность об ОР;
- банковская система управления ОР должна быть хорошо документирована;
- банковские процессы управления и системы оценки ОР должны подвергаться проверке и регулярному независимому аудиту.
Усовершенствованный, или «продвинутый», подход предполагает, что критерии для оценки ОР будут определяться внутри самого банка. Для использования данного под-
хода к требованиям, предъявляемым для стандартизированного подхода, добавляются также следующие:
- банк должен иметь независимое подразделение, отвечающее за разработку и внедрение механизма управления ОР;
- проверка системы оценки ОР внешними аудиторами или органами надзора включает: проверку эффективности процедур внутреннего аудита; обеспечение прозрачности и доступности данных и процессов, связанных с системой оценки риска.
Комитетом признается, что использование данного подхода обеспечивает банкам значительную гибкость в развитии систем оценки и управления ОР. Данный подход также дает банкам возможность снижения до 20% общих отчислений капитала под ОР при использовании страхования.
В России основными внешними документами, на которых базируется управление ОР, являются Положение ЦБ РФ от 16.12.2003 г. №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и Письмо ЦБ РФ от 24.05.2005 г. .№76-Т «Об организации управления операционным риском в кредитных организациях». Положение №242-П определяет такие важные моменты управления и ограничения ОР банка, как: порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок; распределение должностных обязанностей служащих с целью исключения конфликта интересов; вопросы контроля за управлением информационными потоками, автоматизированными и информационными системами и техническими средствами, а также вопросы контроля системы управления банковскими рисками. В Письме 76-Т дается своя классификация направлений деятельности кредитной организации, более адаптированная к российской практике, закладываются основы системы управления ОР банка, которые оставляют широкий простор для творчества, как в создании, так и в подготовке документов по управлению ОР.
В 2004 г. Банк России официально объявил о намерении реализовать Базель II в отношении российского банковского сектора. К 2008-2009 гг. Банк России планирует, с уче-
том состояния финансовых рынков и уровня развития банковского сектора, а также по результатам проведения организованных Базельским комитетом по банковскому надзору обследований по количественному влиянию Базеля II на достаточность капитала банков, реализовать следующий вариант Базеля II: упрощенный стандартизированный подход по оценкам кредитного риска и базовый индикативный подход в рамках первого компонента соглашения; второй и третий компоненты Базеля II (процедуры надзора за достаточностью капитала со стороны органов банковского надзора и требования по раскрытию банками информации о капитале и рисках в целях усиления рыночной дисциплины).
По мнению большинства экспертов, переход на стандарты, описанные в соглашении Базель II, негативно скажется на отечественном банковском секторе, главным образом за счет увеличения нагрузки на регулятивный капитал. В частности, по оценкам Банка России, от малых и средних банков это потребует по крайней мере 10-процентного роста капитала. Введение ОР в формулу расчета капитала может сказаться на эффективности устоявшихся направлений бизнеса банков. В данном случае имеются в виду факторы, описывающие значение риска по восьми направлениям банковской деятельности. Эти коэффициенты отдают предпочтение розничному бизнесу, включая кредитование малого бизнеса (фактор в -12%), а операции на финансовых рынках и ряд других ограничивают (фактор в 18%). Как следствие, может произойти перераспределение денежных потоков в экономике [5, с. 26].
Однако необходимо помнить, что главная цель соглашения - способствовать адекватной капитализации банков и совершенствованию систем управления рисками в тех странах, которые присоединятся к требованиям данных стандартов. По логике все страны, решившие перейти на стандарты работы Базель II, укрепляют стабильность финансовой системы в целом. Соглашение предусматривает возможность снижения нагрузки на капитал по мере внедрения в практику работы банка адекватных процедур управления рисками. Это означает, что чем более эффективная систе-
ма управления рисками функционирует в банке, тем меньше банк подвержен рискам и предъявляются меньшие требования к капиталу. Иными словами, если хочешь, чтобы твой капитал более эффективно работал, умей управлять рисками.
