CC BY
527Реализация операционного риска коммерческого банка в цифровой среде
Маркова Ольга Михайловна,
к.э.н., доц., департамент финансовых рынков и банков, Финансовый университет при Правительстве Российской Федерации
E-mail: Markova1310@bk.ru
Предметом исследования является изучение особенностей проявления операционного риска в цифровой среде. Исходя из этого целью статьи выступает анализ конкретных мер, направленных на снижение негативного влияния указанного риска на деятельность банков и регулирования этого процесса со стороны Банка России. Особую значимость приобретает поиск адаптированных моделей, способных объективно определить уровень операционного риска, присущего конкретному банку, а также разработки комплекса мер по его ограничению и мониторингу. Вследствие возрастающей сложности банковских операций и появления инновационных технологий возникла необходимость выделения новых, ранее не изученных, групп рисков, которые выступают внешними источниками операционного риска (в частности, цифрового бизнеса). Методология исследования опирается методы сравнительного и экономико-статистического анализа влияния рисков на деятельность банка. В результате были сделаны выводы о перспективах ограничения операционного риска в цифровой среде.
Ключевые слова: операционный риск, биометрия, интернет вещей, роботизация, «облачные технологии».
Введение
В современных условиях наблюдается стремительная трансформация всего банковского бизнеса. Повышение степени проникновения новых технологий в финансовую сферу провоцирует снижение цен на инновационные продукты, повышается их доступность. Новые возможности стирают границы между банком и клиентом, создавая ощущение простоты процессов, но под этим удобством скрываются угрозы, реализация которых может привести к серьезным негативным последствиям: компрометация образцов биометрии; потеря контроля над искусственным интеллектом и робототехникой; несанкционированный доступ к данным; потеря/частичная потеря данных вследствие воздействия факторов природного характера; несовершенство методологии совершения инновационных банковских операций (неизученность «подводных камней»); сбои ИТ-оборудования и ИТ-систем; ки-беруязвимость партнеров; сбои внешних систем обеспечения. Все эти факторы и угрозы вызывают необходимость более подробного рассмотрения операционного риска в цифровой среде.
Исследование
Цифровая среда, в которой работают коммерческие банки, вызывает значительные изменения в сфере оценки финансовой деятельности, в свою очередь, обусловленной реализацией операционных рисков в общей сумме совокупной прибыли/ убытков. В составе операционного риска выделяют: риск персонала; риск безопасности (экономической, физической, информационной); риск внутреннего мошенничества; риск внешнего мошенничества; информационно-технологический риск; риск нарушения непрерывности деятельности; модельный риск; комплаенс-риск; юридический (правовой) риск. При этом понятие операционного риска исключает стратегический и репутационный риск. Примерами операционных рисков могут служить: риск кражи средств с банковских карт клиентов путём скимминга (использование устройства ским-мер для считывания информации, содержащейся на магнитной полосе карты); риск потерь в результате отсутствия мониторинга обеспечения по выданному кредиту; риск утечки конфиденциальной информации. Тем самым, диджитализация оказы- 0 вает на реализацию операционного риска как по- В ложительный, так и отрицательный эффект.
При проведении исследования оценки операционного риска в цифровой среде целесообразно применить сравнительный анализ новых видов операционных рисков, их возможности и преимущества для банков (табл. 1).
сг
-о
сг
от А
=Е
Таблица 1. Виды операционных рисков банка в условиях цифровой экономики
Виды операционных рисков Новые возможности Преимущества
Риск снижения операционной эффективности; риск компрометации образцов биометрии; риск принятия на обслуживание мошенника. Биометрическая идентификация Снижение риска ошибок персонала, подделки документов, удостоверяющих личность.
Риски злонамеренного использования искусственного интеллекта; риск несанкционированного доступа к управлению. Искусственный интеллект Усовершенствование обслуживания (скорость, персона-лизация).
Технологический риск ИТ-оборудования и программного обеспечения. Роботизация процессов Автоматизация рутинных операций -сведение к минимуму риска ошибок персонала.
Риск несанкционированного доступа к управлению (использования дронов как оружие массового поражения); риск в сбое программы управления. Робототехника Беспилотные летательные аппараты -замена курьеров. Логистические роботы.
