CC BY
558
Система внутреннего контроля за операционными рисками как элемент антикризисного управления коммерческими банками
С.Л. Ермаков
член-корреспондент Российской академии естественных наук, заведующий кафедрой экономической теории и предпринимательства Российской академии предпринимательства, кандидат экономических наук (г. Москва)
Ю.Н. Юденков
профессор кафедры финансов, денежного обращения и кредита Академии народного хозяйства при Правительстве Российской Федерации, кандидат экономических наук (г. Москва)
Ермаков Сергей Львович, ermakovsl@mail.ru
В условиях увеличения объемов и развития банковских операций, роста конкуренции на рынке банковских услуг на фоне нарастающих кризисных явлений в экономике особенно актуальной задачей банковского кризис-менеджмента является построение эффективных систем управления банковскими рисками с применением методов, которые позволяют поддерживать размер риска на безопасном для банковского бизнеса уровне.
Тот факт, что сегодня как мировая, так и отечественная финансовая индустрия терпят значительные убытки, заставляет многих руководителей переосмыслить подход к управлению рисками в целом. Либерализация движения капитала, развитие информационных технологий и финансовые нововведения привели к увеличению объема и разновидностей банковских рисков. Современная банковская практика свидетельствует о том, что, помимо кредитного, процентного и рыночного рисков, весьма значительными могут быть и другие риски. К примеру, широкое использование автоматизированных технологий способно трансформировать ошибки ручной обработки данных в системные сбои. Рост электронной коммерции способствует возникнове-
нию прецедентов внутреннего и внешнего мошенничества. Последствия крупномасштабных приобретений, слияний, разделений и консолидации ставятся в зависимость от жизнеспособности вновь введенных систем либо систем, образовавшихся в результате интеграции. Превращение банков в крупных поставщиков услуг определяет необходимость постоянного поддержания на высоком уровне внутреннего контроля и резервных систем.
Сегодня очевидно, что операционный риск намного более важен, чем считалось ранее1. В результате большой интерес вызывают новые подходы к его выявлению и предотвращению, основывающиеся на эффективной системе внутреннего контроля в финансовой организации.
Изначально внутренний контроль (internal control) предназначался для предотвращения мошенничества, несанкционированных действий и умышленных ошибок персонала. Сейчас сфера контроля расширилась, отчасти из-за необходимости выявления и оценки операционного риска. По признанию Базельского комитета по банковскому надзору, операционный риск - это понятие, имеющее множество значений в банковской индустрии. Вследствие этого для внут-
1 См., например: Самад-Хан Али, СпивакГригорий. Современный подход к управлению операционными рисками // Банковское обозрение. 2008. № 12.
ренних нужд банки могут использовать не только официальное, но и свои собственные определения операционного риска. При этом каким бы ни было это определение, критически важно ясное понимание банками того, что же все-таки представляет собой операционный риск.
В российском банковском законодательстве операционный риск впервые был упомянут в письме Банка России от 23 июня 2004 года № 70-Т «О типичных банковских рисках», в котором было дано его определение как риска возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации, требованиям существующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации, иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
В конце XX века Базельский комитет исследовал внутренние причины операционных потерь в финансовых организациях2. Основное внимание уделялось системе внутреннего контроля и оценке ее эффективности. Было установлено, что наиболее распространенные причины операционных потерь являются следствием недостатков в системе внутреннего контроля, таких как:
• недостаточное внимание руководства при организации и поддержании системы внутреннего контроля, а также отсутствие корпоративной культуры в банке;
• неверная оценка риска при осуществлении банком балансовых и забалансовых операций;
• отсутствие внутренних подразделений и процедур контроля при осуществлении бизнес-процессов, таких как разделение обязанностей, санкционирование, верификация, согласование и надзор за текущей деятельностью;
• неэффективная система передачи информации между различными уровнями управления, особенно при информировании вышестоящего руководства о возникающих трудностях;
• недостаточная или неэффективная роль аудита в оценке эффективности системы внутреннего контроля.
Систему внутреннего контроля следует рассматривать в разрезе пяти основных блоков:
I. Деятельность руководства и общая культура контроля. Совет директоров (правление) коммерческого банка утверждает стратегию, внутренние правила и положения, методику анализа банковских рисков и устанавливает допустимый уровень риска. Кроме того, высшее руководство несет ответственность за реализацию утвержденной стратегии развития, соответствие текущей деятельности компании разработанным и утвержденным принципам и правилам. Высшее руководство отвечает за создание в банке внутреннего контроля и на регулярной основе контролирует эффективность этой системы.
Правление и совет директоров совместно отвечают за воплощение корпоративной культуры внутри организации, объясняя необходимость внутреннего контроля всему персоналу.
II. Выявление и оценка рисков. Высшее руководство ответственно за обеспечение своевременного выявления и оценку тех факторов, которые могут неблагоприятно повлиять на достижение целей банка. Это относится ко всем видам риска, которым подвержена кредитная организация. Для этого разрабатываются внутренние положения, которые определяют общие принципы и методики управления рисками, устанавливают необходимые лимиты и ограничения.
2 Framework for internal control systems in banking organizations. Basel Committee on Banking Supervision, 1998, September.
