Система управления операционным риском

Выдержка из книги «Анализ кредитных рисков»
автор: Наталья Костюченко

Операционный риск – это вероятность возникновения убытков в результате недостатков или ошибок во внутренних процессах банка, в действиях сотрудников и иных лиц, в работе информационных систем, либо вследствие внешнего воздействия.

Классификация риска

● Базельский комитет предлагает следующую классификацию источников операционного риска:

- персонал (намеренные действия сотрудников компании, которые могут нанести ущерб ее деятельности);
- процессы (ошибки и некорректное исполнение операций в ходе осуществления бизнес-процессов либо исполнения должностных обязанностей);
- системы (нарушение текущей деятельности в результате сбоя информационных систем или недоступности сервиса);
- внешняя среда (атаки либо иные угрозы, исходящие из внешней среды, которые не могут управляться компанией и выходят за рамки ее непосредственного контроля).

● В Письме Банка России от 24.05.2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» классификация риска предлагается с точки зрения возможных убытков под влиянием внутренних и внешних факторов, к которым может привести операционный риск.

Внутренними и внешними источниками (причинами) операционного риска являются:

• случайные или преднамеренные действия физических или юридических лиц, направленные против интересов кредитной организации (риск недобросовестного исполнения персоналом банка своих служебных обязанностей, риск перегрузки персонала, риск ошибок при вводе данных, риск предоставления клиентом неверной или неполной информации и т.д.);
• несовершенство организационной структуры кредитной организации в части распределения полномочий подразделений и служащих (риск неверной организационной структуры банка); порядков и процедур совершения банковских операций и других сделок, их документирования и отражения в учете (риск методологии, правовой риск и т.д.); несоблюдение служащими установленных порядков и процедур; неэффективность внутреннего контроля;
• сбои в функционировании систем и оборудования (технологический риск);
• неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной организации (риск хищения активов, риск несанкционированного проникновения в процессы банка и т.д.);
• прочее

Операционные потери могут быть в виде:

● Прямых потерь

- снижения стоимости активов;
- досрочного списания (выбытия) материальных активов;
- денежных выплат в виде судебных издержек, взысканий по решению суда, штрафных санкций надзорных органов и т.д.;
- денежных выплат клиентам и контрагентам, а также служащим кредитной организации в целях компенсации им во внесудебном порядке убытков, понесенных ими по вине кредитной организации;
- затрат на восстановление хозяйственной деятельности и устранение последствий ошибок, аварий, стихийных бедствий и других аналогичных обстоятельств;
- прочие затраты, связанные с устранением причин возникновения и реализации риска.

● Косвенных потерь (не выражающихся напрямую в денежном эквиваленте, но косвенно влияющих на финансовый результат):

- потеря деловой репутации;
- недополученные запланированные доходы;
- приостановка деятельности в результате неблагоприятного события (технологический сбой);
- отток клиентов и т.д.

В российской практике областью повышенного операционного риска являются информационные технологии, которые составляют значительную долю в структуре общих расходов многих финансовых организаций.

Управление риском

Система управления операционным риском намного сложнее, чем, например, рыночным или кредитным, так как:

• операционный риск является внутренним риском для финансовой организации, поэтому крайне сложно создать универсальный перечень причин возникновения данного вида риска;
• операционный риск очень сложно оценить количественным методом.

Важной составляющей системы управления операционным риском является контроль и регулярная отчетность. Под управлением операционном риском понимается минимизация возможных операционных потерь. Она обеспечивается с помощью:

• комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным потерям, и (или) на уменьшение (ограничение) размера потенциальных операционных потерь;
• мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок;
• планирования и разработки сценариев на случай непредвиденных ситуаций;
• обеспечения оперативного восстановления бизнеса в случае наступления чрезвычайных ситуаций; - разработки и реализации мероприятий по ограничению и нейтрализации выявленных критических зон риска;
• развития банковских технологий, правил и процедур совершения операций;
• защиту информации;
• развития системы автоматизации
• прочие меры

В целях мониторинга операционного риска применяется система индикаторов уровня операционного риска (фиксирования событий), т.е. показателей, которые связаны с уровнем операционного риска, принимаемого кредитной организацией. При определении индикатора риска формулируется гипотеза о существовании в банке объективного измеримого количественного показателя риска, который характеризует определенную группу потерь. В качестве индикаторов уровня операционного риска могут быть использованы:

• сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты или объемов;
• текучести кадров;
• частота допускаемых ошибок и нарушений;
• прочее.

Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.

Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности Банка и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими Банка и иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых Банком информационных, технологических и других систем и их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Основным компонентом операционного риска, подлежащего регулированию, является совершение несанкционированных операций, ошибки в работе персонала, нарушения и сбои в работе компьютерных сетей и оборудования.

В целях минимизации операционного риска, а также исключения возможных убытков (потерь) в Банке на постоянной основе осуществляется выявление и сбор данных о внутренних и внешних факторах операционного риска. На основе полученной информации формируется аналитическая база данных о понесенных операционных убытках, где отражаются сведения о видах и размерах операционных убытков в разрезе направлений деятельности Банка, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления. Риск-подразделение Банка осуществляет анализ и дает оценку операционного риска. Банк производит оценку операционного риска в соответствии с рекомендациями Базельского комитета по банковскому надзору (Базель II), а также оценку с использованием балльно-весового метода, сущность которого заключается в оценке операционного риска в сопоставлении с мерами по его минимизации. Применение балльно-весового метода оценки операционного риска позволяет выявить слабые и сильные стороны в его управлении. Банком устанавливается допустимый (нормальный) уровень операционного риска не выше 20%. Уровень операционного риска ниже допустимого (нормального) считается «низким», а уровень операционного риска выше допустимого уровня считается «высоким» уровнем, требующим применения мер по его минимизации. Операционным риском управляет Комитет по управлению рисками.

Целями управления и контроля над операционным риском являются минимизация информационных и финансовых потерь, связанных с отражением банковских операций на счетах бухгалтерского учета, а также адекватностью отражения учетной информации в различных формах отчетности, с эксплуатацией программного обеспечения, использованием в деятельности Банка технических средств и высокотехнологического оборудования при реализации банковских услуг. Управление данной категорией рисков осуществляется через принятие процедурных норм по операциям Банка и утверждения положений структурных подразделений, а также должностных инструкций сотрудников Банка с целью разграничения их функций и полномочий.

Одним из инструментов, позволяющих выявить операционные риски, является анализ административно-управленческих расходов на основе данных бухгалтерского или аналитического учета. Предметом данного анализа являются расходы, непосредственно связанные с операционными рисками (штрафы, пени и т.д.), а также операционные расходы (явные или вмененные), возникновение которых не может быть объяснено движениями рынков или кредитными событиями. Анализ расходов позволяет выявить источники операционных рисков, а также дать количественную или статистическую оценку.

Для минимизации операционного риска «ТКБ» (ЗАО) применяет следующие основные инструменты:

• разграничение доступа к информации;
• разработка защиты от несанкционированного входа в информационную систему;
• разработка защиты от выполнения несанкционированных операций средствами информационной системы;
• организация контролирующих рабочих мест до исполнения документов;
• автоматическое выполнение рутинных повторяющихся действий;
• аудит (регистрация и мониторинг) действий пользователей.