Риск инновационных проектов; риск несовершенной методологии совершения банковских операций (по причине неизученности «подводных камней»). Инновационные банковские продукты и услуги Конкурентное преимущество.
Изменения, связанные с риском потерей данных; переполнение информации в хранилище; потеря эффективности больших данных; возможные ошибки в этой сфере. Большие данные (SmartData) Сбор данных о потребительском поведении клиентов.
Минимизация риска в связи с хакерскими атаками; мошенничество в области манипуляции реестра данных. Блокчейн Безграничность применения: от финансовых операций до смарт-контрактов.
Риск мошенничества в сервисах денежных переводов. Бесконтактная оплата Упрощение оплаты продуктов и услуг посредством удобных для клиента устройств.
Риск несанкционированного доступа Интернет вещей Обмен информацией между устройствами.
Технологический риск оборудования и программного обеспечения. Виртуальная и дополненная реальность Осуществление цифровых взаимодействий в режиме реального времени с физической средой окружающего мира.
Окончание
Виды операционных рисков Новые возможности Преимущества
Риск, связанный с функционированием внешних система обеспечения. Построение работы на базе интернета Ускорение всех процессов.
Риск, связанный с деятельностью третьих лиц; риск нарушения информационной безопасности при аутсорсинге. Аутсорсинг Передача небанковских функций третьим лицам, снижение издержек на обучение персонала, оборудование.
Риск, связанный с деятельностью сторонних лиц. Экосистема Взаимодействие с клиентом во всех сферах его жизни.
Риск атаки на гиперви-зор; риск атаки на системы управления; риск отсутствия соединения; риск несоответствия провайдера требованиям банка; риск потери связи с провайдером; риск DDOS-атак; риск потери контроля над данными (перехватка данных) Облачные технологии Преодоление ограниченности нынешних систем, снижение затрат по созданию и поддержке собственной вычислительной инфраструктуры; нет необходимости в резервировании данных; снижение затрат на хранение данных.
Как видно из табл. 1, в условиях трансформации деятельности банков в цифровой сфере, операционные риски выходят на первый план, а именно риски ИТ-систем, ИТ-оборудования и мошенничества ИТ - сотрудников. Знание и возможности управления этими рисками и их минимизация становятся насущной проблемой банков. Так среди 12 коммерческих банков, исследуемых МсК^еу&Сотрапу[1], доля операционных убытков в совокупном операционном доходе в среднем составляла 6,9% (рис. 1). Разница в весе операционных убытков зависит от различий в структуре бизнеса, географическом охвате и надежности механизмов внутреннего контроля.
Совокупные операционные убытки за год, млн евро
10.2
АВСйЕРСН I иКЬ
Рис. 1. Доля операционных убытков в совокупном операционном доходе, проценты[1]1
1 Рисунок составлен автором работы на основе сравнительного анализа МсЮпвеу&Сотрапу розничных и региональных коммерческих банков во всех европейских странах, ноябрь 2017 г.
Внедрение новых подходов к оценке операционного риска в цифровой среде может привести к повышению требований к достаточности капитала^]. В современных условиях оценка операционного риска с помощью КИР [3] производится путём сопоставления значения КИР с установленными для них пороговыми значениями (табл. 2).
Таблица 2. Ключевые индикаторы риска
Действующие индикаторы
Бизнес- направления деятельности (основные группы) Индикаторы
Обслуживание физических лиц Штрафы, уплаченные банком из-за нарушения своих обязательств; количество/ суммы ошибочно исполненных расчётных документов/поручений клиентов; количество претензий держателей карт; количество/сумма выплаченных компенсаций клиентам и прочие.
Обслуживание юридических лиц Операции с компаниями из черного списка; штрафы, уплаченные банком из-за нарушения своих обязательств; количество/сумма ошибочно исполненных расчётных документов.
Операции и сделки на рынке ценных бумаг и срочных финансовых инструментов Нарушение лимитов, операции с компаниями из черного списка; сумма уплаченных штрафов/компенсаций вследствие нарушения своих обязательств банком; количество обязательств банка, исполненных с нарушениями условий сделок (операций).