III. Процедуры контроля. Основной метод управления операционными рисками состоит в создании эффективных процедур контроля, которые в совокупности составляют единую систему внутреннего контроля (СВК). Процедуры внутреннего контроля должны быть обязательным элементом при осуществлении всех бизнес-процессов, что позволит сократить вероятность и последствия реализации операционного риска.
IV. Информационные системы и коммуникации. Высшее руководство должно гарантировать наличие достоверной, точной, своевременной, доступной и полноценной информации для принятия решений и оценки текущей деятельности. Для этого необходимо иметь надежные каналы связи для обеспечения доступа и передачи всей необходимой информации. Кроме того, в компании должны быть разработаны схемы передачи информации ответственным сотрудникам.
Высшее руководство должно гарантировать наличие соответствующих информационных систем, которые охватывают всю деятельность банка. Эти системы должны периодически проверяться, а основное оборудование - находиться в защищенном месте.
V. Мониторинг текущей деятельности. Контроль за наиболее важными рисками должен осуществляться ежедневно. Эффективность СВК периодически должна проверяться, и выявленные во время проверки недостатки должны быть своевременно доложены руководству соответствующего уровня.
Современный подход к системе внутреннего контроля в финансовых организациях базируется на предположении, что если система управления построена с соблюдением принципов, структурно и качественно соответствующих рекомендациям Базельского комитета, то она эффективна.
Кроме классифицирования убытков, связанных с операционным риском, по типам риска, существует и общепринятая практика классификации убытков по основным направлениям банковской
деятельности. При этом создается двусторонняя «матричная» система классификации, которая распределяет убытки по ячейкам различных направлений деятельности. Используемые специфические направления деятельности могут варьироваться у разных банков. Базельский комитет, сотрудничая с организациями банковского сектора, разработал следующие основные категории, которые могут использовать довольно большое количество банков:
• корпоративные финансы,
• торговые операции и товарооборот,
• розничные банковские операции,
• коммерческие банковские операции,
• платежи и расчеты,
• агентские услуги и доверительное хранение,
• управление активами,
• розничные брокерские операции.
Так же, как и в случае с классификационными системами событийных типов, многие банки идут дальше и подразделяют указанные категории по направлениям деятельности, что является отражением их особой структуры и деловой активности. Некоторые банки считают полезным классифицировать убытки в соответствии с результатами их последствий, что позволяет им отслеживать и классифицировать такие убытки в показателях, соответствующих общей бухгалтерской книге банка в рамках системы бухгалтерского учета, тем самым связывая классификацию убытков с процессом учета по счету прибылей и убытков.
Категории последствий убытков, как правило, включают в себя такие элементы, как правовая ответственность, регулятивная акция, потеря или нанесение вреда физическим активам, реституция (возмещение убытков), потеря права регресса и частичное списание. По каждому событию, связанному с убытками, такая система классификации позволяет банку до известной степени отслеживать воздействие какого-либо события на состояние счета прибылей и убытков, что отражается непосредственно на общем счете прибылей и убытков (табл. 1).
Таблица 1
Классификация операционного риска по типам событий
Тип события Определение
Внутреннее мошенничество Убытки в результате мошенничества, злоупотребления собственностью или невыполнения регулятивных требований, законов или политики компании, исключая случаи дискриминации, с участием по крайней мере одного инсайдера
Внешнее мошенничество Убытки в результате мошенничества, злоупотребления собственностью или невыполнения законов третьей стороной
Кадровая политика и безопасность труда Убытки вследствие нарушения законов об обеспечении здоровья и безопасности или трудовых соглашений, а также от выплат по искам о нарушении личных прав или по искам о дискриминации
Клиенты, продукты, коммерческая практика Убытки в результате небрежности или непреднамеренного невыполнения профессиональных обязательств перед конкретными клиентами либо в результате природы продукты (например скоропортящиеся или легкообесценивающиеся (автомобили) товары в залоге) или конструкции продукта (хрупкость и прочее)
Ущерб материальным активам Материальные убытки в результате природной катастрофы или других событий
Нарушения в проведении коммерческих операций и системные сбои Убытки в результате нарушений в проведении коммерческих операций и системных сбоев
Исполнение, поставка и обработка операций Убытки в результате неправильного проведения операций или неправильного управления в процессе отношений с торговыми контрагентами
Мониторинг потерь от наступления операционного риска включает анализ каждого случая, описание природы и причин, которые в конкретной ситуации привели к реализации операционного риска. Чтобы выявить направления, наиболее подверженные операционному риску, рекомендуется проводить пооперационное разложение процессов и технологий на элементарные составляющие (operational unit), для каждой из которых эмпирически или статистически определяется степень влияния на нее того или иного источника риска. Это называется декомпозицией операционного риска по операциям, составляющим каталог операционных рисков, который позволяет выявить наиболее уязвимое подразделение банка. Составление каталога операционных рисков становится основной задачей при построении адекватной системы управления ими. Составлять его можно либо силами подразделений банка (в виде «технологической карты» операций), либо поручить это дело
внешней консультационной фирме. После создания каталога выявляются процессы и отдельные операции, на которых в наибольшей степени концентрируются конкретные факторы риска. Затем разрабатываются мероприятия по уменьшению и ограничению выявленных рисков.