В большинстве российских банков (в отличие от западных) на сегодняшний день отсутствует комплексная система накопления и анализа данных о потерях от ОР. По результатам проведенных в 2005 г. опросов руководителей и топ-менеджеров российских банков ОР не попадают даже в первую двадцатку проблем в управлении банками. Однако это не означает, что потенциал операционных потерь у нас ниже, ведь ОР возрастают с ростом объемов операций, чем и характеризуется сегодня российский банковский сектор, уже несколько лет существенно опережающий по темпам роста остальную часть российской экономики. Дополнительные опасения внушает также тот факт, что этот рост происходит во многом за счет розничного бизнеса, что предполагает большое количество операций и трансакций и, следовательно, ведет к повышению уровня ОР. Проявления ОР в России уже видны, более того, они широко обсуждаются, так как рост невозвратов и просроченной задолженности по потребительскому кредитованию обусловлен не только и не столько кредитным риском отдельных заемщиков, сколько отсутствием в российских банках адекватных процедур их оценки, что является одним из проявлений ОР. На этом фоне рекомендации по управлению ОР БР пришлись как нельзя кстати, поскольку положение по управлению ОР в банке должно основываться на нем [6, с. 26].
Банки, которые самостоятельно разработали или внедрили «готовые» решения для автоматизации управления ОР, можно пересчитать по пальцам одной руки. Многие банки достаточно формально относятся к оценке рисков, делая акцент лишь на отчетных показателях, контролируемых Банком России. Очевидно, банкам потребуется некоторое время для того, чтобы понять необходимость использования стандартного программного обеспечения и многократно ап-
робированных методик оценки рисковой составляющей бизнеса. Создание такой системы - длительный процесс, и если не начать ее формирование сейчас, то банк еще долго не будет иметь возможности реально оценивать собственные ОР и определять экономически обоснованную потребность в капитале на покрытие ОР.
Необходимость внедрения риск-ориен-тированных подходов к корпоративному управлению осознается по мере развития банка, когда его бизнес становится все более сложным: увеличиваются объемы операций, растет число их видов, увеличивается число филиалов, усложняется операционная среда. Вследствие этого более значимой становится адекватная организация бизнес-процессов и неразрывно связанная с этим задача создания системы выявления, оценки и управления ОР.
На Западе система риск-менеджмента уже давно признана жизненно необходимым элементом управления банком, залогом его конкурентоспособности. Постепенно понимание важности комплексного управления рисками приходит и к отечественным банкам. Очевидно, что без системного управления рисками банк не только не сможет успешно развиваться, но и вряд ли долго просуществует [7, с. 15].
Банки должны заглядывать за рамки управления ОР, чтобы увидеть перспективу увеличения операционного совершенства и создания, таким образом, конкурентного преимущества. Банки, которые действуют быстро для уменьшения своих рисков и улучшения своего соответствия требованиям регулятора, будут вознаграждены более хорошей конкурентной позицией.
В заключение необходимо отметить, что ОР на современном этапе является одним из самых сложных и малоизученных вопросов банковского риск-менеджмента. Это справедливо как для России, банковская система которой находится в стадии становления, так и для стран с развитыми банковскими системами. Символично само по себе то, что всерьез о нем заговорили сравнительно недавно. В известной степени любой риск - это характеристика адаптации человека (человеческих
сообществ, субъектов рынка и т.д.) к окружающей среде. ОР по определению плохо поддается количественной оценке. Представляется, что основная цель Базеля II состоит в по-
становке этой проблемы. Само понятие ОР нуждается в развитии и уточнении. Эта та область, в которой следует ожидать появления дальнейших рекомендаций Базеля II.
Список использованной литературы:
1. Кузнецов Р.Г., Причина О.С. Об операционном риске // Материалы VIII региональной конференции «Вузовская наука - Северо-Кавказскому региону». Том третий. Экономика, Ставрополь: СевКавГТУ, 2004. 190 с.
2. Лукацкий А. Операционный риск и угрозы системам финансовых структур // Расчеты и операционная работа в коммерческих банках, №10, 2005, с. 12-18.
3. Н.Ф. Колюшенко. Операционные риски // Расчеты и операционная работа в коммерческих банках, №6, 2005, с. 14-21.
4. Международная конвергенция измерения капитала и стандартов капитала: новые подходы // Банк международных расчетов, СН-4002 Базель, Швейцария, июнь 2004, 266 с.
5. Максутов Ю.Г. Перспективы применения Базеля II в Российской Федерации // Банковское дело, №12, 2005. С. 25-27.
6. Штатов Д., Зинкевич В. Разработка положений по управлению операционными рисками в коммерческих банках // Бизнес и банки. №10, 2006, с. 23-33.
7. Смородинская Н.В. Национальные платежно-расчетные системы развитых стран: организация и системный риск // Расчеты и операционная работа в коммерческом банке. 2000. №6, 7.
Статья поступила в редакцию 14.05.07