Управление активами, Брокерская деятельность Сумма уплаченных штрафов/компенсаций вследствие нарушения своих обязательств банком; количество обязательств банка, исполненных с нарушениями условий сделок (операций)
Процессы,обеспечивающие деятельность банка Описание
ИТ-обеспечение Число сбоев, время неработоспособности ИТ-систем; количество сбоев бизнес-процессов и сумма потерь в результате взаимодействия с аутсорсерами
Учёт Количество/суммы исправительных проводок
Управление персоналом Показатели, характеризующие риски персонала («текучка», повышенная нагрузка на сотрудников из-за болезни коллег и др.)
Мониторинг нарушений требований законодательства в области ПОД/ФТ Количество нарушений в области ПОД/ФТ
Отчётность перед регулятором и надзорными органами Представление неправильной/ несвоевременной отчетности; штрафы/пени по причине несвоевременного/некорректного предоставления отчетности
Осуществление платежей и расчетов Количество/сумма ошибочно исполненных расчётных документов; количество/ сумма средств по нарушениям лимита по счётам НОСТРО
Количественная оценка операционного риска производится в соответствии с требованиями Банка России и на основании внутренних моделей оценки (например, модель оценки VaR операционного риска на базе программы SAS OpRiskVaR). Количественная оценка операционного риска основана на выявлении величины капитала, необходимого для покрытия риска, которая рассчитывается следующими методами: методом базового индикатора, методом моделирования функции распределения. Оценка операционного риска методом базового индикатора производится на основе порядка расчета операционного риска, установленного Положением Банка России от 03.09.2018 г. № 652-П «О порядке расчета размера операционного риска» [4]. Согласно данному документу размер требований к капиталу вычисляется с учетом среднего объема ежегодных процентных и непроцентных доходов от основной деятельности банка за последние три года. Количественная оценка риска методом моделирования функции распределения предполагает получение таких количественных оценок риска банка, как Value-At-Risk (VaR) и размер ожидаемых потерь банка от его реализации. Данный метод подразумевает использование имитационной модели, описывающей потери банка от операционного риска, в рамках которой на основании накопленных статистических данных о рисковых событиях моделируются функция распределения тяжести потерь и функция распределения вероятности реализации потерь с дальнейшем построением методом «Монте-Карло» [5] совместной функции распределения тяжести потерь и вероятности их реализации, на основании которой производится расчет VaR, и размера ожидаемых и неожидаемых потерь банка от данного вида риска[6]. Контроль качества применяемой модели осуществляется на постоянной (ежеквартальной) основе в ходе проведения количественной оценки операционного риска в целях включения её в состав регулярной отчетности об уровне операционных рисков банка, предоставляемой на рассмотрение Правления банка.
Рекомендации
По нашему мнению, минимизация операционных рисков в банке должна быть достигнута путём создания и использования саморегулирующегося механизма управления операционным риском (СУОР). Основная роль оперативного управления операционными рисками возложена на внутренние структурные подразделения. Для этого в банках предусмотрена автоматизированная система управления операционными рисками на базе программного обеспечения SAS OpRiskManagement (далее - АСУОР), с помощью которой реализуется управление: операционными рисками; потерями от реализации рисковых событий операционного риска; ключевыми индикаторами операционного риска. В табл. 3 приведены виды программного обеспечения, которые используются банком в рамках
сз о со от m Р от
от А ш
SASOpRiskManagement [7]. Данная система предусматривает качественную и количественную оценку операционных рисков, формирует онлайн отчетность, а также позволяет производить оперативную передачу данных об операционных рисках для принятия решения на необходимом уровне менеджмента.
Таблица 3. Средства SAS[8]
Средства SAS Описание
SASOpRiskMonitor Набор программ для ЭВМ производства компании SASInstituteInc., используемый для автоматизации процессов управления операционными рисками: ввод, хранение, накопление, передача, хранение, анализ, отслеживание, построение отчётов на основе информации по операционным потерям; измерение основных индикаторов риска и доходности; формирование таблиц о результаты оценки рисков. Включает следующие отчёты: «Уровень рисков и оценки потерь РС»; «Динамика выявления РС»;«Распределение потерь РС»
SAS Web Report Studio Включает следующие отчёты: «Агрегирование ряда измерений для совокупности сущностей»; Динамика КИР; Отчетные формы до руководителей подразделений
SAS Information Delivery Portal Включает отчетные формы для руководителей подразделений
SAS OpRiskVaR Набор программ для ЭВМ, используемые для вычисления количественных оценок риска
SAS OpRisk Data Справочник по потерям по операционным рискам, поставляемый компанией SASInstituteInc, содержащий данные по известным в мире событиям операционного риска с крупным потерями.