Зачастую операционный риск влечет за собой возникновение репутационного, правового, стратегического рисков, которые, в свою очередь, связаны с такими ключевыми рисками банковской деятельности, как кредитный риск и риск ликвидности. В связи с этим каждый банк должен выстроить систему управления операционным риском и придать ей надлежащую значимость.
Методы управления операционным риском предполагают использование интегрированных процессов, инструментов и стратегий, а именно:
1) стратегии (SWOT-анализ стратегий и задач, связанных с управлением операционным риском);
2) политика управления риском (положения и регламенты компании, устанавливающие принципы управления операционным риском);
3) процесс риск-менеджмента (контроль, оценка, измерение, отчетность);
4) миграция риска (конкретные меры, направленные на сокращение частоты событий, силы их воздействия и зависимости от них);
5) управление операциями (повседневный процесс);
6) культура (нематериальный инструмент, определяющий этические принципы, ценности компании и служащих).
В настоящее время требования и методологическая база в части «функциональных» рисков, к которым относятся банковские операционные риски, гораздо менее проработаны, чем в части «финансовых» видов риска, таких, например, как кредитный или рыночный. Существенную сложность привносит неоднородность, междисциплинарность проблемы операционного риска. Не существует способа адекватной оценки вероятности отказа единицы оборудования, вероятности разрушения базы данных, вероятности несовершенства и недостатков в технологических процедурах бизнес-процессов. Проблема операционных рисков и система управления операционными рисками - это комплексная, сложная проблема, состоящая из многих компонентов.
В целях введения культуры управления операционным риском в российских банках Банком России было издано письмо от 24 мая 2005 года № 76-Т «Об организации управления операционным риском в кредитных организациях». В нем раскрываются факторы операционного риска, роль совета директоров (наблюдательного совета) и исполнительных органов по организации управления операционным риском, принципы построения системы управления операционным риском, используемые в международной практике, подходы к выявлению, оценке, мониторингу, контролю и минимизации операционных рисков.
Для унификации подходов и достижения сопоставимости данных о понесенных операционных убытках для создания и ве-
дения соответствующих аналитических баз данных Банк России рекомендует использовать в качестве базовой матрицы классификацию случаев операционных убытков и направлений деятельности кредитной организации (табл. 2).
База данных может быть автоматизированной и вестись на ежедневной основе: все события, попадающие в категорию операционного риска, должны фиксироваться в момент их возникновения и передаваться в управление (службу) риск-менеджмента банка. При этом в банке следует определить критерии значимости возникающих событий и распределить ответственность за принятие решений по их нейтрализации и минимизации последствий их влияния. Служба риск-менеджмента должна периодически информировать руководство банка о возникающих событиях, анализировать и систематизировать их, а также разрабатывать предложения по сокращению событий операционного риска.
В российской банковской системе осознание актуальности проблематики операционных рисков произошло значительно позже, чем за рубежом, поэтому практические и методологические разработки российских банков находятся на несколько более ранних этапах развития. Казалось бы, в такой ситуации можно использовать международный опыт, однако здесь возникают проблемы с адекватностью перенимаемых моделей и подходов, поскольку для операционных рисков особенно существенны структурные характеристики банковского бизнеса, которые в России имеют специфический характер.
Так, если в деятельности зарубежных компаний наибольшее значение имеют операционные риски, связанные с ошибками при использовании производных финансовых инструментов и осуществлением несанкционированных торговых операций, то в российской практике область возникновения операционных убытков совершенно иная - это информационные технологии, которые предполагают такие виды операционных потерь, как физический ущерб дорогостоящему имуществу, вынужденные задержки осуществления операций, потеря данных и ошибочные расчеты.
Таблица 2
Систематизация информации по операционному риску
Направление деятельности банка Операции и услуги, входящие в направление Событие ия а ти аты с Причина события (ответственные лица) Принятые меры по устранению события Воз- можные последс- твия
Банковское обслуживание физических лиц Предоставление кредитов (займов)
Привлечение денежных средств во вклады
Открытие и ведение банковских счетов физических лиц, осуществление платежей по поручению физических лиц
Доверительное управление денежными средствами и (или) ценными бумагами
Предоставление консультаций по вопросам инвестирования
Обслуживание банковских карт
Кассовое обслуживание
Банковское обслуживание юридических лиц Предоставление кредитов (займов)
Привлечение депозитов
Открытие и ведение счетов
Операции с векселями
Выдача банковских гарантий и поручительств
Факторинговые, форфейтинговые операции
Лизинг
Кассовое обслуживание
Инкассация
Консультационные, информационные услуги
Другие услуги
Таблица 2 (продолжение)
Направление деятельности банка Операции и услуги, входящие в направление е тие бы о С ия а ти аты с Причина события (ответственные лица) Принятые меры по устранению события Воз- можные последс- твия
Расчеты и платежи (кроме клиентских) Расчеты на нетто-основе, клиринг, осуществление валовых расчетов, инкассовые операции
Агентские услуги Доверительное хранение документов, ценных бумаг, депозитарных расписок, денежных средств и другого имущества
Ведение эскроу-счетов
Осуществление агентских функций для эмитентов и функций платежного агента
Операции и сделки на рынке ценных бумаг Приобретение ценных бумаг с целью получения инвестиционного дохода для перепродажи
Срочные сделки с ценными бумагами, иностранной валютой, драгоценными металлами, деривативами
Выполнение функций маркетмейкера
Операции РЕПО
Другие операции
Оказание банковских услуг на рынке капиталов Первичное размещение эмиссионных ценных бумаг
Услуги при сделках М&А
Секьюритизация
Инвестиционный консалтинг
Исследование рынков
Брокерская деятельность Различные брокерские услуги, в том числе розничные
Управление активами Доверительное управление фондами
К сожалению, сегодня большинство банков практически не уделяют внимание таким аспектам, как:
• управление проектами (отслеживание всего алгоритма разработки и внедрения проекта не ведется, в весьма слабой степени контролируются результаты);
• управление и контроль информационной безопасности (не обеспечивается комплексный подход к предотвращению проблем, связанных с действиями сотрудников, сбоями в информационных системах, а также несанкционированным доступом извне);
• управление информационными технологиями (качество информационных систем и технологий не соответствует требованиям бизнеса);
• создание системы управления рисками (не осуществляются идентификация, оценка, анализ и управление операционными рисками на уровне всей организации и по всем направлениям деятельности).
Актуальными для российских банков являются угрозы со стороны операционного риска, связанные прежде всего с факторами политики управления кадрами и организацией бизнес-процессов. Так, в некоторых подразделениях нередко ощущается недостаток персонала на уровне исполнителей. В результате отдельные сотрудники (в том числе менеджеры среднего звена) перегружены и совмещают исполнительские и административные функции, работу с клиентами и техническое проведение платежей, что не может не сказаться отрицательно на качестве и безопасности проводимых ими операций.
Многим банкам также следует срочно пересмотреть политику формирования человеческого капитала и обратить внимание на профессионализм менеджеров, непосредственно занимающихся отбором персонала, которые часто демонстрируют безграмотность и недальновидность. Это проявляется в том, что потенциальные кандидаты «отсеиваются» не по принципу профессиональной пригодности, а по формальному соответствию зарубежным тестам психоло-
гического характера, суть которых нередко остается загадкой для самого менеджера по отбору персонала.
В части обеспечения банков информационными системами сегодня сплошь и рядом отмечаются недостатки, связанные с отсутствием гибкости используемых платформ, -введение новых модулей обычно является трудоемким, дорогостоящим и растянутым во времени процессом. Сегодня значительная часть банковских отчетов, включая аналитические, составляется вручную.
Во многих российских банках еще не сформирована база данных событий, содержащих угрозы возникновения операционного риска. Однако если даже она и есть, то, как правило, имеет информативный характер и существенного влияния на деятельность подразделений, демонстрирующих повышенную концентрацию операционного риска, не оказывает.
Сущность балльно-весового метода -оценка операционного риска в сопоставлении с мерами по его минимизации. На основе экспертного анализа выбираются информативные для целей управления операционным риском показатели и определяется их относительная значимость (весовые коэффициенты). Затем выбранные показатели сводятся в таблицы (оценочные карты) и оцениваются с использованием различных шкал. Полученные результаты обрабатываются с учетом весовых коэффициентов и сопоставляются по направлениям деятельности банка, отдельных видов операций и других сделок. Применение этого метода наряду с оценкой операционного риска позволяет выявить слабые и сильные стороны в управлении им.
В рамках метода моделирования (сценарного анализа) на основе экспертного анализа для направлений деятельности банка, отдельных видов операций и других сделок определяются возможные сценарии возникновения события или обстоятельств, приводящих к операционным убыткам, и разрабатывается модель распределения частоты возникновения и размеров убытков, которая затем используется для оценки операционного риска. В настоящее время Банком России разработан и представлен
для публичного обсуждения порядок его расчета и покрытия капиталом, соответствующий избранной опции Базеля II.
Размер операционного риска (ОЯ) предлагается рассчитывать по формуле, предложенной Базельским комитетом по банковскому надзору в Базеле II по капиталу, а именно:
ОЯ = 12,5 х [(Щ /п ) х 15%],
где ОЯ - операционный риск;
- показатель дохода для целей расчета капитала на покрытие операционного риска за /'-й год (валовой доход);
п - количество лет, предшествующих дате расчета размера операционного риска.
При этом показатель дохода для целей расчета капитала на покрытие операционного риска за год представляет собой сумму чистых процентных доходов и чистых непроцентных доходов (по форме 0409807 «Отчет о прибылях и убытках» (публикуемая форма) согласно указанию Банка России от 31 августа 2007 года № 1881-У «О внесении изменений в указание Банка России от 16 января 2004 года № 1376-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный Банк Российской Федерации»). Чистые непроцентные доходы представляют собой сумму показателей «Чистые доходы от операций с ценными бумагами, оцениваемыми по справедливой стоимости через прибыль или убыток», «Чистые доходы от операций с иностранной валютой», «Чистые доходы от переоценки иностранной валюты», «Доходы от участия в капитале других организаций» (за исключением доходов от вложений в акции (доли), участия в дочерних и зависимых юридических лицах), «Комиссионные доходы», «Комиссионные расходы», «Прочие операционные доходы» (за исключением доходов от разовых операций), «Операционные расходы» (за исключением расходов от разовых операций и административно-управленческих расходов) формы 0409807.