Ое
см см
Качественная оценка в условиях диджитализации должна осуществляться путем присвоения рейтинга операционным рискам по уровню их значимости. В соответствии с качественным подходом к оценке операционных рисков для каждого риска должны оцениваться вероятность и потенциальный эффект. Механизмы управления разрабатываются на основе сопоставления затрат с полезным эффектом и оценки степени применимости и безопасности в цифровой среде[9]. Это позволяет банку определить уровень значимости операционных рисков на основании вероятности и тяжести негативных последствий их реализации.
Выводы
Управление операционными рисками должно включать следующие стадии:
- обнаружение на основе самооценки подразделениями банка и сбора внутренних данных о потерях службой управления рисками при осуществлении операций с клиентами в цифровой среде (на основе Smartdata; биометрической идентификации; искусственного интел-
лекта; блокчейн - технологии и дополненной и виртуальной реальности)[10];
- мониторинг на основе ключевых индикаторов риска и утверждения/пересмотра аппетита к риску и пороговых значений при реализации цифровизации бизнеса, внедрения «облачных технологий»;
- минимизация операционного риска на основе контроля по операциям/сделкам и обеспечения непрерывности деятельности в цифровой среде;
- оценка на основе расчета капитала на покрытие операционного риска и стресс-тестирования (позволяет оценить, как воздействует рост уровня операционного риска на финансовые показатели отдельных бизнес -направлений или банка в целом путем внесения изменений, соответствующих потенциальным негативным событиям, в риск - факторы);
- анализ на основе зон концентрации риска; совершенствование управления риском на основе независимой проверки системы управления. Для реализации указанных направлений необходимо учитывать:
- внешние данные о потерях, которые используются в различных моделях
оценки операционного риска[11], а также факторы влияния бизнес-среды и внутренних сценариев управления (ВЕ^) для непосредственной корректировки требования к капиталу в условиях диджитализации, в которой акцент нужно делать на ИТ-составляющую;
- применение стандартизации процедур ввода данных: на основе пороговых сведений о потерях банка при реализации операционного риска при предоставлении услуг с использованием ИТ-технологий; минимального периода наблюдения (например, 5 лет);
- использование внутренних потерь и сценариев в качестве компонентов модели, состоящей в выборе маловероятных событий операционного риска с высокой тяжестью потерь, которые могут реализоваться в будущем (сценариев) и дальнейшей оценке возможных негативных последствий их реализации для банка; при этом важны: сочетание сложного макроэкономического сценарного анализа, в который включены параметры операционного риска с анализом чувствительности, позволяющим оценить влияние риск-факторов на итоговый показатель; оценка влияния операционного риска на финансовый результат и достаточность капитала, в том числе через моделирование активов, взвешенных по риску; использование различных программ стресс-тестирования операционного риска для банков с разной активностью в цифровой сфере; активная роль регулирующих органов за рубежом в формировании сценариев стресс-тестов и продвижении лучших практик стресс-тестирования;
- модели должны включать все факторы влияния диджитализации на бизнес-процессы бан-
ков и их прибыль, которые связаны с растущими операционными рисками и могут гарантировать высокий уровень безопасности транзакций и персональных данных клиентов. В числе основных направлений, по которым развивается банковское регулирование в этой области, можно назвать:
- совершенствование методологии оценки операционных рисков банковского портфеля для целей резервирования капитала банка, при этом, развитие методологии оценки рисков, как на основании стандартизированного подхода, так и на основе внутренних моделей;
- активное развитие методологии построения банками внутренних моделей, ужесточение требований к качеству данных, к бэк-тести-рованию моделей; повышение роли стресс-тестирования в управлении операционными рисками;
- совершенствование требований к организации в банках системы управления рисками, в том числе к внутреннему аудиту в цифровой среде.