3 Quantitative Impact Studies № 5 (июнь 2006 года).
Расчет величины валового дохода за каждый финансовый год, предшествующий дате расчета размера операционного риска, осуществляется кредитной организацией на основании сопоставимых данных формы 0409807. Если показатель валового дохода за какой-либо год отрицателен или равен нулю, то значение этого показателя исключается из расчета величины операционного риска. Одновременно с этим показатель количества лет п сокращается на количество лет, по итогам которых зафиксировано отрицательное или нулевое значение показателя валового дохода.
Множитель 12,5 представляет собой число, обратное минимальному отношению капитала к активам в 8 процентов, и инициирован Базельским комитетом по банковскому надзору.
По планам Банка России расчет размера операционного риска будет осуществляться ежегодно на операционный день, следующий за датой опубликования формы 0409807 за отчетный год, и фигурировать как постоянная величина в знаменателе формулы расчета совокупных требований к капиталу на протяжении всего года (табл. 3).
В связи с введением в расчет достаточности капитала показателя оценки операционного риска многими российскими банками высказывается обеспокоенность по поводу возможного снижения значения обязательного норматива Банка России Н1. На самом деле введение учета операционного риска приведет к необходимости дополнительных отчислений в капитал, что вполне логично. Согласно результатам исследований Базельского комитета3 применение базового индикативного подхода банками стран, не входящих в «группу десяти», поставит перед ними необходимость увеличить свой капитал в пределах 5-34 процентов. При этом в значительной степени рост регулятивного капитала будет зависеть от активности банка на рынке. Например, крупные банки по сравнению с банками среднего и малого масштаба принимают более крупные операционные риски, однако, как показывают расчеты, введение в формулу достаточнос-
Таблица 3
Пример расчета операционного риска, тыс. р.
Показатель Дата
01.01.2006 01.01.2007 01.01.2008
Чистые процентные доходы 107 360 133 824 143 147
Чистые непроцентные доходы 217 714 135 417 147 417
Чистые доходы от операций с ценными бумагами, оцениваемыми по справедливой стоимости через прибыль или убыток 2 236 4 065 6 120
Чистые доходы от операций с иностранной валютой 3 210 3 288 3 840
Чистые доходы от переоценки иностранной валюты 86 138 1087
Доходы от участия в капитале других организаций (за исключением вложений в акции (доли), участия в дочерних и зависимых юридических лицах) - - -
Комиссионные доходы 60 815 39 479 31755
Комиссионные расходы 2 268 2 487 2 270
Прочие операционные доходы (за исключением доходов от разовых операций) 6863 8 816 9 770
Операционные расходы (за исключением расходов от разовых операций и административно-хозяйственных расходов) 142 237 77 145 92 575
Валовой доход 325 073 269 241 290 563
Операционный риск - - 553 048
ти капитала оценку операционного риска на основе базового индикативного подхода может снизить показатель норматива НІ всего на 2-5 процентов. При этом у мелких и средних банков наблюдается снижение величины норматива НІ на 10 и более процентов.
Основной причиной этого является традиционная для большинства российских крупных банков агрессивная кредитная политика: банки, стремясь захватить не заполненные до сих пор ниши в недостаточно насыщенном сегодня российском рынке банковских услуг, в большинстве случаев избирают стратегию активного наращивания кредитного портфеля, поэтому требования к капиталу по кредитному риску намного выше требований к капиталу по операционному риску, что приводит к иллюзии несущественности последних. Соответственно, при замедлении рос-
та объемов кредитования, «удлинении» срочности активов и пассивов, смещении стратегических приоритетов на получение непроцентных доходов произойдет изменение распределения долей резервирования капитала под кредитный и операционный риски.
В связи с этим очевидно, что изменение стратегий малых и средних банков на более активные, нацеленные на освоение определенного места (ниши или направления деятельности) на рынке банковских услуг снизит влияние расчетного объема операционного риска на показатель достаточности капитала, хотя при этом усилит воздействие кредитного риска.
По нашему мнению, несмотря на то, что работа Банка России по определению требований к расчету операционного риска и рекомендаций по построению эффективной системы управления еще
не завершена, российским коммерческим банкам уже сегодня следует задуматься о необходимости введения инструментов риск-менеджмента для своевременной идентификации, количественной оценки, минимизации и профилактики операционных рисков.
К основным задачам риск-менеджмента по надзору за операционным риском могут относиться следующие:
1) оценка эффективностью управления операционным риском:
• в части достоверности и полноты информации о бизнес-процессах;
• в части эффективности бизнес-процессов и уровня выявленного операционного риска;
• в части соблюдение законов, нормативов и договорных обязательств;
• в части сохранности активов и подтверждения величины справедливой стоимости;
2) оценка эффективности контроля в сфере управления операционным риском, включающая:
• проверку наличия четко сформулированных оперативных и долгосрочных целей и задач совершенствования бизнес-процессов, оценку степени их соответствия целям и задачам деятельности банка;
• анализ деятельности и планов банка (план-факт анализ);
• проверку адекватности критериев выполнения поставленных целей и задач;
3) оценка и рекомендации по совершенствованию процесса корпоративного управления, оказывающего влияние на состояние среды управления операционного риска:
• в части продвижения этических стандартов;
• в части обеспечения эффективного процесса управления деятельностью и ее оценки;
• в части эффективного и своевременного обеспечения информацией по вопросам оценки и минимизации рисков;
• в части эффективного координирования деятельности и обмена информа-
цией между советом директоров, аудиторами и менеджментом.