Заключение
Таким образом, можно сделать вывод, что модель «цифровой банк» представляет собой построение взаимоотношений с клиентом путём создания и использования саморегулирующегося механизма управления операционным риском (СУОР); роботизации рутинных операций;»облачных технологий»; Smartdata; биометрической идентификации; искусственного интеллекта; блокчейн - технологии и дополненной и виртуальной реальности. Для этого следует рекомендации по усовершенствованию нормативно - правовой базы:
- учитывать требования к системе управления операционным риском в кредитной организации и банковской группе под воздействием внешних систем обеспечения (экосистема, биометрии, «облачных» технологий[12], Ыоск^ат технологии и «интернета вещей»).
- необходимо включать в оценку факторов операционного риска применение «облачных» технологий, включающих перечень доступных безопасных облачных сервисов и условия их использования; четко описанные ограничения по применению облачных сервисов; качественный аудит; сертификацию поставщиков услуг;
- важно учитывать влияние на состояние операционного риска банка использование смарт -контрактов, порядок организации защиты интересов каждой стороны смарт-контракта и единый подход к применению соответствующих норм;
- следует рассматривать в качестве источников риска банка использование технологии «интернета вещей», предусматривающего требования к операторам инфраструктуры технологических данных, а также техническим и программным средствам инфраструктуры; кроме того, необходимо ввести сертификацию, раз-
работать и внедрить базовые стандарты кибер-безопасности подключённых устройств; - необходимо учитывать влияние на показатели операционного риска банка применение искусственного интеллекта и робототехники, устанавливающего требования по сертификации систем искусственного интеллекта и введение запрета на производство и использование не-сертифицированных систем. Кроме того, необходимо предусмотреть утверждение систем искусственного интеллекта соответствующими профильными органами власти. Процесс утверждения должен состоять из нескольких стадий тестирования на безопасность системы по аналогии тестирования лекарств. Таким образом, вследствие возрастающей сложности банковских операций и появления инновационных технологий возникла необходимость выделения новых ранее не изученных групп рисков, которые выступают внешними источниками операционного риска. В связи с этим классификация операционного риска также требует корректировок, включая во внешние источники инновационные технологии, такие как «облачные» технологии, экосистема, «интернет вещей», blockchain и др. Из этого следует, что изучение влияния новых источников операционных рисков и грамотное использование инновационных технологий с минимумом потерь становятся насущной задачей банковского риск-менеджмента.
Литература
1. Цифровая Россия: новая реальность в 2017 г.// http://www.mckinsey.com/global-locations/ europe-and- middleeast/russia/ru/our-work/ mckinsey-digital.
2. Сизова Т.М. О методах обоснования нормативов достаточности капитала для покрытия операционных рисков/ https://cyberleninka.ru/ article/n/o-metodah-obosnovaniya-normativa-dostatochnosti-kapitala-dlya-pokrytiya-operatsionnyh-riskov.
3. Сизикова В., Гаврилина В., Битюцкий В. Методика разработки системы индексов ключевых индикаторов риска. - Риск менеджмент в кредитных организациях, 2016, № 4(24), с. 54-69.
4. Положение Банка России от 03.09.2018 г. № 652-П «О порядке расчета размера операционного риска» - http://www.consultant.ru/law/ hotdocs/55763.html/.
5. Лобанов А.А., Чугунов А.В. Энциклопедия финансового риск-менеджмента. - М.: «Альпи-на», 2009. - с. 303.
6. Sound Practices: implications of fintech developments for banks and bank supervisors, URL: https://www.bis.org/bcbs/publ/d431.pdf (дата обращения: 01.08.2018).
7. Сазыкин Б.В. Управление операционным риском в коммерческом банке/ Б.В. Сазыкин-2-е изд., доп. и переработ. - М.: Издательство Юрайт, 2019-224 с.-169с.
сз о со от m Р от
от А ш
8. PWCТехнологии финансовых услуг в 2020 году и в дальнейшем: революционные перемены, URL: https://www.pwc.ru/ru/banking/ publications/_FinTech2020_Rus.pdf (дата обращения: 01.08.2018)
9. СТО БР ИББС-1.4-2018 «Обеспечение ИТ-безопасности организаций банковской системы Российской Федерации». URL: http://www.cbr. ru/content/document/file/46919/st-14-18.pdf (дата обращения: 27.08.2018).
10. Исаев Р.А. Бизнес-архитектура (комплексная модель) современного банка, URL: http://www. bankiram.pro/ (дата обращения: 12.06.2018).
11. Соловьева А.С. Развитие моделей оценки операционного риска./ https://cyberleninka. ru/article/n/razvitie-modeley-otsenki-razmera-operatsionnogo-riska/viewer
12. Бобыль В.В. Воздействие «облачных» технологий на операционные риски банка, URL: http://izron.ru/articles/perspektivy-razvitiya-ekonomiki-i-menedzhmenta-sbornik-nauchnykh-trudov-po-itogam-mezhdunarodnoy-nau/sektsiya-7-bankovskoe-i-strakhovoe-delo/vozdeystvie-oblachnykh-tekhnologiy-na-operatsionnye-riski-banka/ (дата обращения: 08.08.2018)
REALIZATION OF OPERATIONAL RISK
OF A COMMERCIAL BANK IN DIGITAL ENVIRONMENT
Markova O.M.
Financial University under the Government of the Russian Federation
The subject of the study is the study of the manifestations of operational risk in the digital environment. Based on this, the purpose of the article is to analyze specific measures aimed at reducing the negative impact of this risk on banks and regulating this process by the Bank of Russia. Of particular importance is the search for adapted models that can objectively determine the level of operational risk inherent in a particular bank, as well as the development of a set of measures to limit and monitor it. Due to the increasing complexity of banking operations and the emergence of innovative technologies, the need arose to identify new, previously unstudied, risk groups
that act as external sources of operational risk (in particular, digital business). The research methodology is based on the methods of comparative and economic-statistical analysis of the impact of risks on the bank. As a result, conclusions were drawn about the prospects for limiting operational risk in the digital environment.
Keywords: operational risk, biometrics, Internet of things, robotics, "cloud technologies".
References
1. Digital Russia: a new reality in 2017// http://www.mckinsey.com/ global-locations/europe-and - middleeast/russia/ru/our-work/ mckinsey-digital.
2. Sizova T.M. On methods of substantiating capital adequacy ratios to cover operational risks/ https://cyberleninka.ru/article/n/ o-metodah-obosnovaniya-normativa-dostatochnosti-kapitala-dlya-pokrytiya-operatsionnyh-riskov.
3. Sizikova V., Gavrilina V., Bityutsky V. Methodology for developing a system of indices of key risk indicators. - Risk management in credit institutions, 2016, no. 4(24), pp. 54-69.
4. Regulation of the Bank of Russia dated 03.09.2018 No. 652-P "on the procedure for calculating the amount of operational risk" - http://www.consultant.ru/law/hotdocs/55763.html/.
5. Lobanov A. A., Chugunov A.V. encyclopedia of financial risk management, Moscow: Alpina, 2009, p. 303.
6. Sound Practices: implications of fintech developments for banks and bank supervisors, URL: https://www.bis.org/bcbs/publ/ d431.pdf (accessed: 01.08.2018).
7. Sazykin B. V. operational risk Management in a commercial Bank/ B.V. Sazykin-2nd ed., add. and pererabot. - Moscow: yurayt Publishing house, 2019-224 p. - 169c.
8. PwC technologies for financial services in 2020 and beyond: revolutionary changes, URL: https://www.pwc.ru/ru/banking/ publications/_FinTech2020_Rus.pdf (accessed: 01.08.2018)
9. STO BR IBBS-1.4-2018 "Ensuring it security of organizations of the banokvsky system of the Russian Federation".URL: http: / / www. cbr. ru/content/document/file/46919/st-14-18. pdf(ac-cessed 27.08.2018).
10. Isaev R.A. Business architecture (complex model) of a modern Bank, URL: http://www.bankiram.pro/ (accessed 12.06.2018).
11. Solovyova A.S. Development of operational risk assessment models./ https://cyberleninka.ru/article/n/razvitie-modeley-otsenki-razmera-operatsionnogo-riska/viewer
12. Bobyl V.V. Impact of "cloud" technologies on operational risks of the Bank, URL: http://izron.ru/articles/perspektivy-razvitiya-ekonomiki-i-menedzhmenta-sbornik-nauchnykh-trudov-po-itogam-mezhdunarodnoy-nau/sektsiya-7-bankovskoe-i-stra-khovoe-delo/vozdeystvie-oblachnykh-tekhnologiy-na-operatsionnye-riski-banka/ (accessed: 08.08.2018).
a.
e
CM CM