В управлении операционным риском основную нагрузку взаимодействия риск-подразделений и бизнес-подразделений несут риск-менеджеры этих подразделений. На них возлагаются функции по сбору информации и внедрению процедур контроля операционных рисков.
Таким образом, управление операционными рисками в условиях типичной для российской действительности «вертикальной модели власти» будет эффективным, если на всех уровнях иерархии, то есть на системном уровне, будут решены задачи организационного управления. Только через управление всей совокупностью бизнес-процессов (основными, поддерживающими, организационными) можно реально уменьшить потери, связанные с проявлением операционного риска.
Ключевой категорией методологии управления операционными рисками является понятие «неблагоприятное событие». Под ним понимается любое идентифицируемое событие или действие на процессы или операции банка, следствием которых являются те или иные потери банка. Как правило, события классифицируются по источникам их возникновения, а также по объектам, на которых они произошли. Результатом неблагоприятного события являются потери банка, классифицируемые на измеряемые потери, то есть те, которые могут определяться количественным образом и неизмеряемые потери, определяющиеся экспертным или качественным способом. Основные виды измеряемых и неизмеряемых потерь приведены в таблицах 4 и 5.
Оценка уровня риска может определяться как качественно, так и количественно.
Количественная оценка риска имеет вероятностный (прогнозный) характер, расчет опирается на статистические методы, а величина зависит от уровня принимаемой доверительной вероятности. В качестве количественных оценок могут выступать следующие статистические параметры случайных величин, которыми являются конкретные источники риска:
Таблица 4
Измеряемые операционные потери
Тип операционных потерь Описание, проявление
Снижение или потеря части стоимости активов Непосредственное уменьшение стоимости активов в результате кражи, мошенничества, несанкционированных или кредитных/рыночных убытков в результате ошибок или сбоев операционного характера
Потери в результате ошибок в реквизитах платежей Платежи и списание средств в результате ошибок в реквизитах платежей или в отношении неправильных контрагентов, которые не были возвращены
Потери по компенсациям Платежи (включая проценты) клиентам в качестве компенсации
Потери по юридическим обязательствам Расходы, связанные с судебными разбирательствами, и иные юридические платежи, связанные с юридическими ошибками в контрактных документах
Потери материальных активов Непосредственная потеря стоимости физических активов в результате каких-либо обстоятельств (кража, пожар и т. д.)
Штрафы по предписаниям регулирующих и контролирующих органов Штрафы и иные обязательные платежи в результате нарушения нормативных актов и предписаний регулирующих органов
Налоговые потери Штрафы по предписаниям налоговых органов и другие потери, связанные с неправильным регулированием собственных налоговых платежей и нарушениями правил налогового учета в результате ошибок операционного характера
Таблица 5
Неизмеряемые операционные потери
Тип операционных потерь Описание, проявление
Снижение качества услуг Потеря качества предоставляемых услуг и обслуживания, приводящих в дальнейшем к потере клиентской базы банка
Недополучение доходов Недополучение запланированных доходов
Потеря качества Потеря качества внутренних банковских процессов, приводящих в дальнейшем к дополнительным расходам
Потеря репутации Потеря репутации (goodwill) или других параметров, приводящих в дальнейшем к потере клиентской базы
Приостановка деятельности Приостановка деятельности в результате неблагоприятного события (например технологического сбоя или юридических/налоговых ошибок) подразделяется на краткосрочную, долгосрочную и окончательную
• оценка вероятности4 осуществления неблагоприятного события на объекте риска из-за реализации конкретного источника риска;
• статистическая оценка результата неблагоприятного события как статистическая оценка5 размера возможных потерь по типам потерь, которые могут возникнуть на объекте риска;
• статистическая оценка возможных от-клонений6 с заданным уровнем доверительной вероятности от оценки возможных потерь.
Качественный способ применяется для оценки качественного уровня процедур и технологий осуществления отдельных операций и процессов, а также для тех источников и объектов операционного риска, уровень которых нельзя однозначно выразить через некоторое число, характеризующее возможный уровень потерь. В этом случае оценка производится экспертно по трех-, пяти- или десятибалльной системе, для чего разрабатываются специальные таблицы критериев и факторов риска с предлагаемыми шкалами оценок. Качественные оценки используются наряду с количественными оценками для определения соответствия используемых процедур совершения операций эталонным и для определения повышенных зон риска.
Важным элементом методологии управления операционным риском являются понятия общей (дговв-пвк) и эталонной (пе1-пвк) оценок риска, которые могут быть как количественными, так и качественными.
Под общей оценкой уровня операционного риска (дговв-пвк) понимается оценка реальных угроз и слабостей, существующих на определенный момент в операционной и технологической среде банка, всех условий, недостатков, характеристик и процедур осуществления анализируемых операций в банке.
Под эталонной (или чистой) оценкой уровня операционного риска (пе1-пвк) понимается отраслевая оценка чистого уровня риска по каждому источнику риска на эталонных (идеально организованных) процедурах осуществления операций и процессов с полным набором контрольных мероприятий и всех необходимых ресурсов, исключающих возникновение неожиданных неблагоприятных событий, связанных с собственными (индивидуальными) ошибками и недостатками того или иного банка. Оценка эталонного (чистого) риска осуществляется либо на основе общебанковских отраслевых баз данных о неблагоприятных событиях операционного характера, либо экспертным способом.
Степень расхождения общей и эталонных оценок риска на отдельных операциях или процессах характеризует уровень слабостей и недостатков конкретного банка в процедурах и технологиях осуществления операций или процессов.
Логично, что текущие ошибки в деятельности банка встречаются довольно часто, но они не очень значительны с точки зрения покрытия (финансовых затрат), напротив, ошибки, приводящие к катастрофическим потерям, довольно редки. На рисунке отображается такое условное распределение вероятности размера убытков и частоты потерь.
Большая проблема - недостаток данных. Имеется множество так называемых «ожидаемых» потерь, таких как злоупотребления в использовании кредитной карточки, неудачные торговые операции и даже мелкое мошенничество.
Идентификация риска является критичным фактором для последующего осуществления надлежащей оценки, мониторинга и контроля в отношении операционного риска. Эффективная идентификация риска предполагает учитывать как внутренние
4 В случае применения вероятностно-статистических методов вместо оценки вероятности выступает статистическая гипотеза о функции распределения вероятности случайной величины (источника риска) на множестве объектов риска, например на множестве транзакций через платежную систему.
5 В случае применения вероятностно-статистических методов в качестве оценки выступает математическое ожидание.
6 В случае применения вероятностно-статистических методов в качестве оценки выступает среднеквадратическое отклонение (дисперсия).
ф
I—
о
с
Распределение вероятности частоты и размера потерь
факторы (например сложность банковской структуры, природу банковской деятельности, квалификацию персонала, изменения организационной структуры и текучесть кадров), так и внешние факторы (например изменение экономических условий, новации в банковской и достижения в технологической сферах), которые могли бы препятствовать достижению поставленных банком целей. Процесс идентификации риска должен также включать в себя решение о том, какие риски банк способен контролировать, а какие нет.
В мировой практике масштабы потерь от операционного риска уже никого не удивляют - даже такая значительная величина, как 3,7 миллиарда долларов США в год для 89 банков, обследованных Банком международных расчетов7. Причина «хладнокровия» проста: найден принцип борьбы с этим «злом». Он довольно-таки прагматичен -«оцени - управляй - отвечай».
Операционные риски в целом подразделяются:
• на транзакционные риски - риски потерь в результате ошибок при прове-
7 УРЬ: http://www.bis.org/bcbs/gis/idce2002.pdf
дении сделок и ошибок, возникающих в результате несоответствия информационных систем используемым финансовым инструментам (информационные системы не способны адекватно отражать сложные финансовые инструменты), риски потерь в результате бухгалтерских ошибок, неправильных расчетов процентных и комиссионных платежей, ошибочного получения или поставки товара или финансовых ресурсов; риски потерь как результат юридически некачественно подготовленной документации;
• на риски операционного контроля -риски потерь как результат несвоевременно выявленного превышения лимитов, проведения несанкционированных сделок отдельными работниками, хищений и злоупотреблений при учете финансовых операций (включая подделку и фабрикацию финансовых и бухгалтерских документов), риски штрафных санкций за отмывание «грязных денег», риск потерь по причине несанкционированного доступа
к системам и применяемым расчетным моделям; зависимость от ограниченного числа сотрудников; отсутствие должного контроля за порядком проведения и учета сделок;
• на риски информационных систем -риск потерь как результат ошибок в программном обеспечении, математических моделях, применяемых при расчетах, ошибок при расчете рыночной стоимости финансовых инструментов; недостаточная или несвоевременно представляемая управленческая информация; сбои в работе одной или нескольких информационных систем, обеспечивающих нормальное функционирование бизнеса, сбои в компьютерных сетях или в телекоммуникационных каналах; отсутствие планов мероприятий на случай сбоев в работе информационных систем и телекоммуникационных каналов или низкое качество подобных планов.
Как показали результаты исследований Базельского комитета, концентрация внимания на событиях, обусловленных риском, позволяет банкам классифицировать по категориям опыт своих реальных убытков в общей структуре, а также делать более четкое различие между операционным
риском и рыночным или кредитным риском. Также подобный подход обеспечивает основы, корреспондирующие с теми методами и способами, которые банки используют для деятельности по управлению риском. Распределяя убытки по четким категориям в соответствии с общим характером события, связанного с операционным риском, банки получают возможность оценивать последствия деятельности, направленной на смягчение риска (сюда следует отнести усиление внутренней системы контроля и совершенствование процессов) деятельности, преследующей цель сокращения появления вероятности таких событий и серьезных последствий, ими вызванных. Таким образом, система классификации убытков дает представление о типах событий, чреватых значительными убытками, а также предоставляет прямую и важную информацию о потребностях в осуществлении разнообразных мероприятий, направленных на эффективное управление риском.
Определив типы убытков (табл. 6), Базельский комитет установил, что следует учитывать при классификации операционного риска. Решающим при этом является учет не только издержек, но и возможного сокращения доходов банка в связи с наступлением операционного риска.
Таблица 6
Классификация операционного риска по типам убытков
Тип убытка Определение
Правовые обязательства Судебные и прочие издержки
Соблюдение регулятивных и прочих норм (включая налоговые) Штрафы или прямые выплаты в результате любых других наказаний, например в результате отзыва лицензии
Утрата или повреждение активов Прямое сокращение стоимости материальных активов в результате несчастного случая (например небрежность, авария, пожар, землетрясение и т. д.)
Возмещение Платежи третьим сторонам в счет операционных убытков, за которые банк несет правовую ответственность
Убытки от регресса Убытки в результате невыполнения третьей стороной обязательств перед банком, проистекающие из операционной ошибки или события (то есть те, которых можно было избежать даже при намеренном или вынужденном дефолте контрагента)
Списания Прямое сокращение стоимости активов в результате воровства, мошенничества, несанкционированных действий либо рыночные или кредитные убытки в результате операционных событий
Ведущие к убыткам события по своей частоте и размеру ущерба могут быть разделены на две группы. С одной стороны, существуют часто наступающие события, например ошибочные бухгалтерские проводки, влекущие за собой относительно ограниченные убытки (высокая вероятность/ низкий убыток). С другой стороны, некоторые редкие события. Например, несанкционированные операции сотрудника с ценными бумагами или разрушение помещений банка в результате стихийных бедствий или террористического акта могут стать причиной очень крупного убытка (низкая вероятность/высокий убыток).
Не обнаруженные своевременно превышения лимитов, не разрешенные руководством операции отдельных трейдеров, злоупотребления в учете операций - факторы, вызвавшие крах целого ряда известных финансовых учреждений, в частности банка «Бэрингс». Последнее тому подтверждение - потери крупнейшего ирландского банка «Эллайед Айриш Бэнкс» на сумму 750 миллионов долларов США по причине недобросовестности отдельного трейдера.
ЛИТЕРАТУРА И ИНФОРМАЦИОННЫЕ
ИСТОЧНИКИ
1. О порядке формирования кредитными организациями резервов на возможные потери : положение Банка России от 20 марта 2006 года № 283-П.
2. О типичных банковских рисках : п исьмо Бан к России от 23 июн я 2004 года № 70-Т.
3. Об организации управления операционным риском в кредитных организациях : письмо Банка России от 24 мая 2005 года № 76-Т.
4. Совершенствование корпоративного управления в кредитных организациях : Письмо Банка России (Базельский комитет по банковскому надзору, Базель, сентябрь 1999 года).
5. Базельский комитет по банковскому надзору: система внутреннего контроля в банках: основы организации. Базель, сентябрь 1998 года.
6. Волошин И. В. Оценка банковских рисков: новые подходы. К. : Эльга ; Ника-Центр, 2004.
7. Вопросы банковского надзора в документах Базельского комитета. Выпуск 3. ЦПП ЦБ РФ, 2003.
8. Деникаева Р. Н. Механизм антикризисного управления в российской экономике и в зарубежных странах // Экономический анализ: теория и практика. 2008.
9. Ермаков С. Л. Банковская гарантия в кредитных сделках (теория и практика). М. : Анкил, 2006.
10. Ермаков С. Л., Юденков С. Л. Основы организации деятельности коммерческого банка : учебник. М. : КНОРУС, 2009.
11. Самад-Хан Али, Спивак Гоигорий. Современный подход к управлению операционными рисками // Банковское обозрение. 2008. № 12.
12. Турбанов А. В. Отток депозитов на 20% - это уже крах банка : интервью журналу CFO. 12.11.2008.
13. Уильям Ф. Шарп, Гордон Дж. Але-сандр, Джеффри В. Бэйли. Инвестиции / перевод с английского. М. : ИНФРА-М, 2007.
14. Юденков Ю. Н. Проблемы организации внутрибанковского технологического контроля // Банковские услуги. 2008. № 3.
15. Юденков Ю. Н. Проблемы формирования систем контроля в коммерческих банках // Интерпол в России. 2000. № 6.
16. Юденков Ю. Н. Управленческий учет и внутренний контроль в коммерческом банке. М. : Инсвязьиздат, 2008.
17. Юденков Ю. Н, Тысячникова Н. А., Ермаков С. Л., Кашанова О. Ю., Фурзи-кова М. В. Риск-менеджмент в кредитной организации: методология, практика, регламентирование : методическое пособие. В 2-х книгах. М. : Издательский дом «Регламент», 2008.
18. Framework for internal control systems in banking organizations. Basel Committee on Banking Supervision, 1998, September.
19. Quantitative Impact Studies № 5 (июнь 2006 года).
20. URL: http://www.bis.org/bcbs/gis/ idce2002.pdf
